10 façons d’avoir un site Web sécuritaire

Nous avons encadré à plusieurs reprises des compagnies qui sous-estiment la sécurité de leurs investissements lorsque vient le temps de créer un site Web. Voici les règles essentielles pour avoir un site Web sécuritaire et ainsi avoir une paix d’esprit inébranlable.

Votre hébergeur Web

Avant même de considérer des ajustements dans la programmation de votre site Web, il est primordial de regarder la fondation de celui-ci. Imaginez construire une maison sur un marais instable, même si la maison est parfaite, elle ne sera pas solidifiée correctement. Si vous avez un hébergement gratuit ou à coût modique, vous devriez lire à ce sujet afin de comprendre les bénéfices d’un hébergement payant: Pourquoi choisir l’hébergement payant?

1. Certificat SSL

Un site Web devrait toujours offrir l’option d’ouvrir une session sécurisée comme Facebook ou Google. Même notre site Web offre l’option! (https://magikweb.ca/)

De plus, Google donne de plus en plus de visibilité/référencement Web aux installations sécurisées par un certificat SSL depuis 2014.

2. Utilisez un pare-feu

Cette protection supplémentaire offre beaucoup d’avantages. Vous pouvez contrôler le trafic et ainsi mitiger les attaques par déni de service, limiter les connexions entrantes et sortantes, empêcher l’abus de diverses vulnérabilités tel que Kunena de Joomla! et prioriser des échanges particuliers. Si vous êtes sur un hébergement partagé, votre fournisseur aura un pare-feu et s’en occupera pour vous.

3. Suivez les logs/activités

Gardez un oeil sur les activités et le trafic à l’aide des outils fournis par votre hébergeur. Dans la majorité des cas, vous aurez accès à un cPanel qui vous permettra de voir les statistiques de votre site Web par AWStats . Aussi, il est capital d’intégrer Google Analytics à votre programmation en plus.

4. Révisez les droits d’écritures

Exemple Filezilla si vous êtes sur un hébergement partagé à petit budget ou amateur, vous devriez retirer tous les droits au public. Pour rester simple, vous devez configurer les droits à 640 par défaut et 770 pour les fichiers/dossiers nécessitant le droit d’écriture.

Si vous êtes installé sur un hébergement Web de qualité, cela a peu (à aucun) d’impact. Si votre site Web ou votre hébergement se fait pirater, changer les permissions sur vos fichiers ne les arrêteront pas.

5. Renforcez vos mots de passe

Ne sous-estimez pas les attaques par force brute, elles sont fréquentes et de plus en plus efficaces. C’est pourquoi votre mot de passe doit être sécuritaire, complexe et continuellement en changement. Le mot de passe 12345 ne protégera pas votre compte bancaire, seulement votre pauvre mémoire.

6. Minimisez les accès

Vous souvenez-vous de l’employé qui a démissionné parce qu’il n’aimait pas votre parfum? Il a peut-être encore certains accès sensibles sur son ordinateur. Même si vous faites confiance à l’individu, il pourrait se faire pirater et vos accès tomberaient entre les mains de gens qui n’ont rien de mieux à faire de leurs journées que de détruire des sites Web ou de voler de l’argent en ligne. Bref, donnez le moins d’accès possible et gérez le changement de ceux-ci lors d’un remaniement de votre personnel.

7. Restez à jour

Effectuer les mises à jour des technologies utilisées sur votre site Web est primordial. Plus la technologie est populaire, plus vous êtes susceptible à une attaque dès qu’un point faible est détecté par des groupes malveillants tant que vous ne mettez pas votre technologie à jour. WordPress est un bon exemple pour ce phénomène.

8. Faites des sauvegardes

Vous ne devez pas tenir votre hébergeur Web responsable de vos fichiers, commencez par prendre contrôle vous-même de votre propriété. Selon l’importance de vos données, vous pouvez manuellement compresser l’ensemble de votre site Web ou même vous inscrire à des services de sauvegardes externes pour un frais modique. Plus vous faites des modifications souvent, plus il est important d’avoir de multiples sauvegardes de différentes dates.

Votre programmation

Vous êtes un programmeur? Vous pensez que votre code est de l’or? Bienvenue parmi nous! Le problème du programmeur est qu’il assume que son code est toujours bon, sinon il ne l’écrirait tout simplement pas. Cela s’applique autant aux débutants qu’aux experts.

9. Injections SQL

Ce type d’attaque peut anéantir votre base de données. Imaginez la requête SQL suivante:

mysqli_query($link, « SELECT name, password FROM taccount WHERE id_account= ».$_POST[« id_account »]);

Il n’y a aucun problème si la valeur est numérique, mais si un utilisateur malveillant ajuste le code source pour envoyer la saisie 344 OR 1=1 , vous aurez ce résultat.

mysqli_query($link, « SELECT name, password FROM taccount WHERE id_account=344 OR 1=1 »);

Cette requête est toujours vraie! Elle retourne tous les noms et mots de passe de la base de données. Sans aller plus loin, vous comprendrez pourquoi il est important de sécuriser les saisies effectuées par les utilisateurs.

Voici une solution rapide pour ce problème spécifique:

mysqli_query($link, « SELECT name, password FROM taccount WHERE id_account=' ».mysqli_real_escape_string($link, $_POST[« id_account »]). »‘; »);

Les apostrophes empêcheront une injection de ce type et mysqli_real_escape_string échappera tous les caractères sensibles à MySQL.

10. XSS

Ce type de faille de sécurité est plutôt vague, mais afin de la simplifier, voici un exemple HTML/JavaScript.

Imaginez un formulaire où vous saisissez votre nom:

<form action= »application.php » method= »post »>
<input type= »text » name= »name » value= » » />
<input type= »submit » value= »Apply » />
</form>

Sur la page résultante, votre nom est affiché de cette manière:

<h2>Application de <?=$_POST[« name »]?></h2>

À moins que le serveur encode le résultat, voici ce qu’un utilisateur malveillant pourrait saisir à la place de son nom.

</h2><script>alert(« Injection XSS »)</script><h2>

Voici le résultat final:

<h2>Application de </h2><script>alert(« Injection XSS »)</script><h2></h2>

La mention « Injection XSS » s’affichera donc à l’écran par JavaScript. Cet exemple n’est pas dangereux, mais il y a énormément d’approches plus destructrices.

Pourquoi un site Web sécuritaire?

Votre site Web est votre marque, votre vitrine, et souvent votre premier contact avec les clients. S’il n’est pas sécurisé, votre image et vos relations peuvent être compromises. Vous inspirerez la confiance, surtout si vous avez un certificat SSL et encore plus si vous êtes hébergé chez Magik Web!

Partager cet article

Partager cet article

Commentaires 1

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *