14mn de lecture
Développer la sécurité d’un site web est semblable à une relation Yin-Yang. Plus les pirates tentent d’avoir accès, plus la sécurité se renforce. Plus la sécurité est renforcée, plus les pirates tentent d’accéder. C’est un processus continu où une entité essaie constamment de surpasser l’autre.
Où se situe votre site en terme de sécurité ? Il est difficile d’estimer quel est son niveau de sécurité, mais vous pouvez faire de votre mieux pour le sécuriser autant que possible. En raison de la nature de la plupart des CMS populaires, les pirates arrivent souvent à déjouer les systèmes de sécurité mis en place. Toutefois, les organisations qui développent les CMS tels que WordPress, Joomla et Drupal travaillent constamment à corriger ces failles.
Voici les points clés pour protéger au maximum vos sites réalisés avec ces CMS.
Supprimer l’interface de connexion en page d’accueil
De nombreuses attaques sur les sites CMS sont causées via l’interface de connexion. Par défaut, la plupart des systèmes placent cette méthode de connexion sur la page d’accueil. Bien qu’il puisse être utile pour vos utilisateurs, cet élément peut être une cible pour les pirates et les robots.
La plupart des outils CMS vous donnent la possibilité de supprimer cette connexion avec une simple case à cocher. WordPress et Joomla vous offrent la possibilité de retirer la fenêtre de connexion à partir des outils du système.
Que faire si vous avez des auteurs qui ont besoin de cette fenêtre de connexion pour votre site web ? Il est beaucoup plus sûr de leur proposer de se connecter au système via l’admin back-end que dès la première page. Des systèmes tels que WordPress sont parfaits pour faire en sorte de gérer les droits de vos utilisateurs.
Verrouiller la connexion à l’admin
Certains systèmes de gestion de contenu ont des plugins disponibles qui aident à protéger la page de connexion admin. Par exemple, vous pouvez installer un plugin qui va verrouiller la page
d’administration si quelqu’un essaie à plusieurs reprises de renseigner un mot de passe erroné à partir d’une adresse IP spécifique. Cela rend beaucoup plus difficile pour un pirate de lancer une attaque brute-force comme il ou elle doit changer en permanence son adresse IP après de multiples tentatives.
Nous vous conseillons de télécharger le plugin WordPress Login LockDown pour sécuriser les accès sur votre site.
Ne pas utiliser “admin” par défaut
Le nom d’utilisateur par défaut “admin” est l’un des plus courants. Lorsque vous installez un nouveau système, nous vous conseillons fortement de créer un nouvel ID unique pour le contrôle administratif.
Certains propriétaires de site vont jusqu’à supprimer le nom “admin” par défaut après la création d’un nouveau nom d’utilisateur afin d’éliminer les risques d’attaque.
Cacher le dossier WP-Includes
Savez-vous que le dossier “/ wp-includes” est accessible au public dans de nombreux cas d’installations WordPress ? Cela montre l’ensemble des plugins de votre version WordPress. Il peut également montrer les failles que les pirates peuvent utiliser pour attaquer votre site. Le moyen facile de masquer ces informations est d’ajouter un fichier “index.html” vide dans votre dossier “/ wp-includes”. Cela permet aux navigateurs de charger l’index automatiquement tout en cachant les fichiers et dossiers qui se trouvent dans ce répertoire. Pour ce faire il suffit de créer une nouvelle page dans le Bloc-notes, l’enregistrer comme “index.html” et la transférer dans le dossier “/ wp-includes”.
Plugins, thèmes et autres add-ons
Plugins, modules et thèmes font tous partie des caractéristiques du CMS. Ce sont des outils qui vont vous 
permettre de personnaliser votre site au maximum. Les thèmes sont utilisés pour modifier l’apparence générale de votre site. Cependant, ces différents éléments peuvent également inclure un codage malveillant qui peut être une porte d’entrée aux pirates.
Bien que les organisations qui régissent ces divers systèmes de gestion font de leur mieux pour éliminer ces modules non sécurisés, il peut arriver que vous tombiez sur un module corrompu. Il est toujours préférable de rechercher le développeur et un maximum d’informations sur le module avant de l’installer.
Se protéger contre les commentaires spams
Les systèmes donnant la possibilité de laisser des commentaires sur votre site sont souvent la cible de hackers ou robots. Nous vous conseillons donc d’utiliser un plugin spécifique pour renforcer la sécurité de ce système. Par exemple, les plugins tels que Livefyre ou Disqus sur WordPress ajoutent une protection supplémentaire contre le spam, car ceux qui laissent des commentaires doivent se créer un compte. Les formes les plus avancées de captcha peuvent être également utiles contre les robots.
Analyser régulièrement ses fichiers systèmes
C’est toujours une bonne idée d’exécuter des analyses de routine des fichiers systèmes dans une application CMS. Bien que votre fournisseur d’hébergement peut avoir son propre logiciel de sécurité, vous pouvez la renforcer en utilisant votre propre système. Cela pourrait aider à éliminer les menaces laissées par les logiciels malveillants, ce qui réduit le risque d’être piraté. Certains systèmes de gestion de contenu ont des plugins disponibles qui gardent votre site Web à l’abri de telles attaques.
Garder son site à jour
Sauf si vous utilisez un CMS qui date et n’assure plus des mises à jour régulières, vous devez toujours garder votre système à jour. Avec WordPress et Joomla vous pouvez effectuer vos mises à jour automatiquement en 1 clic depuis l’interface d’administration. Ces mises à jour sont vitales pour la sécurité du site et contribuent à prévenir les piratages. Les développeurs de ces CMS vont apporter des corrections et des réparations au niveau du code pour éliminer les failles découvertes.
A lire : Comment sécuriser son site WordPress en quelques clics ?
Même les petits sites qui n’ont que 20 visiteurs par mois peuvent être ciblés par les pirates et utilisés à des fins malveillantes. Ne pensez pas que votre site n’est pas assez important pour être protégé. Il pourrait être utilisé pour envoyer du spam, voler des informations personnelles et bien plus encore.
Vous devez donc prendre toutes les mesures possibles pour vous assurer que votre site dispose d’une protection optimale.
