Mieux vaut prévenir que guérir

Oui c’est cliché, pourtant cela reflète exactement les bonnes pratiques à adopter concernant votre site internet. Votre site est une entité « vivante ». Durant sa vie il change de manière visible et invisible grâce à des mises à jours de contenu faites par vos soins ou par des mises à jours de votre CMS et de ses modules.

Une attaque

Tout comme une entité vivante vos pages web peuvent être sujettes à des attaques et des virus. Il faut donc s’en prémunir afin d’éviter la mauvaise surprise de voir le contenu modifié ou pire le site hors service. Car non, ça n’arrive pas qu’aux autres ! Il y a pas si longtemps un petit site e-commerce dont nous avons la charge s’est fait piraté. Au premiers abords le site fonctionnait normalement, néanmoins des bouts de code frauduleux ont été injectés sur toute les pages du site. Cela redirigeait les utilisateurs sur des sites pirates… Alors comment le/les hackers ont-ils fait ? Et bien ils se sont introduits via des extensions qui n’ont pas été mises à jour régulièrement…

Se guérir

Le mal est déjà fait… Il n’y a pas trente-six solutions, la seule chose à faire est de croiser les doigts pour avoir une sauvegarde récente de votre site chez votre hébergeur ou chez vous… Car le mal peut s’être infiltré directement dans votre base de données. Si vous avez réussi à restaurer une sauvegarde, changez immédiatement TOUS les mots de passe, de votre hébergement jusqu’au compte utilisateur de votre site. Car oui nous avons plutôt tendance à réutiliser nos mots de passe, et si quelqu’un en trouve un, cela devient rapidement très problématique. Perdons cette mauvaise habitude !

Se prémunir

Il n’y a rien de compliqué là dedans, si votre site a été fait par un professionnel averti, les risques d’infections sont déjà fortement diminués. En effet, un développeur professionnel sait comment éviter le genre de mésaventure susmentionnée. Et cela commence dès le début du projet lors de la mise en place du serveur, il va empêcher l’accès direct à certains répertoires et fichiers. Il va vous créer des mot de passe très sécurisés (oui vous allez râler car c’est illisible mais il fait ça pour son client préféré). Il va installer des modules de prévention et de sécurité et probablement modifier l’adresse de connexion de votre CMS (coucou WordPress c’est de toi dont je parle avec ton « wp-admin »). S’il est vraiment bon il va vous mettre une authentification à double facteur (pour se connecter vous recevrez un code à usage unique dans votre boîte mail) et empêcher les tentatives multiples de connexion. Cette protection contre les attaques à « force brute » est essentielle, vous avez déjà vu « Imitation game » ? Et bien là c’est pire car un ordinateur standard, peut traiter des millions de calculs par seconde et donc tester des millions de mots de passe rapidement. Et surtout, pensez à faire des sauvegardes régulièrement !

Bref, le but est de mener la vie dure aux hackers qui tenteraient de prendre le contrôle de votre site. Mais pour faire tout cela, il faut que votre site soit maintenu et mis à jour. En général quand un site est vendu, la maintenance n’est pas incluse. Donc renseignez-vous bien auprès de votre prestataire pour connaitre le fonctionnement de son service de maintenance de site.

Le risque zéro n’existe pas, mais on peut faire tendre ce risque vers nul grâce à quelques gestes simples.

Parlons un peu du SSL/HTTPS

Définitions

SSL : « Secure Sockets Layer » est un protocole de sécurisation des échanges sur Internet, développé à l’origine par Netscape. C’est le standard technologique de sécurité pour établir un lien crypté entre un serveur web et un navigateur. Ce lien garantit que toutes les données échangées entre le serveur web et les navigateurs restent privées et inviolables pour empêcher l’espionnage et la falsification.

HTTPS : « HyperText Transfer Protocol Secure », littéralement “protocole de transfert hypertexte sécurisé” est la combinaison du HTTP avec une couche de chiffrement SSL ou TLS. Le HTTPS permet au visiteur de vérifier l’identité du site web auquel il accède, grâce à un certificat d’authentification émis par une autorité tierce, réputée fiable. Il garantit théoriquement la confidentialité et l’intégrité des données envoyées par l’utilisateur (notamment les informations entrées dans les formulaires) et reçues du serveur. Il permet de valider l’identité du visiteur, si celui-ci utilise également un certificat d’authentification client.

Source : WP-Formation

Concrètement ça sert à quoi ?

Premièrement, cela améliore la sécurité des données qui circulent sur votre site, car toutes les informations qui transitent entre le navigateur et le serveur seront cryptées. Ainsi un hacker ne pourra pas intercepter des informations sensibles (coordonnées bancaires par exemple) en les « reniflant » via un packet snif (analyseur de paquets) sur un réseau Wi-Fi non sécurisé…

Deuxièmement, c’est un gage d’authenticité : cela permet d’éviter l’usurpation de site internet.

Troisièmement, beaucoup d’utilisateurs refusent d’effectuer des actions et des transactions sur des sites ne disposant pas d’un certificat SSL.

BONUS, cela améliore votre référencement ! Depuis 2016 Google a affirmé avoir pris en compte dans ses algorithmes de référencement la possession d’un certificat SSL.

Donc si votre site n’est pas en HTTPS, il vous manque un sacré atout ! Contactez votre gestionnaire de site… ou contactez-nous !

Quelques idées reçues

– WordPress est plus exposé aux failles de sécurité et aux attaques !

Faux ! Et même archi-faux, il ne faut pas confondre le noyau de WordPress (Core), les thèmes et les extensions (Plugins). Car ce sont les plugins et les thèmes qui sont le plus sujets aux failles de sécurité (d’où l’interêt de mises à jour régulières). De plus WordPress est le système le plus utilisé dans le monde (30% des sites internet) ; donc statistiquement il est normal de noter un nombre d’attaques plus élevé. Encore une fois une bonne équipe de développement minimisera l’usage de plugins et choisira avec soin les thèmes pour votre site, cela minimisera les risques.

C’est compliqué de gérer des centaines de mot de passe …

Faux ! Enfin en partie vrai, ça dépend de votre organisation… Il existe des moyens mnémotechniques pour vous souvenir de tous vos mots de passe ! Pour les plus fainéants, il existe des logiciels et applications fichtrement bien faites. Sans vouloir faire de pub, j’utilise Dashlane au quotidien et je ne pourrais plus m’en passer.

Un hacker ressemble à Néo dans The Matrix

Si seulement ça pouvait être vrai…

Recent Posts