Comment protéger votre site web contre les hacks

Lorsque vous gérez un site web, surtout un site e-commerce, ne pas prendre des mesures pour limiter les risques de piratages, pourrait affecter directement la réputation de votre entreprise.

Aujourd’hui, les sites e-commerces et tous les sites d’une façon générale sont sous une menace croissante des piratages. Chaque année, le constat est clair, les tentatives de piratages s’automatisent et se multiplient d’une manière in-considérable.

Dans la plupart des cas le piratage se fait en silence, sans que vous en apercevez, les pirates s’installent, commencent a exploiter les ressources de votre serveur et utilisent votre serveur soit pour mener des actions de cyber-criminalité, soit l’exploiter pour infecter d’autres sites web. Quand vous en apercevez, il est déjà trop tard, vous êtes déjà black listé par Google ou bien vos visiteurs vous signalent que votre site web ne fonctionne pas bien ou bien est devenu trop lent.

Il faut donc prendre des précautions afin d’éviter ce mal croissant. Des petites actions, et des précautions simples de base suffisent parfois a éviter les pires situations.

Voici donc, quelques conseils qui devraient vous être utiles pour vous protéger contre les pirates :

Les pages d’administration doivent être cachées et protégées

Les pages d’administration sont très souvent la cible des pirates, qui les exploitent pour avoir accès à vos données et aux données de vos clients.

Les pirates peuvent détecter facilement les pages d’administration de votre site, surtout si votre site est conçu avec un cms connu comme Drupal, WordPress, Prestashop ou équivalents. Cela peut être évité en changeant simplement le nom du répertoire d’administration avec un nom plus compliqué plus difficile à deviner. Et pour renforcer cette protection, nous vous conseillons également de protéger ce répertoire par un mot de passe htaccess.

Ces deux points faits, vous serez protégé contre une bonne partie des hacks.

Restreindre les liens sensibles par le robots.txt ?

Vous avez des liens sensibles que vous ne souhaitez pas que Google indexe ? Votre premier réflexe est de le spécifier dans le robots.txt. Mais c’est une grosse erreur, car vous allez certes empêcher leurs indexations par Google, mais vous allez même temps donner l’opportunité à des personnes malveillantes d’aller consulter ce fichier robots.txt (qui reste public), et de trouver ces liens pour les exploiter.

La seule solution: Tout ce qui est sensible ne doit jamais rester public. Backups, fichiers SQL, fichiers temporaires, etc… Tout doit disparaître de l’accès public…

Aujourd’hui il existe même des robots spécialement conçus pour scanner les sites web et chercher les backups voir cet article.

Restreindre l’upload des fichiers

Donner la possibilité à vos visiteur de vous transmettre des fichiers est bien, gérer votre site avec un beau éditeur WYSIWYG est confortable aussi, mais la possibilité d’upload de fichiers sont la plupart du temps une cause des ravages pour les sites, peu importe le niveau de sécurité de leurs systèmes. Une mauvaise manœuvre, un mauvais choix de modules, ou un bogue, peuvent être utilisés par les pirates pour accéder à toutes les informations de votre entreprise.

Imaginez qu’un pirate parviennent à envoyer dans votre site un script malicieux pour ensuite l’exploiter pour voler vos données ou pour détruire votre réputation.

Cela peut être évité en restreignant les uploads de fichiers. Il faut limiter au maximum cette possibilité à un strict minimum et aussi que tous les uploads soient effectués dans un répertoire isolés du reste du site dans un répertoire qui n’a pas accès au reste du site ou à la base de données.

Aujourd’hui certains robots sont spécialement conçus pour aller parcourir les sites à la recherche de ces fonctions d’upload, tester leurs vulnérabilité pour les exploiter.

Installer un certificat SSL

Lorsqu’il s’agit de transférer les informations entre votre site et ses utilisateurs et la base de données, il est impératif qu’un protocole SSL crypté soit utilisé. En fait, cela empêche que les données transmises soient interceptées et soient accessibles pendant le transfert.

Depuis peu, les principaux navigateurs comme Chrome ou Firefox commencent déjà à afficher des alertes quand les utilisateurs échangent avec un site web non SSL, ce qui est un signe que ce point est devenu très important.

Installer un certificat SSL sur votre site améliorera non seulement la sécurité de votre site, mais améliorera également votre référencement naturel sur Google !

Installer un pare feu sur votre site web ou hébérgement

Il est important de noter que les applications web Pare-Feu (WAF) peuvent être à la fois matérielle ou logicielle. Une application web pare-feu sert à se protéger contre les cybercriminels. Un Pare-Feu se situe entre le serveur du site web et la connexion des données. Le pare-feu a pour mission de lire toutes les données qui le traverse, et il bloque les tentatives de piratage en filtrant le trafic indésirable. Donc, il est important pour une entreprise d’installer la meilleure application Pare-Feu. Certains hébergeurs en fournissent d’office avec leurs hebergement et il existe aussi de nombreuses solutions en ligne à prix compétitifs.

Un pare feu aidera non seulement la sécurité de votre site, mais aussi votre site deviendra plus rapide. Les robots qui scannent les sites sont devenus très nombreux et ont tendance à consommer les ressources de votre hébergement. Les filtrer avec un firewall entraînera forcément un gain de rapidité pour vos visiteurs réels.

Être à jour avec les dernières versions

Une autre règle simple, toujours installer les dernières mises à jour de votre cms ou des logiciels de votre serveur d’hébergement. Il ne se passe pas une semaine sans la découverte de failles dans ces systèmes, la meilleure solution pour se prémunir de l’exploitation de ces failles et de mettre à jour son site. Les Hackers sont à l’affut de ces faillent et ne tardent pas à les exploiter, ou à programmer leurs robots pour aller chercher ces failles.

Malheureusement nous constatons jusqu’à aujourd’hui que des millions de sites web utilisant un cms ne sont pas à jour. Certaines failles bien connues qui ont été déclarées il y a déja plusieures années sont encore exploitées jusqu’à aujourd’hui, par faute de mise à jour.

Conclusion

Les régles énumérées sont basiques et simples à déployer et il existe de nombreux autres points d’attention pour la sécurité d’un site web, mais rien que les étapes mentionnées ci-dessus sont malheureusement ignorées par de nombreux gestionnaires de sites, ce qui laisse libre cours à de nombreux groupes malveillants d’exploiter ces failles pour détourner ces ressources pour la cyber-criminalité. Or, certaines règles et quelques principes simples peuvent être mis en place facilement, pour pas trop cher avec un bénéfice inestimable.

Si vous avez besoin d’un audit de sécurité ou d’outils pour protégégez votre site web, n’hésitez pas à nous contacter.

Ce site utilise des cookies afin de pouvoir vous fournir la meilleure expérience utilisateur possible. En continuant à naviguer sur ce site, vous acceptez l'utilisation de cookies.
En savoir plus

NEWSLETTER

Abonnez-vous à notre newsletter pour recevoir des mises à jour intéressantes!

Remplissez votre adresse e-mail et restez informé!

ABONNEZ-VOUS