Sélectionner une page

Les administrateurs de sites Web, en particulier ceux des petites entreprises ou des organisations sans personnel dédié à l’emploi et les grands bras informatiques et Web, négligent souvent quelques principes de base de la sécurité des sites Web. Cela peut être très dangereux à l’ère moderne du piratage dirigé, mais aussi des attaques de script de masse menées contre un groupe apparemment sans fin et aléatoire de cibles. Aussi petit et relativement peu important que soit votre site, il peut être une cible. Et si vous êtes la personne qui a développé le site, ou seulement celui qui le gère, vous n’êtes peut-être pas familier avec quelques-uns de ces conseils de base pour la sécurité du site Web.

Si vous êtes un employé à qui l’on a demandé de superviser un site Web et que vous lisez cet article, certaines considérations de sécurité peuvent sembler difficiles, mais rappelez-vous que tout ce que vous devez savoir, vous pouvez l’apprendre. Il existe de nombreuses ressources (y compris notre propre SitePoint Premium) qui peuvent vous aider dans le développement et l’administration de votre site Web. L’important à retenir de cet article, je l’espère, c’est que vous passiez quelques instants à réfléchir à la sécurité de votre site.

Sécurité par mot de passe

Une bonne sécurité de mot de passe est l’une des considérations les plus importantes pour la sécurité de votre site Web. En tant qu’administrateur, vous pouvez être responsable d’une variété de mots de passe importants. La gestion du compte d’hébergement, l’accès FTP, l’accès SSH, les bases de données MySQL, le panneau de contrôle de votre site, le panneau d’administration WordPress, etc. Tous ces mots de passe doivent être différents (ne jamais réutiliser un mot de passe) et longs. Les mots de passe sont meilleurs que les mots de passe à cet égard. La complexité aide aussi, mais ce devrait être quelque chose dont vous vous souvenez, ou vous devriez utiliser un gestionnaire de mots de passe pour vous aider.

Niveaux d’accès des utilisateurs

Une autre chose à considérer est l’accès des utilisateurs administratifs à votre site Web. Si votre organisation a besoin de plus d’un ou deux utilisateurs pour administrer un site, vous devriez avoir des comptes séparés pour des choses comme les panneaux d’administration. Ces utilisateurs devraient également avoir des niveaux d’accès différents. En ce qui concerne les systèmes de gestion de contenu, les utilisateurs devraient être limités par les paramètres administratifs du site Web, la modification du contenu d’autres personnes ou la gestion des fichiers, à moins qu’ils n’aient réellement besoin de ces permissions.

Avoir des niveaux de compte utilisateur et des comptes séparés aidera à prévenir les dommages accidentels ou malveillants à votre site, et l’utilisation de comptes individuels vous aidera également à suivre et à consigner les changements particuliers, juste au cas où une activité néfaste se produirait (ou un utilisateur est piraté). Il vous aidera également à supprimer les utilisateurs de l’organisation qui quittent votre entreprise – vous pouvez simplement et facilement désactiver leur compte sans avoir besoin de réinitialiser les mots de passe partagés, si leur compte est le leur.

Sauvegardes

On ne saurait trop insister sur l’importance d’un bon processus de sauvegarde. Un système de sauvegarde fonctionnel (c’est-à-dire le tester occasionnellement !) empêchera la perte de données en cas d’actions négligentes, de codage défectueux, de mauvais acteurs, de défaillance matérielle cataclysmique ou d’actes de la nature. Même pour les petits sites d’information qui ne sont pas souvent modifiés, l’absence de sauvegarde peut coûter des milliers de dollars à une entreprise pour faire reconstruire un site Web.

Pour effectuer des sauvegardes régulières de votre site internet, n’hésitez pas à contacter le cabinet Lexan, spécialisé dans la création de site internet situé à Bordeaux.

HTTPS

Avec les exigences les plus récentes de Google pour les certificats SSL, les sites sans HTTPS qui acceptent des informations sensibles de l’utilisateur seront étiquetés comme tels par les navigateurs, et peut-être bientôt tous les sites sans HTTPS seront étiquetés comme tels. Pour cette raison, pratiquement tous les sites ont besoin de HTTPS, en particulier ceux qui sont en cours de développement. Vous protégerez les informations de vos utilisateurs, et si votre site n’accepte pas d’informations sensibles, vous continuerez à donner confiance et tranquillité d’esprit à vos visiteurs, et avec des candidats comme Let’s Encrypt on the scene, vous pouvez le faire gratuitement. Et si vous utilisez l’hébergement mutualisé, de nombreux hébergeurs comme SiteGround offrent gratuitement les certificats Let’s Encrypt à partir de votre panneau de contrôle, ce qui facilite la sécurisation de votre site.

Accès aux bases de données

Les bases de données sont aujourd’hui essentielles pour de nombreuses plateformes de sites Web, y compris la plupart des systèmes de gestion de contenu et des sites avec des utilisateurs et des backends. Toutefois, les bases de données présentent également des risques pour la sécurité. Si les données sont stockées, elles sont maintenant vulnérables à l’accès par des entités malveillantes. Vous voudrez tenir compte de la sécurité de vos bases de données. Qui a accès aux panneaux de contrôle de votre site, ou aux comptes SSH de votre serveur si vous les avez, et leurs informations d’identification sont-elles sécurisées ? Qu’en est-il des bases de données réelles ? Les utilisateurs de votre base de données ont-ils les permissions appropriées pour leurs propres bases de données ? Ont-ils des permissions globales qu’ils ne devraient pas avoir ? Leurs mots de passe sont-ils sécurisés ?

De plus, vous voudrez peut-être examiner la façon d’accéder aux bases de données. Idéalement, vous pouvez verrouiller l’accès aux interfaces utilisateur comme phpMyAdmin à des adresses IP particulières, ou interdire complètement l’accès à distance à db, et utiliser à la place la ligne de commande via SSH, ou des outils comme MySQL Workbench ou Sequel Pro, limitant ainsi le nombre de vulnérabilités.

Pin It on Pinterest

Share This