Des milliers de sites sont crées chaque jour, et des milliers disparaissent chaque jour aussi. La faute à quoi? Tout simplement à un niveau de sécurité trop faible de ces sites qui sont essentiellement dues à des erreurs de notre part. Vous l’aurez compris, nous sommes tous concernés par ces intrusions et personne n’est à l’abri de ces attaques.
Nous ne le savons par forcément, mais il existe un tas de conseils de sécurité à respecter pour limiter au maximum ce genre de désagrément. Que pouvons-nous faire pour contrer cela? Voici 10 conseils de sécurité.
1. Ne jamais avoir « Admin » comme nom d’utilisateur
Il s’agit ici d’une des erreurs les plus souvent commises par les administrateurs sur leur site. Les sites qui utilisent cette appellation comme nom d’utilisateur sont une aubaine pour les pirates qui privilégient ce type de sites pour leurs attaques.
Ces personnes malveillantes tentent dans la plupart du temps d’accéder à votre site à l’aide de logiciels qui vont tenter de multiples connexions en utilisant des expressions courantes comme mots de passe. Sans compter que ces expressions sont couplées à des noms d’utilisateur évidents comme « Admin », souvent mis par défaut sur les sites. Veillez donc bien à le changer!
2. Ne pas utiliser les vrais prénoms/noms de personnes ayant accès au réseau
Un peu comme le point 1, évitez de mettre les noms et prénoms des personnes qui ont accès à votre panneau d’administration comme nom d’utilisateur. Ce sont en règle général vos employés, et il suffit alors pour le pirate d’effectuer une petite recherche sur les réseaux sociaux pour voir qui fait partie de la boîte, et qui est donc susceptible d’avoir accès à certains privilèges.
3. Faire des backups et choisir un bon hébergement
Très peu d’administrateurs le font par pure fainéantise ou car ils croient qu’ils ne seront jamais touchés. Il ne faut jamais dire jamais! Il est important de faire des sauvegardes afin de pouvoir restaurer son site à une date antérieure en cas de pépin. Si certains outils existent pour cela, n’oubliez pas que la sécurité de votre site passe aussi par un hébergeur de qualité!
De plus, ceux-ci proposent souvent des outils pour les faire de façon très simple, et si vous ne l’avez pas fait, certains peuvent même restaurer votre site à un état fonctionnel. Ne sous-estimez pas ce choix. La qualité se paie, mais vous dormirez sur vos deux oreilles.
4. Limiter les « pouvoirs »
Prenons un CMS comme WordPress par exemple. Comme vous le savez, il est possible de créer plusieurs utilisateurs et de leur attribuer un certain privilège (correcteur, administrateur, rédacteur, etc.) afin que ces personnes puissent accéder au panneau d’administration.
Il est grandement conseillé de ne pas attribuer le pouvoir d’administration à tous les membres du réseau. Un rédacteur n’a pas à aller fouiller dans les feuilles de style par exemple. Limiter les pouvoirs, c’est limiter qu’un pirate prenne possession d’un compte aux pleins pouvoirs.
5. Nettoyer sa base d’utilisateurs
Vous possédez un réseau sur lequel tous vos employés sont présents? Malheureusement, certains décident de quitter l’entreprise. N’oubliez pas de votre côté de supprimer leurs accès. Ce n’est pas une question de confiance, mais de précaution. D’autant plus que ces personnes n’ont plus besoin de ces privilèges.
6. Choisir un mot de passe compliqué, mais pas trop
Il s’agit ici d’une des règles de base en matière de sécurité. Utilisez des mots de passe efficaces et difficilement piratables. Cette piqûre de rappel peut sembler dépassée, et pourtant, on peut voir à travers cette étude de Splashdata que le mot de passe 123456 est encore le plus utilisé!
Ensuite, il est primordial de ne pas utiliser comme mot de passe des mots que l’on peut trouver dans un dictionnaire. Certains logiciels testent des milliers de requêtes de mots existants en quelques secondes. Pour finir, l’utilisation d’un même mot de passe sur plusieurs sites est à proscrire! Toujours en entreprise, ne faites pas l’erreur d’attribuer un même mot de passe à tous vos employés.
À contrario, faites attention de ne choisir un mot de passe trop compliqué. Si il est trop difficile à retenir, nous le notons généralement sur un post-it ou bout de papier. Chose dangereuse puisque n’importe qui avec de mauvaises intentions peut tomber dessus.
7. Utiliser au minimum 8 caractères dans vos mots de passe
Avoir un bon mot de passe est aussi une question de longueur. Ayez minimum 8 caractères. Si possible, n’oubliez pas les majuscules, minuscules, les chiffres et des lettres.
8. Changer régulièrement son mot de passe
Cette tâche peut paraître lourde, mais il est important de changer son mot de passe de manière fréquente. Cela ne veut pas dire qu’il s’agit de le changer toutes les semaines, mais veillez à le changer de temps à autre. Un mot de passe peut toujours se retrouver dans vos archives, dans de vieilles bases de données ou encore sur un bout de papier. Soyez vigilants.
9. Mettre à jour les logiciels
Chaque mise à jour apporte des nouveautés et d’autres modifications. Hormis la puissance ou l’ajout de nouvelles fonctionnalités, ce sont souvent des bugs ou des failles de sécurité qui sont corrigés. Tout webmaster a donc en règle général intérêt à faire une mise à jour de ses logiciels (WordPress, plugins, etc.), et ceci afin de contrer les pirates qui n’hésitent pas à exploiter certaines failles de plugins non mis à jour par exemple.
Pour les utilisateurs de WordPress, il existe cet outil qui est un must-have en matière de sécurité : Plugin Security Checker. Celui-ci permet de détecter les vulnérabilités dans vos différents plugins. Outil efficace pour savoir si un vous êtes peut-être victime de failles de sécurité.
10. Avoir une personne de contact en cas d’urgence
Il est très important de toujours avoir une personne de contact en cas de pépin sur votre site. Votre responsable IT et sécurité est absent ou malade? Prenez vos précautions et trouvez une personne de confiance que vous pourrez contacter en soirée ou même les week-ends.
Conclusion
Appliquer ces conseils de sécurité, c’est grandement limiter les risques d’intrusion sur vos sites. Il s’agit de règles élémentaires accessibles même aux plus profanes d’entre nous. Prendre le temps de s’occuper de la sécurité de son site, c’est peut-être empêcher de gros désagréments dans le futur. Faites ça minutieusement!
Sources : Heidi Cohen – SEOmix – Woothemes