Les cinq conseils de base pour sécuriser votre site web

Tout site internet est susceptible d’être en proie aux attaques informatiques. Des exemples récents ont montré que les hackers s’attaquaient aussi aux petites ou moyennes entreprises réputées moins sécurisée. Comment renforcer la sécurité de votre site web et décourager ainsi les d’éventuels personnes malveillantes?

Les attaques peuvent prendre plusieurs formes mais le principal risque est la défiguration du site durant laquelle le contenu du site est modifié puis se retrouve saturé de requêtes répétées. L’accès à de nouveaux visiteurs devient alors impossible.
Le site web peut aussi être utilisé comme passage vers le système d’information, où seront ajoutés des contenus illégaux et des pièges pour vos clients.
Simple site vitrine ou e-commerce de marques,  les pirates peuvent accéder à l’administration des mots de passe et utiliser votre site comme centre d’hébergement pour envoyer des menaces personnalisées et mener des attaques de spear phishing –  une forme de phishing social qui donne l’impression que les mails viennent d’un site sécurisé .

Pour vous en prémunir, Tobeweb vous propose différentes méthodes à choisir en fonction de vos moyens techniques et financiers.

Faire des mises à jour régulièrement

C’est une mesure simple qui n’est pas une évidence pour tout le monde. Pourtant les mises à jour permettent aux logiciels de réparer les failles des versions précédentes par lesquelles des pirates auraient pu s’infiltrer. Beaucoup de sites voient leurs scripts modifiés et diffusent parfois des contenus illégaux parce que le CMS (WordPress, prestashop, drupal, joomla…) n’est pas à jour.

Le gestionnaire du site doit être particulièrement attentif aux mises à jour en particulier du serveur et de son système d’exploitation.  Il est bon de vérifier avant d’installer un module (plugins) qu’il est mis à jour régulièrement. N’en abusez pas car plus des plugins sont installés et plus votre site sera vulnérable.
Un conseil : créez une version du site en “préprod”, sur un serveur isolé afin de tester que les mises à jour ne causent pas de problèmes sur le site.

Limiter et sécuriser les accès à l’administration

Plus le nombre de personnes qui ont accès au back-office est grand, plus les risqué de piratage sont élevés.
Assurez-vous que les mots de passe des admin et éditeurs du site sont suffisamment sécurisés.
Les mots de passe ne doivent pas se ressembler entre eux et ne doivent pas ressembler aux noms des utilisateurs. De plus éviter que le même compte soit partagé par plusieurs personnes.
Une authentification à plusieurs facteurs rendra votre protection plus efficace.
La CNIL (Commission nationale de l’informatique et des libertés) publie des recommandations très utiles comme limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées.

De plus, l’URL d’accès au login doit rester privée et ne doit être diffusé qu’aux utilisateurs et administrateurs accrédités.  En cas d’accès à distance (du domicile par exemple) passer par un VPN ou un SSH.

Multiplier les couches de protection de votre serveur

Il est important de pouvoir contrôler les données qui transitent sur votre site.
Pour cela certaines mesures sont indispensables :
– Mettre en place un pare-feu qui sera paramétré pour filtrer les informations indésirables.
– Remplacer le protocole de communication standard http par un protocole https (surtout pour un e-commerce). Le https est sécurisé par l’usage de protocoles de sécurisation TLS qui chiffrent les données, contrairement au http.
– S’assurer que les certificats de sécurité sont à jour et que leur renouvellement automatique est prévu
– Il est fortement recommandé de remplacer le protocole SSL par le protocole TLS pour toutes les pages. C’est une procédure critique les pages où transfèrent des information à caractère privé
– Limiter les ports de communication pour assurer le fonctionnement sécurisé des applications installées”.

– Dans la mesure du possible, installer des reverse proxy pour filtrer les requêtes et éviter les injections SQL. C’est important en particulier pour protéger les formulaires web et empêcher des hackers d’entrer un code qui leur permettrait d’insérer des balises de script malveillantes et de JavaScript qui se propageraient dans votre base de données.
La méthode du reverse-proxy (relais inverse), placé entre les serveurs d’un site et internet, protège les serveurs d’un utilisateur mal intentionné.

Faire auditer le code et l’infrastructure

Seul un expert est capable de déterminer si l’architecture d’un site est configurée correctement pour repousser toutes sortes d’attaques.
Il est donc hautement recommandé de faire auditer son code et son infrastructure par des professionnels qui détermineront les vulnérabilités au lancement du site et ensuite à chaque changement important dans l’infrastructure.

La société Tobeweb met une pointe d’honneur à ne faire aucun compromis sur la cyber sécurité. C’est pour cela que nous exécutons systématiquement tous les tests nécessaires lors de la conception d’un site et tout particulièrement avant son lancement.

Sauvegarder régulièrement  et surveiller l’activité des serveurs

Une surveillance permanente est le meilleur moyen de repérer toute activité suspecte : des connexions trop fréquentes, des connexions à des heures anormales, un trafic extrêmement élevé à des endroits inhabituels….

Tobeweb assura à votre demande un monitoring professionnel qui prendra en charge le suivi quotidien de l’activité de votre site.

De plus, les sauvegardes régulières effectuées sur l’ensemble des serveurs permettent de résoudre plus rapidement tout problème d’agression.