Cet article a été rédigé avec la collaboration de nos éditeurs(trices) et chercheurs(euses) qualifiés(es) pour garantir l'exactitude et l'exhaustivité du contenu.
L'équipe de gestion du contenu de wikiHow examine soigneusement le travail de l'équipe éditoriale afin de s'assurer que chaque article est en conformité avec nos standards de haute qualité.
Il y a 7 références citées dans cet article, elles se trouvent au bas de la page.
Cet article a été consulté 5 271 fois.
Si vous avez un site internet, vous devez faire en sorte de le protéger contre d’éventuelles attaques. Utiliser un certificat SSL et le cryptage HTTPS est le meilleur moyen de sécuriser une adresse, mais il y a aussi d’autres points à vérifier pour empêcher les attaques de pirates ou les logiciels malveillants de compromettre la sécurité de votre site.
Étapes
-
1Gardez votre site à jour. Si vous ne mettez pas à jour les logiciels, la sécurité et les scripts de votre site, lorsque cela est nécessaire, vous donnez la possibilité aux intrus et aux logiciels malveillants de le pénétrer.
- Cela vaut aussi pour les correctifs de votre hébergeur (si vous en avez un). Dès qu’une mise à jour est disponible pour votre site, installez-la aussi vite que possible.
- Vous devez aussi vous assurer de garder le certificat de votre site à jour. Même si cela n’affecte pas directement la sécurité de votre site, cela lui permettra d’apparaitre dans les résultats de recherche.
-
2Utilisez des modules de sécurité. Vous devez aussi ajouter des logiciels ou des modules complémentaires. Vous pouvez souscrire des abonnements auprès de sites qui offrent des solutions de pare-feux pour une protection permanente et certains services d’hébergement comme Wordpress offrent aussi des modules complémentaires du même type. De même que vous protégez votre ordinateur avec un logiciel antivirus, il est recommandé de faire protéger votre site internet avec des logiciels dédiés à la sécurité [1] .
- Le pare-feu Sucuri est une bonne solution payante et vous devriez pouvoir trouver des pare-feux ou des modules de sécurisation gratuits pour Wordpress, Weebly, Wix et les autres services d’hébergement.
- Les solutions de pare-feux fonctionnent généralement sur un principe d’hébergement en ligne, ce qui veut dire que vous n’avez pas besoin de télécharger de logiciels sur votre ordinateur pour les utiliser.
-
3Bloquez les téléchargements. Permettre aux utilisateurs de télécharger des fichiers sur votre site crée des failles de sécurité. Si possible, retirez tous les formulaires ou sections de votre site par lesquels les utilisateurs pourraient télécharger des fichiers en direction de votre site.
- Limiter les formulaires pour n’accepter qu’un seul type de fichier (par exemple JPG pour les images) est une autre façon de régler ce problème.
- Cela peut être un peu compliqué si votre site utilise une page de formulaire pour des fichiers tels que des lettres de motivation. Vous pouvez contourner ce problème en créant une adresse mail et en l’ajoutant à votre page Contact, ainsi les utilisateurs pourront vous envoyer leurs fichiers par mail plutôt que de les télécharger sur votre site.
-
4Installez un certificat SSL. Un certificat SSL sert à confirmer que votre site est sécurisé et que les informations, qui transitent entre votre serveur et le navigateur de l’utilisateur, sont cryptées. Vous devrez généralement payer des frais annuels pour conserver votre certificat SSL [2] .
- Les options de solutions SSL incluent GoGetSSL et ''SSLs.com''.
- Le service gratuit Let's Encrypt pourra aussi vous fournir un certificat SSL.
- Lorsque vous choisissez un certificat SSL, vous avez trois options : validation du domaine, validation de l’organisation (nom d’entreprise et lieu) et la validation étendue. Afin d’afficher la barre verte Sécurisé à côté de l’adresse de votre site, Google requiert la validation de l’organisation et la validation étendue [3] .
-
5Utilisez le cryptage HTTPS. Après avoir installé le certificat SSL, votre site devrait être éligible pour le cryptage HTTPS. Vous pouvez généralement activer le cryptage HTTPS en installant votre certificat SSL dans la section Certificats de votre site [4] .
- Si vous utilisez une plateforme comme Wordpress ou Weebly, votre site utilise probablement déjà le HTTPS.
- Un certificat HTTPS doit être renouvelé tous les ans.
-
6Créez un mot de passe fort. Utiliser un mot de passe unique pour la partie administration de votre site n’est pas suffisant. Vous devrez créer un mot de passe compliqué et aléatoire qui ne sera pas utilisé ailleurs et conserve la clé autre part que dans le répertoire de votre site [5] .
- Par exemple, vous pouvez utiliser une combinaison de 16 caractères mélangeant les lettres et les chiffres. Vous pouvez alors garder ce mot de passe dans un fichier hors-ligne sur un autre ordinateur ou disque dur.
-
7Masquez votre dossier admin. Nommez votre dossier contenant les fichiers critiques de votre site « admin » ou « root » est certes pratique, mais malheureusement c’est aussi pratique pour les éventuels pirates. Modifier leur nom en quelque chose de plus passepartout (par exemple, « Nouveau dossier (2) » ou « historique ») rendra leur localisation plus difficile pour les attaquants [6] .
-
8Simplifiez les messages d’erreur. Si votre message d’erreur dévoile trop d’informations, les pirates ou les logiciels malveillants peuvent les exploiter pour localiser et avoir accès au dossier racine de votre site. Plutôt que de donner des informations détaillées dans vos messages d’erreur, affichez un court message d’excuse et un lien vers la page d’accueil de votre site [7] .
- Ceci vaut pour toutes les erreurs, des pages 404 aux erreurs 500 du serveur.
-
9Cryptez vos mots de passe. Si vous conservez les mots de passe des utilisateurs sur votre site, assurez-vous de les crypter pour les stocker. Une erreur commune à de nombreux sites est de conserver les mots de passe en clair. Ce qui fait qu’ils peuvent facilement être volés si un pirate trouve le fichier qui les contient.
- Même les sites réputés comme Twitter ont fait cette erreur par le passé.
Publicité
Conseils
- Engager un consultant en sécurité pour vérifier vos scripts est la façon la plus rapide (bien qu’étant la plus chère) de repérer les éventuelles failles de votre site.
- Testez toujours votre site avec un outil de test de sécurité (par exemple, Observatory de Mozilla) avant de mettre en ligne la dernière version.
Avertissements
- Les failles de sécurité ne sont découvertes qu’après avoir des victimes. Pour limiter les conséquences au maximum, pensez à faire une sauvegarde hebdomadaire de votre site (par exemple un ordinateur hors-ligne ou un disque dur).
Références
- ↑ https://www.ontrack.com/fr/blog/article-8-etapes-a-suivre-securiser-site-web/
- ↑ https://www.globalsign.fr/fr/centre-information-ssl/definition-certificat-ssl
- ↑ https://www.globalsign.fr/fr/centre-information-ssl/definition-certificat-ssl/
- ↑ https://support.google.com/webmasters/answer/6073543?hl=fr
- ↑ https://legissa.ovh/internet-se-proteger-des-pirates-et-hackers.html#motpasse
- ↑ https://korben.info/securiser-wordpress-attention-au-fichier-wp-config-php.html
- ↑ https://httpd.apache.org/docs/2.4/fr/custom-error.html
L'équipe de gestion du contenu de wikiHow examine soigneusement le travail de l'équipe éditoriale afin de s'assurer que chaque article est en conformité avec nos standards de haute qualité. Cet article a été consulté 5 271 fois.