Est-ce important d’avoir un site web sécurisé en 2023 ?
À l’heure où les cyberattaques se multiplient en France et dans le monde.
Personne n’est épargné, entreprises, hôpitaux, particuliers.
Vous vous demandez peut-être quel est le but d’une cyberattaque.
Commençons par le commencement.
C’est quoi une cyberattaque ?
Selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ou encore le site du gouvernement (https://www.gouvernement.fr/risques/risques-cyber) la définition d’une cyberattaque est un acte portant atteinte à des systèmes informatiques réalisé dans un but malveillant.
L’objectif principal des hackers est bien entendu le profit.
Le vol de données peut permettre la revente permettant des usurpations d’identité, la demande de rançon à l’entreprise pour récupérer les données.
Pour les particuliers ce sont encore les attaques types phishing ou hameçonnage qui sont le plus répandus.
Deux exemples de sites, victimes d’une cyberattaque:
Il se trouve que j’ai dû faire face à deux sites « hackés » et ce n’était pas de gros sites ou de grosses entreprises.
Il n’y a pas eu de demande de rançon mais les deux sites en question servaient d’hôtes pour diffuser du contenu pornographique sur le net, sans le savoir.
Dans les deux cas, les sites étaient construits sur WordPress.
Si vous ne le savez pas, WordPress est un CMS (Content Management System) permettant de créer un site web sans connaissances techniques en langage informatique, disponible en open source (gratuitement).
Dans le premier cas, le malware s’était infiltré lors de l’installation d’une extension.
Il arrivait à générer des URLs contenant en première partie le nom du site source, en deuxième partie les contenus explicites.
Je vais prendre des exemples avec mon site, cela donnait des choses comme :
- www.phoenixwp.fr/contenu-xxxx/hot-dog-chaud-bouilant/ ou
- www.phoenixwp.fr/homme-en-folie/pompier-en-chaleur/
Vous avez compris le principe ?
Comment je m’en suis rendue compte ?
Grâce aux outils google qui étaient connectés au site. Plus précisément dans la Search console où étaient listés tous les fameux Urls générant le trafic principal du site.
Dans le deuxième cas, c’est à l’installation d’un thème que le site a été infiltré.
La cliente avait vu un joli thème qui lui plaisait, il était payant donc quand un ami lui a dit qu’il avait trouvé une version gratuite, elle était ravie.
Plusieurs mois après avoir construit son site, elle fait appel à moi pour l’optimiser dans un objectif précis.
Lors de la phase d’analyse, où j’auditais rapidement pour savoir si je pouvais répondre favorablement à sa demande ou non.
J’ai remarqué que lorsque j’allais sur son site en tant que visiteur, une seconde fenêtre s’ouvrait.
C’est cette fenêtre qui contenait du contenu non désiré.
En l’interrogeant elle m’a confirmé que des personnes lui avaient partagé ce problème mais qu’elle n’avait pas su le régler et qu’elle ne le voyait pas.
Elle m’a créé un compte administrateur sur son site pour que je puisse accéder à l’intérieur et regarder.
A partir de là, je ne voyais plus le contenu en question.
Ce n’est qu’après avoir trouvé l’origine, nettoyé et sécurisé son site que j’ai compris que le logiciel générait un fichier avec toutes les adresses IP des comptes administrateurs.
Ce qui le rendait « invisible » pour ces IP là.
Je vais donc vous donner quelques conseils pour éviter les pièges et ne pas risquer une cyberattaque de votre site internet.
Vérifier l’origine / fiabilité des thèmes ou extensions avant l’installation
Vérifier l’origine et la fiabilité des thèmes ou des extensions avant de les installer sur un site WordPress est une étape cruciale pour assurer la sécurité et la stabilité de votre site.
Voici quelques points à considérer pour évaluer la fiabilité des thèmes et extensions avant de les installer :
Examinez les commentaires et les avis :
Avant de télécharger un thème ou une extension, vérifiez les commentaires et les avis sur le site officiel de WordPress, sur des sites tiers, ou dans des forums dédiés à WordPress.
Les commentaires et les avis des utilisateurs peuvent vous donner une idée de la qualité de l’extension et vous aider à éviter les thèmes et extensions qui ont des problèmes connus.
Vérifiez la réputation du développeur :
Il est important de vérifier la réputation du développeur avant d’installer un thème ou une extension.
Recherchez le nom du développeur sur Google et lisez les critiques et les commentaires d’autres utilisateurs.
Si le développeur a une mauvaise réputation, ou si les commentaires sont négatifs, il est préférable d’éviter d’installer leur thème ou extension.
Recherchez la fréquence des mises à jour :
Les thèmes et extensions doivent être régulièrement mis à jour pour corriger les bugs et les failles de sécurité.
Vérifiez la fréquence des mises à jour du thème ou de l’extension avant de l’installer.
Les développeurs qui publient régulièrement des mises à jour sont souvent plus fiables et peuvent être considérés comme étant plus soucieux de la sécurité de leur produit.
Vérifiez la compatibilité avec la version de WordPress :
Il est important de vérifier la compatibilité du thème ou de l’extension avec la version de WordPress que vous utilisez.
Les extensions et les thèmes qui ne sont pas compatibles avec votre version de WordPress peuvent causer des problèmes de sécurité et de stabilité.
Téléchargez à partir de sources fiables :
Téléchargez toujours les thèmes et extensions à partir de sources fiables, comme le répertoire officiel de WordPress ou des sites tiers réputés.
Évitez de télécharger des thèmes et extensions à partir de sites douteux ou inconnus, car cela pourrait exposer votre site à des risques de sécurité.
En suivant ces étapes, vous pouvez minimiser les risques d’installer des thèmes ou extensions malveillants ou non fiables sur votre site WordPress, et ainsi renforcer la sécurité et la stabilité de votre site.
Contrôler que vous disposez bien d’un certificat SSL
Avoir un certificat SSL (Secure Sockets Layer) est très important pour assurer la sécurité de votre site web.
Le SSL est un protocole de sécurité qui permet de crypter les données échangées entre votre site web et les navigateurs web des visiteurs.
Il garantit que les informations sensibles telles que les mots de passe, les données de paiement ou les informations de connexion sont transmises de manière sécurisée et ne peuvent pas être interceptées par des tiers malveillants.
Voici les étapes pour contrôler que vous disposez bien d’un certificat SSL :
Vérifiez si votre site a « https » dans l’URL :
Si votre site a un certificat SSL installé, vous devriez voir « https » au début de l’URL de votre site web, plutôt que « http ».
La présence de « https » indique que le trafic entre le navigateur du visiteur et le serveur web est crypté et donc sécurisé.
Assurez-vous qu’il y a le cadenas de sécurité :
Lorsque vous accédez à un site web sécurisé, vous devez voir un cadenas de sécurité à côté de l’URL de votre site web.
Le cadenas de sécurité indique que le site web utilise une connexion sécurisée et qu’il a un certificat SSL valide.
Contrôlez la validité du certificat :
Vous pouvez vérifier la validité du certificat SSL en cliquant sur le cadenas de sécurité et en vérifiant la date d’expiration du certificat.
Si le certificat est expiré, vous devriez renouveler le certificat SSL pour continuer à bénéficier de la sécurité SSL.
Ce certificat doit être fournit par votre hébergeur. Si ce n’est pas le cas, je vous invite à le contacter. Generalement il est regenéré automatiquement par l’hebergeur avant son expiration.
En tant que propriétaire d’un site internet, vous devez assurer la sécurité des personnes qui le visitent.
En conclusion, avoir un certificat SSL est essentiel pour garantir la sécurité de votre site web.
Il est important de vérifier régulièrement que votre site web dispose d’un certificat SSL valide et de renouveler le certificat avant sa date d’expiration pour continuer à bénéficier de la sécurité SSL.
Installer des extensions de sécurité pour éviter les attaques
Installer des extensions WordPress pour éviter les attaques est une étape nécessaire pour protéger votre site web.
Les extensions sont des outils qui ajoutent des fonctionnalités à votre site web.
Il existe plusieurs extensions WordPress gratuites et payantes qui peuvent vous aider à sécuriser votre site web.
Voici 2 extensions vérifiées WordPress que vous pouvez installer pour renforcer la sécurité de votre site web, personnellement j’utilise la première :
Wordfence Security :
Wordfence Security est une extension gratuite qui offre une protection contre les attaques de force brute, les attaques par injection SQL et les tentatives d’intrusion.
L’extension dispose d’une base de données de signatures de virus pour détecter les malwares et les attaques.
iThemes Security :
iThemes Security est une extension payante qui offre une protection contre les attaques de force brute, les attaques par injection SQL et les tentatives d’intrusion.
L’extension propose également une fonctionnalité de verrouillage de compte, une fonctionnalité de cache pour améliorer la performance de votre site web et une fonctionnalité de sauvegarde automatique.
Je vous invite à choisir l’une des deux et à ne pas cumuler plusieurs extensions de sécurité, elles ont tendances à ne pas être compatibles.
En plus d’installer ces extensions, il est également important de maintenir votre site web à jour en installant les mises à jour de WordPress et des extensions.
Je vous recommande d’utiliser des mots de passe forts pour les comptes d’administrateur et de limiter l’accès aux comptes utilisateurs.
En prenant ces mesures de sécurité, vous pouvez renforcer la sécurité de votre site web et éviter les attaques potentielles.
C’est à vous de jouer, vous avez toutes les cartes en main pour sécuriser votre site.
Si vous avez des doutes, questionnements, contactez-moi via le formulaire de contact ou prenez rendez-vous juste ici : https://calendly.com/phoenixwp/1h
Je serais ravie d’échanger avec vous.
Au plaisir!
Laurence