0
/ Publié dans Développement Web

Vérification de la sécurité du site internet

Vérification de la sécurité du site internet

Sécurisez votre site web contre les logiciels malveillants et les spams

Aujourd’hui, la sécurité est pour tous une préoccupation majeure, surtout pour les développeurs web et les propriétaires de sites. Les contrôles de sécurité des sites web sont nécessaires pour contrer la propagation des logiciels malveillants et du spam. 

I. L’importance de la vérification de la sécurité du site web 

Il est courant de sous-estimer l’importance de la sécurité de son site web, en pensant qu’il est trop petit ou peu attractif pour être ciblé. Certaines personnes ne se préoccupent tout simplement pas suffisamment de la sécurité, pensant que cela n’a pas une grande importance. Cependant, cette mentalité a eu des conséquences. En 2013, plus de 70 % des installations WordPress étaient vulnérables aux attaques. Une grande partie de ces attaques était due à l’utilisation de logiciels obsolètes, car la plupart des utilisateurs manquaient de connaissances ou ne mettaient pas suffisamment l’accent sur la sécurisation de leurs sites. Cette situation a créé une vague massive de cyberattaques ciblant spécifiquement les installations WordPressImaginez les conséquences si votre site web était victime d’une intrusion indésirable. Ce ne serait pas simplement un désagrément facilement résolu en changeant votre mot de passe.

Voici ce qui pourrait se produire :

  • Votre site pourrait contenir du code malveillant qui infecte les visiteurs avec des logiciels malveillants, difficiles à localiser et à supprimer.
  • Vos pages importantes pourraient être dégradées, masquées ou remplies de liens vers des sites illégaux.
  • Des contenus précieux, tels que des articles de blog ou des pages, pourraient être supprimés.
  • Des informations sensibles, comme les données de connexion ou les informations bancaires des utilisateurs ou des clients, pourraient être volées et vendues en ligne.
  • Les attaques pourraient se propager à d’autres sites web hébergés sur le même serveur.
  • Si Google détecte un logiciel malveillant sur votre site, il bloquera son accès et le supprimera des résultats de recherche, nuisant ainsi à vos efforts de référencement.
  • Les identifiants de connexion du compte administrateur pourraient être modifiés, vous empêchant d’accéder à votre zone d’administration.
  • Si vous gérez une boutique en ligne, les sites piratés peuvent avoir un impact majeur sur vos activités.

Même si vous estimez que votre site n’a pas une grande importance, il est important de comprendre que toutes les attaques ne sont pas ciblées. De nombreuses attaques contre les sites WordPress sont automatisées, où des robots explorent votre site à la recherche de vulnérabilités et lancent des attaques sans intervention humaine. C’est pourquoi il est essentiel de prendre des mesures pour sécuriser votre site, quel que soit son niveau d’importance.

II. Comment faire la vérification de la sécurité du site web 

2.1. Utilisez un outil en ligne 

Une méthode pratique et rapide pour détecter les logiciels malveillants et les vulnérabilités sur votre site consiste à utiliser un scanner en ligne. Ces outils analysent votre site à distance et identifient les problèmes courants en quelques secondes seulement. Ils sont particulièrement pratiques car ils ne nécessitent aucun logiciel ou extension supplémentaire.

2.2. Scannez votre site web avec une extension WordPress

Bien que les scanners en ligne soient efficaces, il est préférable d’installer une extension capable d’effectuer une analyse approfondie de la racine de votre code pour détecter les vulnérabilités et les logiciels malveillants qui pourraient être plus difficiles à repérer. Cette approche offre une couche de sécurité supplémentaire en examinant en détail les fichiers et les configurations de votre site pour identifier les problèmes potentiels.

2.3. Recherchez des changements étranges

Si vous suspectez ou savez que votre site a été infecté par des logiciels malveillants, il peut être difficile d’identifier leur source. Vous pourriez remarquer certains changements inexpliqués, ainsi que des fichiers qui sont généralement ciblés par les pirates :

  • Des liens vers des sites web étranges apparaissent soudainement, et vous ne les avez pas ajoutés vous-même.
  • De nouveaux articles et pages sont créés sans votre intervention, ou le contenu des pages existantes change subitement.
  • Des réglages sont modifiés sans que vous les ayez effectués.
  • Un nouvel utilisateur, notamment avec des privilèges élevés, apparaît sans que vous l’ayez ajouté.
  • Des extensions ou thèmes que vous n’avez pas installés se trouvent sur votre site.
  • Les logiciels malveillants peuvent souvent injecter du code nocif dans vos fichiers.

Être attentif à ces signes peut vous aider à repérer une éventuelle infection et à prendre les mesures nécessaires pour nettoyer votre site et renforcer sa sécurité.

2.4. Assurez-vous que tout est à jour

Comme souligné précédemment, l’utilisation de logiciels obsolètes est l’un des principaux vecteurs d’infection pour les sites WordPress. Si vous ne deviez prendre qu’une seule mesure pour garantir la sécurité de votre site, cela devrait être de maintenir WordPress à jour.

2.5. Comptes et mots de passe sécurisés

L’utilisation d’un mot de passe faible sur votre compte principal ouvre la porte à des attaques par force brute, permettant à quiconque d’accéder facilement à votre site en tant qu’administrateur et de modifier tout son contenu. Bien qu’un mot de passe complexe puisse être difficile à retenir, rendant ainsi la connexion moins pratique, il est bien plus contraignant de devoir récupérer votre site après une intrusion. Il vaut vraiment la peine d’utiliser un mot de passe plus sécurisé, même si vous devez le noter quelque part.

Votre mot de passe devrait inclure une combinaison de lettres majuscules et minuscules, de chiffres et de symboles. Il est préférable de ne pas utiliser des mots du dictionnaire ni des informations personnelles faciles à deviner, telles que votre adresse ou le nom d’un membre de votre famille.

2.6. Vérifiez votre certificat SSL

Si votre certificat SSL est périmé, vous le remarquerez généralement immédiatement, car les navigateurs tels que Google Chrome bloqueront l’accès à votre site avec un avertissement important concernant le certificat expiré. Si vous avez des doutes ou si vous avez déjà rencontré cette erreur, il est essentiel de vérifier si votre certificat SSL est à jour et si vous utilisez la dernière version de SSL/TLS. Lorsque vous visitez un site web, la plupart des navigateurs affichent une icône de verrouillage dans la barre d’adresse. Si votre certificat a expiré, cette icône de verrouillage peut apparaître en rouge ou barrée d’une barre oblique.

III. Comment sécuriser votre site web

3.1. Choisissez un hébergeur sécurisé 

Lorsque les pirates cherchent à compromettre votre site, ils ciblent souvent le serveur pour exploiter ses vulnérabilités. Bien qu’il existe de nombreux hébergements bon marché, ils ne garantissent pas toujours des serveurs sécurisés. L’hébergement mutualisé peut constituer un risque en termes de sécurité. Si un site web hébergé sur le même serveur est infecté par un logiciel malveillant, celui-ci peut se propager à tous les autres sites du serveur. Par conséquent, vous pourriez vous retrouver avec un site infecté par des virus et du spam SEO, sans même en être responsable.

3.2. Activez l’authentification en 2 étapes (2FA)

L’authentification en deux étapes (également connue sous le nom d’authentification à deux facteurs ou 2FA) ajoute une couche de sécurité supplémentaire lors de la connexion. En plus de l’identifiant et du mot de passe, vous ou toute personne prétendant être vous devrez également fournir une autre information : un code unique supplémentaire. Ce code peut être un numéro envoyé à votre téléphone, ce qui rend votre compte WordPress pratiquement inviolable par des attaques de force brute. Alternativement, cela peut nécessiter une vérification par e-mail ou une information que vous seul connaissez.

Bien qu’il n’y ait pas de fonctionnalité intégrée pour activer l’authentification à deux facteurs, de nombreuses extensions ajoutent cette fonctionnalité à WordPress.

3.3. Sauvegardez tous les jours 

La sauvegarde de votre site ne peut pas empêcher les tentatives d’intrusion, mais en cas de problème, elle peut être d’une valeur inestimable. Elle peut faire la différence entre perdre des semaines, voire des années de travail, et simplement restaurer une sauvegarde antérieure à l’incident.

3.4. Utilisez un pare-feu d’application web

Un pare-feu d’application web (Web Application Firewall ou WAF) utilise des règles strictes pour filtrer le trafic entrant, bloquant ainsi les adresses IP associées au piratage ou aux attaques DDoS. Il joue un rôle essentiel en empêchant de nombreuses attaques d’atteindre votre serveur.

3.5. Se connecter via SSH ou SFTP

Lorsque vous devez vous connecter à votre site via FTP pour ajouter ou modifier des fichiers, il est recommandé d’utiliser SFTP plutôt que FTP. La différence entre les deux est simple : SFTP est sécurisé, tandis que FTP ne l’est pas. Avec FTP, vos données ne sont pas cryptées. Si quelqu’un parvient à intercepter la connexion entre vous et votre serveur, cette personne pourrait avoir accès à toutes les informations échangées, y compris vos identifiants de connexion FTP et les fichiers que vous téléversez. Il est donc préférable de toujours vous connecter en utilisant SFTP.

3.6. Prévenir les attaques DDoS

Les attaques DDoS se produisent lorsque votre site web est inondé de milliers de requêtes malveillantes, ce qui entraîne un ralentissement de son fonctionnement normal. Ces attaques visent à saturer votre serveur avec un trafic artificiel, ce qui peut rendre votre site inaccessible aux visiteurs légitimes et perturber vos activités en ligne.

3.7. Prévenir les attaques par force brute

Pour vous protéger des attaques par force brute :

    • Utilisez un pare-feu d’application web (WAF) pour filtrer le trafic suspect.
    • Activez l’authentification en deux étapes pour renforcer la sécurité.
    • Surveillez les tentatives de connexion non autorisées.
    • Modifiez l’URL de la page de connexion et limitez les tentatives de connexion.
    • Protégez la page de connexion avec un mot de passe fort.
    • Utilisez un mot de passe long et changez-le régulièrement.

IV. Les outils de sécurité 

En plus des outils mentionnés précédemment, voici quelques autres outils de sécurité en ligne qui vous aideront à renforcer la protection de votre site web :

  • Intruder.io : Permet de rechercher les dernières vulnérabilités et de détecter les faiblesses de votre site.
  • SSL Server Test : Outil de développement qui analyse votre certificat SSL et identifie les éventuelles failles de sécurité.
  • HTML Purifier : Filtre le code malveillant et les attaques XSS (Cross-Site Scripting), ce qui est particulièrement utile si vous avez du code infecté à nettoyer.
  • Mozilla Observatory : Fournit des conseils pratiques pour éliminer les vulnérabilités courantes dans votre code.
  • sqlmap : Outil de test d’intrusion qui identifie les failles de sécurité dans votre code SQL.
  • Detectify : Effectue des scans de sécurité sur vos applications web avec l’aide de hackers éthiques.
  • WPScan : Un scanner WordPress en ligne de commande qui permet de détecter les vulnérabilités spécifiques à WordPress.
  • SonarQube : Vous aide à écrire un code conforme aux normes de sécurité et à détecter les failles potentielles.

Ces outils peuvent être utilisés pour compléter vos mesures de sécurité existantes et garantir la robustesse de votre site web.

V. Liste de contrôle

Votre site web est-il suffisamment protégé contre les attaques ? Assurez-vous de cocher la plupart des éléments de cette liste de contrôle :

  • Utilisez-vous un service d’hébergement sécurisé et fiable ?
  • Avez-vous scanné votre site à l’aide d’une extension ou d’un scanner en ligne pour détecter d’éventuels virus ?
  • Avez-vous installé un journal d’activité et surveillez-vous les changements suspects ?
  • Utilisez-vous des mots de passe sécurisés et une authentification à deux facteurs pour vous-même et les utilisateurs disposant de privilèges élevés ? Avez-vous vérifié que les adresses e-mail sont correctes ?
  • Votre installation WordPress, ses thèmes, extensions et systèmes sous-jacents tels que PHP sont-ils à jour ?
  • Votre certificat SSL est-il sécurisé et à jour ?
  • Avez-vous vérifié les modifications inexpliquées, les suppressions ou ajouts de contenu, ainsi que les liens non autorisés dans vos pages web, paramètres ou fichiers ?
  • Votre page de connexion est-elle protégée par un mot de passe et limitée en termes de tentatives de connexion ?
  • Avez-vous vérifié l’existence de nouveaux utilisateurs que vous n’avez pas ajoutés ?
  • Les formulaires, les zones de commentaires et autres entrées des utilisateurs sont-ils sécurisés ? Avez-vous restreint les caractères spéciaux et les types de fichiers téléchargeables à des formats connus ?
  • Avez-vous désactivé les fichiers xmlrpc.php et REST API pour prévenir les attaques par déni de service distribué (DDoS) ?
  • Avez-vous désactivé la possibilité d’éditer les thèmes et les extensions via le tableau de bord ?
  • Avez-vous mis en place un service de sauvegarde quotidienne ?
  • Avez-vous configuré un pare-feu d’application web ?

En répondant positivement à la plupart de ces points, vous renforcez considérablement la sécurité de votre site web.

Conclusion sur la sécurité de votre site web : 

Félicitations ! Si vous lisez ces lignes c’est que vous savez pourquoi il est très important de vérifier la sécurité de votre site web. Vous savez les contrôles à faire et comment sécuriser votre propre site. 

Qu'est-ce que vous pouvez lire ensuite

operateurs-de-recherche-google
Opérateurs de recherche Google : 40 commandements à connaître
desactiver-plugins-wordpress
Comment désactiver les plugins WordPress
CDN ou Content Delivery Network
CDN ou Content Delivery Network : le tutoriel 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *