Leçon 4 : Sécuriser ton site Web

secure site

Comme l’a montré la leçon 3, les pirates utilisent de multiples moyens pour compromettre la sécurité des sites Web et causer toutes sortes de dégâts. Bonne nouvelle! Tu peux créer un site Web sécurisé en adoptant une stratégie similaire, c’est-à-dire en adoptant une approche pluridimensionnelle de la sécurité.

Dans cette leçon, nous aborderons sept moyens de défense essentiels : la confidentialité de domaine, le système de gestion de contenu sécurisé, le protocole SSL, le pare-feu, la surveillance, la suppression des logiciels malveillants et les sauvegardes du site Web. Pour être honnête, ces renseignements peuvent être un peu complexes. Considère cette leçon comme une ressource à laquelle tu pourras revenir pour continuer à découvrir des moyens d’ajouter des niveaux de sécurité à ton site.

Confidentialité de domaine

Pour t’assurer que tes informations personnelles ne seront pas utilisées pour des courriels indésirables, des pourriels, des appels automatiques ou des vols d’identité, choisis un domaine confidentiel. Ainsi, des détails comme ton nom, ton numéro de téléphone et ton adresse de courriel seront cachés si un robot ou un pirate informatique recherche des informations sur l’achat de ton nom de domaine. Tu as déjà un domaine? Tu peux vérifier ici s’il bénéficie de la confidentialité de domaine.

Système de gestion de contenu sécurisé

Si ton site Web est comme ceux de WordPress, tu utilises un logiciel de système de gestion de contenu. Les sites Web avec un système de gestion de contenu peuvent être piratés lorsque des thèmes ou plugiciels tiers sont ajoutés. Pour le sécuriser, fais preuve de rigueur à l’égard des thèmes ou des plugiciels tiers que tu utilises. (Bonne nouvelle! Si tu utilises le Créateur de sites Web GoDaddy, ton système de gestion de contenu est déjà sécurisé!)

CONSEIL DE PRO

Ajoute un plugiciel de sécurité. Sur WordPress, tu peux installer le plugiciel de Sucuri, qui renforce la sécurité de ton site grâce à de multiples fonctionnalités gratuites. Ces fonctions comprennent l’audit des activités de sécurité et la surveillance de l’intégrité des fichiers (surveillance des modifications apportées à ton site et à ses fichiers), l’analyse des logiciels malveillants à distance et la surveillance de liste noire. Ce plugiciel te guide également dans le processus de sécurisation.

Certificat SSL (Secure Sockets Layer)

Une autre façon de sécuriser ton site Web est de le doter d’un certificat SSL. Celui-ci empêche l’interception des informations sensibles (comme les mots de passe, les informations personnelles et les détails de paiement). Installe un certificat SSL et une icône de cadenas apparaîtra dans la barre du navigateur de tes client.e.s pour leur montrer que tu protèges leur sécurité. N’oublie pas que Google et les autres moteurs de recherche récompensent les sites Web dotés d’un certificat SSL en leur accordant un meilleur classement. Avoir un certificat SSL est donc une solution gagnante pour tous!

Pare-feu

Les pare-feux sont une mesure de défense active qui peut empêcher l’exploitation des faiblesses de ton site Web. Les pare-feux sont des services Premium (payants), leur installation est donc effectuée par leurs fournisseurs. (Certains plugiciels prétendent proposer un pare-feu facile à installer soi-même, mais ils ne sont pas aussi efficaces, car ils ne peuvent pas détecter certaines attaques). Il y a deux types de pare-feux :

  • Pare-feux d’application Web. Ces pare-feux bloquent les requêtes malveillantes ou celles des robots tout en donnant la priorité au bon trafic. Ils opèrent entre la personne qui visite ton site Web et tes serveurs d’hébergement. Ils sont généralement plus chers, mais ils offrent la meilleure protection contre la plupart des attaques.
  • Pare-feux sur site. Ceux-ci travaillent sur le même serveur d’hébergement et inspectent les demandes entrantes. Ils sont communément proposés en tant que service Premium par l’intermédiaire de plugiciels de sécurité. Cependant, ils peuvent ralentir ton site Web.

Surveillance

La surveillance de site Web fait appel à des vérifications de sécurité automatisées de ton site Web effectuées à intervalles réguliers pour détecter des anomalies ou des signes d’activité malveillante. La surveillance vérifie d’autre part que ton site Web n’a pas été placé en liste noire et t’en avertit si c’est le cas, afin d’y remédier immédiatement. En l’absence de surveillance, il peut s’avérer difficile de détecter les logiciels malveillants présents sur ton site.

SURVEILLANCE DE TON SITE GODADDY

Les sites créés avec le Créateur de sites Web de GoDaddy sont déjà protégés, mais ils peuvent cependant faire l’objet d’une infection par logiciel malveillant si un pirate réussit à voler ou à deviner tes informations de connexion. En effet, le pirate aurait désormais accès au Créateur par le biais de ta connexion, ce qui lui permettrait de modifier le site Web de manière malveillante. Heureusement, tu peux te protéger contre ce type d’attaques en utilisant quelques méthodes :

  1. Authentification à deux facteurs (2FA). Cela nécessite une étape d’authentification supplémentaire s’ajoutant à ton nom d’utilisateur et mot de passe habituels, généralement sous la forme d’un message texte (SMS) ou au moyen de l’application Google Authenticator sur ton téléphone.
  2. Gestionnaire de mots de passe. Un gestionnaire de mots de passe te permet d’utiliser plus facilement des mots de passe uniques et complexes pour tous tes comptes, ce qui t’évite de réutiliser des mots de passe qui peuvent mettre ton compte en danger.

Suppression des logiciels malveillants

Les plugiciels gratuits sur WordPress peuvent offrir un service de suppression automatique des logiciels malveillants, mais ils peuvent ne pas être en mesure de tous les détecter. Opte pour des services payants de suppression des logiciels malveillants, tels que Sucuri, qui peuvent également nettoyer les sites Web autres que WordPress. Tu peux toi-même nettoyer un site Web infecté, mais, si tu n’es pas à l’aise avec le codage, il te sera difficile de faire la différence entre un code malveillant et un code légitime.

Sauvegarde de sites Web

Assure-toi de conserver une copie de ton site Web en lieu sûr, car tu pourras toujours restaurer cette sauvegarde en cas de problème inattendu. Tu devras sauvegarder les données séparément de ton serveur d’hébergement, de préférence avec un serveur situé dans un autre lieu géographique. Il s’agit d’une protection si jamais un événement de crise survient sur ton site d’hébergement. Ce type de sauvegardes doivent être intégrées à la planification de la continuité des activités (PCA) de ta marque. La PCA est un ensemble d’instructions permettant de se remettre d’événements qui perturbent les activités de ta marque. Souviens-toi, tout est dans la planification!

Ouf! C’est beaucoup d’informations! Mais, ne t’en fais pas, tu peux commencer à renforcer la sécurité de ton site Web, étape par étape. Dans la prochaine leçon, nous te fournirons des ressources pour t’aider à commencer.