Blog
Blog
Blog
Blog
Comment sécuriser son site internet au mieux en 2022 ?

A travers nos articles, notre mission est de vous éclairer autour de nos savoir-faire en web et nos connaissances du digital. Raconter nos métiers nous semble être un bon moyen de partager notre passion avec vous. Que vous soyez novice ou expert du web, que vous soyez web friendly ou webophobe, notre ambition est d'intéresser le plus grand nombre et d'apporter des réponses dans chacun de nos articles.

17 février 2022 separateur 389 Vues separateur 6 MIN DE LECTURE
Comment sécuriser son site internet au mieux en 2022 ?

Comment sécuriser ou renforcer la sécurité d’un site internet ?

Un site web n’est pas quelque chose de figé, et bien qu’il soit digital, c’est une chose bien réelle qui est soumise à des menaces extérieures. En 2022, la sécurité des sites web reste un enjeu majeur pour éviter les failles et contourner les attaques de pirates via des logiciels malveillants notamment. La mise en place d’un vrai protocole de sécurité de votre site web lui permettra d’être sécurisé et d’éviter toute perte de données, d’informations, d’images, de l’intégrité globale du site web. Cet article, tel un guide, va permettre de connaître comment mettre en place un système de sécurité optimal pour votre site web.

Quelles sont les raisons de sécuriser son site ?

Éviter d’être mal référencé

GOOGLE

Une mauvaise protection d’un website affecte son référencement. En effet, Google et les moteurs de recherche en général, protègent leurs utilisateurs contre les sites malveillants. C’est pourquoi un site qui n’est pas sécurisé par un certificat SSL et le protocole HTTPS par exemple, sera mal référencé. Il en est de même pour un site qui a été infecté par un malware. En effet, Google a indiqué publiquement qu’un site qui n’était pas correctement sécurisé (certificat SSL notamment) serait sanctionné d’un point de vue de son référencement naturel. En outre, un site infecté par un malware ou mal sécurisé peut être visible par l’internaute via un popup et donc faire fuir ce dernier. Ainsi, Google enregistrera un signal négatif concernant ce website.

Maintenir une bonne réputation

La bonne réputation d’une entreprise se base surtout sur la confiance. Il peut être plus difficile pour une entreprise de gagner la confiance de ses clients en ligne. Un site web qui a été victime d’un hack ou d’une faille de sécurité n’inspire pas confiance et cela va se répercuter sur l’image globale de l’entreprise propriétaire du site. Une mauvaise sécurité en ligne peut avoir un fort impact négatif sur la réputation de votre entreprise. En effet, le fait d’avoir été victime d’un vol de tout ou partie de votre contenu, de vos données, d’images, de fichiers confidentiels peut entraîner la perte de clients et entreprises partenaires à cause d’une défiance. C’est pourquoi un seul faux pas sur l’aspect sécuritaire de votre site en ligne peut faire basculer la réputation de votre entreprise. 

Éviter une éventuelle perte de chiffre d’affaires

turnover

La perte de confiance en une entreprise ayant un site en ligne défectueux entraîne un trafic plus faible sur le site en question et donc une chance de convertir les visiteurs en clients plus minime. Aussi, le fait d’avoir un site infecté peut rendre le site inaccessible et donc empêcher tout paiement en ligne s’il s’agit d’un e-commerce, ou du moins rend impossible la prise de contact, la demande de devis etc. Ainsi, une perte de chiffre d’affaires peut être directement liée à cause d’un site mal sécurisé. 

La protection de l’utilisateur étant une priorité dans nos politiques globales, la gestion de la sécurité en ligne d’une entreprise est primordiale. Au risque d’être pénalisé sur plusieurs aspects, quelques règles basiques doivent être respectées par qui a un site web.

Les bases pour sécuriser votre site web

Utiliser le protocole HTTPS

Il suffit d’installer un certificat SSL* pour bénéficier d’un site sécurisé utilisant le protocole HTTPS. Cela permet de fournir aux utilisateurs une connexion sécurisée. En 2022, il est très rare de trouver un site n’utilisant pas de certificat SSL. En effet, sans cette connexion chiffrée avec la plateforme web, les données qui vont transiter ne seront pas protégées. La sécurité des utilisateurs pourrait donc être compromise. Outre ce problème, d’un point de vue SEO, le site web sera pénalisé et donc mal référencé. Ainsi, l’utilisation d’un certificat SSL est la première base à respecter aujourd’hui. 

*Un certificat SSL est un certificat digital qui permet de créer une connexion chiffrée entre un serveur web et un navigateur (celui de vos visiteurs). Cela évite qu’un hackeur se place “derrière le serveur” et envoie de mauvaises informations.

Mettre à jour le site web et ses plugins

Pour éviter d’être exposé à des failles de sécurité, votre CMS doit être mis à jour régulièrement, que vous utilisiez les CMS WordPress, Joomla, Drupal, Prestashop, Magento… La mise à jour régulière concerne aussi les plugins : chacun d’eux doit être mis à jour de façon régulière, c'est-à-dire sous quelques semaines d’intervalles et surtout que la dernière version disponible soit installée. Il est possible de configurer l’ensemble des mises à jour de WordPress ou Joomla notamment pour qu’elles s'exécutent toutes seules. Ainsi, le contenu du site sera mis à jour selon les normes sécuritaires actuelles. 

plugin

Installation de plugins pour sécuriser votre site

Pour sécuriser de façon optimale votre website, il est possible d’utiliser des plugins expert en sécurité, tels que Wordfence, iThemes Security… Leur intérêt pour renforcer la sécurité de votre site est réel, en effet ils permettent de bloquer des IP malveillantes, de scanner des logiciels malveillants, de bloquer les attaques et sont un pare-feu supplémentaire pour votre site internet. Par ailleurs, l’hébergement est aussi un point d’entrée prisé par les pirates du web, c’est pourquoi il est fortement recommandé de sélectionner un hébergeur web proposant un système anti-malware.

Mettre en place des extensions de sécurité

Joomla propose des extensions visant à sécuriser votre site, par exemple en bloquant les attaques par “brute force” qui consistent à essayer de forcer l’accès à votre site en testant à la suite toutes les combinaisons possibles ID/Password. Joomla possède des extensions qui bloquent les adresses IP qui envoient des requêtes non résolues en un laps de temps très court.

Comment renforcer la sécurité d’un website ?

Voici trois points de ce guide visant à renforcer la sécurité de votre plateforme web après avoir mis en place les bases de sécurisation. Aussi, voici comment sécuriser les applications.  

Utilisation de mots de passe sécurisés

PASSWORD

Pour renforcer sa sécurité en ligne, rien de tel qu’un mot de passe digne de ce nom. Pour une réelle efficacité, le mot de passe doit être suffisamment complexe et changé régulièrement. Inutile de le changer tous les mois mais une fois tous les 4 mois est recommandé. Les mots de passe que l’on évoque ici sont ceux correspondant à l’accès à l’espace d’hébergement ou celui du panneau d’administration du site (le back office). Pour qu’un mot de passe soit complexe et donc sécurisé, il doit contenir au moins 10 caractères dont des minuscules, majuscules, chiffres et caractères spéciaux. Aucun renseignement personnel ne doit être inscrit dans ces mots de passe.

Valider manuellement les commentaires

Cela ne concerne pas forcément votre site, il s’agit seulement des sites sur lesquels il est possible de déposer des commentaires en tant que visiteurs. Pour renforcer la sécurité de votre site, vous devez valider manuellement des commentaires publiés par chaque utilisateur sur les articles notamment. C’est un sujet qui permet de protéger les visiteurs de votre site. En effet, de très nombreux commentaires de spam et d’hameçonnage sont postés sur les sites internet. En validant les commentaires manuellement avant qu’ils soient publiés, les commentaires frauduleux et malveillants ne seront pas visibles et donc pas cliquables. Il existe des plugins sur WordPress tel que Akismet, permettant d’effectuer un premier tri automatiquement pour modérer ensuite les commentaires qui pourraient être passés au travers du système anti-spam.

Contrôler les permissions de fichiers

Dans le même registre que la validation des commentaires, il y a la permission des fichiers. En effet, certains fichiers sur votre serveur sont configurés par défaut en lecture et écriture, notamment le fichier .htaccess. Il suffit de passer les permissions en lecture seule : du code 604 au code 404. Cette nouvelle version doit être replacée sur le serveur à chaque fois qu’une intervention a eu lieu.

Configuration des sauvegardes pour votre site

Dans le cas où vous n’avez pas réussi à contrer une attaque, pour éviter de perdre toutes vos données, informations, images etc présentes dans votre site web, alors il faut que vous ayez des sauvegardes de votre plateforme. Plusieurs méthodes existent pour sauvegarder vos sites internet. Vous pouvez utiliser un plugin de backup tel que le plugin WordPress UpdraftPlus pour sécuriser et sauvegarder le site. Aussi, il est possible de choisir un hébergeur web proposant un système de sauvegardes journalières tel que PlanetHoster et l’hébergeur Hostinger. Ainsi, après avoir choisi la méthode et l’outil de sauvegarde choisis, vous devez déterminer où vous allez stocker ces sauvegardes, son emplacement donc, et à quelle fréquence vous souhaitez effectuer ces sauvegardes. Ces sauvegardes vous permettront ensuite de restaurer votre site web, d’avoir accès aux fichiers source*, aux images, dossiers, données..le website dans son ensemble.
*fichiers source des images : au format .ai ou .eps ou .psd de haute qualité. C’est le fichier d’origine du document.

Aussi, veillez à ce que votre site soit en conformité avec le RGPD. À ce sujet, les cookies sont un point central. 

Session FAQ

Pourquoi les sites Internet se font hacker ?

hack

Les raisons et motivations des hackers sont nombreuses. Le hack d'un site peut avoir pour objectif la récupération de données personnelles, le vol d'informations sensibles, de nuire aux images de marque, ou tout simplement de rendre inaccessible l'accès au site afin d'engendrer des pertes.

Comment savoir si mon site est à jour ?

Plusieurs paramètres sont à prendre en compte si votre site en globalité est à jour. D’abord, il faut vérifier la version du CMS : en février 2022, nous sommes à la version 5.9 sur WordPress. Ainsi, si vous êtes encore à la 4.8 par exemple, c’est que vous avez beaucoup de retard sur les mises à jour. Pour connaître la version de chacun des CMS, vous pouvez taper sur Google le nom du CMS et le mot “version” ou “releases”.

Le nom de domaine est-il à sécuriser ?

Bien sûr, il existe de nombreux risques liés uniquement au nom de domaine ; heureusement il y a des solutions et services pour limiter les risques et les dégâts. En attendant un prochain article sur ce sujet, vous pouvez consulter cet article.

Pour conclure, afin d’éviter toute source de problèmes sécuritaires, veillez à bien respecter les règles de bases et à renforcer au maximum la sécurité de votre site web. Contactez l’agence web Kwantic pour échanger sur les différents services que nous proposons notamment une éventuelle maintenance ou sur votre projet de création de site web.