Votre site a été piraté ? Vous n’êtes pas une exception. Chaque jour, des milliers de sites Web sont attaqués. Récemment, les hackers islamistes répondaient aux Anonymous et leur opération #OpCharlieHebdo. Nous n’allons pas entrer dans les détails, les articles connexes en lien le feront mieux que moi, et ici, je me contenterai d’évoquer le débat régulièrement soulevé ces derniers temps avec des amis, des confrères et quelques clients victimes.

J’ai mis en place une offre de maintenance et d’accompagnement que je pense carrément proposer dès ma prestation de création de site internet. Ça refroidit encore les clients habitués à l’autonomie que je leur donnais, et que moi-même souhaitais coûte que coûte. Hélas, livrer un site « clé en main », à un non-professionnel de la toile comme le sont la majorité d’entre eux, n’est plus viable. Ce business model qui convenait à de nombreux couples prestataire / client est aujourd’hui plus qu’obsolète : les internets et les technologies évoluent constamment. Web agences, SSII, développeurs, webmestres, nous nous devons tous de proposer des sites web évolutifs qui suivent en temps réel les changements et les tendances.

Evidemment que cela a un coût, et c’est le principal frein. Maintenant, entre référencement et sécurité (je zappe sciemment d’autres points techniques tout aussi important), maintenir la contemporanéité de son site internet nécessite aussi des compétences, qui peuvent saler des factures si elles manquent à l’appel. La formation ne doit plus être une option. Se fier à un expert est encore plus recommandé et représente le meilleur rapport qualité / prix à terme. Les portails et autres formules proposant de créer son site soi-même m’évoquent de plus en plus la pomme que tend la sorcière à Blanche-Neige. Certainement très bonne en goût… mais bien trop souvent un présent empoisonné. Bien sûr, en fonction de l’envergure de son projet, chacun peut se permettre d’avoir son propre cyber espace en www. D’ailleurs, soyons honnête et bon joueur, un Wix, Squarespace et autre Strikingly peuvent parfois amplement suffire.

Je maintiens cependant que l’adage « à chacun son métier et les vaches seront bien gardées » n’a jamais été aussi vrai que dans la création et la gestion de sites internet, où vigilance et rigueur restent de mise.

Les principaux type de piratage

Un pirate a de nombreuses motivations. Dans les meilleurs des cas, il s’amuse juste et vous signale une faille dans votre site via un défaçage ou une redirection humoristique. À noter qu’un bon piratage demeure un piratage qui ne se remarque pas. Dans les pires scénarios, le malintentionné veut récupérer des données confidentielles, utiliser les ressources de vos serveurs, booster le SEO de sites tiers en vous intégrant dans son réseau de splogs (spam blogs), etc. Ci-dessous, une liste des malwares fréquents :

  • Backdoor : Fichiers utilisés pour réinfecter et maintenir l’accès.
  • Malware : Code malicieux côté navigateur utilisé pour stimuler des téléchargements.
  • SPAM-SEO : Attaques qui ciblent le référencement d’un site web.
  • Hacktool : Failles ou outils DDoS utilisés pour attaquer les autres sites.
  • Mailer : Des outils générant du spam utilisés pour abuser les ressources d’un serveur.
  • Defaced ou Défaçage : Attaques rendant la page d’accueil d’un site web inutilisable dans le but de promouvoir une cause (hacktivisme).
  • Phishing : Ensemble des techniques utilisés par les attaquants afin de pousser les internautes à partager des informations sensibles (identifiants, coordonnées bancaires, etc.)

Un site hacké peut ainsi avoir plusieurs fichiers modifiés facilitant les corruptions à répétition, et il est évidemment recommandé de passer par un professionnel de la sécurité pour rétablir une version saine de votre site ! Vu qu’il vaut mieux prévenir que guérir, voici des bonnes pratiques élémentaires pour sécuriser à minima votre site internet.

Consignes de base pour protéger votre site internet

Google a récemment publié un rappel sur son Blog Officiel pour les webmasters. Pour protéger son site au moins contre les attaques automatiques (à savoir, les plus fréquentes), voici quelques consignes basiques que je vous invite vivement à appliquer systématiquement :

  • Utilisez toujours la dernière version de son CMS (système de gestion de contenu tel WordPress, Joomla, Drupal, Prestashop pour les plus connus et les plus utilisés), et s’assurer que les plugins soient également à jour. Attention aux personnalisations qui peuvent être supprimées et/ou entraver les updates.
  • Les plugins et les thèmes installés doivent provenir d’une source de confiance, le cas échéant, il faut savoir qu’ils sont souvent retouchés par les pirates informatiques et qu’ils contiennent des backdoors, ces fameux codes malicieux facilitant l’accès à votre site.
  • Le compte administrateur doit toujours avoir un mot de passe unique et complexe afin de protéger l’accès au panneau d’administration. Les hackers utilisent la plupart du temps des techniques dictionary attacks pour deviner les mots de passe. Varier majuscules, minuscules, chiffres et caractères spéciaux. Ne transmettez pas vos login et password à n’importe qui, et changez régulièrement ces derniers.
  • Si le système de gestion de contenu le permet, activer la validation en deux étapes pour la connexion (également dénommée « authentification en deux étapes » ou « authentification à deux niveaux »). Faire de même avec le compte utilisé pour la récupération du mot de passe (la majorité des messageries en ligne à l’instar de Google, Microsoft ou Yahoo, propose cette fonctionnalité).
  • Préférez un accès SFTP plutôt qu’un FTP lorsque vous transférez des fichiers sur vos serveurs. Le FTP ne chiffre pas le trafic, y compris les mots de passe, alors que le SFTP crypte toutes les données. Cela constitue une protection contre les personnes malintentionnées qui examinent le trafic sur le réseau.
  • Vérifiez les autorisations des fichiers sensibles comme .htaccess, index.php, (wp-)config(uration).php. Non-protégés, ils deviennent accessibles et peuvent être utilisés de façon malveillante par les pirates informatiques.

Aller plus loin…

Pour les webmasters au niveau plus avancé, voici d’autres bonnes pratiques pour protéger son site web des attaques des pirates et hackers. C’est un peu long et technique, mais le sujet est tellement vaste que ces quelques lignes ne sont qu’un minimum !

Partagez cet article :

2 Commentaires sur “Notions de hacking et de sécurité avant de créer son site web

#JeDSIGNEDJeDisRien… Et vous ?

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

libero consectetur felis ipsum ipsum Donec