Bonnes pratiques pour sécuriser un site Internet

par | 5 janvier 2021 | Pratique

1. Pourquoi sécuriser votre site Internet?

Un site piraté, c’est se réveiller un matin (oui, les pirates opèrent plutôt la nuit…) et constater un ou plusieurs des drames suivants:

 

      • L’affichage de votre site a disparu.
      • Les prix de vente ont changé.
      • Vos clients ont répondu à des courriers qui sentent l’arnaque et qui visiblement ont été envoyés par votre site.
      • Votre fréquentation s’est brutalement effondrée.
      • Vos visiteurs sont automatiquement redirigés vers un autre site Internet, en croyant ouvrir votre page d’accueil.
      • Vous ne pouvez plus vous connecter en tant qu’administrateur.
      • Les données personnelles de vos clients ont été copiées (et vous ne le savez même pas).
      • Votre page d’accueil affiche, en caractères énormes, un message politique insultant.

La liste est loin d’être exhaustive. Bref, vous n’avez plus la main sur votre propriété, vous perdez votre outil de travail et votre réputation de professionnel risque d’en prendre un coup!

Créer un site Internet requiert de l’investissement en temps, en argent et en disponibilité mentale. De plus, les enjeux d’un site professionnel sont souvent inestimables. Ce n’est évidemment jamais le moment de consacrer des ressources à stopper une cyberattaque puis à réparer les dégâts.

2. La méthode

Je préconise une approche réaliste, mesurée et préventive.

Dans un premier temps, nous devons donc admettre que votre site Internet constitue effectivement une cible intéressante. Ensuite, il s’agit de mettre en œuvre des moyens proportionnés par rapport à l’enjeu. Enfin, il sera toujours plus simple d’empêcher un piratage que d’en réparer les conséquences, dont je vous laisse imaginer l’impact dans le cas d’un site commercial.

Les attaques les plus fréquentes sont de 3 types:

 

      • tentatives issues d’une opération massive et répétitive par un robot (algorithme, programme informatique, malveillant)
      • tentatives hyperciblées par une personne physique, ou par un groupe de personnes
      • tentatives hyperciblées par une personne physique qui s’appuie sur des outils informatiques permettant de multiplier les attaques sur la même cible
Les impressionnantes menaces groupées ne sont pas nouvelles

Vous aurez compris que la troisième catégorie est la plus dangereuse, mais heureusement la moins fréquente.

On pourrait imaginer qu’étant donné la multitude de sites existants, la probabilité que le votre soit attaqué est insignifiante. En fait, il faut surtout craindre l’attaque humaine ciblée, c’est-à-dire les cas où le désir de nuire est motivé et ciblé personnellement.

Une personne mal intentionnée sera toujours tentée par une opportunité de s’introduire dans un espace privé et défendu. Dans certain cas, c’est presque un jeu d’enfant! Il faut reconnaître que les victimes de piratage sont généralement à l’origine de simples négligences et qu’il n’est pas difficile de tenter le diable protégé par l’anonymat d’un écran.

Ainsi, nous allons commencer par lui rendre la tâche aussi compliquée que possible en protégeant les informations qui vous sont les plus chères. Par la même occasion, vous renforcez votre conformité aux exigences réglementaires sur la protection des données personnelles des utilisateurs de votre site Internet. Les dispositions énoncées dans les paragraphes suivants auront donc pour but de:

      • garder le système à jour
      • limiter l’accès aux interfaces d’administration
      • réduire le nombre d’informations techniques accessibles
      • interdire la modification de certains fichiers
      • crypter certaines informations
      • compléter avec une extension dédiée à la sécurité
      • faire des copies de sauvegardes
Placez des cadenas sur les données qui vous sont les plus chères

La plupart de ces opérations sont à réaliser au moment de la création du site. Au cours de son existence, il faut malgré tout réaliser des vérifications périodiques, des améliorations (en fonction de l’évolution des techniques des pirates), des mises à jour des éléments composant le site Internet et des sauvegardes. Lorsque vous externalisez la sécurité de votre site WordPress d’entreprise, vous pouvez prendre un contrat de maintenance, périodique et préventive, ou bien attendre que les problèmes arrivent et appeler une agence au secours à ce moment. Votre stratégie dépendra grandement de l’importance du site Internet dans l’activité de votre entreprise. Plus l’enjeu est élevé, plus les opérations de maintenance préventive devront être rapprochées et régulières.

Enfin, si le domaine vous intéresse ou si une personne de votre équipe est intéressée, vous pouvez aussi acquérir les compétences de base en interne grâce à de la formation. Vous pourrez toujours compléter par du conseil ou de la maintenance ponctuelle à distance. Tant que votre site n’est pas attaqué, les dispositions de base ne sont pas compliquées mais il faut être rigoureux.

Evidemment, le risque zéro n’existe pas mais chaque disposition mise en place permet de diminuer soit le danger d’une cyberattaque soit la probabilité qu’elle se produise. Les pirates visent en priorité les sites WordPress qu’ils estiment vulnérables, ceux qu’il est facile de pénétrer. Si votre site WordPress dispose d’un niveau minimal de sécurité, l’effort que nécessiterait son piratage ne sera certainement pas à la hauteur du gain probable pour le pirate. En appliquant les bonnes pratiques expliquées dans cet article, vous bloquez 99,9% des attaques. Mieux vaut prévenir que guérir!

Comme nous allons le voir par la suite, la sécurité d’un site Internet repose en effet plus sur l’organisation humaine que sur l’expertise informatique.

3. Le cas WordPress

En 2021, le CMS WordPress a permis la création d’environ 40% des sites Internet existants. Son utilisation étant gratuite et son code étant libre d’accès, cette solution a effectivement de quoi séduire. Toutefois, ces critères d’accessibilité et de popularité en font une cible de choix pour les pirates.

Gentils pirates

WordPress est conçu par des équipes de développeurs triés sur le volet et il bénéficie des contributions de milliers d’utilisateurs. WordPress n’est pas coupable des milliers d’attaques qu’il attire chaque jour; c’est juste la rançon de son succès. Sa conception ne présente pas de vulnérabilité particulière, par rapport à ses concurrents (Prestashop, Shopify, Wix, Joomla et le codage de A à Z, à partir d’une feuille blanche). En fait, l’immense majorité des sites piratés le sont à cause d’erreurs évitables ou de négligence routinière, de la part de leur(s) concepteur(s) et/ou de leur(s) administrateur(s). On pressent donc qu’une partie des dispositions de sécurité que je préconise auront pour but de parer aux limites de la nature humaine en matière de prévention des risques.

4. Les indispensables

4.1. Ça tombe sous le sens

Tout d’abord, assurez-vous que les ordinateurs servant à se connecter en tant qu’administrateur ne sont pas contaminés. Par exemple, il existe des logiciels malveillants qui transmettent tout ce qui est tapé avec un clavier, y compris les identifiants et les mots de passe bien sûr.

Ensuite, évitez de vous connecter par Wi-fi public en tant qu’administrateur, si vous ne maîtrisez pas la sécurité du réseau. Les wi-fi gratuits disponibles chez Starbucks, chez McDonalds, dans les gares, à la bibliothèque ou dans les cybercafés ne garantissent aucunement la protection des données qu’ils font transiter.

Cybercafé, Séoul, Corée du Sud

4.2. L’hébergement

Il est évidemment essentiel, dès la préparation du projet de création de site Internet professionnel, de choisir un bon fournisseur d’hébergement. De nombreuses caractéristiques de votre hébergement ont un impact sur la sécurité du site, sur sa disponibilité et sur son référencement naturel mais il est essentiel qu’il présente au moins ces critères:

 

      • localisé (serveurs et personnel) géographiquement et juridiquement en France (si vous vous adressez à un public français)
      • maîtrisant la langue française
      • heures de disponibilité compatibles avec des horaires de travail normaux en France
      • réactif pour décrocher le téléphone ou répondre par courrier électronique
      • possibilité de parler directement à des gens compétents en techniques d’hébergement
      • offre forfaitaire en illimité (cela évite l’incitation à la vente de services pour résoudre un problème)
      • sauvegardes dans des bâtiments physiquement distincts
      • Certificat SSL gratuit
      • Prise en charge de la mise à jour PHP
      • Tutoriels disponibles
      • Textes réglementaires disponibles

En tant que concepteur de sites Internet, je vous recommanderai bien sûr le fournisseur d’hébergement qui assure ces critères, au moment où nous en aurons besoin. Les offres et la qualité de ces services peuvent en effet varier sur ce marché.

4.3. Les composants de WordPress

Choisissez des thèmes et des extensions fiables, c’est-à-dire des éléments officiels, qui existent depuis longtemps, qui sont connus et reconnus. Un grand nombre de téléchargements et des avis positifs sont de bons signes. Évitez les thèmes et extensions qui semblent ne plus être mis à jour depuis plus d’un mois. Lorsque des extensions  ou des thèmes ne sont pas utilisées dans votre site, supprimez-les. Inutile de garder un élément non utilisé qui deviendra immanquablement obsolète et donc risquerait d’offrir une brèche de sécurité.

Tandis qu’il n’est pas rare d’ajouter une nouvelle extension pour avoir une fonctionnalité supplémentaire, il est très peu fréquent et carrément risqué de changer de thème. Mieux vaut donc le choisir de manière définitive au début de la conception du site puis interdire le changement de thème. Cela n’empêchera pas de le modifier par la suite pour améliorer le site.

4.4. Les mises à jour

Chaque composant du site Internet doit être à jour:

 

      • WordPress (cœur du CMS)
      • Thèmes
      • Extensions
      • PHP
      • Base de données

La mise à jour de chaque composant permet de corriger les failles de sécurité au fur et à mesure qu’elles sont découvertes. Les versions obsolètes de ces éléments constituent des invitations publiques aux pirates alentours, surtout lorsque l’identité de la version en question est affichable dans le code source des pages du site Internet. Certaines versions sont notoirement connues pour leur vulnérabilité.

Affichage des versions WordPress et Woocommerce dans le code source de la page Internet

Affichage des versions WordPress et Woocommerce dans le code source de la page Internet

WordPress propose une fonction de mise à jour automatique pour certains de ces éléments. Cependant, un site utilisant des dizaines d’extensions risque de présenter des défaillances lorsqu’il s’avère que l’un de ses éléments n’est pas compatible avec une mise à jour récente d’un autre élément. Idéalement, mieux vaut réaliser les mises à jour manuellement, au fur et à mesure qu’elles sont disponibles, afin de mieux identifier la source d’une éventuelle perturbation liée. Si plusieurs mises à jour automatiques ont été effectuées depuis la dernière sauvegarde, il sera difficile de diagnostiquer la cause d’un dysfonctionnement et donc d’autant plus compliqué et long d’y remédier.

4.5. Les sauvegardes

Effectuer une copie de sauvegarde de l’intégralité de votre site Internet. Cette sauvegarde doit être périodique et systématique. Plus votre site est actif, plus les sauvegardes doivent être rapprochées. Si votre site Internet réalise plusieurs transactions e-commerce chaque jours, sauvegardez au moins une fois par semaine. Si vous avez un site vitrine, une sauvegarde tous les 6 mois est suffisante. Si vous publiez des articles de blog, sauvegardez après chaque publication. Si vous venez d’effectuer une mise à jour majeure de votre site Internet, sauvegardez aussitôt, en plus des sauvegardes périodiques.

Pour déterminer le meilleur moment d’effectuer une sauvegarde, faites la liste des nouvelles données (pages, articles, commentaires, suivis de commandes, membres inscrits, etc.) acquises depuis la dernière sauvegarde et cocher celles que vous êtes prêts à perdre. Si vous ne pouvez vous permettre la moindre donnée, faites une sauvegarde immédiatement. Si vous faites des sauvegardes toutes les semaines, évaluer la quantité de données produites en une semaine par votre site et envisager le travail qu’entraînerait la perte d’une semaine de données. En fonction, de l’impact financier d’une telle éventualité, comparez avec le coût financier d’une réduction de la période de sauvegarde et d’un rallongement de la durée de stockage.

Assurez-vous aussi que chaque sauvegarde est bien disponible hors ligne mais non accessible à un trop grand nombre de personnes. Faites en sorte aussi d’être formé à la récupération de votre site à partir de chaque sauvegarde réalisée ou qu’une personne de confiance peut le faire pour vous.

Gardez à l’esprit qu’un site Internet peut être contaminé, sans effet visible pendant un certain temps, avant que le pirate ne décide de sévir. Ainsi, ce n’est pas forcément la dernière sauvegarde en date qu’il faut réinstaller.

Enfin, n’oubliez pas que votre hébergeur peut être défaillant (on se souvient de l’incendie OVH, début mars 2021) alors mieux vaut stocker aussi des sauvegardes par vos propres moyens, sur un disque dur à la maison par exemple. La probabilité que les locaux de votre hébergeur et votre maison brûlent simultanément ne doit pas être très loin de zéro.

Risque d'incendie et perte de données informatiques

4.6. Les accès administrateurs

Connexion administrateur WordPress
Erreur de connexion administrateur WordPress

Par défaut, WordPress propose de se connecter en tant qu’administrateur à l’adresse:

www.nomdedomaine.extension/wp-admin

Par défaut, WordPress enregistre le premier administrateur du site Internet avec l’identifiant admin.

WordPress accepte l’adresse électronique de l’administrateur si jamais il a oublié son identifiant. Beaucoup d’administrateurs affichent leur adresse électronique dans le site Internet afin que des visiteurs les contactent.

Les mots de passe les plus utilisés sont 123456 et password. Il est possible d’en deviner d’autres, même plus subtiles, lorsqu’on connaît le profil personnel et l’environnement d’un administrateur.

Bref, dès l’installation de WordPress sur un nom de domaine, il est essentiel de:

 

      • changer l’adresse de connexion
      • créer un nouveau nom d’administrateur
      • supprimer l’administrateur nommé admin
      • choisir un mot de passe complexe et impossible à deviner
      • limiter les tentatives de connexion erronées
      • ne pas afficher la source d’erreur en cas de tentative de connexion échouée
      • changer le préfixe de la base de données

Il faut aussi renforcer la sécurité de l’accès au compte FTP, à l’hébergement et à la gestion du nom de domaine, en utilisant des identifiants et des mots de passe difficiles à deviner.

Enfin, il est important de limiter le nombre d’accès administrateurs car ils ont les pleins pouvoirs sur toutes les parties du site, de l’hébergement ou du nom de domaine. Plus il y a de comptes WordPress dotés de larges pouvoirs, plus le probabilité de voir des mots de passe s’échapper est élevée et plus le danger est concret.

4.7. Le certificat SSL

En visitant un site Internet, les utilisateurs échangent des données avec le serveur où il est hébergé: informations de navigation, données personnelles, détails bancaires. Il est évidemment primordial d’empêcher tout tiers d’intercepter ces données.

Pour sécuriser l’échange de données entre votre site et ses utilisateurs, il est indispensable d’activer le certificat SSL, Secure Sockets Layer en anglais.

L’activation de ce certificat se traduit par le passage au protocole https://, illustré par un petit cadenas fermé, au tout début de la barre d’adresse, lorsque le site est affiché dans le navigateur.

Cadenas HTTPS du certificat SSL

Cadenas HTTPS du certificat SSL

Dans le cas contraire, le navigateur Internet affiche un message volontairement anxiogène pour l’internaute:

Navigation non sécurisée

Navigation non sécurisée

Il ne faudra pas oublier de forcer la navigation en HTTPS pour éviter que les autres protocoles de navigation restent disponibles.

Je recommande d’installer le certificat au tout début de la création du site car le changement de protocole a un impact négatif sur le référencement naturel du site. Il est toujours possible d’y remédier avec la programmation de redirections systématiques mais cela implique un travail supplémentaire qui peut se révéler fastidieux.

4.8. La navigation

WordPress est composé de répertoires (appelés aussi dossiers) et de fichiers, situés sur le disque dur distant (serveur) d’un hébergeur. Tout comme le site Internet hébergé, ils sont accessibles en permanence. Toutefois, ils ne devraient être accessibles que pour le fonctionnement du site Internet et pour répondre aux demandes de l’administrateur.

Des répertoires et des fichiers doivent donc être protégés pour éviter qu’ils soient consultés par n’importe qui, voire modifiés ou supprimés. Exemples: .htaccess, wp-config.php, readme.html, licence.txt, etc.

L’affichage, sans restriction, du contenu des répertoires depuis un simple navigateur doit être désactivé.

4.9. Les extensions de sécurité

Il existe un grand choix d’extensions qui viennent apporter des fonctionnalités de sécurisation à WordPress. Elles permettent de réaliser une grande partie des préconisations précédentes et elles apportent également des antivirus, des anti-spams, des pare-feu, etc. Toutes ne sont pas gratuites. Celles qui sont gratuites ne proposent en général qu’une petite sélection de fonctionnalités. Il est toujours plus simple d’assurer le fonctionnement et le paramétrage efficace d’une extension reconnue et offrant de multiples possibilités plutôt que l’accumulation d’une multitude de petites extensions offrant des fonctionnalités parfois redondantes et donc augmentant le risque de conflits ou de dysfonctionnement.

Il faudra aussi vérifier que l’extension de sécurité choisie ne ralentit pas le fonctionnement du serveur par des scans permanents ou trop fréquents.

J’installe toujours l’une de ces extensions sur les sites que je livre. Je la choisis en fonction de ma satisfaction d’utilisation, de l’évolution du marché et du budget déterminé par le client pour la sécurisation de son site Internet.

4.10. La sécurité juridique

En complément des actions de sécurité technique, un site professionnel mérite aussi d’être prémuni contre des attaques juridiques. Pour cela, il est indispensable de rédiger, dans les règles de l’art, les textes suivants:

 

      • Mentions légales
      • Conditions d’utilisation du site Internet
      • Conditions générales de vente (dès qu’un acte de vente est réalisable à distance, même suite à un simple échange de courriers électroniques pour organiser un virement bancaire ou un envoi de chèque)
      • Politique de confidentialité
      • Utilisation des cookies

On notera que pour être conforme aux exigences du Règlement Général sur la Protection des Données (RGPD), l’utilisateur doit accepter la politique d’utilisation des cookies sur le site, en cliquant volontairement, à chaque fois qu’il remplit un formulaire. Que ce soit la rédaction des textes réglementaires, leur mise en place dans le site ou la mise en conformité de tous les formulaires, on notera que la mise en sécurité juridique du moindre site Internet représente encore un travail non négligeable ainsi qu’un enjeu toujours élevé.

Pour rédiger ces documents réglementaires et assurer leur conformité, il est bien sûr recommandé de passer par un juriste. Alternativement, il existe sur Internet des générateurs de conditions générales de vente ou de mentions légales mais la probabilité est faible pour qu’ils prennent en compte toutes les particularités de votre modèle économique et de votre métier. Ainsi, je peux vous proposer de rédiger ces documents, sur la base des informations que vous me transmettrez. En concevant votre site Internet, je suis automatiquement sensibilisé aux enjeux de votre projet commercial et d’autant plus apte à proposer une formulation pertinente pour ses textes réglementaires.

5. Les raffinements

Il est possible de mettre en place des actions complémentaires au moment de la livraison du site Internet:

      • authentification à 2 facteurs (codes WordPress + SMS par exemple)
      • système de vérification de type Captcha sur l’interface de connexion à un compte WordPress pour interdire l’accès aux robots (programmes mal intentionnés)
      • interdiction de la sélection du texte et des images (pour éviter le copier-coller d’éléments protégés par le droit d’auteur)
      • interdiction d’afficher le code source de chaque page du site (pour entraver la curiosité des pirates informatiques)

Je préconise plutôt de mettre en place ces dispositions en dernier lieu. En effet, en cours de fabrication, ces dispositions font perdre du temps et donc rallongent d’autant les délais. Par contre, lorsque les utilisateurs ne se connectent pas plus d’une fois par jour, ces dispositions sont tout à fait envisageables.

6. En guise de conclusion

J’effectue les premiers paramétrages de sécurité sur les sites que je livre. Je complète ceux qui ne sont pas inclus dans l’extension choisie. La liste des actions de sécurisation que j’effectue systématiquement est consultable dans la réponse à cette FAQ. Par la suite, une recherche des problèmes de sécurité devrait être effectuée au moins une fois par mois. Lorsque les paramétrages de sécurité sont bien faits lors de la création du site, les vérifications ultérieures ne génèrent que très peu d’actions correctives. Ainsi, je peux vous former à la maintenance préventive périodique de votre site Internet et vous serez capable d’assurer 90% des actions de sécurité.

La sécurité est donc bien une partie à ne pas négliger dans un projet de création de site Internet pour une entreprise. L’enjeu de la sécurité Internet pour une entreprise est crucial. C’est pourquoi il est indispensable de mettre en place les bonnes pratiques que nous venons de passer en revue.

Si vous avez besoin d’aide pour sécuriser votre site WordPress, n’hésitez pas à me contacter pour trouver rapidement une solution.

Bien sûr, je ferai évoluer cet article au fur et à mesure que de nouveaux sujets seront abordés dans mes prochains articles et au fur et à mesure que des pistes d’amélioration seront identifiées.

Ainsi, n’hésitez pas à laisser des étoiles et/ou un commentaire en bas de page, pour indiquer à quel point cet article a répondu à vos attentes ou bien si des points mériteraient d’être améliorés.

 

Dernière mise à jour le 17 mars 2021, texte et photographie par Vincent Prévost

BABEL studio est une agence digitale plurimédia : création de sites Internet pour les professionnels, référencement naturel, rédaction et photographie. Spécialiste des délais courts, localisée en Normandie (Rouen, Pont-Audemer, Le Havre) mais travail à distance et déplacements possibles dans le reste du monde !

0 commentaires

Soumettre un commentaire

Votre adresse de messagerie ne sera pas publiée. Vous pouvez utiliser un pseudo. La politique de confidentialité BABEL studio s’applique. Les commentaires sont publiés après modération.

Sélection indisponible