Quand vous avez un site web vitrine ou surtout un site e-commerce, il faut prendre en considération les mesures visant à arrêter & freiner les risques de piratages, qui peuvent affecter de manière conséquente votre E-réputation et la santé de votre site internet.

Aujourd’hui, les sites e-commerces et tous les sites d’une façon globale sont menacés par un nombre croissant des piratages. Tous les ans, le constat est le même, les tentatives de piratages deviennent automatiques et se multiplient de façon exponentielle. Tous vos efforts peuvent être alors tomber à l’eau.

Dans la plupart des cas, vous ne remarquerez pas immédiatement l’attaque. Cependant, les pirates s’installent, commencent à exploiter les informations de votre site et utilisent votre serveur soit pour mener des actions de cybercriminalité, soit l’exploiter pour infecter d’autres sites web. Quand vous en apercevez, il est déjà trop tard, vous êtes déjà blacklisté par Google ou bien vos visiteurs vous signalent que votre site web ne fonctionne plus ou est devenu très très lent.

Il faut donc prendre certaines précautions afin d’éviter ce genre de problème. Des petites actions, parfois simple mais nécessaires suffisent parfois à se prémunir du piratage.

Voici donc, quelques explications/conseils qui vous seront utiles pour vous protéger contre les pirates (Si vous craignez une attaque ou si vous souhaitez vous prémunir des risques, n’hésitez pas à nous demander un audit de sécurité) :

• La(es) page(s) d’administration doivent être protégées et non-accessible au public

• Les pages d’administration sont très souvent la cible des pirates, qui les exploitent pour avoir accès à vos données et aux données de vos clients. Méfiez vous de la mise en place de votre serveur et de vos accès.
• Les pirates peuvent détecter rapidement les pages d’administration de votre site, surtout si votre site est préconçu à partir d’un CMS connu (Drupal, WordPress, Prestashop ou équivalents). Pour éviter, le problème, il suffit juste de renommer le nom de dossier du répertoire d’administration. Et pour renforcer cette astuce, nous vous conseillons également de protéger ce répertoire par un mot de passe htaccess.

Ces trois points faits, vous serez protégés contre une bonne partie des hackings.

Restreindre les liens sensibles par le robots.txt ?

Vous avez des liens dit “sensibles” que vous ne souhaitez pas que Google indexe ?

Votre premier réflexe est de l’indiquer dans le fichier robots.txt. Attention, il s’agit d’une erreur grossière car bien que vous aller atteindre le but recherché, vous allez ouvrir une porte vers votre site internet car le fichier robot.txt est un fichier public. Les hackers se serviront de ces liens pour les exploiter.

La bonne solution: Tout ce qui est sensible doit rester privé. Sauvegardes, fichiers SQL, fichiers temporaires, etc… Tout doit disparaître de l’accès public… Pour ce faire contactez votre prestataire d’hébergement web.

Restreindre l’upload (chargement) des fichiers

Donner la possibilité à vos visiteur de vous transmettre des fichiers se gère simplement avec un bel éditeur WYSIWYG. La possibilité de charger des fichiers sur votre site est malheureusement une porte vers les ravages des hackers. Une mauvaise manœuvre, un mauvais choix de modules, ou un bug, peuvent être retournés par les hackers contre vous pour accéder à toutes les informations de votre site et de votre société.

Imaginez qu’un hacker réussissent à envoyer dans votre site un morceau de code fallacieux pour ensuite l’exploiter pour voler vos données ou pour détruire votre réputation.

Vous pouvez limitez le risque en restreignant le chargement à certains types de fichiers. Il faut limiter au strict minimum et aussi que tous les uploads soient effectués dans un répertoire isolés du reste du site dans un répertoire qui n’a pas accès au reste du site ou à la base de données.

Aujourd’hui certains robots sont spécialement conçus pour aller parcourir les sites à la recherche de ces fonctions d’upload, tester leurs vulnérabilité pour les exploiter.

Installer un certificat SSL

Lorsqu’il s’agit de transférer les informations entre votre site et ses utilisateurs et la base de données, il est impératif qu’un protocole SSL crypté soit utilisé. En fait, cela empêche que les données transmises soient interceptées et soient accessibles pendant le transfert.

Assez récemment les navigateurs internet de Google et de Mozilla interviennent en affichant des alertes aux utilisateurs se rendant sur des sites web malveillant ( Ne possédant pas de SSL). Ce certificat est devenu une référence pour la sécurité mais également un gage d’amélioration du référencement naturel par Google. Installer un pare feu sur votre site web ou hébergement

Il est important de noter que les applications web Pare-Feu (WAF) peuvent être à la fois matérielle ou logicielle. Une application web pare-feu sert à se protéger contre les cybercriminels. Un Pare-Feu se situe entre le serveur du site web et la connexion des données. Le pare-feu a pour mission de lire toutes les données qui le traverse, et il bloque les tentatives de piratage en filtrant le trafic indésirable. Donc, il est important pour une entreprise d’installer la meilleure application Pare-Feu. Certains hébergeurs en fournissent d’office avec leurs hebergement et il existe aussi de nombreuses solutions en ligne à prix compétitifs.

Un pare feu aidera non seulement la sécurité de votre site, mais aussi votre site deviendra plus rapide. Les robots qui scannent les sites sont devenus très nombreux et ont tendance à consommer les ressources de votre hébergement. Les filtrer avec un firewall entraînera forcément un gain de rapidité pour vos visiteurs réels.

Être à jour avec les dernières versions

Une autre règle simple, toujours installer les dernières mises à jour de votre cms ou des logiciels de votre serveur d’hébergement. Il ne se passe pas une semaine sans la découverte de failles dans ces systèmes, la meilleure solution pour se prémunir de l’exploitation de ces failles et de mettre à jour son site. Les Hackers sont à l’affût de ces faillent et ne tardent pas à les exploiter, ou à programmer leurs robots pour aller chercher ces failles.

Malheureusement nous constatons jusqu’à aujourd’hui que des millions de sites web utilisant un cms ne sont pas à jour. Certaines failles bien connues qui ont été déclarées il y a déjà plusieures années sont encore exploitées jusqu’à aujourd’hui, par faute de mise à jour.

Conclusion

Les règles énumérées sont basiques et simples à déployer et il existe de nombreux autres points d’attention pour la sécurité d’un site web, mais rien que les étapes mentionnées ci-dessus sont malheureusement ignorées par de nombreux gestionnaires de sites, ce qui laisse libre cours à de nombreux groupes malveillants d’exploiter ces failles pour détourner ces ressources pour la cyber-criminalité. Or, certaines règles et quelques principes simples peuvent être mis en place facilement, pour pas trop cher avec un bénéfice inestimable.