10 meilleures pratiques de sécurité d'hébergement Web à suivre en 2020

Publié: 2022-04-28

Les menaces suivent les tendances et grâce à l'explosion numérique qui s'est propagée dans le monde entier, l'hébergement d'un site Web est aujourd'hui devenu de plus en plus dangereux.

C'est encore pire si l'on considère que la plupart des personnes qui possèdent des sites Web essaient de les monétiser, ce qui signifie qu'il existe un potentiel d'impact significatif.

Même si Google l'année dernière a mis en garde contre une concentration accrue sur la préparation mobile des sites Web, 2018 a également vu les attaques de logiciels malveillants mobiles doubler. Bien que cela ne soit que vaguement lié, la tendance générale des menaces de cybersécurité qui suivent la foule peut être observée.

La sécurité de l'hébergement Web peut être un défi, en particulier pour les petits sites Web aux ressources limitées. Après tout, si même des institutions financières dotées de budgets de cybersécurité de plusieurs milliards de dollars peuvent être piratées, quel espoir y a-t-il pour le reste d'entre nous, n'est-ce pas ?

Pas tout à fait correct.

Abandonner et ignorer les cybermenaces simplement parce que vous pensez que vous n'avez pas les ressources pour les surmonter est une erreur. Les cyberattaques dépensent beaucoup plus de temps et de ressources pour pénétrer des cibles de grande valeur, car il existe un potentiel pour un gros salaire.

Cependant, pour les sites plus petits, garder les choses en perspective et suivre les meilleures pratiques de sécurité d'hébergement Web standard devraient suffire à atténuer la plupart des problèmes. Eh bien, à moins que vous n'ayez rendu quelqu'un très en colère contre vous, pour une raison quelconque.

Aujourd'hui, je vais partager avec vous quelques bonnes pratiques en matière de sécurité de l'hébergement Web et vous proposer des conseils pratiques que vous pouvez essayer pour renforcer vos défenses.

Vous ne pouvez pas accéder à votre site ? Avez-vous été piraté? Vous avez perdu votre mot de passe ou l'intégralité de votre compte ? Vos fichiers principaux sont-ils compromis ? Le script de récupération d'urgence gratuit résoudra votre cauchemar en un seul clic.

10 meilleures pratiques de sécurité d'hébergement Web à suivre

1. Restez avec un fournisseur d'hébergement Web réputé

Votre fournisseur d'hébergement Web joue un rôle beaucoup plus important dans la sécurité de votre site Web que vous ne le pensez. Depuis l'espace physique de votre site Web sur le trafic entrant et sortant de votre site Web, votre fournisseur d'hébergement Web joue un rôle très intime en ce qui concerne votre sécurité.

Par exemple, c'est souvent l'hébergeur qui s'occupe des éléments de ligne standard tels que l'antivirus et l'antimalware. Certains fournisseurs d'hébergement Web proposent également des systèmes anti-spam, de sauvegarde et de récupération automatisés et, si vous avez de la chance, utilisent même un réseau de distribution de contenu (CDN).

L'hébergement mutualisé comporte parfois un certain risque selon le fournisseur d'hébergement Web. Si vous avez plusieurs sites Web sous le même compte et qu'ils sont accessibles depuis le même compte FTP, il suffit que l'un d'entre eux soit infecté par un logiciel malveillant pour compromettre également les autres sites.

Si vous avez été victime de ce piratage de logiciels malveillants, nous vous recommandons de consulter ce guide sur la façon de nettoyer votre site Web des logiciels malveillants.

Astuce : Faites de la sécurité votre principal facteur de considération lors du choix d'un hébergeur. Si vous hébergez un site depuis un certain temps maintenant et qu'il a grandi au point où vous pouvez justifier le passage à un compte d'hébergement VPS, je vous recommande de le faire dès que possible. L'hébergement VPS offre de bien meilleures fonctionnalités de sécurité que les comptes d'hébergement partagé standard.

2. Utilisez un CDN

Sécurité de l'hébergement Web — *Modèle de livraison Web traditionnel (à gauche) versus via un CDN (à droite) – Source :* *Wikipedia*

Comme je l'ai mentionné juste au-dessus, certains hébergeurs Web fonctionnent avec CDN, mais s'ils ne le font pas, vous pouvez également le faire pour vous-même. Les CDN permettent de proposer vos pages Web plus rapidement aux visiteurs en hébergeant des caches de votre site sur des serveurs du monde entier. Lorsque l'accès à votre site est demandé, le CDN servira d'abord les données mises en cache à partir de l'emplacement le plus proche de l'endroit où elles ont été demandées.

Cependant, outre l'avantage de la vitesse, les CDN utilisent également les réseaux de serveurs massifs pour offrir ce qu'on appelle l'équilibrage de charge. Cela signifie qu'en utilisant un CDN, vous travaillez en partie sur les ressources de leur serveur et vous pouvez gérer un plus grand nombre de visiteurs.

Cela est lié à la meilleure partie de l'utilisation d'un CDN, la prévention des attaques par déni de service distribué (DDoS). Les attaques DDoS tentent de submerger et de fermer les sites Web en les inondant de demandes jusqu'à ce que le serveur s'arrête. Les CDN sont cependant conçus pour renforcer la sécurité en compensant cela via leur réseau de serveurs.

Astuce : Essayez d'utiliser Cloudflare comme CDN. Il existe des comptes gratuits disponibles avec des fonctionnalités de base et vous pouvez évoluer avec eux à mesure que vos besoins changent.

3. Utilisez toujours des certificats SSL

*Les navigateurs indiqueront aux utilisateurs si le site Web qu'ils visitent est sécurisé ou non*

Les certificats Secure Sockets Layer (SSL) aident à garantir à vos visiteurs que toutes les informations qu'ils partagent sur votre site sont cryptées et sécurisées. Aujourd'hui, SSL devient si important que les principaux navigateurs Internet avertissent les utilisateurs si un site n'utilise pas SSL.

Il existe plusieurs types de certificats SSL et les prix de chacun varient. Soyez assuré que si vous gérez un site personnel ou même un site pour une petite entreprise, vous pouvez facilement utiliser un certificat SSL gratuit. Ils sont faciles à obtenir et à installer ; en fait, vous pouvez le faire en quelques clics dans Plesk ou cPanel.

Astuce : Vous pouvez obtenir un certificat SSL gratuit auprès de Let's Encrypt soit directement auprès d'eux, mais il est préférable que votre hébergeur propose ce service. Mai les hébergeurs d'aujourd'hui permettront une installation facile du SSL gratuit de Let's Encrypt.

4. Gardez toujours des sauvegardes

sauvegarde automatique

Sauvegarde et restauration automatiques avec l'hébergement WPX

Bien qu'il existe des hébergeurs Web qui offrent des fonctionnalités de sauvegarde et de restauration, certains ne le font toujours pas. Indépendamment de cela, vous devez toujours effectuer vos propres sauvegardes et conserver un ensemble de fichiers hors ligne, au cas où. Cela peut vous sembler un peu fastidieux, mais vous n'avez aucune idée de la façon dont votre hébergeur a mis en place son système de sauvegarde ou de ce qui pourrait arriver en cas de sinistre. Garder une sauvegarde hors ligne (de vos fichiers et de votre base de données !) peut vous sauver la vie.

Astuce : Automatiser le processus de sauvegarde hors ligne est plus facile que vous ne le pensez, surtout si vous utilisez WordPress. Utilisez le plugin de sauvegarde UpdraftPlus et vous pouvez sauvegarder à distance à n'importe quelle fréquence vers une destination de votre choix. Vous pouvez également consulter ces services de sauvegarde pour WordPress

5. Renforcez les mots de passe

*Exemple de facteurs de sécurité de mot de passe (source :* *Cheatography* )

Vous en avez entendu parler, vous l'avez vu dans les films et vous êtes peut-être coupable de l'avoir fait vous-même, mais l'utilisation de mots de passe faciles à retenir est une recette pour le désastre. Aujourd'hui, les pirates sont suffisamment sophistiqués pour disposer de fichiers entiers appelés dictionnaires remplis de mots de passe couramment utilisés qu'ils testeront par rapport aux défenses d'un site.

Pour mettre les choses en perspective, un botnet peut forcer brutalement un mot de passe à six caractères en environ quatre heures. N'oubliez pas que tout est automatisé, donc pendant que vous et les cyber-attaquants dormez, les bots essaient de pénétrer dans les sites Web.

Conseils : Utilisez un mot de passe plus long et plus complexe, composé de préférence d'un mélange de caractères majuscules et minuscules, de chiffres et de caractères spéciaux.

6. Chiffrez votre propre connexion

Étant donné que vous êtes le propriétaire de votre site Web, votre connexion à votre compte d'hébergement Web doit être plus sécurisée que celle de vos visiteurs. Je vous recommande de transférer des fichiers à l'aide du protocole de transfert de fichiers sécurisé (SFTP) ou via une connexion de réseau privé virtuel (VPN).

L'une ou l'autre méthode aidera à empêcher quiconque d'essayer d'intercepter et de voler les données que vous envoyez à votre serveur Web. Personnellement, je recommande d'utiliser un VPN, même si le coût est généralement plus élevé que d'utiliser un client SFTP. Les VPN fonctionnent en cryptant tout ce qui est envoyé depuis votre ordinateur et couvrent donc tous les scénarios !

Astuce : Si un VPN n'est pas votre tasse de thé, il existe une tonne de clients SFTP gratuits à utiliser. Je recommande FileZilla qui est extrêmement puissant et son open source.

7. Gardez les choses à jour

L'un des moyens par lesquels les attaquants tentent d'accéder aux sites Web consiste à exploiter les faiblesses connues des logiciels. Presque tous les logiciels ont des bogues ou des failles de quelque sorte que ce soit et beaucoup sont continuellement mis à jour pour bloquer ces lacunes au fur et à mesure que les développeurs les trouvent.

Assurez-vous que tous les logiciels que vous utilisez pour votre site Web sont à jour dans la mesure du possible. Si vous utilisez WordPress, assurez-vous que non seulement votre installation WordPress est à jour, mais également chaque plugin ou thème que vous avez installé.

Astuce : Certains hébergeurs proposent des mises à jour en un clic pour les sites WordPress qui vous permettront de mettre à jour rapidement non pas un seul site, mais tous vos sites hébergés sous votre compte.

8. Utiliser les fichiers de configuration du serveur

Le type de fichiers de configuration de serveur que vous devez gérer dépend de la plate-forme d'hébergement Web sur laquelle vous vous trouvez. Par exemple, Apache utilise .htaccess tandis que Microsoft utilise des fichiers web.config. Ces fichiers de configuration sont extrêmement puissants et peuvent être utilisés pour améliorer la sécurité de votre site.

En ajoutant les bonnes règles aux fichiers de configuration de votre serveur, vous pouvez empêcher la navigation dans les répertoires, empêcher les autres de créer des liens vers des images sur votre site et même protéger des fichiers spécifiques.

Astuce : Si vous n'êtes pas sûr du serveur Web sur lequel vous vous trouvez, vous pouvez le vérifier très rapidement ici.

9. Faites attention aux autorisations de fichiers

Les fichiers ont plusieurs propriétés qui définissent ce que les utilisateurs peuvent leur faire et par qui. Fondamentalement, il existe trois rôles qui peuvent interagir avec les fichiers ; propriétaires, groupes et public. Ce qu'ils peuvent faire avec les fichiers, c'est les lire, les écrire ou les exécuter.

Pour vraiment sécuriser votre site, apprenez quels sont les fichiers importants et vérifiez les autorisations avec lesquelles chacun d'eux est défini. Une autorisation de fichier mal définie peut finir par permettre à toute personne y ayant accès d'ajouter du code malveillant qui peut endommager votre site.

Astuce : L'autorisation de fichier 666 permet à quiconque d'écrire quoi que ce soit dans votre fichier - soyez extrêmement prudent lorsque vous utilisez ce paramètre !

10. Utilisez l'authentification à deux facteurs

En ce qui concerne l'élément n ° 5, peu importe la longueur ou la complexité d'un mot de passe, il a toujours le potentiel d'être piraté. Si c'est vraiment une de vos phobies, je vous recommande fortement de rechercher un système d'authentification à 2 facteurs (2FA).

L'utilisation d'un 2FA signifie qu'en plus de votre mot de passe, le système auquel vous essayez d'accéder doit vérifier votre identité par un autre moyen. La méthode 2FA la plus rapide et la plus courante consiste à s'authentifier via un code mobile.

Une fois votre mot de passe vérifié, le système enverra un code à votre appareil mobile et vous affichera un code d'authentification. Vous devez entrer ce code dans le système avant d'avoir accès. Cela augmente considérablement la sécurité de votre système.

Astuce : Il existe de nombreux systèmes 2FA disponibles sur le marché. Si vous utilisez WordPress, il y en a même quelques-uns gratuits que vous pouvez essayer comme Google Authenticator.

Conclusion : Parlez doucement et portez un gros bâton

Bien que j'aie fourni ici 10 exemples de meilleures pratiques de sécurité d'hébergement Web, il y en a beaucoup plus et certaines peuvent impliquer plus d'un élément que vous pouvez faire ou faire attention à améliorer. Pour cette raison, il peut être difficile pour les propriétaires de sites Web de tout suivre, surtout si ce n'est pas votre activité principale.

Je vous recommande d'établir une liste de contrôle où vous énumérez tout ce qui doit être surveillé et le séparez par fréquence. Par exemple, quels éléments vous devez vérifier quotidiennement, hebdomadairement ou mensuellement. Cela vous aidera à rester à jour.

N'oubliez pas que vous n'avez pas besoin d'avoir une sécurité de site Web parfaite - ce serait impossible. Ce que vous devez vraiment faire, c'est rendre les choses aussi difficiles que possible pour tout attaquant afin qu'il perde tout intérêt pour votre site et passe à des choix plus faciles.

Comme l'a dit Teddy Roosevelt, "parlez doucement et portez un gros bâton" Vos défenses de sécurité sont votre gros bâton, pour ainsi dire.