N'oubliez pas ces 10 conseils de sécurité lors du lancement d'un nouveau site Web
Il est facile de faire des erreurs lors de l'ouverture d'un nouveau site Web. Comment créer un site Web: pour les débutants Comment créer un site Web: pour les débutants aujourd'hui Je vais vous guider tout au long du processus de création d'un site Web complet. Ne vous inquiétez pas si cela semble difficile. Je vous guiderai à travers chaque étape du processus. Lire la suite . Ouvrir un petit magasin, un portefeuille ou un blog est très amusant, mais le traitement des failles de sécurité et des piratages l'est beaucoup moins. Lorsque vous configurez un nouveau site Web, il est important de vous assurer qu'il est sécurisé..
Heureusement, la plupart des choses que vous devriez faire sont très faciles. Certains prendront un peu de temps, mais c'est un investissement rentable. Ne laissez pas votre site sans protection! Voici 10 choses que vous pouvez faire pour assurer votre sécurité.
1. Choisissez un registraire de domaine sécurisé
Lorsque vous enregistrez votre domaine, vous voulez vous assurer que personne ne va en prendre le contrôle. Si un scélérat parvient à se connecter à votre registraire de domaine, il peut le transférer ou bien en créer d'autres..
Il existe quelques options pour les registraires de domaine qui utilisent l'authentification à deux facteurs (2FA). Qu'est-ce que l'authentification à deux facteurs et pourquoi utiliser l'authentification à deux facteurs et pourquoi l'utiliser? Authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux manières différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement… En savoir plus. Cela ajoute un niveau de sécurité supplémentaire et rend beaucoup plus difficile l'accès à quelqu'un d'autre. Même si quelqu'un réussit à obtenir votre mot de passe, il n'aura probablement pas accès à votre téléphone..
Voici quelques bureaux d'enregistrement qui offrent 2FA:
- Dynadot
- Allez papa
- Lexsynergy
- Name.com
- NomPas
2. Cachez vos informations du WHOIS
Chaque site Web comporte une entrée WHOIS, et si vous ne prenez pas les mesures nécessaires pour vous assurer que vos informations sont protégées, votre nom et votre adresse électronique seront faciles à trouver pour les entreprises de spam. Votre nom et votre adresse électronique sont tous deux nécessaires au vol d’identité. Par conséquent, leur confidentialité pourrait également vous protéger sur ce front..
La plupart des hébergeurs proposent un enregistrement WHOIS anonyme pour une somme modique, mais quelques-uns le fournissent librement. Dreamhost et 1and1 vous permettent d'ouvrir un site contenant des informations WHOIS anonymes sans frais..
Que vous décidiez de payer ou non, faites ce que vous pouvez pour que votre nom et votre adresse e-mail (ou même simplement votre adresse e-mail) ne figurent pas dans votre enregistrement WHOIS. Cela vous évitera de traiter beaucoup de spam et rendra un peu plus difficile pour quelqu'un de mettre la main sur vos informations..
3. Changer vos mots de passe
Espérons que cela va sans dire, mais changez vos mots de passe immédiatement. Comment générer des mots de passe forts qui correspondent à votre personnalité Comment générer des mots de passe forts qui correspondent à votre personnalité Sans un mot de passe fort, vous pourriez rapidement vous retrouver à la merci d'un cyber-crime. Une façon de créer un mot de passe mémorable pourrait être de le faire correspondre à votre personnalité. Lire la suite . Si votre domaine, votre hôte, votre CMS ou tout autre élément est fourni avec un mot de passe administrateur standard, modifiez-le. Vous devriez même changer votre nom d'utilisateur de “admin” à quelque chose d'autre si c'est le défaut.
Ce n'est pas une mauvaise idée de changer vos mots de passe régulièrement aussi. Utiliser un gestionnaire de mots de passe 7 Les superpouvoirs de Clever Password Manager vous devez commencer à utiliser 7 Les superpouvoirs de Clever Password Manager vous devez commencer à utiliser Les gestionnaires de mot de passe offrent de nombreuses fonctionnalités intéressantes, mais le saviez-vous? Voici sept aspects d’un gestionnaire de mots de passe dont vous devriez tirer parti. Lisez-en plus pour les suivre et assurez-vous qu'elles sont sécurisées.
4. Mise à jour du logiciel de votre site Web
Une fois votre inscription sécurisée, il est temps de sécuriser le site lui-même. Et la première étape - tout comme la première étape dans la sécurisation d’autre chose - consiste à tout mettre à jour.
Lorsque les entreprises découvrent des failles dans leur sécurité, elles publient des correctifs et des mises à jour. Si vous ne mettez pas votre logiciel à jour, vous resterez vulnérable. La plupart des hôtes rendent cela très facile, et vous rappelleront souvent de mettre à jour quand une nouvelle version est disponible. Néanmoins, il est judicieux de vérifier régulièrement les informations de version..
5. Utiliser des plugins de sécurité
Si vous utilisez un système de gestion de contenu (CMS) 10 Systèmes de gestion de contenu en ligne les plus populaires 10 Systèmes de gestion de contenu en ligne les plus populaires en ligne L'époque des pages HTML codées à la main et de la maîtrise du CSS est révolue. Installez un système de gestion de contenu (CMS) et en quelques minutes, vous pourrez partager un site Web avec le monde entier. Lire la suite, il existe des plugins de sécurité disponibles pour cela. Les gros comme WordPress 18 Plugins de sécurité Wordpress et astuces pour sécuriser votre blog 18 Plugins de sécurité Wordpress et astuces pour sécuriser votre blog En savoir plus, Drupal, Joomla et Magento en ont une tonne. Tout ce que vous avez à faire est de choisir celles qui correspondent le mieux à votre situation, puis de télécharger, d’installer et d’activer.
Chaque CMS et chaque extension de sécurité vous donneront des conseils différents sur ce que vous devez utiliser. C'est également une bonne idée de consulter les critiques de tiers sur les plug-ins de sécurité. Mais si le plugin est créé par un fournisseur réputé, votre site sera protégé. Utilisez des paramètres de sécurité plus élevés pour éliminer encore plus de vulnérabilités et gardez vos extensions à jour également.
6. Activer HTTPS
Vous ne devez pas penser uniquement à votre propre sécurité. Vos visiteurs et Google apprécieront que vous chiffriez tout le trafic sur votre site. Surtout si vos visiteurs vont partager des informations sensibles.
Certains services d'hébergement activent automatiquement HTTPS pour vous, tandis que d'autres vous permettent de le faire en un clic ou deux. Si vous êtes autonome ou que vous louez simplement un espace serveur, vous devrez peut-être le faire à la dure. Cela implique l'achat d'un certificat SSL, son activation et la configuration de votre site pour utiliser HTTPS..
Ce n'est pas particulièrement compliqué, mais le processus peut différer sur votre service d'hébergement, alors vérifiez avec eux pour trouver le meilleur moyen de le faire..
7. Vérifier les autorisations
Différents utilisateurs de votre site Web auront différents niveaux d'autorisation. En tant qu'administrateur, vous aurez la permission de modifier tout ce que vous voulez. Les autres personnes devraient être plus restreintes. Les CMS vous permettent souvent de modifier les autorisations des visiteurs, des visiteurs connectés, des éditeurs, des contributeurs et de nombreux autres groupes d'utilisateurs..
Réfléchissez au nombre d’accès que chaque groupe devrait avoir. Vos éditeurs doivent-ils créer de nouveaux utilisateurs? Vos lecteurs devraient-ils pouvoir éditer des pages? Donnez à chacun le moins d'autorisations possibles pour qu'il puisse faire son travail.
Si vous voulez être vraiment technique, vous pouvez utiliser un client FTP. Comment transformer l'explorateur de fichiers Windows en un client FTP. Comment transformer l'explorateur de fichiers Windows en un client FTP. Lorsque vous devez déplacer des fichiers entre ordinateurs, FTP est un excellent moyen de le faire. il. Et si vous utilisez l'Explorateur de fichiers Windows, vous n'avez plus besoin d'un client FTP tiers. Voici comment… Lire la suite pour examiner tous les fichiers de votre site et vérifier leurs autorisations en notation symbolique ou numérique. Vous pouvez ensuite utiliser le terminal de commande pour modifier les autorisations. (Si vous ne savez pas de quoi je parle, soyez prudent avec ça!)
8. Cachez vos pages d'administration
Les pages que vous utilisez pour vous connecter et gérer votre site Web ne doivent pas être visibles pour les moteurs de recherche. Cela pourrait ne pas sembler une mesure de sécurité, mais cela rend plus difficile la recherche de ces pages par des personnes malintentionnées. Et parce que c'est généralement très facile à faire, cela vaut la peine de prendre quelques minutes.
Certains CMS et plugins de sécurité vous permettront de cacher ces pages aux moteurs de recherche. Si le vôtre ne fournit pas cette fonctionnalité, vous pouvez le faire manuellement en modifiant votre fichier robots.txt, qui devrait être accessible depuis les paramètres de votre CMS ou la section administrateur de cPanel. Ajoutez ce qui suit au fichier:
User-agent: * Disallow: [l'URL relative de la page]
Dans WordPress, vous utiliseriez “/ wp-admin /” comme l'URL. Les autres CMS auront des URL différentes. Vous pouvez également interdire toute autre page que les utilisateurs n'ont pas besoin de voir. Non seulement c'est bon pour la sécurité, mais cela peut aussi aider votre référencement!
9. Protégez-vous contre les scripts intersites
XSS est une tactique de piratage Qu'est-ce qu'un script intersite (XSS), & Pourquoi est-ce une menace à la sécurité? Qu'est-ce qu'un script intersite (XSS)?, Et Pourquoi est-ce une menace à la sécurité? Des études ont révélé qu'elles étaient extrêmement courantes: 55% des sites Web contenaient des vulnérabilités XSS en 2011, selon le dernier rapport de White Hat Security, publié en juin… Lire la suite, qui consiste à exécuter du code sur votre site Web à l'aide de méthodes rondes. Cela pourrait arriver dans un formulaire de contact, par exemple. En incluant un script dans le formulaire de contact, un pirate informatique pourrait obliger votre site web à exécuter ce code, ce qui lui donnerait accès ou lui causerait des ravages..
Se protéger contre ce type d'attaque est en réalité assez compliqué. Si vous voulez en savoir plus sur les méthodes que vous pouvez utiliser, consultez ce génial aide-mémoire anti-XSS d’OWASP. Si vous êtes moins enclin au point de vue technique, de nombreux plug-ins anti-XSS sont disponibles. Certains plugins de sécurité standard peuvent couvrir cette vulnérabilité, mais ne supposez pas que ce soit le cas. Assurez-vous d'être protégé.
10. Prévenir les fuites d'informations
While XSS, injection SQL Qu'est-ce qu'une injection SQL? [MakeUseOf explique] Qu'est-ce qu'une injection SQL? [MakeUseOf explique] Le monde de la sécurité Internet est en proie à des ports ouverts, des portes dérobées, des failles de sécurité, des chevaux de Troie, des vers, des vulnérabilités de pare-feu et une multitude d'autres problèmes qui nous tiennent tous sur le qui-vive tous les jours. Pour les utilisateurs privés,… Lire la suite, la fissuration du mot de passe et d'autres méthodes de piratage peuvent sembler les plus dangereuses, ce sont souvent les choses les plus simples qui posent problème. La fuite d'informations est l'une de ces choses.
Lorsque vous donnez accidentellement des informations dont vous n'aviez pas l'intention (ou dont vous n'avez pas connaissance), il s'agit d'une fuite d'informations. Il est facile pour les développeurs de laisser accidentellement des commentaires HTML dans le code de votre site Web, par exemple, contenant des informations sensibles..
Si vous travaillez avec une implémentation standard de CMS, cela ne posera pas vraiment de problème. Toutefois, si vous avez demandé à quelqu'un de concevoir un thème personnalisé pour vous, ou avez effectué un travail de développement approfondi sur le site Web, vous devez vérifier la fuite d'informations. L’un des meilleurs moyens est simplement d’utiliser le Voir la source option dans votre navigateur et recherchez rapidement les commentaires HTML qui n'ont pas été supprimés.
Des sites Web plus vastes comprenant des centaines ou des milliers de pages peuvent nécessiter l'intervention d'un spécialiste en sécurité (ou au moins un stagiaire) pour suivre ce processus. Quoi qu'il en soit, c'est une chose facile à vérifier, alors ne l'oubliez pas..
Sécurisez votre site maintenant!
Lorsque vous créez un nouveau site Web, vous devez faire beaucoup de choses. Et il est facile d'oublier ces mesures de sécurité de base. Mais ils pourraient vous épargner beaucoup de problèmes (et potentiellement beaucoup d’argent) à long terme. Alors ne sautez pas dessus! Assurez-vous que votre site est sécurisé avant de commencer à travailler sur votre contenu..
Quels autres conseils avez-vous pour sécuriser de nouveaux sites Web? Partagez votre opinion dans les commentaires ci-dessous!
En savoir plus sur: Sécurité en ligne.