Accèder à mon espace de travail
Activation navigation mobile

S'inscrire

Menu
Boutons de connexion
Bouton d'inscription

Les bonnes pratiques pour éviter le piratage

Certains pensent que le piratage ne concerne que les "gros" sites web : c'est faux ! Tout le monde peut être (malheureusement) concerné... Voici quelques bonnes pratiques à adopter dès la mise en œuvre de votre site internet pour éviter cette galère.

Choisir un hébergement sécurisé

Quand on parle de sécurité d’un site web, la première chose à prendre compte est son hébergement. Vous devez absolument choisir un service de qualité qui intègre des mécanismes de sécurité dans son infrastructure.

Quelques points importants à prendre en compte dans le choix de cet hébergeur :

  • L’hébergement doit disposer d’un système permettant le blocage des attaques par DDOS.
  • La version de PHP utilisée doit être encore supportée par la communauté (https://www.php.net/supported-versions.php).
  • Le cryptage SSL doit utiliser un protocole TLS actuel. Les anciennes méthodes ne doivent plus être disponibles.
  • Le serveur qui héberge le site doit disposer d’un firewall, d’outils permettant la détection d’attaque et le blacklistage automatique des attaquants.
  • Un système de sauvegarde, dans un second point géographique, doit permettre la restauration de votre site. Vous pourrez aussi ajouter un plugin de sauvegarde sur votre site afin de compléter cette mesure.
  • L’hébergeur doit proposer un service de supervision et de maintenance pour détecter les attaques, les analyser, les parer et rétablir les services. Un service d’astreinte est un plus pour prendre en charge des incidents en dehors des heures ouvrées.

 

Découvrir nos solutions

 

Installer un certificat SSL

Pour sécuriser les échanges de données entre votre site et les navigateurs web, il est absolument indispensable de disposer d’un certificat SSL. Votre site sera ainsi accessible avec le protocole HTTPS. 
Une redirection HTTP vers HTTPS doit être mise en place pour interdire l’accès à votre site sans cette couche essentielle de sécurité.

 

En savoir plus sur HTTPS

 

Penser au plugin pour sécuriser votre site

Si votre site est construit avec une solution open source, il est indispensable d’installer un plugin pour le sécuriser. Les plugins comme Wordfence, iThemes Security vont proposer des outils automatiques pour filtrer les accès au site, blacklister des attaquant, détecter des failles, empêcher le Brute force, ...

 

Protéger ses formulaires

Tous les formulaires publiés sur votre site, que ce soit ceux pour vous contacter ou ceux pour commenter une publication, doivent disposer d’un système anti-spam nommé Captcha. Aujourd’hui, la solution ReCaptcha proposée par Google fournit la meilleure protection des formulaires sans perturber les internautes.
Vous pouvez, en complément, activer un plugin “Anti-spam” (comme Akismet) pour filtrer les commentaires postés sur vos contenus.

 

Contrôler les plugins et les thèmes installés

Régulièrement, un site web va être construit en agglomérant différents plugins. Il est très important de vérifier la qualité des plugins avant leur installation : Est-il beaucoup installé ? Dispose-t-il de bons avis ? Est-il mis à jour régulièrement par son éditeur ?
Sur un plugin populaire, un problème va être très rapidement détecté et un correctif va être proposé pour y pallier.
Vous devez aussi supprimer les plugins et les thèmes non utilisés par votre site. En effet, même si ceux-ci sont désactivés, ils peuvent présenter des failles exploitables.

 

Mettre à jour votre site très régulièrement

Une mesure absolument essentielle pour continuer d'avoir un site sécurisé est d’assurer les mises à jour. Celles-ci doivent être faites le plus souvent possible afin de profiter des corrections apportées au noyau de la solution et des plugins installés dès qu’elles sont disponibles.
À ce sujet, reportez-vous sur notre article : Article de blog

 

Vous pouvez aussi...

 

ajouter des niveaux de sécurité supplémentaires. Dans les actions classiques à mener, vous retrouvez :

  • charger toutes les ressources en HTTPS,
  • modifier l’accès à l’interface d’administration,
  • restreindre l’utilisation des API (xmlrpc.php),
  • interdire la modification de fichiers depuis l’interface d’adminsitration,
  • changer le préfixe des tables dans la base de données…

Un bon niveau d’expertise dans la solution est nécessaire pour mettre en place ces actions, n’hésitez pas à nous contacter (CTA ouverture chat). L’ANSSI propose également des guides et des bonnes pratiques.

 

Vous avez des questions ? Rendez-vous sur le chat !

Par Alexa de webo-facto
17 janvier 2022
Sommaire

    À lire aussi

    16 avril 2024
    La sécurité des sites web est une préoccupation majeure. Les piratages...
    3 avril 2024
    Découvrez les avantages et inconvénients de l'hébergement sur serveur...
    21 mars 2024
    Le DMARC, ou Domain-based Message Authentication, Reporting, and Conformance,...
    Pas encore convaincu ?
    • Réserver une démo
    • Prendre un rendez-vous commercial
    • Recevoir nos offres et tarifs

    Photo-thomas