Dans cet article nous allons vous expliquer comment sécuriser son site Internet. Vous le savez certainement, tout site Internet peut-être piraté ! Nous n’allons pas voir comment pirater un site Internet (car ce n’est pas le but), mais plutôt comment le sécuriser au mieux en suivant les « grandes lignes droites ».
Comment s’y prennent les hackers ?
Pour commencer, il faut savoir qu’un site Internet peut-être piraté de 2 manières différentes :
1 – Si votre hébergeur possède une faille de sécurité sur le serveur qui héberge votre site, ils peuvent exploiter cette faille.
Ils essaient d’exploiter les droits d’écriture et d’exécution des dossiers FTP où sont stockés les fichiers de votre site. Ils essaient aussi d’exploiter les accès au serveur avec en cherchant des failles ou encore avec du brute force. Le brute force consiste a tester une multitude de mots de passes différents en quelques secondes jusqu’à obtenir les bons accès.
2 – Si votre site Internet est mal codé ou bien qu’il possède une faille de sécurité, ils exploitent aussi cette faille.
La plupart du temps, les hackers essaient d’utiliser des injections SQL. C’est à dire qu’ils essaient de rentrer dans la base de données du site en utilisant les champs de texte sur vos formulaires de contact ou d’inscription à la newsletter.
Une fois connecté à la base de données du site, ils peuvent faire ce qu’ils veulent 😟
Comment sécuriser son site web ?
Pour sécuriser son site Internet, il va falloir respecter plusieurs critères. Mais avant toute chose, il est impératif de sauvegarder votre site. Faites des backups !
Si un jour votre site se fait piraté, au moins vous aurez une version propre de votre site.
Maintenir votre site à jour
Si vous utilisez un CMS tel que WordPress par exemple, veillez à bien faire vos mises à jour. Quand on parle de mises à jour, c’est à dire mettre à jour WordPress, mettre à jour vos plugins mais aussi les thèmes.
Les mises à jour ne servent pas seulement à améliorer, mais aussi, à sécuriser votre site Internet en corrigeant certaines failles.
Choisir des mots de passe robustes
On ne le dira jamais assez ! Les mots de passes jouent un rôle important sur un site Internet. Ne choisissez pas des mots de passes trop simples. Essayez de mixer des chiffres, des lettres (en majuscules et minuscules) et si possible des caractères spéciaux.
Évitez de mettre des dates de naissances, des noms de marques, des prénoms … Vous l’avez compris, il faut des mots de passes robustes.
Vous pouvez utiliser notre générateur de mot de passe gratuit en cliquant ici.
Utilisez un certificat SSL pour un site en https
Cela peut paraitre anodin, mais un site en https est beaucoup plus sécurisé. le certificat SSL va permettre de crypter les données en 256 bits. De ce fait, les données interceptées par les hackers seront inexploitables.
Pour vérifier l’authenticité d’un certificat SSL, vous pouvez tester l’URL d’un site avec SSLLABS
Masquez vos DNS
Grosso-modo, les DNS de votre site permettent d’associer votre nom de domaine à votre hébergeur. Si les DNS ne sont pas masqués, les hackers sauront où est hébergé votre site Internet. de ce fait, ils pourront commencer à chercher les failles chez cet hébergeur.
Nous vous conseillons d’utiliser les DNS de CloudFlare qui « brouilleront » les pistes. C’est gratuit et une multitude se services vous sont offertes. De plus, la réponse au ping est rapide. Ce qui veut dire que votre site Internet s’ouvrira plus vite. Autant en profiter 😊
Bloquez certaines adresses IP sur votre site
Si vous avez accès aux statistiques de votre site Internet, vous verrez parfois des adresses IP qui reviennent souvent.Si ces adresses IP reviennent « trop » souvent, il peut s’agir soit d’un robot qui vient indexer votre site dans ses résultats de recherche (Google par exemple), ou alors d’un hacker qui essaie d’exploiter des failles de sécurité.
Si c’est le cas, il faudra bloquer son adresse IP dans le fichier .HTACCESS de votre site. Il est présent à la racine de votre site Internet et on y accède par connexion FTP.
Pour bloquer une adresse IP avec un .HTACCESS, il faut renseigner cette ligne :
Deny from xxx.xxx.xxx.xxxPensez à remplacer les xxx par l’adresse IP en question.
Mettez les bons droits à vos dossiers FTP
Les fichiers de votre site Internet sont accessibles par FTP.
Normalement, les dossiers doivent avoir un CHMOD en 755 et les fichiers en 644.
Pour vérifier, faites un clic droit sur le fichier ou dossier puis : droits d’accès au fichier.
Il ne faut en aucun cas que vos fichiers soient en 777. Si tel est le cas, passez-les en 644.
Vérifiez que vos fichiers présents sur le FTP ne soient pas accessibles en root dans la rubrique « Droits d’accès et propriétaire du groupe ».
Si ils sont en root, il faudra se connecter en SSH avec le terminal sur MAC ou téléchargez Putty sur Windows et changer les droits avec un chown.
Exemple : chown -r utilisateur:utilisateur /home/votresite/www/
En remplaçant bien sûr utilisateur:utilisateur par les bons droits.
Attention à vos URL’S
Comme on le disait plus haut, les hackers tentent aussi de se connecter à votre base de données en exploitant des injections SQL.
Les failles d’injections SQL peuvent-êtres trouvées souvent à cause d’URL’s mal formatées.
On retrouve encore dans certaines URL’S des paramètres en GET.
De ce fait les URL’S ressemblent à ceci :
https://www.monsite.com/page.php?&id=5
On comprend que : page.php appelle l’ID n° 5 d’une table se trouvant dans la base de données.
Il vaut mieux dans ce cas réécrire vos URL avec un .HTACCESS de cette manière :
Options +FollowSymlinks
RewriteEngine on
RewriteRule ^ma-page-([0-9]+)$ ./page.php?&id=$1 [L,NC]
De ce fait, votre page sera remplacée par
https://www.monsite.com/page-5
On n’imagine que l’ID est 5, mais on ne sais pas que le nom du champ de la base de données est ID. Cela pourrait être id_user, id_admin etc …
Choisissez le bon hébergeur
Il y a de plus en plus d’hébergeurs sur Internet qui proposent des hébergements en mutualisé ou en dédié.
Avant d’en choisir un « au pif », il faut d’abord se renseigner sur leur manière dont votre site sera sécurisé.
Est-ce qu’il y aura des protections DDOS ? Des sauvegardes journalières automatiques ? Des systèmes de ban IP ?
Rappelez-vous que nous possédons des serveurs dédiés et que si vous le souhaitez, on peut héberger votre site en toute sécurité. Contactez-nous pour en savoir plus.
Limitez la distribution des accès
Si vous êtes le seul administrateur à votre site, à votre base de données et à vos accès FTP, ça va. Dans le cas contraire, veillez à limiter au maximum les accès à votre site.
Il arrive parfois que certaines agences de communication fournissent à des sous-traitants les accès au site. Parfois ces sous-traitants, sous-traitent eux aussi. De ce fait, on se retrouve avec 3 agences web sur le même projet.
Certaines peuvent-êtres mal intentionnées, heureusement, elles ne le sont pas toutes, mais quand même …
Suivez les recommandations de Google Search Console
Lorsque l’on possède un site Internet, il faut qu’il soit présent dans la Search Console de Google.
Rappelons que la Search Console de Google permet d’être informé des améliorations à apporter à votre site mais aussi des problèmes qui peuvent-êtres liés à votre site Internet.
Dans le menu de gauche de la Search Console, il y a une rubrique « problèmes de sécurité« . Si votre site est piraté, Google pourra vous donner des pistes sur ce qu’il se passe 😎
Plugin WordPress pour sécuriser son site
Si vous utilisez WordPress, il est conseillé d’utiliser des plugins qui permettent de sécuriser au mieux votre site Internet.
Vous pouvez utiliser Wordfence qui est devenu un incontournable en matière de sécurité. Il permet de scanner son site et voir les éventuels fichiers suspects.
De plus, vous pouvez restreindre le nombre de tentatives de connexion à l’admin, bannir des adresses IP etc … Il est très complet.
Vous pouvez également changer l’URL de connexion pour accéder à l’admin de WordPress.
En général pour accéder à l’admin d’un site WordPress, il suffit de taper l’URL dans la barre de recherche avec /wp-admin à la fin.
Avec le plugin WPS Hide Login, vous pouvez changer l’accès à l’admin avec l’URL que vous voulez. Par exemple : https://www.monsite.com/monsuperadmin
Le plugin est très simple à utiliser et fait son job.
Ne pas mettre trop de plugins
Que vous utilisez un CMS comme WordPress, Prestashop, Magento ou autre, évitez de surcharger votre site en plugin. Plus vous en mettrez, plus il y aura des fichiers présents sur votre hébergement web.
Qui dit plus de fichiers, dit plus de lignes de codes donc forcément plus de failles de sécurité potentielles.
Même en désactivant vos plugins, cela ne changera rien.
Si vous vous y connaissez un peu en codage, il vaut mieux coder soi-même ce dont vous avez besoin plutôt que de « surcharger » votre site de plugins superflus.
Supprimez les thèmes qui ne vous servent à rien
On y pense pas tout le temps, mais par défaut, lorsque l’on installe un site en WordPress, il y a 3 thèmes d’installés avec le CMS. Utilisez seulement le thème dont vous avez besoin. Les autres il faut les supprimer.
Cela évitera d’avoir encore trop de fichiers. De plus, votre site ne pourra être que plus rapide. Ce qui est forcément bénéfique pour votre référencement Google.
En espérant avoir pu vous aider avec cet article, n’hésitez pas à commenter si vous avez d’autres idées ou des remarques.
Sachez que si vous avez besoin d’un audit pour la sécurité de votre site web, vous pouvez contacter notre agence web à Antibes 🙂
