La protection d’un site web n’est pas une chose à prendre à la légère. Si vous avez un site internet, vous devez faire en sorte de le protéger contre les attaques. Pour cela, vous pouvez utiliser un certificat SSL (fichier de données qui lie une clé cryptographique aux informations d’une organisation) et HTTPS (la version sécurisée du protocole http) qui est un moyen de sécuriser une adresse. Mais il y a plusieurs autres actions que vous pouvez mener pour empêcher les pirates et les logiciels malveillants de compromettre votre site Web. Pour en savoir davantage sur comment protéger votre site web, CVP vous invite à lire les lignes suivantes.
1. Gardez votre site à jour
Vous devez mettre à jour les logiciels, et les scripts de votre site lorsque cela est nécessaire, pour ne pas donner la possibilité aux intrus et aux logiciels malveillants de le pénétrer. Il en est de même pour les correctifs de votre hébergeur. Lorsque la mise à jour des outils utilisés dans la conception de votre site est disponible, elle doit être installée le plus vite possible. N’oubliez pas de penser à faire des sauvegardes de votre site avant de faire des mises à jour.
Vous devez également vous assurer de garder le certificat de votre site à jour. Cela impactera positivement son apparition dans les moteurs de recherches.
2. Utilisez des modules de sécurité
Vous devez aussi ajouter des logiciels ou des modules complémentaires. Vous pouvez souscrire à des abonnements auprès de sites qui offrent des solutions de pare-feu pour une protection permanente. Certains services d’hébergement offrent aussi des modules complémentaires du même type. De même que vous protégez votre ordinateur avec un logiciel antivirus, il est recommandé de faire protéger votre site internet avec des logiciels dédiés à la sécurité.
3. Bloquez les téléchargements
Permettre aux utilisateurs d’uploader (envoyer des fichiers sur votre site) des fichiers sur votre site crée des failles de sécurité. Si votre site ne nécessite pas d’upload de la part de vos internautes, retirez tous les formulaires ou sections de votre site par lesquels les utilisateurs pourraient télécharger des fichiers en direction de votre site.
Il est important de limiter les formulaires à télécharger pour n’accepter qu’un seul type de fichier (par exemple JPG pour les images). Cette façon de faire peut être un peu compliquée si votre site utilise une page de formulaire pour des fichiers. Vous pouvez donc contourner ce problème en créant une adresse mail et en l’ajoutant à votre page contact, ainsi les utilisateurs pourront vous envoyer directement leurs fichiers par mail plutôt que de les télécharger sur votre site.
4. Installez un certificat SSL.
Le certificat SSL sert à confirmer que votre site est sécurisé et que les informations, qui transitent entre votre serveur et le navigateur de l’utilisateur, sont cryptées. Vous devrez généralement payer des frais annuels pour conserver votre certificat SSL. Plusieurs choix peuvent être faits. Il faut dire que lorsque vous choisissez un certificat SSL, vous avez trois options : la validation du domaine, la validation de l’organisation (nom d’entreprise et lieu) et la validation étendue. Afin d’afficher la barre verte sécurisé à côté de l’adresse de votre site, Google requiert la validation de l’organisation et la validation étendue.
5. Utilisez le cryptage HTTPS.
Après avoir installé le certificat SSL, votre site devrait être éligible pour le cryptage HTTPS. Vous pouvez généralement activer le cryptage HTTPS en installant votre certificat SSL dans la section certificats de votre site web. Lorsque vous utilisez une plateforme comme WordPress, votre site utilise probablement déjà le HTTPS. Mais sachez que le certificat HTTPS doit être renouvelé tous les ans.
6. Créez un mot de passe fort.
Utiliser un mot de passe unique pour la partie administration de votre site n’est pas chose suffisante. Vous devrez créer un mot de passe compliqué et aléatoire qui ne sera pas utilisé ailleurs et conserver la clé autre part que dans le répertoire de votre site. Vous pouvez par exemple utiliser une combinaison de 16 caractères mélangeant des lettres en majuscule et en minuscule, un caractère spécial ainsi que des chiffres et garder ce mot de passe dans un fichier hors-ligne sur un autre ordinateur ou disque dur.
7. Activer l’authentification à deux facteurs.
Cette méthode ajoute un niveau supplémentaire au processus d’identification : c’est un second obstacle pour ainsi dire, que les personnes non autorisées doivent surmonter. De plus, presque toutes les attaques d’hameçonnage échouent à cause de cette identification à deux facteurs.
8. Masquez votre dossier admin
Nommez votre dossier contenant les fichiers critiques de votre site admin ou root est certes pratique pour vous, mais malheureusement c’est aussi pratique pour les éventuels pirates. Modifier leur nom en quelque chose de plus ordinaire comme nouveau dossier ou historique rendra leur localisation plus difficile pour les attaquants.
9. Simplifiez les messages d’erreur.
Si votre message d’erreur dévoile trop d’informations, les pirates ou les logiciels malveillants peuvent les exploiter pour localiser et avoir accès au dossier racine de votre site. Plutôt que de donner des informations détaillées dans vos messages d’erreur, affichez un court message d’excuse et un lien vers la page d’accueil de votre site.
10. Cryptez vos mots de passe.
Si vous conservez les mots de passe des utilisateurs sur votre site, assurez-vous de les crypter pour les stocker. Une erreur commune à de nombreux sites est de conserver les mots de passe en clair. Ce qui fait qu’ils peuvent facilement être volés si un pirate trouve le fichier qui les contient.
Retenez que la sécurité de niveau 100% n’existe pas. Alors quel que soit le niveau de sécurité appliqué sur votre site, pensez à faire une sauvegarde régulière. CVP reste disponible pour répondre à toutes vos interrogations sur le sujet.