Sécuriser son site Web est indispensable. Voici 5 aspects incontournables pour protéger votre site Internet des attaques les plus répandues sur le Web. Bien plus puissantes que les Avengers réunis 🙂 , ces techniques de sécurisation vous éviteront bien des déconvenues et certaines sueurs froides…
1/ Sécuriser son site Web c’est avant tout faire des sauvegardes !
Une grosse majorité des tentatives de piratage de sites Internet a pour conséquence de modifier le contenu de ces derniers. Par exemple, votre page d’accueil peut se retrouver avec une apparence totalement différente.
Dans ce cas, l’objectif va être de rétablir votre site Web sous son aspect d’origine. Cela paraît évident dit comme cela, pourtant sans aucune sauvegarde de votre site Internet, je vous souhaite bien du courage pour remettre les choses en place !
Pour pallier à ce type de problèmes, vous devez bénéficier d’une sauvegarde périodique et complète de votre site Internet. Cette sauvegarde consiste d’abord à importer tous les fichiers présents sur le serveur distant vers un autre espace de stockage (disque dur, cloud, etc…).
Le second volet indispensable à votre sauvegarde concerne la base de données. Cette dernière comporte notamment tout ou partie du contenu de votre site. La base de données doit être également importée sur l’espace de stockage défini.
La fréquence de sauvegarde est un élément majeur pour sécuriser son site Web ! En fonction du degré d’intervention sur le contenu de votre site, la périodicité de sauvegarde sera définie. Prenons deux cas opposés, à savoir un simple site vitrine et un E-commerce. Dans le cas du site vitrine, les modifications de contenu peuvent être très rares. C’est à dire de l’ordre de quatre ou cinq fois dans l’année.
En revanche, un site marchand est amené à faire régulièrement des modifications sur ces produits (prix, nombre de produits en stock, nouveau produit, etc.). Pour ces raisons, le site vitrine se contentera d’une sauvegarde mensuelle, tandis que le E-commerce nécessitera au moins une voire plusieurs sauvegardes journalières.
2/ Effectuer des mises à jour régulières
Un site Internet propulsé par WordPress comporte trois types de mises à jour bien distinctes. Tout d’abord il y a la mise à jour du cœur de WordPress. À l’heure où ces lignes sont écrites, la dernière version de WordPress est la 4.2.2. Bien que les attaques ciblant le cœur de WordPress sont plutôt rares, il est important de faire ces mises à jour dès que possible à la sortie d’une nouvelle version.
Les deux autres types de mises à jour concernent d’un côté le thème de votre site WordPress, et de l’autre ses plugins (également appelés extensions). C’est en général sur ces deux composantes de votre site que les hackers trouvent facilement des failles. Les mises à jour permettent en général de combler les lacunes de sécurité des précédentes versions. Pour sécuriser son site Web, je recommande vivement de mettre à jour ses deux composantes (thème + plugins) à chaque nouvelle version.
3/ Ne pas avoir de compte « admin »
Par défaut, WordPress crée un compte administrateur nommé « admin ». Conserver cet identifiant « admin » permet aux hackers de détenir 50% de l’accès à l’administration de votre site. Il ne leur reste plus que le mot de passe à trouver, d’où l’intérêt de doublement verrouiller cet accès.
Afin de sécuriser votre site Web, personnalisez donc votre identifiant ! Évitez de définir vos identifiants par votre prénom, votre nom, ou encore votre nom d’entreprise. Servez-vous de l’identifiant comme une sorte de second mot de passe afin de verrouiller au maximum l’accès à l’administration de votre site Web.
4/ Disposer de mots de passe « musclés »
Bien souvent un hacker « non-confirmé » accède facilement à un compte utilisateur dont le mot de passe est trop souvent « votre-nom » ou « votre-prénom » ou encore « votre-date-de-naissance ».
Pire encore, beaucoup d’utilisateurs choisissent les plus mauvais mots de passe du type :
- 123456
- password
- azerty
- football
- etc…
Le seul avantage de ces types de mots de passe est qu’ils sont très simples à retenir pour l’utilisateur. Ce qui reste un point important dans la définition d’un bon mot de passe.
Cependant, un mot de passe suffisamment « musclé » doit comporter différents caractères et les alterner au maximum :
- les minuscules
- les majuscules
- les chiffres
- les lettres
- les caractères spéciaux : « ? », « * », « + », « . », « ! »
Pour obtenir un tel mot de passe qui puisse être facilement mémorisable, je vous propose la méthode suivante. Construisez une phrase mnémotechnique dans laquelle vous placez ces différents caractères.
Par exemple, prenons la phrase qui suit : « Je vais @ la Boulangerie acheter 3 Pains au chocolat, 5 Croissants et 10 Pains au raisins ! »
Vous obtenez ainsi un excellent mot de passe qui est facilement mémorisable : « Jv@lBa3Pac,5Ce10Par! »
5/ Empêcher les attaques de « forces brutes »
Sécuriser son site Web consiste également à se protéger des attaques dites de » forces brutes ». Derrière ce terme barbare, qui reflète toute la philosophie du hacker qui utilise cette technique, se cache une notion vraiment simple à comprendre.
A titre de comparaison prenons l’exemple du paiement par carte bancaire. Au moment du paiement vous n’aurez que trois tentatives pour saisir votre code secret. Après cela, votre carte bancaire sera bloquée. Ce système permet d’empêcher à un voleur de faire de multiples essais jusqu’à trouver votre code. C’est ce que l’on appelle un système de protection d’attaques de « forces brutes ».
Dans l’exemple d’un site WordPress, il va falloir configurer l’accès à l’administration de manière à limiter le nombre de tentatives et empêcher ce type d’attaques. Rassurez-vous, une telle configuration est beaucoup plus souple que dans l’exemple de la carte bancaire. Le nombre de tentatives peut être plus important et le blocage reste simplement temporaire (moins de quelques heures suivant la configuration que l’on choisit).
Conclusion
Bien évidemment, cet article n’a pas pour but d’être exhaustif sur les éléments qui vous permettent de sécuriser votre site Internet. En revanche, je vous livre tout de même cinq points indispensables pour assurer cette sécurité, que tout prestataire doit au moins mettre en place sur le site de son client !
Pour ceux qui construisent eux-mêmes leur site Web et qui ont choisi WordPress, je vous recommande vivement d’installer un plugin de sécurité et de le configurer.
Par exemple, iThemes Security est un excellent plugin que je vous conseille pour sécuriser son site Web !