Avec un nombre d’attaques qui ne cesse de croître, il devient nécessaire de protéger son site correctement. En suivant ces recommandations, vous pourrez vous prémunir d’éventuelles intrusions.
Choisir un mot de passe complexe
Commençons par un point que personne ne devrait négliger pour protéger son site internet correctement.
La principale cause des attaques provient d’un mot de passe trop facile à décrypter.
En effet, quelques heures suffisent aux logiciels pirates pour trouver le mot de passe d’un site web.
Mot de passe à éviter
Pour protéger au maximum votre site internet, ne laissez jamais les mots de passe par défaut.
Admin est souvent le nom par défaut de l’administrateur, qui possède tous les droits sur le site.
Obtenir son accès permettrait alors de modifier le site de la victime dans les moindre détails.
C’est pour cela que nous vous conseillons d’inscrire un mot de passe avec des chiffres et des lettres, en majuscule et minuscule.
Plus contraignant à écrire, il évitera néanmoins aux hackers de pirater facilement votre site internet.
Changer régulièrement de mot de passe
Si vous ne souhaitez pas vous contraindre à retenir un mot de passe complexe, vous pouvez opter pour une modification de votre mot de passe tous les mois.
Cependant, cette tâche est rébarbative est elle risque de vous lasser rapidement.
Utilisez votre navigateur pour enregistrer vos mots de passe afin de ne jamais oublier le dernier que vous avez choisi !
Générateur de mots de passe
Pour protéger son site web, nous finirons cette partie sur les mots de passe en vous donnant un outil très utile.
Vous pouvez, grâce à ce générateur de mots de passe, créer des accès complexes à votre site.
Modifier l’accès à l’administration du site
Une autre recommandation pour protéger votre site internet consiste à modifier l’accès à votre back-office.
Les hackers utilisent des scripts permettant d’attaquer directement l’administration des sites internet.
Par exemple, lorsqu’ils attaquent des sites Joomla, leurs actions ciblent les administrations accessibles par nom-du-site.com/administrator.
Sous WordPress, l’administration est accessible par le /admin.
Pour induire en erreur les scripts des hackers, l’astuce consiste à modifier les URLs menant à l’administration.
/panel /gestion sont autant de possibilités que vous pouvez utiliser pour accéder à l’administration.
Pour effectuer cette modification, rapprochez vous d’un administrateur confirmé.
Ajouter un mot de passe à votre administration
En effet, pour protéger l’administration de votre site, vous pouvez opter pour une double identification.
Le principe est simple, lorsque le script ou l’utilisateur accède à l’administration …/admin ou …/administrator, un premier mot de passe est demandé.
Si l’identification échoue, une redirection est faite vers l’accueil du site sinon l’accès au formulaire Identifiant et mot de passe est proposé.
Vous connaissez la suite, si les identifiants sont valides, l’accès au site internet est autorisé sinon un message d’erreur apparaît.
Restreindre les droits en écriture de vos fichiers
Vous devez vérifier que les fichiers de votre site internet ne soit pas modifiables par n’importe qui.
Afin de restreindre les droits de modification de vos fichiers, rendez-vous sur votre serveur via Filezilla.
Cliquez droit sur le dossier contenant votre site et assurez vous de ne pas avoir autorisé la modification de vos fichiers à tous les utilisateurs.
Vérifiez les logs
Protéger son site internet c’est aussi vérifier les connexions et … les tentatives de connexion au site.
Votre site internet possède des logs qui sont accessibles via votre serveur Ftp.
Ils donnent des informations précieuses sur les connexions à votre site internet.
Par exemple, sous Joomla, les logs indiquent « identifiant ou mot de passe erroné » et l’heure de la tentative.
En cas d’attaque, n’hésitez pas à jeter un œil aux informations enregistrées.
Fichier.html
Par la même occasion, vérifiez qu’aucun de vos dossiers soit vide.
Un dossier vide est une faille de sécurité.
Vous devez vous assurer que tout vos dossiers possèdent au moins un fichier html vide.
Pour cela rien de plus simple, créez un nouveau fichier vide est renommé le fichier.html.
Copiez le ensuite dans les dossiers de votre site ne contenant pas d’autres pages web.
Par mesure de sécurité, placez ce fichier dans les dossiers médias de votre site (images/vidéos).
Protéger son site en vérifiant les utilisateurs enregistrés
Si votre site contient un système de connexions pour les utilisateurs ou qu’il est administré par plusieurs personnes alors il est important de surveiller les actions réalisées sur votre site.
Nous avons eu l’occasion, à de nombreuses reprises, de constater que les pirates se créent leurs propres accès au site.
La surveillance devient plus complexe quand le site répertorie des centaines d’inscrits.
Les comportements suspects sont :
- Un nombre importants d’enregistrements simultanés;
- De nombreuses modifications effectuées par un des administrateurs;
- Des commentaires Spammants;
- Des renseignements renseignés dans les formulaires de contact incluant des balises html et php.
Robots.txt
Afin de protéger certaines parties de votre site, il est recommandé de demander à Google de ne pas indexer toutes les pages de votre site.
De la sorte, ces pages n’apparaîtront pas dans les résultats de recherche Google.
Attention de ne renseigner que les pages qui ne doivent pas être visitées par le public.
Si vous incluez dans ce fichier des pages destinées à vos utilisateurs alors elles ne seront pas indexées par Google.
Pour des raisons d’efficacité et de sécurité, inscrivez par exemple les URLs menant à votre administration.
Si vous utilisez un CMS, alors il y a de fortes chances pour qu’un fichier robots.txt ai été créé automatiquement.
Pour vérifier si votre site possède un fichier robots.txt alors tapez dans votre barre d’adresse www.le-nom-de-votre-site.com/robots.txt.
Si rien ne s’affiche, alors créez directement un fichier robots.txt à la racine de vos fichiers et renseignez les pages à désindexer.
Exemple de Robots.txt :
# Fichier robots.txt for http://www.le-nom-de-votre-site.com
User-agent: *
Disallow: /dossier1/
Disallow: /dossier2/
Disallow: /dossier3/
Disallow: /author/
Disallow: /admin
Remplacez les dossiers par le nom des URLs à désindexer.
Nettoyer son site internet fréquemment
Une opportunité souvent offerte aux hackers est l’installation abusive d’extensions.
N’installez que les composants ou extensions utiles. Désinstaller tous les scripts que vous n’utilisez pas.
Des failles de sécurité sont présentes dans certaines extensions, constituant une véritable menace pour vos pages web.
Privilégiez également les extensions qui sont mis à jour régulièrement afin de garantir une stabilité et une protection maximale à votre site internet.
Déléguer la maintenance de son site internet
Pour protéger son site internet, il est également judicieux de le faire maintenir par une équipe de professionnels.
La réparation d’attaque, la correction en cas de bugs permet de conserver un site sain.
Un site vulnérable finit toujours par coûter cher en réparations.
L’équipe BALIZTIC est à votre écoute pour assurer la protection de vos données.