Sécuriser son site web

Partager sur facebook
Partager sur google
Partager sur twitter
Partager sur linkedin
Sécurisation des mots de passe

Comment sécuriser son site web ?

Dans un monde numérique où la menace est de plus en plus présente, il est devenu nécessaire pour toutes les entreprises de sécuriser leur environnement informatique dans lequel elles évoluent. Voici quelques informations à prendre en compte pour pouvoir sécuriser son site.

Les principaux risques que peuvent rencontrer un site web

Injections SQL dans votre site web

Une injection SQL est une injection de code dans une donnée dans le but détourner la requête et de lui faire exécuter autre chose que sa fonction initiale. Les injections SQL dans votre site web permettent d’accéder à des données qui, à l’origine, sont censées être inaccessibles (identifiants et mots de passe, adresse mail, coordonnées bancaires, etc.) ou bien d’effectuer des opérations qu’un utilisateur classique ne peut pas faire (lecture, modification, ou suppression des données).

Il existe deux principaux types d’injections SQL dans votre site internet :

  • Injections SQL inférentielles (attaques booléennes et attaques basées sur le temps) : l’attaquant envoie diverses requêtes à la base de données pour évaluer comment l’application analyse ces réponses. Cette injection indique à l’attaquant si l’application web est vulnérable ou non.
  • Injections SQL Out-of-Band : l’attaquant utilise une capacité de traitement de fichiers externe de votre SGBD (Système de gestion de base de données) pour générer des commandes destinées à lui envoyer directement des données. Il peut ensuite, avec certaines fonctions, lire le contenu d’un fichier sur le serveur et le transmettre ensuite à un autre emplacement.

Préventions pour lutter contre les injections SQL :
– l’échappement de caractères lors des entrées utilisateurs
– les déclarations préparées
– accès limité à la base de données
– blocage de certains mots-clés SQL

Injection SQL

Failles XSS de votre site Internet

Le XSS (cross-site scripting) est un type de faille de sécurité de sites internet. C’est une injection indirecte de code. Une attaque de type XSS permet d’attaquer les systèmes des utilisateurs, dans le but de récupérer des informations sensibles en utilisant ce script ou alors accéder aux ordinateurs des internautes.

Les différents risques des XSS sont très larges puisque l’attaquant peut utiliser tous les langages employés par le navigateur (JavaScript, Java, Flash…). Il est par exemple possible de rediriger l’utilisateur vers un site d’hameçonnage ou encore de voler la session en récupérant les cookies. L’une des exploitations des XSS les plus utiles pour un pirate est l’injection de code JavaScript dans la page HTML afin de voler le cookie de session de la victime, permettant ainsi la connexion à l’application web en se faisant passer pour la victime.

Une mesure de protection simple contre les attaques XSS peut être le pare-feu pour les Applications Web. Ces pare-feu sont alimentés par le fabricant grâce aux dernières vulnérabilités subies. Des mises à jour régulières comblent les failles de sécurité XSS existantes et les pare-feu tentent de filtrer les codes malveillants. Il faut également éviter les scripts inter-sites en désactivant la prise en charge de JavaScript dans le navigateur.

Sécurisation des mots de passe de votre site Internet et vos comptes personnels

Que ce soit pour leurs employés ou leurs clients, les entreprises doivent mettre en place un système de sécurisation des mots de passe. L’anonymité des mots de passe étant essentielle, et pour maintenir un niveau de sécurité constant et assez élevé pour empêcher les piratages, il faut adopter une politique de mot de passe rigoureuse, et mettre en place ces actions :

  • utiliser un mot de passe avec : 12 caractères minimum, avec des chiffres, des lettres, des minuscules, des majuscules et des caractères spéciaux ( @, & ou . par exemple)

  • le mot de passe doit être unique à son propriétaire

  • Il faut changer régulièrement de mot de passe (mettre en place un historique de mots de passe pour ne pas les réutiliser)

  • Il ne faut pas stocker les mots de passe dans un lieu non sécurisé, ne pas les écrire de sorte à ce qu’ils soient visibles, et ne pas les divulguer à des tiers ⇒ utiliser un gestionnaire de mots de passe (KeePass par exemple)

  • Ne pas enregistrer les mots de passe lors de diverses connexions

  • En cas de doute, ou même de vol, changer immédiatement de mot de passe

Sécurisation des mots de passe

Sécurisation de votre site web WordPress

Que ce soit pour un logiciel ou pour un appareil, il est important de tenir à jour ses outils numériques tout comme votre site Internet créé grâce au CMS WordPress.

En effet, il faudra d’abord mettre à jour régulièrement le logiciel, ainsi que les thèmes et les plugins, et également la version PHP utilisée. Le fait d’utiliser une quelconque version qui est obsolète favorisera le risque d’attaques et de piratages. Bien évidemment, les thèmes et extensions doivent être officiels, et il ne faut surtout pas rendre public les versions utilisées, car cela faciliterait la tâche aux pirates et donnerait aisément l’accès à votre site.

Les actions indispensables pour protéger votre site Internet WordPress

  • Il existe de nombreuses actions permettant d’évoluer dans un environnement numérique sain et sécurisé :
  • ne pas utilisé le login « admin », et utiliser un mot de passe « fort » pour vous connecter à l’administration de votre site Internet.

  • changer le nom l’URL de la page de connexion

  • mettre une limite de tentatives de connexion (5 par exemple)

  • ajouter une double authentification (par SMS ou par mail par exemple) est vivement conseillée

  • utiliser un protocole sécurisé (HTTPS conseillé) et un certificat sécurisé (SSL)

  • modifier votre fichier wp-config, un des fichiers les plus importants du site, il doit être absolument sécurisé : copier le code de celui-ci et l’insérer dans un nouveau fichier, puis supprimer le code dans le fichier d’origine, et insérer une requête contenant le chemin du nouveau fichier :

<?php

include(‘/home/yourname/wp-config.php’);

  •  toujours utiliser des connexions sécurisées, et ne pas avoir recours à des VPN
  • faire « l’inventaire » des fichiers et des dossiers du site

  • effectuer régulièrement des sauvegardes de la BDD (le plus souvent, dans la mesure du possible) et de vos fichiers wordpress sur le FTP.
Securiser

Je Communique peut vous accompagner dans la sécurisation de votre site Internet et vous accompagner en cas de piratage, n’hésitez pas à nous contacter.

illustration-site-internet

A propos de Je Communique

Je Communique est une agence de communication digitale en Normandie. Sa mission : faire connaître votre entreprise, gagner des clients et les fidéliser. Nos outils : le site Internet, le référencement naturel ou payant, la création de newsletter, la création graphique, l’animation des réseaux sociaux, l’e-reputation…

Suivez-nous

Retour haut de page
×

Bonjour!

Veuillez cliquer ci-dessous pour ouvrir une conversation sur WhatsApp ou vous pouvez m'écrire directement à lydianeleroy@je-communique.fr 

×