X

Sécurité de l’hébergement Web : conseils pour protéger votre blog contre les pirates


Les utilisateurs d’hébergement Web appartiennent généralement à deux catégories distinctes. Ceux qui s’inquiètent d’éventuelles attaques de pirates et cherchent continuellement à améliorer le niveau de sécurité de leur site Web, et ceux qui ne s’en soucient pas, jusqu’à ce qu’ils soient piratés.

Au-delà de tous les conseils, choisir un hébergeur professionnel et fiable reste toujours la principale règle à suivre.

Quelle que soit la catégorie dans laquelle vous appartenez, vous devriez consulter les conseils suivants pour protéger votre site Web contre les pirates.

1. Sélection du mot de passe

De nombreux fournisseurs d’hébergement Web permettent à l’utilisateur de choisir de manière autonome les mots de passe pour plusieurs accès, tels que SSH, les comptes FTP, les panneaux d’administration, le backend CMS et les bases de données MySQL.

De plus, les utilisateurs sélectionnent les mots de passe exacts pour différents services et ils ne les notent pas hors ligne. Souvent, ces mots de passe sont très simples à deviner, ce qui rend votre site Web encore plus vulnérable.

Pour ces raisons, vous devez vous diversifier. De cette façon, si un pirate parvient à verrouiller un mot de passe, il est empêché de se déplacer librement entre les différents comptes de vos différents services, améliorant ainsi la sécurité de l’hébergement.

Conseil de pro : choisissez des mots de passe alphanumériques. Chacun différent pour des services spécifiques, de sorte que vous pouvez avoir des clés d’accès uniques, au moins pour les composants critiques.

2. Bloquer les adresses IP indésirables

Configurez le fichier HTACCESS pour empêcher l’accès aux fichiers par des robots indésirables.

Un conseil très utile consiste à bloquer les visiteurs indésirables provenant d’adresses IP connues pour leur activité de logiciels espions et de logiciels malveillants.

Conseil de pro : Choix judicieux d’hébergement Web. Si vous voulez dormir tranquille, vous devez choisir un hébergeur qui peut fournir des outils de sécurité supplémentaires. Envisagez d’avoir des certificats SSL, la détection des logiciels malveillants, la mise à jour logicielle des protocoles de sécurité (tels que la sauvegarde des données importantes), la protection du serveur avec des pare-feu supplémentaires, ainsi que des systèmes Intrusion Detective System (IDS) et Intrusion Prevention System (IPS). LCN, par exemple, propose des certificats SSL gratuits inclus dans leurs forfaits d’hébergement Web, pour protéger les données de votre site Web et les informations client avec un cryptage 256 bits sécurisé et standard de l’industrie. Google a également confirmé que SSL est désormais un facteur de classement, donc la sécurisation de votre site avec SSL peut aider à augmenter votre classement dans les moteurs de recherche.

3. Entretien du site

Supprimez toujours tout ce qui n’est plus utile qui est présent sur votre espace d’hébergement. Parfois, c’est le plus difficile à suivre, car avec le temps, vous oubliez les fichiers abandonnés et qui ne sont plus utilisés.

Pour cette raison, il est important de revoir périodiquement les fichiers inutiles pour faire fonctionner le site et de les supprimer. Il en va de même pour les scripts inutilisés, qui sont souvent l’objectif du pirate pour exercer un contrôle sur le compte. La maintenance et le nettoyage du site doivent également passer par la désactivation de tous les comptes (emails, FTP, etc.) encore actifs, mais qui ne sont plus utilisés par personne car ils peuvent être forcés et utilisés par des personnes non autorisées.

Conseil de pro : désactivez les utilisateurs FTP anonymes. Adoptez des filtres d’accès FTP pour autoriser l’admission FTP uniquement à certaines adresses IP ou classes d’adresses IP préconfigurées.

4. Toujours mettre à niveau

Quelles que soient les applications embarquées dans le site (CMS, chat, forums, etc.), vous devez toujours vous assurer qu’elles sont installées dans la dernière version disponible et mise à jour (notamment en ce qui concerne les problèmes de sécurité).

Vous devez éviter d’attendre que le programme d’installation de l’application mis à disposition par le fournisseur vous propose des mises à jour. Au lieu de cela, essayez d’être aussi proactif que possible en vérifiant la disponibilité des nouveaux correctifs et mises à jour de sécurité directement à partir de sources officielles.

En bref, il s’agit simplement de rechercher et d’appliquer les mises à jour que vous devez passer une grande partie de votre temps de travail sur le site.

Conseil de pro : effectuez des sauvegardes régulières. Éliminez également les applications et les fichiers inutiles, ainsi que les scripts inutilisés ou inutilisables.

5. Faites attention au CMS

Les CMS comme WordPress, Joomla, Drupal ou Magento sont répandus pour leur simplicité avec laquelle n’importe qui peut gérer des sites Web complexes. Cette popularité, d’autre part, est aussi leur inconvénient.

En effet, ces plateformes sont souvent l’une des cibles privilégiées des hackers, car la plupart des installations permettent un accès relativement aisé à l’interface d’accès administratif (par exemple, WordPress et son backend login”adresse du site/wp-admin).

De plus, de nombreux CMS exposent les utilisateurs à un risque supplémentaire avec des thèmes et des plugins, qui facilitent les attaques de pirates. Pour cette raison, assurez-vous de n’utiliser que des plugins et des thèmes provenant de sources sécurisées ou de référentiels officiels. Évitez d’installer des éléments gratuits mis à disposition sur des sites non fiables, car l’accès peut simplement être caché dans les fichiers de ces extensions.

Conseil de pro : masquez l’adresse principale. De nombreux CMS et plates-formes couramment utilisés sont facilement attaquables (voir WordPress), il est donc important d’installer des plugins spéciaux ou de configurer des fichiers HTACCESS pour améliorer leur sécurité.

6. Gardez le script et les applications Java sous contrôle

Les scripts en général et les applications Java permettent aux développeurs de créer des fonctionnalités personnalisées et ainsi de rendre le Web beaucoup plus interactif.

Par conséquent, il n’est pas recommandé d’éviter complètement les scripts, mais il est important de les surveiller et de les garder sous contrôle. Parfois, il suffit de vérifier qu’ils sont à jour dans les fonctionnalités et protégés contre les attaques de pirates.

Conseil de pro : configurez les autorisations de fichiers. Les fichiers qui résident dans l’espace d’accès public de votre hébergement Web ne doivent jamais avoir des autorisations supérieures à 644 ou 755, pour éviter d’être facilement sabotés. Si vous devez garantir des autorisations plus élevées, assurez-vous que l’espace d’hébergement n’est pas accessible au public.