Joomla, Magento, Prestashop, WordPress, Drupal… ils sont nombreux les CMS (Content Management System) qui servent à la construction de sites web. Ces outils logiciels ont l’avantage d’être moins coûteux et de ne pas exiger des compétences spécifiques en développement pour pouvoir s’en servir. Toutefois, leur usage possède également des méfaits. L’un des plus importants est l’attraction excessive des cybercriminels pour les sites développés via les CMS. Il est en effet plus facile de violer la sécurité de ces plateformes. Si vous tenez à la sécurité de votre site, nous vous recommandons fortement d’appliquer les 10 recommandations de l’ANSSI que nous présentons dans cet article.
Sommaire :
Régulièrement mettre à jour votre site web
Le premier conseil de cette liste est de veiller à rester à jour concernant le CMS que vous utilisez. L’une des particularités de ces logiciels de construction de sites internet est que leurs développeurs les mettent régulièrement à jour, au fur et à mesure qu’ils découvrent d’éventuelles menaces de sécurité et de potentielles fonctionnalités d’amélioration. Il est donc de votre devoir de constamment vérifier les nouvelles versions de votre CMS et de poser les actions nécessaires pour migrer vers la plus récente. Notez que plus vous perdez du temps, plus vous augmentez vos chances de vous faire pirater par un cybercriminel.
VOIR AUSSI : Comment réussir la création d’un site Internet optimisé SEO ?
Accorder les privilèges aux utilisateurs avec sagesse
La question des privilèges est elle aussi importante. Généralement, les CMS permettent de travailler à plusieurs sur un même projet. Cela signifie qu’en tant que propriétaire du site web ou du compte ouvert auprès du CMS, vous aurez la possibilité d’ajouter d’autres utilisateurs via leurs boîtes mails (en général) afin qu’ils puissent participer à la création ou au développement de la plateforme construite. Vous devez faire attention lorsque vous attribuez les droits d’accès aux personnes de votre équipe. Accordez-leur uniquement le niveau d’accès minimum nécessaire pour effectuer les tâches qu’ils sont censés réaliser. Et à ceux en qui vous avez vraiment confiance, vous pouvez attribuer les accès aux tâches de gestion et d’administration.
Répartir les accès de la sorte diminue considérablement les risques de piraterie.
Aussi, veillez à ne pas vous connecter avec vos identifiants d’administrateur sur la machine d’un de vos employés, sinon vous pourrez le regretter amèrement. En effet, certaines applications existent pour enregistrer les mots de passe entrés sur l’appareil. Ainsi donc, vos identifiants personnels pourraient être connus de tous, de quoi rendre votre site web vulnérable.
Favoriser l’usage du protocole HTTPS
L’implémentation du HTTPS sur votre site web protégera celui-ci contre les personnes de mauvaise foi qui souhaitent voler des informations. De façon concrète, ce protocole chiffre les informations qui transitent entre votre site web et les navigateurs web des utilisateurs. Il rend ces informations inexploitables. Un site protégé par le protocole HTTPS assure les internautes sur la fiabilité de votre plateforme et produit des résultats impressionnants au niveau du référencement (SEO). Il est essentiel de posséder un certificat SSL (généralement accordé par l’hébergeur que vous choisissez) pour activer le HTTPS sur votre site.
VOIR AUSSI : Référencement naturel : quels sont les critères de Google ?
Favoriser un hébergement réputé pour son niveau de sécurité élevé
Après que vous ayez construit votre site web en local, ce sera le moment de le mettre en ligne. Vous devrez donc rechercher un hébergeur web qui aura pour rôle de stocker le contenu de votre plateforme sur les serveurs dont il dispose, afin de le rendre accessible au public. Sur ce point, le choix peut paraître ardu, vu le nombre élevé de fournisseurs sur le marché. C’est pourquoi il est conseillé de mener vos recherches et de vous renseigner afin de choisir un prestataire qui a bonne réputation et dont la sécurité est quasi infaillible. Outil de détection d’intrusion, pare-feu, sauvegardes régulières… elles sont nombreuses, les mesures de sécurité entreprises qui démontrent le sérieux d’un hébergeur.
Choisir un fournisseur d’hébergement web qui est sûr et fiable est un excellent moyen de réduire les risques d’intrusion.
Choisir des mots de passe uniques et sécurisés
Vous voulez éviter les pirates ? L’un des moyens les plus simples (mais pourtant négligés) d’y parvenir est de faire attention aux mots de passe que vous utilisez. Le choix des identifiants de connexion à votre tableau de bord est d’une importance capitale. Un mot de passe faible et réutilisé aura pour effet de rendre la tâche plus facile à ces personnes mal intentionnées qui essayent de mettre la main sur vos données personnelles. Privilégiez donc des mots de passe robustes. La robustesse se voit dans le mélange de plusieurs caractères (chiffres, lettres, majuscules et minuscules, caractères spéciaux…) pour former un seul mot de passe. Il est également préférable d’utiliser des passwords uniques pour chacun de vos comptes.
Afin de renforcer votre cybersécurité, pourquoi ne pas opter, dans la mesure du possible, pour l’usage d’une authentification multi-facteurs lors de la connexion à votre espace personnel ? Cela rendra la tâche plus difficile aux cybercriminels.
Réduire le recours aux thèmes et aux plugins
Les CMS sont composés de deux éléments majeurs : les plugins et les thèmes. Ce sont en réalité des extensions (ou fonctionnalités) que vous ajoutez à la structure de base de votre site web afin de le rendre plus attractif et utile. Avant de télécharger une extension, il est recommandé de se rassurer de son côté fonctionnel. En effet, nombreux sont les plugins et les thèmes conçus, mais qui, par la suite, ne sont pas maintenus. Et une extension non maintenue que vous utilisez sur votre projet est une porte ouverte aux cybercriminels.
De plus, le code source des CMS est généralement conçu avec le PHP, l’un des langages facilement contournables par les malfaiteurs sur internet.
Constamment sauvegarder le contenu de votre site web
L’une des meilleures pratiques recommandées par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est la sauvegarde régulière de votre site web et de sa configuration. Veillez à mettre en place un système qui vous permettra de toujours posséder une copie de votre site. Parmi les actions que vous devrez poser à cet effet, figurent : la définition d’une stratégie de sauvegarde constante, la définition d’une politique de restauration efficace, un puissant contrôle d’accès aux sauvegardes, etc.
VOIR AUSSI : Devis de création de site internet professionnel : quel est le prix d’un site web ?
Journaliser les évènements du site
Pour aller dans le même sens que le point précédent, il est important de conserver les évènements (ou actions) ayant abouti à la plateforme web. C’est une étape qui intervient tant au niveau de la conception du site web qu’au niveau de son exploitation. En tenant un journal des modifications apportées, des différents ajouts et retraits effectués, il sera plus facile de déceler d’où provient un bug. C’est en fait l’une des meilleures techniques pour étudier le comportement d’un site et détecter les incidents de sécurité.
Faire un bon choix de CMS
De même qu’il existe plusieurs hébergeurs, il existe également une variété de CMS. Pour vous aider à choisir ce qui correspond le mieux à votre activité, vous pouvez vous appuyer sur la réputation de ces derniers, surtout au niveau de la sécurité. Vous trouverez des CMS qui proposent une version gratuite (c’est le cas de WordPress et Drupal) et d’autres qui sont payants.
Toutefois, ce n’est pas parce qu’un CMS est coûteux qu’il est sécurisé. Alors, choisissez bien !
Installer des stratégies de sécurité connexes
En plus du protocole HTTPS, vous pouvez veiller à l’installation de plusieurs autres stratégies et protocoles afin de mieux sécuriser votre site. Citons entre autres :
- La stratégie CSP qui aide à définir un contrôle des accès aux éléments d’un site web.
- La méthode CORS qui permet la définition d’un contrat précisant les conditions d’acceptation d’échanges Cross-origin entre le navigateur et le serveur web.
- La stratégie SOP qui est la stratégie de sécurité par défaut des navigateurs web (tels que Google et autres).
Voilà quelques solutions intéressantes fortement recommandées par l’ANSSI pour booster les performances de sécurité sur un site web. Tant les particuliers que les entreprises gagneraient à les appliquer.
