Vous vous êtes enfin décidé à créer le site web de votre entreprise. Vous venez de choisir votre hébergeur web, vous avez identifié le CMS et le thème que vous souhaitez installer, et vous vous apprêtez à choisir votre nom de domaine, puis à commencer la conception de votre site internet. Un point important à ne pas négliger durant votre projet web est la sécurité. Découvrez nos 5 conseils pour protéger votre site internet des potentielles attaques ou éventuels piratages.
Utilisez un mot de passe fort et changez-le régulièrement
Le premier risque pour votre hébergement web est le mot de passe. Il est en effet encore fréquent que des propriétaires de sites web utilisent comme mot de passe des combinaisons faibles comme « azerty », « 12345 » ou encore « motdepasse » pour sécuriser leur serveur FTP. Ces mauvaises pratiques en matière de choix de mots de passe peuvent avoir une influence considérable sur la sécurité de votre entreprise. Il existe de nombreux autres cas de figure qui sont risqués pour la sécurité de votre hébergement. Vous devez élaborer une stratégie sécurisée pour votre mot de passe lorsque vous déciderez de choisir un hébergeur web en France pour votre site internet, nous vous conseillons alors de :
- ne pas laisser vos mots de passe à la vue de tous,
- ne pas utiliser les mêmes mots de passe à plusieurs reprises,
- ne pas avoir des mots de passe personnels et professionnels identiques,
- ne pas avoir de stratégie de gestion de vos mots de passe,
- ne pas utiliser de mots de passe faibles et non sécurisés.
Il est essentiel d’avoir un mot de passe difficile à deviner afin d’éviter cela. Voici les exigences d’un mot de passe fort et que l’on peut considérer comme sécurisé :
- il doit comporter au moins 8 caractères,
- il ne doit pas inclure votre prénom, votre nom, le nom de votre entreprise ou votre surnom,
- il ne doit pas inclure un mot entier en français par exemple (basket, Espagne, tacos…),
- il doit contenir une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux tels que ! ;, ?/+%.
Il est important de changer régulièrement votre mot de passe, au moins une fois tous les 6 mois. Demandez conseil à votre hébergeur web pour sécuriser au maximum votre site internet.
Installez un plugin de sécurité comme Wordfence ou iThemes Security
WordPress est construit sur une base solide. La majorité des sites WordPress qui subissent des attaques sont piratés par des « bots », c’est-à-dire des scripts créés par des pirates pour tenter de compromettre le plus grand nombre possible de sites web. WordPress est une cible populaire pour les pirates puisque ce CMS est utilisé par 7 sites web sur 10 dans le monde. La méthode est toujours la même : les pirates y accèdent par le biais de plugins, de thèmes et de mots de passe faibles. C’est sur ces points qu’il faudra être vigilant lors de la création de votre site web.
La seule chose qui compte, c’est que vous choisissiez un thème auquel vous vous tiendrez, qui soit professionnel et régulièrement mis à jour. Il en va de même pour les plugins. Notez par exemple qu’il n’y aura pas de mises à jour de sécurité si le développeur abandonne son projet. Par expérience, gardez en tête que les thèmes présentent moins de vulnérabilités que les plugins. Notre conseil est d’utiliser aussi peu de plugins que possible, car chaque plugin ajoutera un autre point d’entrée pour le hacker potentiel. Dans tous les cas, nous vous recommandons 2 plugins de sécurité, qui ajouteront une surcouche de protection à votre site WordPress, à savoir Wordfence et iThemes Security.
Maintenez vos logiciels à jour, y compris votre CMS et vos plugins
Au-delà de l’aspect de sécurisation de votre hébergement web qui concerne aussi bien les accès à votre serveur FTP que la plateforme web que vous déployez, il faut aussi maintenir à jour votre CMS. Si vous optez pour WordPress, PrestaShop ou même Joomla, assurez-vous de toujours utiliser la dernière version du CMS, ainsi que les plugins associés. Pour la majorité des CMS aujourd’hui, la mise à jour peut même se faire en automatique, de manière que vous n’ayez plus à vous soucier de cet aspect.
Utilisez un plugin pour créer des sauvegardes régulières de votre site web
On se souvient tous de l’affaire OVHcloud et de l’incendie de son datacenter à Strasbourg. De nombreux propriétaires de sites web se sont retrouvés sans données ni possibilité de restaurer leur site internet sur un nouveau serveur, faute de sauvegarde. Comme pour votre ordinateur, il est important de sauvegarder automatiquement et régulièrement les fichiers et bases de données rattachées à votre site web.
Certains services d’hébergement web le proposent directement via leur interface, sinon il vous faudra installer puis configurer un plugin ou outil spécialisé dans la sauvegarde automatique de site web. Grâce à votre sauvegarde, vous pourrez ainsi l’installer en quelques clics en cas d’incident ou de piratage informatique, en choisissant par exemple la sauvegarde antérieure à votre piratage. Cela vous évitera de restaurer un site web piraté.
Limitez l’accès à votre zone d’administration avec une authentification à deux facteurs
La technologie 2FA est une technologie qui offre un mécanisme d’authentification forte. Voyons ce qu’est la technologie 2FA, comment elle fonctionne et comment la configurer. L’authentification à deux facteurs est un système d’authentification en deux étapes qui donne la possibilité à un utilisateur d’accéder à son appareil (comme un ordinateur, un smartphone ou l’espace administration d’un site web) après avoir fourni deux informations d’identification distinctes.
Il existe aujourd’hui plusieurs méthodes de 2 FA, mais la plus fréquente est le mot de passe de l’utilisateur combiné à une vérification par son smartphone, par SMS, par e-mail ou par appel vocal. La connexion à un service nécessitera par conséquent deux étapes indépendantes :
- l’accès via l’identifiant et le mot de passe de l’utilisateur,
- la confirmation de l’accès via l’appareil que vous possédez, pour lequel vous obtenez un code à usage unique.
De plus en plus de CMS proposent cela, par le biais de plugins ou de façon native, et nous vous conseillons vivement de l’activer pour renforcer la sécurité de votre site web. Pour conclure, gardez en tête que protéger son site internet nécessite parfois d’avoir des réflexes qui peuvent sembler démesurés par rapport aux enjeux. Il est néanmoins préférable d’en faire trop plutôt que pas assez. Cela donnera du fil à retordre aux éventuels piratages, et vous évitera de longues journées et des frais inutiles à rétablir votre site web.