Tutoriel d’optimisation de la sécurité de site Web | HTMLGoodies.com

Publié le 22 mai 2021 par Mycamer

Que vous gériez une brochure d’une page ou un site Web de style carte de visite, un magasin de commerce électronique florissant ou un blog WordPress axé sur votre passe-temps préféré, la sécurité du site Web est un must. Même les développeurs Web les plus expérimentés peuvent ignorer les techniques courantes de sécurité des sites Web, en particulier si les contraintes de budget et de temps sont limitées. Ce tutoriel de développement Web vous guidera à travers certains éléments de base – mais souvent négligés – d’un site Web sécurisé. Si votre site ne dispose pas de ces éléments essentiels de sécurité de site Web, assurez-vous de les ajouter dès que possible.

La sécurité du site Web est importante pour plusieurs raisons. Pour commencer, avoir un site qui n’est pas sécurisé peut entraîner la propagation de logiciels malveillants et de virus à toute personne visitant votre page (y compris vous-même) et peut entraîner le vol d’identité, des problèmes de confidentialité des données et des logiciels malveillants ou des ransomwares. Les failles de la sécurité Web peuvent également entraîner des temps d’arrêt du site Web, une perte de revenus, une perte de confiance des clients et même affecter l’optimisation de votre moteur de recherche ou son classement dans les pages de résultats des moteurs de recherche (SERP).

Meilleures pratiques de sécurité du site Web pour 2021

Les conseils de sécurité de site Web suivants peuvent être appliqués, que vous possédiez un site Web construit sur un système de gestion de contenu (CMS) – tel que WordPress, Drupal ou Joomla – ou un site personnalisé créé à l’aide de HTML, JavaScript et CSS. Même les sites Web construits avec des frameworks Web comme Django ou des plates-formes commerciales comme Wix ou Shopify peuvent bénéficier de ces suggestions de sécurité.

Installer un pare-feu d’application Web

Pare-feu d’applications Web (WAF) sont un type de pare-feu d’application utilisé pour bloquer, filtrer et surveiller le trafic HTTP dirigé vers un site Web et à partir d’un site Web. Les pare-feu d’applications Web inspectent le trafic entrant et sortant pour aider à prévenir les attaques malveillantes visant à exploiter des exploits courants ou connus dans une application Web à l’aide de techniques telles que les scripts intersites, l’inclusion de fichiers et l’injection SQL – pour n’en citer que quelques-uns.

Wassupsophia, CC BY-SA 4.0 , via Wikimedia Commons

Les choix populaires pour les fournisseurs d’applications Web incluent Barracuda Networks WAF, Pare-feu d’application Citrix Netscaler, Fortinet FortiWeb, Qualys WAF, et Imperva SecureSphere.

Des options cloud existent également, y compris des offres WAF populaires telles que Amazon Web Services (AWS WAF), CDNetworks, Cloudflare, Microsoft Azure Application Gateway avec WAF, Succubes et VMware.

Des pare-feu d’applications Web Open Source existent également. Ils incluent des choix tels que ModSecurity, WebKnight et Shadow Daemon.

Authentification à deux facteurs (2FA)

Si vous autorisez les connexions utilisateur sur votre site Web ou vos comptes d’utilisateurs, vous devriez envisager d’exiger l’authentification à deux facteurs – ou 2FA. 2FA est un processus par lequel les utilisateurs doivent utiliser deux facteurs différents pour authentifier leur nom d’utilisateur avant de se connecter ou d’accéder à vos sites. Les types d’authentification commencent par un mot de passe, puis utilisent un deuxième processus tel que répondre à un puzzle, recevoir un texte avec un code spécial ou même des formes d’authentification plus complexes comme la numérisation d’empreintes digitales.

En plus d’exiger une authentification à deux facteurs, vous pouvez également demander aux utilisateurs de créer des mots de passe forts. Les mots de passe forts se composent d’une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux (@ #! $% &, Etc.). Étant donné que ces types de mots de passe peuvent être difficiles à mémoriser, pensez à faire en sorte que les employés ou ceux ayant accès à votre site utilisent une solution de mot de passe comme LastPass.

Enfin, assurez-vous de supprimer tout compte par défaut qui n’est pas activement utilisé et, à tout le moins, de modifier le mot de passe par défaut. Lorsque les employés quittent votre entreprise ou s’ils déménagent dans un autre service où ils n’ont plus besoin d’accéder, assurez-vous de supprimer également leur ancien accès.

Installer un certificat SSL

Certificats SSL – ou les certificats Secure Sockets Layer – ne sont pas réservés uniquement aux sites de commerce électronique. Ils concernent tout site contenant des informations sensibles – y compris les noms d’utilisateur, les mots de passe, les informations de carte de crédit, les adresses des clients, les e-mails, etc. Les certificats SSL fonctionnent en transformant vos sites HTTP en un site Web sécurisé HTTPS. Ceci est réalisé au moyen du cryptage; toutes les données de votre site Web seront cryptées et, par conséquent, moins vulnérables à l’exploitation.

Une autre bonne raison d’obtenir un certificat SSL pour votre site Web est l’optimisation des moteurs de recherche. Google a une meilleure apparence sur les sites Web sécurisés et vous aide également à éviter de recevoir l’avertissement de Google “site Web non sécurisé”. Vous pouvez obtenir des certificats SSL, le plus souvent, auprès de votre société d’hébergement, tels que Allez papa ou alors BlueHost.

Mettre à jour fréquemment les sites Web

Si vous exécutez un site Web à l’aide d’un système de gestion de contenu tel que WordPress, assurez-vous de mettre à jour votre version de WordPress Core lorsque des mises à jour sont disponibles. La même chose peut être dite pour les plugins, les thèmes, les extensions, etc. Si vous avez des thèmes ou des plugins qui n’ont pas été mis à jour depuis longtemps, envisagez de les supprimer ou de les remplacer par une option similaire. De même, si vous souhaitez installer un plugin, assurez-vous qu’il a été téléchargé un bon nombre de fois, qu’il est mis à jour fréquemment, qu’il est pris en charge par son développeur et qu’il fonctionne avec la dernière version de WordPress ou quel que soit le CMS que vous êtes. utilisant.

Les pirates recherchent des plugins, des extensions, des thèmes et des cœurs CMS qui ne sont pas mis à jour pour tirer parti des exploits connus. La mise à jour de ces ressources peut aider à limiter la capacité d’un pirate informatique à infiltrer votre site Web.

Cela ne se limite pas non plus aux sites Web fonctionnant sur des systèmes de gestion de contenu. La mise à jour vers la version la plus récente de PHP, par exemple, peut également aider à réduire les vulnérabilités.

Modifier les configurations par défaut

Les cybercriminels et les pirates informatiques s’appuient souvent sur des robots pour trouver les vulnérabilités courantes des sites Web. Les paramètres de sécurité de configuration par défaut de leurs sites sont un domaine souvent négligé même par les développeurs Web les plus expérimentés. Une fois qu’un bot a trouvé ces paramètres, il peut les utiliser pour accéder à vos fichiers, où ils peuvent modifier davantage des choses comme les autorisations de fichier, les autorisations de lecture / écriture, les paramètres de commentaire, les contrôles utilisateur et une foule d’autres paramètres qui exposent les informations utilisateur et ajouter un accès.

Surveiller et sauvegarder les sites Web

L’utilisation d’outils pour surveiller l’accès à votre site Web, les modifications de fichiers, etc. sont cruciales pour la sécurité de votre site Web. C’est ce qu’on appelle la surveillance continue dans le monde de la sécurité. Un logiciel de surveillance continue de la sécurité recherche des signes indiquant que la sécurité de votre site Web a peut-être été violée et en informe les équipes de sécurité. Les signes d’une menace pour la sécurité comprennent les changements dans les comptes d’utilisateurs, la modification, la suppression et l’ajout de fichiers à l’insu du développeur Web, les problèmes de performances du site Web, les augmentations ou diminutions rapides du trafic et les avertissements de Google concernant le contenu préjudiciable ou la mise sur liste noire.

Une fois détectées, des solutions peuvent être déployées, telles que l’analyse des fichiers, leur suppression et la modification des autorisations. Un autre avantage des outils de surveillance de la sécurité du site Web est que vous pouvez leur faire analyser les fichiers de votre site Web à la recherche de vulnérabilités et de failles connues dans votre configuration de sécurité. Il s’agit d’un outil inestimable car il peut vous aider à résoudre les problèmes avant qu’ils ne deviennent un problème majeur.

Enfin, l’une des mesures de sécurité les plus importantes que vous puissiez prendre est de sauvegarder fréquemment les fichiers de votre site Web. Dans le cas où vous ne pouvez pas récupérer votre site Web ou devez le restaurer à une version antérieure, une sauvegarde sera votre meilleur ami. Si vous exécutez un site Web sur un CMS, de nombreux plugins de sauvegarde sont disponibles. Pour les sites Web non CM, vous pouvez sauvegarder des fichiers via FTP ou d’autres outils de sauvegarde de site Web.

— to www.htmlgoodies.com