Il fut un temps où les gens et les entreprises jetaient des sites Web avec un abandon total, espérant simplement que personne ne piraterait le contenu ou installerait des logiciels malveillants sur le site.
Ces jours sont loin derrière nous, car le nombre et la fréquence des attaques signifient qu’il existe une menace constante - et plus un site Web est efficace, plus le danger est grand.
Alors, quelles sont les façons dont vous pouvez protéger votre site Web (via votre fournisseur d'hébergement Web), et comment pouvez-vous réduire la possibilité que le site soit piraté et modifié de manière néfaste?
Avant d'en arriver là, cependant, nous devons comprendre le niveau de sécurité le plus élémentaire qui est responsable de nombreux sites piratés, même ceux hébergés sur des serveurs sécurisés.
- Nous avons choisi les meilleurs services d'hébergement Web ici
- Ce sont les meilleures sociétés d'hébergement Web gratuites
- Et ce sont actuellement les meilleurs créateurs de sites Web
La première ligne de défense
Bien que certaines entreprises insistent pour héberger leurs propres sites Web, la plupart des domaines commerciaux sont situés sur des serveurs sécurisés sous contrat à cet effet.
Lorsque vous choisissez l'hébergement, vous définissez le système d'exploitation que ce système exécute (Windows Server, Linux ou Unix) et qui dicte les protocoles de sécurité requis.
La ou les personnes chargées d'administrer le site ont les droits d'administrateur pour modifier les structures de fichiers sur celui-ci, et personne d'autre.
Là où cela peut mal se passer dès le départ, c'est si trop de personnes connaissent les détails du compte administrateur et que le mot de passe n'est pas changé régulièrement. Et il suffit d'un keylogger pour être installé sur l'une des machines utilisées pour faire l'administration, et le mot de passe est révélé exactement au type de personnes que vous voudriez le moins avoir.
Mais pour être honnête, combien de personnes travaillent dans un bureau où les mots de passe sont régulièrement mémorisés avec des post-it? Quelques mains y sont montées, sans doute.
Sécuriser ces mots de passe est la première ligne de défense, et sans cela, tout ce que vous faites peut être facilement annulé.
Il y a donc deux premières leçons à tirer sur la sécurité du site Web, à savoir que:
- Il est aussi performant que le réseau sur lequel le site Web a été construit
- La sécurité est rarement améliorée en écrivant les mots de passe et en les plaçant dans un endroit très visible
Audit de sécurité
Effectuer un audit de sécurité sur un site est un exercice relativement simple qui peut être réalisé par le personnel informatique à l'aide d'une sélection d'outils logiciels. Vous pouvez également faire appel à un tiers pour effectuer l'analyse à votre place et fournir une liste des faiblesses potentielles à consolider.
Si vous achetez un service d'hébergement Web, le fournisseur peut également regrouper un outil de sécurité pour vous assurer que vous êtes raisonnablement en sécurité dès le départ - mais généralement pas de manière continue.
Au-delà de cela, de nombreux fournisseurs proposent également un package de sécurité de site Web, dans lequel ils promettent une réponse rapide aux menaces et une atténuation des attaques par déni de service. À moins que vous n'ayez juste un petit blog personnel, c'est un bon investissement.
Le prix de ces services n’est pas très élevé si l’on considère le coût de la mise hors ligne d’un site pendant une période donnée, en particulier pour ceux qui proposent le commerce électronique.
Quelle que soit l’approche que vous adoptez, il est important que des analyses de sécurité soient effectuées régulièrement, afin d’identifier les nouvelles menaces éventuelles au fur et à mesure qu’elles émergent et de les traiter immédiatement.
Préoccupations communes
Les formes d'attaque les plus courantes que rencontrent les sites Web sont les suivantes:
- Déni de service distribué (DDoS) - De nombreux ordinateurs distants, généralement infectés par un cheval de Troie, agissent à l’unisson sur des pages Web exigeantes à plusieurs reprises au point que les serveurs ne peuvent pas gérer le nombre de requêtes.
- Infection par un logiciel malveillant - D'une manière ou d'une autre, des fichiers contenant du code néfaste sont placés sur le site avec l'intention de le télécharger à toute personne qui visite.
- Injection SQL - Code malveillant inséré dans un formulaire ou une entrée qui est ensuite exécuté par la base de données SQL sur le serveur. Ce code peut permettre d'accéder aux données client ou ouvrir la machine à un accès externe.
- Force brute - Souvent, une faille dans le système d'exploitation permet à une attaque répétée de provoquer une réinitialisation qui ouvre brièvement un port pour un assaut secondaire. Compte tenu de la complexité des systèmes d'exploitation modernes, de nouvelles vulnérabilités sont régulièrement détectées.
- Script intersite - Une méthode de piratage où un navigateur peut être redirigé vers un autre site, ou remplacer du contenu sur le site victime sans que le visiteur en soit conscient.
- Le hack du «jour zéro» - Ce sont des attaques nouvelles et difficiles à arrêter qui utilisent une faiblesse qui n’est pas de notoriété publique. Le délai entre la découverte et la correction de la vulnérabilité est critique et peut nécessiter la désactivation temporaire de certaines fonctionnalités du serveur jusqu'à ce qu'un correctif soit trouvé.
Faiblesses par conception
Bien que de nombreux sites fonctionnent avec les fonctionnalités suivantes actives, ils sont à l'origine de nombreux problèmes de sécurité pour de nombreuses raisons:
- Formes - Tout ce qui traite les entrées sur le serveur est un point d'entrée potentiel pour du code malveillant, et il peut également être exploité pour extraire des données utilisateur.
- Les forums - Le placement de scripts et la redirection des utilisateurs vers des sites Web qui diffusent des logiciels malveillants ne sont que quelques-uns des problèmes potentiels avec les forums générés par les utilisateurs.
- Connexion aux réseaux sociaux - Utiliser votre compte Facebook ou Google pour vous connecter à un site est simple et rapide, mais cela pourrait aussi être un moyen de pirater ces comptes.
- Commerce électronique - Le crime suit l'argent, et les pirates vont consacrer beaucoup plus d'efforts pour pirater un site de commerce électronique.
- Contenu non réglementé - Si vous vous procurez des actualités et des articles sur d'autres sites, vous dépendez de leurs mesures de sécurité, quelles qu'elles soient.
De toute évidence, supprimer toutes ces fonctions d'un site Web en ferait un endroit beaucoup moins attrayant pour les visiteurs. Un jugement doit être émis sur les éléments que vous êtes prêt à utiliser et sur la manière dont vous comptez atténuer les problèmes de sécurité potentiels qui leur sont associés.
Une protection appropriée
Il n’existe qu’un moyen de garantir que votre site Web ne sera jamais piraté, et c’est de ne pas en avoir. En fin de compte, la sécurité du site Web est un exercice d'atténuation dans lequel vous en faites suffisamment pour qu'il soit beaucoup moins intéressant d'essayer de pirater votre site et de vous assurer qu'il est plus rapide de récupérer de tout incident.
Le niveau exact d'effort de sécurité effectué est un choix avec lequel toutes les entreprises doivent lutter, mais pour celles impliquées dans la vente en ligne, l'engagement doit être à 100% pour sécuriser les détails personnels et financiers de ceux qui négocient avec vous.
De nombreuses entreprises et organisations se sont fait voler toutes les données de leurs clients, puis utilisées pour des escroqueries par vol d'identité, avec des conséquences coûteuses.
Quel que soit le niveau de protection et de surveillance que vous choisissez, il doit être adapté à votre objectif. Enfin, considérez qu'avoir une meilleure sécurité que ce dont vous avez besoin a une implication de coût minime, mais en avoir moins pourrait avoir d'énormes ramifications juridiques et commerciales.
