Sécuriser son site web, c’est indispensable !
Pourquoi je dois sécuriser mon site ?
De nos jours, tous les sites subissent des tentatives de piratage, qu'ils soient à forts enjeux et à fortes notoriétés ou à très faible visibilité : tout le monde est concerné !
La sécurisation de votre site n’est pas une option car si il devait être hacké, vous pourriez avoir de gros préjudices : vols d’informations (clients, commandes), contenus frauduleux indexés sur les moteurs, site considéré comme un spammer… Il est parfois très difficile de retrouver un site sain après un piratage.
Il faut savoir qu’une part très importante du trafic observée dans les logs des sites est provoquée par ces tentatives de piratage.
Pourquoi les sites web sont-ils piratés ?
Les objectifs des pirates sont multiples et parfois gratuits : un pur “jeu”. Le plupart du temps, voici leurs raisons :
- La compromission des ressources : le pirate va modifier le contenu publier sur le site pour promouvoir des activités frauduleuses, pour faire du fishing (hameçonnage), pour nuire à la marque…
- Le vol de données : le pirate va extraire les données stockées dans la base de données du site (clients, commandes, …).
- Le déni de service : le pirate va tout simplement rendre inaccessible votre site.
- L’ajout de porte dérobée : le pirate va placer des outils sur l’hébergement du site afin de pouvoir lancer de nouvelles attaques.
- L’envoi de spam : le pirate va utiliser le service d’envoi d’emails de votre site pour expédier des spams.
- Le point d’eau : le pirate va profiter du trafic naturel généré par les visiteurs du site pour provoquer des ralentissement.
Quelques techniques de piratage
Les pirates vont utiliser différentes techniques pour arriver à leurs fins :
- Brute force : l’attaquant va tester de nombreuses combinaisons identifiant/mot de passe jusqu’à obtenir un compte administrateur valide.
- XSS : cross-Site Scripting
- Injection SQL
- CSRF : cross-Site Request Forgery
- LFI/RFI : local/Remote File Inclusion
- DoS et DDoS : Denial of Service ou Distributed Denial of Service
- …
Comment savoir si mon site est sécurisé ?
Il peut être difficile de déterminer qu’un site est sécurisé en l’observant du point de vue de l’internaute.
Pour commencer, les deux vérifications de base :
- Est-ce que votre site dispose bien d’un accès HTTPS ? En effet, si ce n’est pas le cas, votre navigateur vous informera automatiquement du risque en indiquant “non sécurisé”
- Avez-vous des mises à jour en attente ? Connectez-vous régulièrement sur votre compte administrateur pour vérifier que toutes les mises à jour sont effectuées.
Enfin, il existe des outils nécessitant une plus grande expertise pour obtenir des informations complémentaires, sans être obligé de réaliser un audit complet :
- https://securityheaders.com/ : vérifie la présence d’entêtes HTTP améliorant la sécurité d’un site.
- https://www.cdn77.com/tls-test : identifie les versions de TLS disponibles sur l’hébergement. Les anciennes versions, obsolètes, présentent des failles.
- https://www.sslshopper.com/ssl-checker.html : détermine le certificat SSL installé sur le site.
Vous avez des questions ?
La team webo-facto est à votre disposition pour vous accompagner dans la gestion de vos sites web.