Menu
Dans un monde numérique où la menace est de plus en plus présente, il est devenu nécessaire pour toutes les entreprises de sécuriser leur environnement informatique dans lequel elles évoluent. Voici quelques informations à prendre en compte pour pouvoir sécuriser son site.
Une injection SQL est une injection de code dans une donnée dans le but détourner la requête et de lui faire exécuter autre chose que sa fonction initiale. Les injections SQL dans votre site web permettent d’accéder à des données qui, à l’origine, sont censées être inaccessibles (identifiants et mots de passe, adresse mail, coordonnées bancaires, etc.) ou bien d’effectuer des opérations qu’un utilisateur classique ne peut pas faire (lecture, modification, ou suppression des données).
Il existe deux principaux types d’injections SQL dans votre site internet :
Préventions pour lutter contre les injections SQL :
– l’échappement de caractères lors des entrées utilisateurs
– les déclarations préparées
– accès limité à la base de données
– blocage de certains mots-clés SQL
Le XSS (cross-site scripting) est un type de faille de sécurité de sites internet. C’est une injection indirecte de code. Une attaque de type XSS permet d’attaquer les systèmes des utilisateurs, dans le but de récupérer des informations sensibles en utilisant ce script ou alors accéder aux ordinateurs des internautes.
Les différents risques des XSS sont très larges puisque l’attaquant peut utiliser tous les langages employés par le navigateur (JavaScript, Java, Flash…). Il est par exemple possible de rediriger l’utilisateur vers un site d’hameçonnage ou encore de voler la session en récupérant les cookies. L’une des exploitations des XSS les plus utiles pour un pirate est l’injection de code JavaScript dans la page HTML afin de voler le cookie de session de la victime, permettant ainsi la connexion à l’application web en se faisant passer pour la victime.
Une mesure de protection simple contre les attaques XSS peut être le pare-feu pour les Applications Web. Ces pare-feu sont alimentés par le fabricant grâce aux dernières vulnérabilités subies. Des mises à jour régulières comblent les failles de sécurité XSS existantes et les pare-feu tentent de filtrer les codes malveillants. Il faut également éviter les scripts inter-sites en désactivant la prise en charge de JavaScript dans le navigateur.
Que ce soit pour leurs employés ou leurs clients, les entreprises doivent mettre en place un système de sécurisation des mots de passe. L’anonymité des mots de passe étant essentielle, et pour maintenir un niveau de sécurité constant et assez élevé pour empêcher les piratages, il faut adopter une politique de mot de passe rigoureuse, et mettre en place ces actions :
utiliser un mot de passe avec : 12 caractères minimum, avec des chiffres, des lettres, des minuscules, des majuscules et des caractères spéciaux ( @, & ou . par exemple)
le mot de passe doit être unique à son propriétaire
Il faut changer régulièrement de mot de passe (mettre en place un historique de mots de passe pour ne pas les réutiliser)
Il ne faut pas stocker les mots de passe dans un lieu non sécurisé, ne pas les écrire de sorte à ce qu’ils soient visibles, et ne pas les divulguer à des tiers ⇒ utiliser un gestionnaire de mots de passe (KeePass par exemple)
Ne pas enregistrer les mots de passe lors de diverses connexions
En cas de doute, ou même de vol, changer immédiatement de mot de passe
Que ce soit pour un logiciel ou pour un appareil, il est important de tenir à jour ses outils numériques tout comme votre site Internet créé grâce au CMS WordPress.
En effet, il faudra d’abord mettre à jour régulièrement le logiciel, ainsi que les thèmes et les plugins, et également la version PHP utilisée. Le fait d’utiliser une quelconque version qui est obsolète favorisera le risque d’attaques et de piratages. Bien évidemment, les thèmes et extensions doivent être officiels, et il ne faut surtout pas rendre public les versions utilisées, car cela faciliterait la tâche aux pirates et donnerait aisément l’accès à votre site.
ne pas utilisé le login « admin », et utiliser un mot de passe « fort » pour vous connecter à l’administration de votre site Internet.
changer le nom l’URL de la page de connexion
mettre une limite de tentatives de connexion (5 par exemple)
ajouter une double authentification (par SMS ou par mail par exemple) est vivement conseillée
utiliser un protocole sécurisé (HTTPS conseillé) et un certificat sécurisé (SSL)
<?php
include(‘/home/yourname/wp-config.php’);
faire « l’inventaire » des fichiers et des dossiers du site
Je Communique peut vous accompagner dans la sécurisation de votre site Internet et vous accompagner en cas de piratage, n’hésitez pas à nous contacter.
Je Communique est une agence de communication digitale en Normandie. Sa mission : faire connaître votre entreprise, gagner des clients et les fidéliser. Nos outils : le site Internet, le référencement naturel ou payant, la création de newsletter, la création graphique, l’animation des réseaux sociaux, l’e-reputation…