Nous avons encadré à plusieurs reprises des compagnies qui sous-estiment la sécurité de leurs investissements lorsque vient le temps de créer un site Web. Voici les règles essentielles pour avoir un site Web sécuritaire et ainsi avoir une paix d’esprit inébranlable.
Votre hébergeur Web
Avant même de considérer des ajustements dans la programmation de votre site Web, il est primordial de regarder la fondation de celui-ci. Imaginez construire une maison sur un marais instable, même si la maison est parfaite, elle ne sera pas solidifiée correctement. Si vous avez un hébergement gratuit ou à coût modique, vous devriez lire à ce sujet afin de comprendre les bénéfices d’un hébergement payant: Pourquoi choisir l’hébergement payant?
1. Certificat SSL
Un site Web devrait toujours offrir l’option d’ouvrir une session sécurisée comme Facebook ou Google. Même notre site Web offre l’option! (https://magikweb.ca/)
De plus, Google donne de plus en plus de visibilité/référencement Web aux installations sécurisées par un certificat SSL depuis 2014.
2. Utilisez un pare-feu
Cette protection supplémentaire offre beaucoup d’avantages. Vous pouvez contrôler le trafic et ainsi mitiger les attaques par déni de service, limiter les connexions entrantes et sortantes, empêcher l’abus de diverses vulnérabilités tel que Kunena de Joomla! et prioriser des échanges particuliers. Si vous êtes sur un hébergement partagé, votre fournisseur aura un pare-feu et s’en occupera pour vous.
3. Suivez les logs/activités
Gardez un oeil sur les activités et le trafic à l’aide des outils fournis par votre hébergeur. Dans la majorité des cas, vous aurez accès à un cPanel qui vous permettra de voir les statistiques de votre site Web par AWStats . Aussi, il est capital d’intégrer Google Analytics à votre programmation en plus.
4. Révisez les droits d’écritures
Exemple Filezilla si vous êtes sur un hébergement partagé à petit budget ou amateur, vous devriez retirer tous les droits au public. Pour rester simple, vous devez configurer les droits à 640 par défaut et 770 pour les fichiers/dossiers nécessitant le droit d’écriture.
Si vous êtes installé sur un hébergement Web de qualité, cela a peu (à aucun) d’impact. Si votre site Web ou votre hébergement se fait pirater, changer les permissions sur vos fichiers ne les arrêteront pas.
5. Renforcez vos mots de passe
Ne sous-estimez pas les attaques par force brute, elles sont fréquentes et de plus en plus efficaces. C’est pourquoi votre mot de passe doit être sécuritaire, complexe et continuellement en changement. Le mot de passe 12345 ne protégera pas votre compte bancaire, seulement votre pauvre mémoire.
6. Minimisez les accès
Vous souvenez-vous de l’employé qui a démissionné parce qu’il n’aimait pas votre parfum? Il a peut-être encore certains accès sensibles sur son ordinateur. Même si vous faites confiance à l’individu, il pourrait se faire pirater et vos accès tomberaient entre les mains de gens qui n’ont rien de mieux à faire de leurs journées que de détruire des sites Web ou de voler de l’argent en ligne. Bref, donnez le moins d’accès possible et gérez le changement de ceux-ci lors d’un remaniement de votre personnel.
7. Restez à jour
Effectuer les mises à jour des technologies utilisées sur votre site Web est primordial. Plus la technologie est populaire, plus vous êtes susceptible à une attaque dès qu’un point faible est détecté par des groupes malveillants tant que vous ne mettez pas votre technologie à jour. WordPress est un bon exemple pour ce phénomène.
8. Faites des sauvegardes
Vous ne devez pas tenir votre hébergeur Web responsable de vos fichiers, commencez par prendre contrôle vous-même de votre propriété. Selon l’importance de vos données, vous pouvez manuellement compresser l’ensemble de votre site Web ou même vous inscrire à des services de sauvegardes externes pour un frais modique. Plus vous faites des modifications souvent, plus il est important d’avoir de multiples sauvegardes de différentes dates.
Votre programmation
Vous êtes un programmeur? Vous pensez que votre code est de l’or? Bienvenue parmi nous! Le problème du programmeur est qu’il assume que son code est toujours bon, sinon il ne l’écrirait tout simplement pas. Cela s’applique autant aux débutants qu’aux experts.
9. Injections SQL
Ce type d’attaque peut anéantir votre base de données. Imaginez la requête SQL suivante:
Il n’y a aucun problème si la valeur est numérique, mais si un utilisateur malveillant ajuste le code source pour envoyer la saisie 344 OR 1=1 , vous aurez ce résultat.
Cette requête est toujours vraie! Elle retourne tous les noms et mots de passe de la base de données. Sans aller plus loin, vous comprendrez pourquoi il est important de sécuriser les saisies effectuées par les utilisateurs.
Voici une solution rapide pour ce problème spécifique:
Les apostrophes empêcheront une injection de ce type et mysqli_real_escape_string échappera tous les caractères sensibles à MySQL.
10. XSS
Ce type de faille de sécurité est plutôt vague, mais afin de la simplifier, voici un exemple HTML/JavaScript.
Imaginez un formulaire où vous saisissez votre nom:
<input type= »text » name= »name » value= » » />
<input type= »submit » value= »Apply » />
</form>
Sur la page résultante, votre nom est affiché de cette manière:
À moins que le serveur encode le résultat, voici ce qu’un utilisateur malveillant pourrait saisir à la place de son nom.
Voici le résultat final:
La mention « Injection XSS » s’affichera donc à l’écran par JavaScript. Cet exemple n’est pas dangereux, mais il y a énormément d’approches plus destructrices.
Pourquoi un site Web sécuritaire?
Votre site Web est votre marque, votre vitrine, et souvent votre premier contact avec les clients. S’il n’est pas sécurisé, votre image et vos relations peuvent être compromises. Vous inspirerez la confiance, surtout si vous avez un certificat SSL et encore plus si vous êtes hébergé chez Magik Web!
Partager cet article
Partager cet article
Commentaires 1
Je désire créer un site sécuritaire pour une PME nouvellement enregistrée.