1. Sécurisez le mot de passe de connexion au site :
Le nerf de la guerre : le mot de passe. C’est la première des règles, certes basique, mais qui a vocation à être appliquée sur l’ensemble de vos espaces web… Car un mot de passe faiblement sécurisé mettra de facto votre site en position de faiblesse face aux attaques.
Laisser un mot de passe par défaut de type « 0000 » ou encore le définir à la va-vite (« 123456 ») est très risqué. Prenez le temps d’y réfléchir. Nous vous recommandons d’opter pour un mot de passe à la fois long et complexe, avec à minima une lettre majuscule et un caractère spécial.
Une technique qui fonctionne bien est celle d’une chose qui vous est personnelle et qui reste confidentielle (pas affichée sur les réseaux) que vous allez transformer :
- Exemple : « J’adore la tarte au Citron Meringué » pourra devenir l’acronyme « JltaCMd » couplé d’un chiffre et d’un caractère, soit « JltaCM15! »
- Soit 9 caractères minuscules, majuscules, chiffres et caractères spéciaux mêlés.
Rappelez-vous que votre site web est essentiel et qu’à ce titre, le mot de passe que vous utiliserez pour vous y connecter doit être unique (autrement dit, uniquement utilisé pour celui-ci) afin d’éviter un effet de contagion si une des plateformes ayant le même mot de passe est hackée (cf. cas Yahoo et LinkedIn dernièrement).
Et si plusieurs mots de passe vous semble impossibles à gérer, optez pour un gestionnaire de mots de passe en ligne comme LastPass qui vous permettra de gérer vos mots de passe et d’en optimiser la sécurité.
Enfin, technique de plus en plus en vogue et à juste titre, le système de double authentification est idéal pour sécuriser davantage l’accès à votre site (exemple : mot de passe + sms, mot de passe + appel…).
2. Mettez en place des sauvegardes de sites :
Le but d’une attaque est de rendre la donnée inaccessible ou de remplacer le contenu d’un espace informatique… Alors que cette donnée est pour vous vitale ! Par exemple, si un site e-commerce est hacké, c’est le chiffre d’affaires de la structure qui s’effondre. Il est donc primordial de faire des backup (sauvegardes) régulièrement mais également d’envisager un plan de sauvegarde afin de garantir une continuité de service à votre activité (Plan de reprise d’activité).
3. Limitez les privilèges des comptes utilisateurs :
Adoptez la politique du moindre privilège pour vos utilisateurs : ceux-ci doivent avoir des droits limités à leurs missions, pas plus. Les erreurs humaines sont bien trop souvent fréquentes et c’est en limitant les droits de chacun que vous réussirez à limiter le niveau de risque humain.
Quant aux administrateurs, il en est de même, vous définirez un panel de privilèges qui doit être défini. Ces comptes ne doivent bien sûr pas être partagés à plusieurs personnes.
C’est bien souvent via un compte administrateur peu sécurisé qu’un pirate peut entrer dans un système. Il essaiera d’installer un fichier sur votre site afin d’en prendre le contrôle (pour effacer le site, placer des fichiers pour du phishing ou un script qui envoie du spam, etc.). C’est donc à vous (ou votre prestataire) de limiter les privilèges de compte de telle sorte que si un compte de seconde zone est impacté, il n’aura pas les droits d’écriture pour modifier des fichiers importants.
4. Mettez à jour votre CMS (WordPress, Joomla…) :
Du fait des failles de sécurité qui sont régulièrement découvertes, il est primordial de mettre à jour votre système et ses services connexes. Evitez les premières versions qui sont souvent trop peu sécurisées. Attendez plutôt les premiers retours, puis activez la mise à jour. Si nous parlons de WordPress par exemple, lors du passage à la version 4.2 en 2015, une faille s’est glissée dans une des fonctions. Celle-ci,via du code JavaScript, a permis de générer un backdoor (« porte de derrière ») permettant d’accéder au site.
5. Sécurisez votre serveur
En supplément de la mise à jour du CMS, il est important de se doter d’une sécurisation plus importante du serveur. Cela débute par le fichier htacess à placer à la racine du serveur. Suivant sa configuration, il est possible de bloquer l’accès du site à certaines adresses IP, d’interdire certains types de fichiers dangereux ou de bloquer des requêtes (exclure les logiciels suspects utilisés par les pirates, bloquer les séries de failles potentielles…).
6. Faites des audits de sécurité
Un site web sécurisé demande beaucoup de temps et de tests. Vous pouvez utiliser des outils de monitoring afin d’observer les actions sur votre site (mise à jour d’articles, connexion au back office, plugins…) afin de détecter une activité inhabituelle.
Si malgré tout, le serveur ou le site restent sujets aux failles de sécurité, une solution s’impose : l’audit de sécurité des infrastructures. Certaines entreprises sont spécialisées dans ce type de mission qui permettront de repérer les failles et générer un rapport avec les actions correctives à mettre en place.
Emilie Houdou, société Openhost
