Conseils 7 pour sécuriser votre site Web contre le piratage

Article écrit par:
  • Articles en vedette
  • Mise à jour: mai 06, 2019

Le Web ne concerne pas que les entreprises. Des milliards de pages et d'entrées de blog sont écrites chaque jourChaque seconde, les propriétaires de sites Web et les blogueurs cherchent à partager leurs points de vue avec le monde entier. C'est ce qui fait le charme du Web: il offre un espace pour tout le monde et pour tout type de projet.

Des possibilités infinies.

Mais Internet est aussi une jungle sauvage: il cache des dangers à chaque coin et rien de ce que vous utilisez n’est même proche de la magie à toute épreuve. Si vous exploitez une entreprise en ligne sans but lucratif ou à compte isolé en particulier, vous réalisez que le transfert de toutes les transactions sur le Web peut se traduire par une prudence supplémentaire à l'égard de vos services.

La sécurité est un aspect crucial à prendre en compte lors de la planification de votre site Web: comment puis-je sécuriser mon contenu et mon travail acharné contre les attaquants? Comment puis-je fournir la meilleure expérience utilisateur possible? Ce sont des questions que vous devriez vous poser chaque fois que vous mettez à jour votre site web.

Pourquoi cet article et pourquoi les astuces 7?

Sécuriser votre site de manière simple et n00b-ish peut s'avérer plus utopique que réel, mais cela ne signifie pas qu'une personne qui n'est ni programmeur ni informaticien ne peut pas ajouter de sécurité à son site Web. J'ai choisi sept astuces faciles à appliquer et suffisamment détaillées pour éveiller votre curiosité face aux questions de sécurité, de sorte que VOUS deviendrez, lentement mais sans relâche, votre propre expert en sécurité Web. Tous les conseils sont spécifiques au piratage Web et je présenterai également des techniques que vous pouvez utiliser pour tester votre site Web à la recherche de failles de sécurité. Ne vous inquiétez pas: rien de difficile à faire, mais il est important que vous vous familiarisiez avec les outils et les techniques simples qui peuvent éloigner les attaques, pour le bénéfice de vos projets. :)

Amusez-vous!

Astuce #1 - Consacrez un peu plus d’esprit au pouvoir sur vos mots de passe

Le trou de la sécurité Web numéro un est l'utilisation du même mot de passe sur plusieurs sites Web ou services Web. Un pirate informatique qui trouvera un mot de passe aura compris tous vos mots de passe et aura un accès facile à toutes vos données, qu'il s'agisse de votre blog ou de votre compte PayPal. Garder une liste de vos mots de passe sur papier ou dans un fichier n'est pas non plus une solution sûre (sauf si vous protégez vos fichiers par un mot de passe), car une personne qui pirate votre ordinateur aura facilement accès à votre base de données.

Mais que faire si vous ne pouvez pas trouver un mot de passe décent?

  1. Utilisez un générateur de mot de passe fort générer un mot de passe difficile à déchiffrer, comprenant des symboles alphanumériques et des symboles alternatifs. Plus une chaîne de symboles est aléatoire ou pseudo-aléatoire (c'est-à-dire que les symboles du mot de passe n'ont pas de mémoire interne, ils ne sont pas liés les uns aux autres, de sorte que chaque symbole a des chances égales de se succéder), plus il est sûr.
  2. Utilisez Password Safe pour enregistrer et chiffrer tous vos mots de passe, que vous pouvez déverrouiller en mémorisant une phrase secrète. Le programme utilise le Algorithme Twofish pour chiffrer tous les mots de passe Password Safe est un projet open-source Windows développé par Bruce Schneier. Si vous n'utilisez pas Windows, Mot de passe gorille est une alternative open source valide à Password Safe.

Voici une vue de face de Password Safe avec une base de données nommée 'Sites Web':

Vue du programme avec mot de passe

Voici les détails d'un fichier à l'intérieur de la base de données 'Sites Web':

Password Safe File View

Astuce #2 - Prenez bien soin de vos scripts

Il est bien connu que les scripts de sites Web et les plates-formes CMS sont le principal véhicule des attaques de piratage. Si vous hébergez des scripts écrits en PHP, ASP et JavaScript, sachez qu'ils peuvent présenter des failles de sécurité et des bugs que leurs développeurs ont peut-être négligés. En plus de contacter le développeur immédiatement après la découverte de l'un des problèmes mentionnés ci-dessus, il existe des méthodes non techniques que vous pouvez utiliser pour vous assurer que vos scripts ne vous endommageront pas:

  • Lisez attentivement le document de version de votre script: il contient souvent des détails sur les correctifs et les correctifs
  • Faites la liste des avertissements de votre installateur de logiciel, de votre panneau d'administration ou même de Google (via Webmaster Tools): si vous devez mettre à jour ou modifier / supprimer un fichier, faites-le.
  • N'installez pas tous les plugins existants: vérifiez d'abord les compatibilités et les notes de sécurité.

De plus, et c’est peut-être le facteur le plus important, gardez toujours vos scripts et vos systèmes de gestion de contenu à jour. Le dernier package logiciel contient généralement des correctifs pour les bugs et problèmes de sécurité de la version précédente.

Exemple: Avertissement de mise à niveau de WordPress de Softaculous

Avertissement de mise à niveau Softaculous

Conseil #3 - Effectuez des contrôles réguliers des dossiers et du panneau d’administration

Parfois, des pirates informatiques s'introduisent dans votre site en toute discrétion, sournois comme des chats, mais ils laissent derrière eux des catastrophes: usurpations de site, fichiers multimédias contenant des virus, des exécutables et des pages Web recodées. Vérifiez régulièrement vos dossiers, au moins une fois toutes les deux semaines, pour vous assurer que vos fichiers ne sont pas en cause. Si vous repérez des fichiers que vous ne reconnaissez pas, supprimez-les immédiatement. Si cela ne fonctionne pas, contactez votre hébergeur et obtenez de l’aide (c'est à ce moment que vous avez besoin d'un bon hébergeur le plus). Dans ces cas:

  • Changer le mot de passe de votre panneau d'administration (et votre nom d'utilisateur, si possible)
  • Effectuer une vérification de tous les fichiers pour voir s'ils ont été endommagés
  • Si vous avez un antivirus installé, lancez-le.

Astuce #4 - Authentification sécurisée

Les experts en sécurité Web utilisent de nombreuses méthodes pour assurer une sécurité optimale aux systèmes et aux transactions Web sur lesquels ils travaillent: cryptographie à clé publique, chaînes de confiance, signatures, SSL et TSL (Transport Layer Security). Bien que vous deviez absolument apprendre quelque chose sur la cryptographie, il est important de commencer par apprendre à utiliser des outils simples d'authentification multi-facteurs préparés pour vous par des experts:

Pourquoi avez-vous besoin authentification multi-facteurs? Parce qu'il faudra connaître votre nom d'utilisateur, votre mot de passe ET votre jeton use-once-then-Disposer pour accéder à votre contenu; sinon, l'accès sera refusé.

Si vous le pouvez, trouvez un expert pour vous aider à apprendre l’apprentissage de la sécurité Web ou utilisez des didacticiels et des cours en ligne.

Astuce #5 - Méfiez-vous des attaques par DDoS

Attaques par déni de service sont en évolution rapide et dangereux, en même temps que le détournement de serveur et le remplacement de vos services par des services frauduleux.

Une attaque par déni de force force le serveur dans un état où ses services normaux ne fonctionnent pas et où l'ensemble du système n'est plus disponible pour les utilisateurs finaux.

Que pourrait provoquer une attaque DDoS?

  • Une configuration de réseau ouverte
  • Applications buggées, non mises à niveau
  • Configuration de serveur non sécurisée
  • Pas de maintenance et / ou de surveillance de l'activité du réseau

Informez votre FAI de cette forme d’attaque et informez-vous également. L’hôte de votre site Web peut configurer chaque serveur avec une liste d’adresses DNS alternatives. Ainsi, lorsque le DNS par défaut devient indisponible, l’ensemble du site Web continuera de fonctionner. Un pirate informatique ne peut avoir du succès dans ses actions que lorsqu'il parvient à bloquer TOUS les serveurs de la liste - un travail difficile, vous ne pensez pas? Une autre contre-mesure peut être le filtrage de tous les paquets entrants avec des timings inhabituels et / ou d'adresses IP à haut risque. Votre hôte doit être informé des attaques par déni de service. Discutez-en avec lui de la prévention des attaques DDoS.

Astuce #6 - Accès FTP sécurisé avec SFTP

Rien ne change pour vous, cela fonctionne comme un FTP normal, mais SFTP, ou Secure FTP, présente de nombreux avantages sur le plan de la sécurité:

  • Il utilise SSH pour chiffrer les données et les commandes lors du transfert de fichiers
  • Il utilise les clés publiques du serveur du client pour valider le serveur lors de la connexion, afin de s'assurer qu'il ne soit pas un intermédiaire.
  • Il est impossible pour un pirate informatique d'écouter votre trafic réseau

Le problème avec la commande FTP 'normale' est qu'elle n'est pas cryptée: tous les téléchargements vers et depuis le serveur sont transmis sous forme de données claires.

Pour accéder au FTP via la ligne de commande (si vous êtes un utilisateur Unix / Linux / Mac OS), vous pouvez utiliser

sftp [email protégé]

ou simplement télécharger un programme FTP gratuit prenant en charge SFTP, tel que Filezilla (Open source).

Astuce #7 - En savoir plus sur l’injection SQL pour protéger votre site contre cela

Méfiez-vous de cette méthode de piratage, maintenez vos scripts à jour et contactez immédiatement le développeur de script si vous rencontrez une violation de la sécurité. Voici comment exécuter un test simple:

  • Entrez le code SQL suivant dans votre formulaire Web (nom d'utilisateur et mot de passe):
    'OU' t '=' t '; -
    qui devient, au niveau SQL:
    SELECT * FROM utilisateurs WHERE userid = 'admin' AND password = '' OR 't' = 't'; - '
  • Renvoie-t-il le contenu de votre base de données?

Le code peut fonctionner (je dis "pourrait" car vous pourriez avoir de la chance d'avoir installé un script très sûr) car "t" = "t" est une instruction mathématiquement vraie. La requête SQL sera donc toujours exécutée. Un hacker averti peut construire des instructions SQL très élaborées pour atteindre ses objectifs. Veillez donc à contacter le développeur du script et à obtenir de l'aide si le script que vous utilisez est facilement attaquable. Ou changer de script.

Conseil BONUS #1 - Consultez régulièrement les journaux de votre panneau d’administration

Section des journaux cPanel

Votre panneau d’administration (cPanel, Plesk, etc.) est livré avec des outils intégrés d’analyse du trafic, d’accès et de sécurité que vous devez surveiller au moins une fois par semaine.

Si vous utilisez cPanel, je vous recommande de vérifier votre Statistiques analogiques tous les deux jours, car l’outil affiche des rapports détaillés un:

  • Requêtes HTTP
  • Rapports mensuels / quotidiens / horaires d'activité de la circulation
  • Référents, navigateurs et systèmes d'exploitation à l'origine de votre trafic

Les outils de journalisation sont les premiers éléments que vous devriez examiner lorsque vous pensez que votre site Web a été attaqué.

Conseil BONUS #2 - Effectuer des sauvegardes toutes les deux semaines

Effectuez une sauvegarde toutes les deux semaines, ou chaque semaine, si vous le pouvez. Avec des plugins comme Supsystique iThemes Sécurité, vous pouvez même sauvegarder tous les jours ou tous les trois jours. Ce qui compte, c'est de télécharger en permanence de nouvelles copies de votre contenu, prêtes à être restaurées en cas de problème. Cet article vous a montré le type d'attaques que votre site Web pourrait subir et comment les combattre et les empêcher, mais votre arme la plus puissante est vraiment la suivante: sauvegarde. C'est le seul moyen de rétablir l'état d'origine de votre site Web, comme si un pirate informatique ne pouvait jamais jouer ses sales tours.

Résumé

Alors, que devez-vous faire, essentiellement?

  1. Apprendre. La connaissance, c'est le pouvoir! En savoir plus sur la cryptographie, l'injection DDoS et SQL, le script intersite (XSS) et d'autres types d'attaques. Tout ce qui peut vous aider à avoir une vision complète de ce qui se passe lorsque votre site Web est piraté. Plus vous en savez, plus vous pouvez faire pour contre-attaquer.
  2. Garder à jour. Avec des découvertes, des outils et des mises à niveau de scripts. Cet article a souligné l’importance de la mise à niveau et de la mise à jour du logiciel de votre site pour assurer une protection plus solide contre les attaquants.
  3. Effectuer des vérifications et des sauvegardes régulières. Si vous sauvegardez, vous pouvez restaurer!
  4. Rapport. Lorsque tout est hors de votre contrôle, signalez les problèmes aux développeurs de scripts, aux autorités et à votre hôte. Ils peuvent faire ce que vous ne pouvez pas.

Trucs de sécurité du génie logiciel

Le génie logiciel est un domaine charmant que tout bon ingénieur et informaticien doit apprendre à appliquer lorsqu'il développe un logiciel. Mais saviez-vous que cela fonctionne aussi dans l'autre sens? Vous, l'utilisateur, pouvez utiliser les concepts de génie logiciel pour faire des choix intelligents parmi les logiciels de site proposés par les développeurs. Vous pouvez:

  1. Comprendre qu'un bogue peut entraîner un piratage grave de vos systèmes et une perte de données
  2. Découvrez les dimensions de la fiabilité 4 et utilisez-les à votre avantage: disponibilité, fiabilité, sûreté et sécurité.
  3. Identifiez tous vos problèmes de sécurité possibles: perte de données sensibles / importantes, défaillance de certains services, coûts de reconstruction élevés (temps, argent).

Que devriez-vous vous demander avant d'installer et d'utiliser un script?

Fiabilité. Puis-je faire confiance à ce logiciel?

  • Disponibilité Le script est-il facilement disponible pour moi? Son développeur est-il joignable pour obtenir de l'aide?
  • Fiabilité Le script fonctionne-t-il bien? At-il des bugs ou me donne-t-il des problèmes lorsque j'effectue des actions pertinentes par rapport à mes objectifs?
  • Sécurité Les dysfonctionnements et les bugs affectent-ils gravement la sécurité et les performances?
  • Sécurité Le logiciel comporte-t-il un module de sécurité intégré? Est-ce quelque chose que je peux gérer?
  • Réparabilité Si quelque chose ne va pas, puis-je le gérer?
  • Consommabilité Suis-je capable de gérer ce logiciel moi-même?
  • Survival Le logiciel fonctionnera-t-il toujours sous attaque? Puis-je bien récupérer de l'attaque?

Tableau des vulnérabilités

  • Logiciel bogues; transmission transparente des données; les erreurs; journaux publics
  • Humain mots de passe de faible résistance; répertoires non protégés; divulgation de données sensibles; manque de maintenance du système et de mise à jour / mise à niveau

A propos de Luana Spinetti

Luana Spinetti est une écrivaine et artiste indépendante basée en Italie, et une étudiante passionnée en informatique. Elle possède un diplôme d'études secondaires en psychologie et en éducation et a suivi un cours d'une année 3 en dessin de bandes dessinées, duquel elle a obtenu son diplôme sur 2008. Si polyvalente qu’elle soit, elle a développé un grand intérêt pour le SEO / SEM et le marketing Web, avec une prédilection pour les médias sociaux. Elle travaille actuellement sur trois romans dans sa langue maternelle (italien), qu’elle espère publication indépendante bientôt.