Comment je peux sécuriser mon site Internet ?
Sécurisez l’accès virtuel à votre site
Passer son site web en HTTPS
Qu’est-ce que le protocole HTTPS ?
Le protocole HTTPS permet principalement de chiffrer les données échangées entre votre serveur et un navigateur. Il permet aussi de vous assurer que vous visualisez bien le site original et non une version modifiée par quelqu’un qui aurait intercepté la connexion.
Si vous souhaitez créer un site E-commerce, ce protocole doit impérativement être mis en place. En effet, les internautes n’auront pas confiance en votre site web s’ils trouvent la mention « Non sécurisé » inscrit à côté de leur barre d’adresse.
Comment mettre en place ce protocole ?
Pour passer son site web en HTTPS, vous devez acheter un certificat SSL auprès de votre gestionnaire de nom de domaine ou auprès d’une autorité de certification (Let’s Encrypt par exemple). Suite à cela, il sera important de générer des redirections 301 sur l’ensemble de vos pages pour éviter les erreurs 404.
L’URL de connexion à l’administration : la porte d’accès à votre site web
Prenons l’exemple de WordPress, pour vous connecter à votre backoffice, vous devez sûrement taper l’URL suivante dans votre barre d’adresse : https://nomdevotresite/wp-admin ou https://nomdevotresite/wp-login.
Cette URL de connexion par défaut est connue par tous les hackers. C’est donc une mauvaise habitude de l’utiliser. Il est préférable d’utiliser une URL différente avec une suite de chiffres et de lettres incompréhensibles. Par exemple : https://nomdusite/a567tYPHl0.
Pour modifier cette URL, vous pouvez utiliser les plugins suivants :
- WPS Hide Login
- Protect Wp-Admin
- iThemes Security
Si vous ne souhaitez pas installer un nouveau plugin, vous pouvez également modifier le fichier .htaccess à la racine de votre site. Vous avez juste à ajouter cette ligne de code dans votre fichier :
RewriteRule ^login$ http://NOM_DU_SITE.com/wp-login.php [NC,L]
Changer le préfixe par défaut des tables de votre base de données
Le préfixe des tables sur WordPress est par défaut « wp_ ». Sur Prestashop c’est « ps_ ». Il est judicieux de les changer pour éviter de faciliter l’accès à vos données. Les hackers peuvent en effet utiliser des scripts automatisés et tenter des injections SQL sur vos tables. En modifiant le préfixe de vos tables, vous évitez l’extraction, la modification et la suppression de vos données.
Ne sous-estimez pas les mises à jour sur les CMS
Un site qui n’est pas régulièrement mis à jour représente une porte d’accès facile pour un hacker. De ce fait, veillez à bien mettre à jour :
- La version de votre CMS
- La version de votre thème
- La version de vos plugins
Remarque : Supprimer également les plugins désactivés ou obsolètes. Ils consomment des ressources pour rien, diminuent les performances de votre backoffice et représentent une passerelle d’accès à votre site web.
Sécurisez l’accès physique à votre site
Sécurisez vos locaux
Dans le cas où vos serveurs sont stockés au sein de votre entreprise, il est primordial de sécuriser le local où vous les entreposez. En effet, ce sont vos serveurs qui hébergent toutes les données personnelles. Vous devez donc mettre en place :
- Un système d’ouverture des portes grâce à une clé, un digicode ou un contrôle d’accès par badge nominatif
- Un journal d’enregistrement des accès de manière très précise avec l’identité de la personne, la date et l’heure exacte.
Des alarmes anti-intrusion (vérifiez les périodiquement).
Ne facilitez pas l’accès à vos données
Bonus : Vous pouvez lire l’article sur Comment créer un mot de passe complexe ?
Je m’explique. Vous ne devez en aucun cas noter vos mots de passe sur des post-it que vous collez sur les écrans de vos ordinateurs ou sur les pense-bêtes de Windows 7.
C’est comme si vous cachiez les clés de votre maison en dessous de votre paillasson ou dans le pot de fleurs à côté de votre porte d’entrée. C’est sûrement pour vous donner bonne conscience car c’est assez inutile. Vous vous doutez qu’un cambrioleur qui souhaite pénétrer dans votre maison, va chercher en premier sous votre paillasson.
Il y a donc pas mal d’éléments à respecter si l’on souhaite sécuriser son site web. Faîtes les choses de manière progressive et retournez voir ensuite cet article pour vérifier si vous n’avez rien oublié.