5 points clés pour optimiser la protection des données de son site internet

Internet est aujourd’hui présent dans nos vies à tous, mais cette croissance implique aussi une expansion des attaques destinées à toucher les sites internet et cela grâce à des méthodes toujours plus innovantes.

Entre 2012 et 2015 les attaques DDOS connaissent une augmentation de près de 500% . Il est donc primordial pour toute personne possédant son site internet de se protéger face à ces attaques.

Certaines solutions pour créer un site internet professionnel vous permettent de vous affranchir de quelques questions de sécurité. Cependant, pour les personnes souhaitant réaliser leur site eux-même, cette problématique est bien réelle.

Nous allons donc aborder ensemble cette thématique en ciblant 5 actions permettant d’améliorer la sécurité des données sur son site internet.

1) Acquérir un Certificat SSL.

Le certificat SSL permet de crypter les données sensibles qui sont échangées au sein d’un site internet. Il existe une gamme de certificats variés dépendant de l’hébergeur par lequel vous passez mais aussi du niveau de sécurité que vous souhaitez acquérir. Il permet à votre site de posséder le protocole HTTPS ainsi que le petit cadenas vert dans la barre d’URL. C’est un incontournable qui a aussi comme impact positif de mettre le client/visiteur en confiance.

Pour activer un certificat SSL, il vous suffit de vous rendre sur votre espace client de votre hébergeur et de souscrire à une des offres proposées par ce dernier. Pour un site personnel ou un blog il faut compter en moyenne 35 euros par an pour une protection complète.

Gain de confiance supplémentaire avec la possibilité d’insérer le sigle certificat SSL sur votre site. Pour les personnes hébergeant eux-même leur site, il existe des solutions SSL indépendantes des hébergeurs pour un prix équivalent.

2) Protéger son accès FTP, SQL, Email ou administrateur.

Rien de plus simple que de changer régulièrement vos mots de passes me direz vous?

Cependant, même si cette technique est connue de tous, elle reste pour le moins très négligée. Tous ces conseils prennent d’autant plus de sens que vos données personnelles mais aussi celles de vos clients en dépendent.

Voici donc une liste de 3 conseils concernant la création et l’utilisation de mots de passes :

  • Un mot de passe doit contenir au moins 12 caractères, une majuscule, une minuscule, un chiffre ainsi qu’un caractère spécial (comme les ponctuations).
  • Il ne doit jamais être un mot que l’on puisse trouver dans le dictionnaire d’une langue telle qu’elle soit. En effet, il existe des logiciels programmés pour cracker les mots de passe et ces derniers contiennent un dictionnaire de plusieurs centaine de milliers de mots issus des dictionnaires des différentes langues.
  • Diversifiez vos mots de passe, n’utilisez jamais le même mot de passe pour votre accès SQL, l’espace administration de votre site ou encore le FTP. De plus, pensez à changer vos mots de passes régulièrement. Pour ma part je prend la base de 3 mois pour changer mes mots de passes. Le temps que vous prendrez pour cette tâche permettra de ne pas en perdre plus tard et en plus grande quantité à la suite d’une cyber-attaque.

3) Protéger les dossiers sensibles par htpasswd

Nous venons de parler de l’espace administration de votre site, cette partie de votre site comme bien d’autres peuvent contenir des dossiers sensibles ou privés dont vous ne souhaitez pas que leur accès soit public.

Afin de protéger ces dossiers, il existe une solution très utilisée et très simple qui vous permettra d’augmenter considérablement la sécurité de vos données et de celles stockées sur votre site internet.

Le protocole “htpasswd, mot certes complexe mais vous comprendrez très vite qu’il n’en est rien.

Le principe de ce protocole est de vous demander une authentification via pop-up à l’aide d’un nom d’utilisateur et d’un mot de passe pour l’accès à des pages/parties bien précise de votre site. Pour ce faire il vous suffira de suivre un tutoriel afin d'intégrer cette protection directement au sein du code de votre site internet.

Il est bien de vous rappeler que si vous souhaitez intégrer ce protocole pour plusieurs pages différentes de votre site un mot de passe différent est préférable afin de rendre toute intrusion plus complexe mais aussi de limiter l’impact de cette dernière.

A noter que cette méthode fonctionne uniquement avec des serveurs sous Apache.

4) Nommer correctement les fichiers

En parlant de fichiers et de protection de ces derniers je vais vous donner un outil de plus afin d’assurer un maximum de sécurité.

Je vous invite d’abord à vous mettre dans la tête des personnes réalisant les scripts ayant pour but de s’introduire et de prendre le contrôle de vos sites internet.

Vous le comprendrez très vite, ils ne sont pas idiots. Cependant ils cherchent aussi les failles qui touchent le plus de cibles et cela passe par la nomenclature des url de certain(e)s pages/fichiers de votre site. Les attaques sont souvent initialement lancées sur une recherche d’url type “www.monsite.tld/admin

Je vous recommande donc vivement d’éviter les noms très utilisés pour vos pages contenant des formulaires ou des fichiers privés.

Un exemple simple : la plupart des pages de formulaire de contact se nomment “contact.html” appelez-le autrement comme son équivalent en français ou dans une autre langue comme “courrier” ou “correo” pour les plus hispanophone d’entre vous !

5) Checker les mises à jour

Des mises à jour? c’est automatique me direz vous !

Et bien en théorie oui, elles sont automatiques. Mais voilà tout cela est indépendant à chacun c’est pourquoi je trouve important de vous en parler.

Tout d’abord, est ce que l’hébergement de votre est site est géré par un professionnel ou est-ce vous qui hébergez votre site vous-même?

Si vous faites appel à un professionnel tel que 1&1 ou ovh, il est de son devoir de mettre à jour le serveur web sur lequel est hébergé votre site. Ces mises à jour comprennent des fichiers importants dont dépend la sécurité de votre site. Cependant, contactez votre fournisseur si les mises à jours ne sont pas faites ou si des problèmes de sécurités se font ressentir sur votre site.

Vous l’aurez compris si vous hébergez vous-même votre site les mises à jour du serveur web.

De plus, pensez à mettre à jour le système de gestion du site mais aussi toutes les applications qui interviennent dans l’administration de votre site. Certains systèmes de gestion de contenu comme Wordpress permettent de faire facilement les mises à jour soi-même.

Vous avez maintenant 5 outils en votre possession afin d’augmenter la sécurité de votre site face aux tentatives d’attaques pirates sur votre site.

N’hésitez pas à partager cet article s’il vous a été utile.

 

Sur le même sujet : Tester la complexité de votre mot de passe

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !