Il faut donc prendre des précautions afin d’éviter ce mal croissant. Des petites actions, et des précautions simples de base suffisent parfois à éviter les pires situations.
Voici donc, quelques conseils qui devraient vous être utiles pour vous protéger contre les pirates :
Les pages d’administration sont très souvent la cible des pirates, qui les exploitent pour avoir accès à vos données et aux données de vos clients.
Les pirates peuvent détecter facilement les pages d’administration de votre site, surtout si votre site est conçu avec un cms connu comme Drupal, WordPress, Prestashop ou équivalents. Cela peut être évité en changeant simplement le nom du répertoire d’administration avec un nom plus compliqué plus difficile à deviner. Et pour renforcer cette protection, nous vous conseillons également de protéger ce répertoire par un mot de passe htaccess.
Ces deux points faits, vous serez protégé contre une bonne partie des hacks.
Vous avez des liens sensibles que vous ne souhaitez pas que Google indexe ? Votre premier réflexe est de le spécifier dans le fichier robots.txt. Mais c’est une grosse erreur, car vous allez certes empêcher leurs indexations par Google, mais vous allez même temps donner l’opportunité à des personnes malveillantes d’aller consulter ce fichier robots.txt (qui reste public), et de trouver ces liens pour les exploiter.
La seule solution : Tout ce qui est sensible ne doit jamais rester public. Backups, fichiers SQL, fichiers temporaires, etc… Tout doit disparaître de l’accès public…
Aujourd’hui il existe même des robots spécialement conçus pour scanner les sites web et chercher les backups voir cet article.
Donner la possibilité à vos visiteurs de vous transmettre des fichiers est bien, gérer votre site avec un bel éditeur WYSIWYG est confortable aussi, mais la possibilité d’upload de fichiers sont la plupart du temps une cause des ravages pour les sites, peu importe le niveau de sécurité de leurs systèmes. Une mauvaise manœuvre, un mauvais choix de modules, ou un bogue, peuvent être utilisés par les pirates pour accéder à toutes les informations de votre entreprise.
Imaginez qu’un pirate parvienne à envoyer dans votre site un script malicieux pour ensuite l’exploiter pour voler vos données ou pour détruire votre réputation.
Cela peut être évité en restreignant les uploads de fichiers. Il faut limiter au maximum cette possibilité à un strict minimum et aussi que tous les uploads soient effectués dans un répertoire isolé du reste du site dans un répertoire qui n’a pas accès au reste du site ou à la base de données.
Aujourd’hui certains robots sont spécialement conçus pour aller parcourir les sites à la recherche de ces fonctions d’upload, tester leurs vulnérabilités pour les exploiter.
Lorsqu’il s’agit de transférer les informations entre votre site et ses utilisateurs et la base de données, il est impératif qu’un protocole SSL crypté soit utilisé. En fait, cela empêche que les données transmises soient interceptées et soient accessibles pendant le transfert.
Depuis peu, les principaux navigateurs comme Chrome ou Firefox commencent déjà à afficher des alertes quand les utilisateurs échangent avec un site web non SSL, ce qui est un signe que ce point est devenu très important.
Installer un certificat SSL sur votre site améliorera non seulement la sécurité de votre site, mais améliorera également votre référencement naturel sur Google !
Il est important de noter que les applications web Pare-Feu (WAF) peuvent être à la fois matérielle ou logicielle. Une application web pare-feu sert à se protéger contre les cybercriminels. Un Pare-Feu se situe entre le serveur du site web et la connexion des données. Le pare-feu a pour mission de lire toutes les données qui le traverse, et il bloque les tentatives de piratage en filtrant le trafic indésirable. Donc, il est important pour une entreprise d’installer la meilleure application Pare-Feu. Certains hébergeurs en fournissent d’office avec leurs hébergements et il existe aussi de nombreuses solutions en ligne à prix compétitifs.
Un pare-feu aidera non seulement la sécurité de votre site, mais aussi votre site deviendra plus rapide. Les robots qui scannent les sites sont devenus très nombreux et ont tendance à consommer les ressources de votre hébergement. Les filtrer avec un firewall entraînera forcément un gain de rapidité pour vos visiteurs réels.
Une autre règle simple, toujours installer les dernières mises à jour de votre cms ou des logiciels de votre serveur d’hébergement. Il ne se passe pas une semaine sans la découverte de failles dans ces systèmes, la meilleure solution pour se prémunir de l’exploitation de ces failles et de mettre à jour son site. Les Hackers sont à l’affut de ces failles et ne tardent pas à les exploiter, ou à programmer leurs robots pour aller chercher ces failles.
Malheureusement nous constatons jusqu’à aujourd’hui que des millions de sites web utilisant un cms ne sont pas à jour. Certaines failles bien connues qui ont été déclarées il y a déja plusieurs années sont encore exploitées jusqu’à aujourd’hui, par faute de mise à jour.
Les règles énumérées sont basiques et simples à déployer et il existe de nombreux autres points d’attention pour la sécurité d’un site web, mais rien que les étapes mentionnées ci-dessus sont malheureusement ignorées par de nombreux gestionnaires de sites, ce qui laisse libre cours à de nombreux groupes malveillants d’exploiter ces failles pour détourner ces ressources pour la cybercriminalité. Or, certaines règles et quelques principes simples peuvent être mis en place facilement, pour pas trop cher avec un bénéfice inestimable.
Si vous avez besoin d’un audit de sécurité ou d’outils pour protéger votre site web, n’hésitez pas à nous contacter.
ExcellentBasée sur 22 avispierre lenfantAurone est un agence web comme on n'en fait plus ! Très réactive, d'une grande souplesse dans le travail et toujours à la pointe de la technologie, vous pouvez compter sur de vrais pros pour tous vos projets web !Sami Yassine TurkiJ'ai eu un plaisir à travailler, en tant que secrétaire général de l'association Lina Ben Mhenni, avec l'agence AURONE qui a assuré avec beaucoup de professionnalisme le développement de notre site web.Gwladys LavergneRéactifs, attentifs, et très compétents nous sommes ravies de travailler avec Aurone qui sait parfaitement répondre à nos attentes que ce soit en terme de design graphique ou bien dans leurs compétences techniques ! Je recommande vivement leur accompagnement !Perrine AmalAurone est une entreprise humaine, réactive et efficace. Travaux réalisés rapidement et avec célérité. Je recommande vivement et espère poursuivre cette collaboration à l'avenir.Stephanie WillmanNous travaillons avec Aurone dans le cadre de notre travail depuis 2016 et en sommes ravies. Au début nous avons commencer à solliciter leurs services pour un projet en Tunisie, et la qualité de leur travail a fait que nous sollicitons Aurone même pour des services dans d'autres pays. L'équipe est dynamique, créative, réactive et enthousiaste. Ils ont toujours bien compris nos besoins pour nos diverses et complexes présences web, et font de leur mieux pour y répondre. Plateformes web, ateliers de formation sur les plateformes, vidéos tutoriels, et conception graphique de divers produits ne sont que quelques uns des excellentes services fournies par Aurone. La qualité technique des prestations web sont top et nous recevons toujours de bons conseils que ce soit au niveau technique que graphique. Nous les recommandons fortement.Raphaël GianassoPour vos projets e-commerce et marketing digital, les collaborateurs d'Aurone font preuve d'écoute, d'expérience, de disponibilité et de réactivité. Une équipe sur laquelle on peut compter et pour laquelle la satisfaction du client est primordialeSamuel DechometsJ'ai trouvé chez Aurone tout ce que l'on peut attendre d'une bonne agence web : qualité, réactivité, souplesse, pertinence... Bravo et merciKarim DjebbarL'ensemble de notre réseau a travaillé pendant plusieurs années avec l'agence Aurone. Quelques réglages ont été nécessaires au début de notre partenariat à l'époque. La qualité a rapidement été au rendez-vous. Les équipes ont travaillé de façon très professionnelle, et adaptée aux exigences de la clientèle française avec qui nous les avons rapidement mis en relation. Beaucoup d'agilité de la part de son fondateur. Merci pour ces belles années !
27 Avenue Taieb Mhiri
Immeuble Yasmina, bureau 17
2080 Ariana, Tunis, Tunisie
+216 22 774 450
Centre d'affaires TODA 2
Rue du Rhin Napoléon
67100 Strasbourg, France
+33 9 80 80 10 18
Rue du Port Franc, 2A
1003 Lausanne
Suisse
Avenue Mutsaard, 41
1020 Bruxelles
Belgique
+32 2 588 07 54