Si vous administrez un simple blogue ou un magasin de commerce électronique à part entière, la sécurité du site Web principal devrait être une priorité absolue. Si l’on considère les conséquences catastrophiques d’une violation de données, il est logique de faire un effort supplémentaire pour protéger l’infrastructure de votre site. Outre les mises à jour régulières des extensions et des logiciels SGC, il y a quelques mesures spécifiques additionnelles qui peuvent être prises pour prévenir les failles de sécurité. Utilisez les conseils suivants pour renforcer les défenses de votre site.
Fixer des limites aux tentatives d’ouverture de session
Un des meilleurs moyens de prévention contre les attaques de force brute consiste à surveiller les tentatives d’ouverture de session et le tocage à la porte. Assurez-vous de configurer votre CMS de manière à limiter le nombre de fois où une tentative de connexion peut être faite à partir d’une adresse IP particulière. Avec des programmes complets de blogage comme WordPress, vous pouvez y parvenir au moyen d’une extension qui bannit les adresses IP sur base d’activités suspectes.
Toujours valider les entrées de formulaire
Un des exploits les communs que connaissent les administrateurs des sites est Injection SQL. En général, cet exploit fonctionne parce que les sites ne parviennent pas à valider les données de formulaire et les paramètres de la requête de leurs utilisateurs. Pour commencer, n’oubliez pas de définir une longueur maximale pour n’importe quel champ de saisie comme le nom, l’adresse de messagerie ou le texte dans la section des commentaires. Heureusement, la validation des données d’entrée avec un SGG tel que WordPress ou Joomla est facile grâce à la disponibilité des extensions comme Instant Comment Validation.
Se focaliser sur la protection par mot de passe
L’usage et la sauvegarde des mots de passe forts devraient être une priorité pour les administrateurs de site et les utilisateurs finaux. Un bon mot de passe qui résistera aux tentatives de craquage par la force brute est d’au moins 12 caractères et contient un bon mélange de majuscules et de minuscules, des chiffres et des symboles. En outre, il est sage d’implémenter lehachage des mots de passe cryptés. Enfin, n’oubliez pas d’utiliser le protocole SSL pour la zone d’administration de votre site et de protéger vos répertoires au moyen d’un fichier .htaccess.
Limiter l’accès aux informations fichier
Si vous laissez les informations fichier de votre site sans protection, vous vous exposez au piratage des identifiants administrateur et usagers. Pour commencer, désactivez les listes du contenu des répertoires. En outre, il est conseillé de modifier le rapport d’erreurs pour que les pages 401 ne révèlent pas trop d’informations sur un nom d’utilisateur ou son mot de passe correspondant. De plus, vous devez vous assurer que les fichiers que téléchargent les utilisateurs ne sont pas exécutables. Utilisez la page .htaccess de votre site à configurer les permissions à 644 quand les utilisateurs téléchargent des fichiers.
Fiez-vous aux outils open source
L’emploi de logiciels et scripts open source dans le développement de votre site est souvent la meilleure façon de prévenir les attaques. Les plateformes SGG Open source comme WordPress, Drupal et Joomla sont un bon début. Les programmes serveur comme Apache ou Nginx combinés à des langages de script open source comme Python ou PHP constituent d’emblée des plates-formes d’hébergement extrêmement sûres. Utilisez Github et d’autres dépôts de code open source si vous avez besoin d’une solution personnalisée à un problème de développement.
La vigilance permanente est la clé
Évidemment, assurer la sécurité du site va bien au-delà des conseils énumérés ci-dessus. En revanche, ils constituent un bon début si vous souhaitez couvrir les principaux fondements. En réalité, il y aura toujours un nouvel exploit Web à contrecarrer. Par conséquent, vous devez rester sur vos gardes et garder en tout temps a l’esprit la sécurité du site.