Embed Size (px)
Citation preview
INTRODUCTION
Qu’arriverait-il à votre entreprise si un pirate informatique volait les données de vos clients, ou
si votre site Web tombait en panne subitement? Que feriez-vous si votre site Web, sans que vous
ne le sachiez, distribuait de la pornographie ou des virus?
C’est pourtant ce que vivent plus de 760 000 propriétaires de sites Web comme vous à chaque
année, selon une étude conjointe de Google et l’université Berkeley de Californie*1. C’est donc
plus de 2000 sites Web PAR JOUR qui deviennent soit inaccessibles, soit dangereux pour les
internautes.
Si votre site n’est plus disponible, par exemple en raison d’un problème de serveur, ou pire parce
qu’il est infecté par un virus ou qu’il a été attaqué par des pirates informatiques, vos clients ne
pourront tout simplement plus vous visiter ou acheter vos produits. Vous perdez alors des
revenus, et risquez d’affecter votre crédibilité!
Vous trouverez dans ce document quelques-unes des méthodes que j’utilise, et qui selon mon
expérience, sont les points les plus importants pour garder votre site web en bonne santé, et
vous assurer que vos clients continuent de vous visiter.
Note 1 : http://www.icir.org/vern/papers/notification-www16.pdf
1. CHOISISSEZ DES MOTS DE PASSE COMPLEXES
À chaque jour, sans que vous ne vous en rendiez compte, votre site web subit des attaques de
plus en plus sophistiquées de la part de pirates. Une des premières attaques qui sont lancées sur
votre site web est une tentative de « craquer » votre mot de passe pour avoir accès à la gestion
de votre site.
Comme vous pouvez vous en douter, l’utilisation d’un mot de passe de plus 8 caractères
contenant des chiffres, des lettres minuscules et majuscules, ainsi que des caractères spéciaux,
réduit de beaucoup le risque qu’on puisse deviner votre mot de passe. En fait, le plus facile reste
d’utiliser une phrase plutôt qu’un mot. Voici un exemple de phrase utilisée comme mot de
passe : « Je crois Que Cec1 Est un Me1llEur M0t de Pa$$e ».
Je sais, on a tellement de mots de passe que ça peut devenir
compliqué de les retenir. Et bien je vous annonce qu’il est
possible d’avoir des mots de passe très complexes, et ne plus
avoir à vous en rappeler !
Il suffit d’utiliser une bonne voute de mots de passe, comme par
exemple ma préférée, LastPass (www.lastpass.com).
Vous pouvez ainsi accéder à votre voute de n’importe quel
appareil, et le plus intéressant c’est que ce type de voute
s’occupe d’entrer pour vous automatiquement vos noms
d’utilisateurs et mots de passe lorsque vous vous présentez sur
une page Web pour vous authentifier.
2. ACTIVEZ UN DEUXIÈME FACTEUR D’AUTHENTIFICATION (2FA)
Il y a plusieurs types d’information qu’on peut donner à un système, ou un site Web lorsqu’on
demande à y accéder. On peut donner :
Quelque chose qu’on connait (nom d’utilisateur et notre mot de passe) ;
Quelque chose qu’on a (Mot de passe unique sur téléphone) ;
Quelque chose qu’on est (Empreinte digitale, Visage, Iris).
Bien que ça semble un peu compliqué à première vue, il est de plus en plus facile d’utiliser une
deuxième forme d’authentification (En anglais « two factor authentication » ou 2FA) en plus de
notre nom d’utilisateur et mot de passe. En effet, on peut par exemple recevoir un code unique
instantanément sur notre téléphone, ou utiliser un mot de passe unique qui change à chaque
minute à l’aide d’une petite application sur un téléphone. De nombreux plugins sont disponibles
pour votre site WordPress.
3. INSTALLEZ RÉGULIÈREMENT LES CORRECTIFS
Les pirates tentent trop souvent d’exploiter les vulnérabilités des différents éléments de votre
site Web (WordPress, Extensions, Thèmes), de vos ordinateurs et téléphones. C’est la raison pour
laquelle les fabricants de ces éléments publient régulièrement des mises à jour.
En plus de mieux protéger votre site Web, vos ordinateurs et téléphones, ces mises à jour vous
procureront souvent de nouvelles fonctionnalités, et de meilleures performances.
Assurez-vous de façon hebdomadaire de vérifier si des mises à jour sont disponibles, et de les
installer. Si des Extension ne sont pas utilisées, n’hésitez pas à les désinstaller. Vous réduirez ainsi
les risques d’attaques.
4. ASSUREZ-VOUS D’AVOIR UN EXCELLENT PARE-FEU (FIREWALL)
Un pare-feu (Firewall en anglais), souvent doublé d’un anti-virus, sont des éléments essentiels
dans votre démarche pour bien protéger votre site Web. Ces deux composantes sont un peu les
gardiens à la porte d’entrée qui vérifient les allées et venues vers votre site Web.
Il existe en général 2 types de pare-feu. Le Logiciel, qui s’installe directement dans WordPress, et
le matériel qui lui peut prendre la forme d’un service externe, ou d’une pièce d’équipement
réseau entre le serveur qui héberge votre site Web, et l’accès Internet.
J’aime bien utiliser une approche « Multicouches ». Idéalement, on utilisera un Pare-Feu
physique, ainsi qu’un logiciel. Ainsi on aura les bénéfices des deux.
5. UTILISEZ LE CRYPTAGE SSL
Assurez-vous d’utiliser un certificat SSL pour crypter les communications entre votre site Web et
ses utilisateurs. On peut maintenant se procurer des certificats de qualité tout à fait gratuits, par
exemple avec Let’s Encrypt.
En plus de cacher les communications, cette option aidera le référencement avec Google de
votre site Web. Google encourage fortement et récompense les sites utilisant le cryptage SSL.
6. UN SIXIÈME PETIT POINT BONI…
Utilisez une Cache (Proxy) pour accélérer l’accès à votre site Web.
En plus de protéger votre site Web, vous devriez aussi l’optimiser pour qu’il soit plus rapide. On
peut entre-autres utiliser une Cache, ou Proxy en anglais. La cache permet aux utilisateurs de
votre site Web d’y avoir accès plus rapidement.
CONCLUSION
En résumé, pour bien protéger votre site Web, ou comme je le rappelle souvent à mes clients
votre « employé virtuel », vous pouvez poser des gestes simples qui pourront vous éviter bien
des désagréments, et surtout assurer que votre présence en ligne est constante. Vous pourrez
ainsi continuer à offrir vos produits et services à vos clients en toute tranquillité.
Vous trouvez certaines de ces idées un peu complexes? Vous n’avez tout simplement pas le
temps de vous en occuper? Communiquez avec moi et il me fera plaisir de vous aider!
À PROPOS DE ANDRÉ DUBÉ
Je suis un passionné de l’informatique, et plus particulièrement de l’aspect sécurité.
Professionnel des technologies de l’information (TI) depuis plus de 25 ans, de grandes entreprises
ainsi que le gouvernement du Québec me font confiance pour sécuriser leurs réseaux et sites
web.
Voici quelques clients qui me font confiance pour les Protéger :
André Dubé, CISSP
Consultant en informatique et Web
Courriel. : [email protected]
Téléphone: 514-754-2023
Site Web: https://www.protegemonsite.com
Facebook: https://www.facebook.com/protegemonsite/
Vous avez des questions ou des inquiétudes
sur la sécurité de votre site Web?
Communiquez avec moi pour qu’on en parle!
Je m’occuperai personnellement de votre site Web.
