Guidez votre site web vers le succès : les choses à faire pour une sécurité renforcée

Sur votre chemin vers une présence en ligne plus réussie, il y a une étape essentielle que vous ne devriez jamais négliger – la sécurité de votre site web. Chez SiteGround, nous mettons constamment à jour vos outils de sécurité avec une technologie de sécurité originale et des fonctionnalités supplémentaires. Cependant, il y a quelques étapes supplémentaires que vous pouvez prendre pour protéger votre site, afin que lorsque votre activité en ligne prend de la vitesse, vous et vos clients ayez une tranquillité d’esprit absolue.

Votre ultime liste de choses à faire pour améliorer la sécurité de votre site web :

Les menaces qui pèsent sur les sites web sont multiples et évoluent constamment : phishing, logiciels malveillants, ransomware, attaques DDoS, usurpation d’identité, fuite de données clients, voire erreur humaine. Pour protéger votre site web à plusieurs niveaux, nous avons compilé une liste mais facile à suivre, avec des conseils pratiques. Suivez chaque étape pour vous assurer que votre site web est solidement protégé contre les menaces potentielles.

1. Choisissez un hébergeur qui protège l’infrastructure du serveur

💡POURQUOI : Choisir un fournisseur d’hébergement web sécurisé est la première étape vers un site web sécurisé. Un bon hébergeur protégera votre site web à différents niveaux, en commençant par la sécurité de l’infrastructure de ses serveurs. Certaines mesures de sécurité essentielles et efficaces au niveau des serveurs incluent un pare-feu de trafic réseau, un pare-feu d’application web, une protection contre les attaques DDoS, etc. Toutes ces mesures aident à filtrer le mauvais trafic et à bloquer les attaques par force brute, les attaques DDoS, les injections de logiciels malveillants, et autres.

❓COMMENT : Lorsque vous choisissez un nouveau fournisseur d’hébergement ou que vous passez à un autre, renseignez-vous sur son infrastructure d’hébergement et sur les mesures de sécurité qu’il offre. Consultez leur site web pour obtenir des informations techniques sur la sécurité ou, mieux encore, contactez-les directement pour leur poser des questions spécifiques.

Chez SiteGround, nous fournissons non seulement toutes les mesures de sécurité essentielles, mais nous allons encore plus loin. Au lieu de les faire fonctionner de manière autonome, nous avons construit un système de sécurité central qui garantit que tous nos serveurs sont protégés à tout moment en rassemblant et en analysant constamment les données de tous les systèmes de sécurité des serveurs individuels, et en distribuant des règles de sécurité intelligentes, appliquées à toutes les machines. Chez SiteGround, votre site web est en sécurité grâce à :

• Système de surveillance des serveurs 24h/7j qui vérifie l’état du serveur toutes les 0,5 secondes, bien plus souvent que les systèmes de surveillance standard dans notre secteur. En plus de détecter et de résoudre les problèmes actuels, il prévoit et prévient automatiquement toute une série de problèmes.

• Un système intelligent de pare-feu d’application web au niveau du serveur qui surveille le trafic et empêche les pirates d’exploiter le CMS (système de gestion de contenu) les plus populaires et leurs plugins. Notre équipe de sécurité crée constamment de nouvelles règles de sécurité personnalisées et les ajoute à notre WAF (pare-feu applicatif web) intelligent pour protéger les sites web hébergés chez nous.

• Un puissant système IA anti-bot qui arrête le trafic malveillant avant qu’il n’atteigne les sites web de nos clients, bloquant entre 25 et 30 millions d’attaques par force brute par heure sur l’ensemble de nos serveurs.

• Des sauvegardes quotidiennes distribuées géographiquement, stockées dans un centre de données différent de celui qui héberge le compte réel, et le service de sauvegarde premium qui fournit jusqu’à 60 copies de sauvegarde supplémentaires des sites web de nos clients et permet de télécharger toutes les sauvegardes sur les machines locales de nos clients.

• Les dernières versions de logiciels, telles que PHP 8.2 par défaut et MySQL 8, sont utilisées sur tous les serveurs de SiteGround. Il est important que votre logiciel soit toujours à jour, car les versions plus anciennes deviennent inévitablement vulnérables aux cyberattaques avec le temps.

2. Protégez vos données avec un certificat SSL

💡POURQUOI : Avoir un certificat SSL sur votre site web est une nécessité et une norme de l’industrie. Voici quelques-unes des principales raisons pour lesquelles vous devriez en avoir un: un certificat SSL sécurise les informations sensibles, telles que les numéros de carte de crédit, les identifiants, les mots de passe, les messages, et d’autres par cryptage. Il vérifie l’identité de votre site web et il garantit que votre site web répond aux exigences des moteurs de recherche qui signalent les sites non sécurisés.

❓COMMENT : En tant que propriétaire de site web, vous pouvez obtenir un certificat SSL gratuit auprès de Let’s Encrypt, par exemple, ou vous pouvez demander à votre fournisseur d’hébergement s’il offre des certificats SSL. 

En tant que client SiteGround, vous obtenez gratuitement des certificats SSL Standard et Wildcard avec tous nos plans d’hébergement, pour tous vos sites web. Vous pouvez facilement gérer vos certificats SSL actifs à partir de votre panneau de contrôle Site Tools – il vous suffit d’accéder à Site Tools > Sécurité > Gestionnaire SSL. Une fois connecté, vous pouvez également passer du SSL Standard gratuit au SSL Wildcard gratuit (pour les sites web de taille moyenne), ou passer au SSL Wildcard Premium (pour les sites web de grande taille).

3. Créer des mots de passe forts et sécurisés

💡POURQUOI : Le mot de passe utilisé pour se connecter au panneau d’administration de votre site web est l’une des premières choses que les pirates essaieront de déchiffrer. Si votre mot de passe est faible, comme votre nom ou votre date de naissance, par exemple, les pirates n’auront besoin que de quelques tentatives pour le deviner avec succès et accéder à toutes les informations de votre site web. C’est pourquoi il est essentiel d’utiliser des mots de passe forts et sécurisés pour votre connexion.

❓COMMENT : Pour avoir un mot de passe fort et sécurisé, assurez-vous d’utiliser des mots de passe longs, avec des chiffres, des lettres majuscules et minuscules, des caractères spéciaux, etc. Ne l’écrivez jamais (ni sur papier, ni sur un appareil électronique), mais conservez-le dans un gestionnaire de mots de passe sécurisé. Et n’oubliez pas de les mettre à jour régulièrement, car si vous utilisez toujours le même, il deviendra vulnérable à un moment donné.

4. Utiliser l’authentification à deux facteurs

💡POURQUOI : Même avec les mots de passe les plus difficiles à deviner, il est toujours possible qu’ils soient compromis. Cela peut être dû à une erreur humaine, ou à une attaque par force brute, où les pirates utilisent différentes combinaisons pour deviner votre mot de passe – à grande échelle, des centaines de milliers de tentatives par heure, par exemple. 

❓COMMENT : Pour renforcer davantage votre connexion, mettez en place la double authentification (2FA). Elle exige qu’une étape supplémentaire soit franchie avant que quiconque puisse accéder à vos données. Il s’agit d’une couche supplémentaire d’authentification – un code dynamique génère temporairement sur votre téléphone ou e-mail. La fonctionnalité double authentification est accessible en un clic dans le plugin gratuit Security Optimizer développé par SiteGround pour les sites WordPress.

5. Empêcher les attaques par force brute

💡POURQUOI : Les attaques par force brute menées par des bots constituent aujourd’hui un grave problème mondial pour tous les sites web. Elles couvrent une vaste échelle de multi-sites sur un ou plusieurs serveurs, ce qui en fait un problème très sérieux, que votre site soit grand ou petit, qu’il soit critique pour votre entreprise ou qu’il s’agisse simplement d’un portfolio en ligne. Une attaque par force brute est une technique de piratage qui utilise les essais et les erreurs pour deviner et craquer vos mots de passe, vos identifiants de connexion et vos clés de cryptage, à grande échelle. Une attaque par force brute réussie peut entraîner d’énormes pertes financières, un vol d’informations personnelles (coordonnées bancaires, informations médicales confidentielles, etc.) et de nombreux autres dommages.

❓COMMENT : Il existe plusieurs mesures que vous pouvez prendre pour protéger votre site web contre les attaques par force brute. Il s’agit notamment d’avoir des mots de passe forts, de limiter les tentatives de connexion au panneau d’administration de votre site web, de surveiller les adresses IP pour détecter un comportement suspect, d’utiliser des CAPTCHA, de créer une URL d’authentification unique pour le panneau d’administration de votre site web, et d’autres encore.

Néanmoins, votre choix de fournisseur d’hébergement web joue un rôle crucial dans la prévention des attaques par force brute contre votre site web. Chez SiteGround, nous avons développé un système anti-bot IA avancé qui empêche des millions d’attaques par force brute. Après la dernière mise à jour du système, il filtre 95% de plus de requêtes malveillantes en apprenant constamment des milliers d’attaques par force brute par jour et en ajoutant une fonctionnalité de validation du trafic qui minimise le nombre d’attaques par force brute. Les clients de SiteGround bénéficient de ce système avancé par défaut, sans qu’aucune action ne soit nécessaire de leur part.

6. Surveiller attentivement le trafic de votre site web

💡POURQUOI : En tant que propriétaire de site web, vous pouvez parfois remarquer des modèles spécifiques ou un trafic suspect arrivant sur votre site web. Imaginez que vous surveillez un trafic étrangement élevé provenant d’un pays que vous ne ciblez pas, que vous recevez trop de commentaires spam sur votre blog provenant d’une localisation spécifique, ou tout autre comportement bizarre provenant d’une certaine région géographique. Dans de tels cas, il serait utile de pouvoir arrêter le trafic provenant de cet endroit, car il pourrait souvent s’avérer malveillant. L’arrêt du trafic provenant d’un pays spécifique pourrait également profiter à votre entreprise, si, par exemple, des exigences légales vous empêchent de fournir votre service dans ce pays, ou s’il existe de lourdes exigences fiscales, et autres.

❓COMMENT : Pour surveiller le trafic de votre site web, vous pouvez utiliser différents outils de la sécurité réseau qui vous avertissent d’une activité malveillante potentielle dans votre réseau, ou vous pouvez également configurer des alertes vous-même, chaque fois que vous rencontrez des tentatives de connexion inconnues ou une activité suspecte à partir de certaines adresses IP. 

Les clients de SiteGround peuvent facilement bloquer des adresses IP spécifiques ou des pays entiers et arrêter le trafic provenant de pays qui ne sont pas pertinents pour leur entreprise ou leur présence en ligne. Si vous êtes client de SiteGround, vous pouvez gérer le trafic de votre site dans Site Tools > Sécurité > Trafic Bloqué.

7. Protégez votre boîte de réception contre les messages spam

💡POURQUOI : De nos jours, traiter de nombreux e-mails fait partie de notre routine professionnelle quotidienne. Cependant, lorsque votre boîte de réception est envahie par des messages indésirables à chaque heure, la tâche devient encore plus ennuyeuse et désagréable. Vous devez traiter manuellement chaque e-mail et marquer comme spam ceux qui se sont faufilés dans votre boîte de réception. Mais le spam ne se limite pas à une boîte de réception encombrée – il est dangereux, car il peut être la principale source de phishing et d’autres cyberattaques. Ainsi, les messages spam peuvent avoir un impact négatif non seulement sur le destinataire, mais aussi sur l’expéditeur. Si un autre utilisateur de votre serveur a envoyé des messages spam de manière incontrôlée, il est possible que l’ensemble de votre serveur e-mail soit blacklisté. Cela vous affecte lorsque vous essayez d’envoyer un e-mail légitime, qui pourrait ne pas atteindre le destinataire simplement parce qu’il provient d’une adresse de serveur déjà compromise.

❓COMMENT :  Tout d’abord, veillez à ne pas supprimer les messages de spam de votre boîte de réception, mais à les marquer comme spam, afin que votre filtre anti-spam sache qu’il ne doit plus laisser entrer de messages provenant de cette adresse dans votre boîte de réception. Deuxièmement, si vous savez que le message est un spam, même avant de l’ouvrir, supprimez-le sans appuyer dessus ni télécharger quoi que ce soit. Ces messages peuvent contenir des logiciels malveillants ! 

Les clients de SiteGround bénéficient d’une solution interne de protection contre le spam qui empêche les messages spams entrants et sortants. Notre solution ne se contente pas de minimiser efficacement la quantité de messages de spam livrés dans votre boîte de réception, mais elle apprend aussi constamment de votre comportement de lecture des e-mails et de vos actions pour ajouter encore plus de règles personnalisées pour les messages spam. Ainsi, notre système empêche chaque jour 12 millions d’e-mails spams d’atteindre votre boîte de réception, tandis que 600 000 d’entre eux sont directement transférés dans le dossier spam. Il détecte et bloque également de manière extrêmement efficace les messages spam sortants de nos serveurs, vous offrant ainsi une couche de sécurité supplémentaire.

Les clients de SiteGround ont nos fonctionnalités intégrées de protection contre le spam activées par défaut, mais ils peuvent également les gérer facilement depuis une interface simple pour autoriser et bloquer les expéditeurs. Il leur suffit d’accéder à Site Tools > E-mail > Protection contre le spam et d’indiquer directement au système comment traiter un certain expéditeur en ajoutant une adresse e-mail ou un domaine entier à leurs listes de blocage/d’autorisation.

8. Scannez régulièrement votre site web pour détecter les menaces potentielles

💡POURQUOI : Les pirates informatiques inventent de nouvelles méthodes plus intelligentes pour “détourner” les sites web, à chaque heure. Votre site web peut être infecté par des logiciels malveillants de nombreuses façons: identifiants de connexion/logiciels corrompus ou obsolètes, plugins et thèmes infectés ou falsifiés, et bien d’autres encore. Si votre site est infecté par des logiciels malveillants, mais aussi sur l’ensemble de votre activité. 

❓COMMENT : Votre meilleure défense contre les logiciels malveillants est une surveillance constante. Cependant, en tant que propriétaire d’un site web, vous avez de nombreuses autres responsabilités en ce qui concerne votre site web, et vous ne pouvez pas le surveiller vous-même 24h/7j pour détecter un comportement inhabituel. En revanche, votre hébergeur peut et doit le faire. 
Avec SiteGround, nos clients peuvent activer le Site Scanner – une extension complémentaire de sécurité qui analyse vos sites web quotidiennement, vous avertit des logiciels malveillants potentiels et d’autres menaces de sécurité, et fournit des outils pour réagir si vos sites web font l’objet d’une attaque. Voici comment Site Scanner protège vos sites web.

9. Booster la sécurité de WordPress

💡POURQUOI : WordPress est la plateforme de gestion de contenu la plus populaire au monde, et en tant que telle, c’est aussi une cible privilégiée pour les pirates informatiques. Même si tous les conseils ci-dessus s’appliquent également à WordPress, il y a quelques mesures supplémentaires que vous pouvez prendre pour vous assurer que votre site WordPress est entièrement sécurisé contre les menaces malveillantes.

❓COMMENT : Nous allons vous donner quelques conseils importants, mais faciles à suivre, pour vous aider à prendre soin de la sécurité de votre site WordPress :

• Maintenir la version de WordPress et les plugins à jour

Il est important de maintenir votre version WordPress et vos plugins à jour avec leurs dernières versions possibles, car les pirates utilisent n’importe quelle vulnérabilité pour accéder aux fichiers de votre site web, aux informations sensibles, etc. Il suffit de vous connecter à l’administration de WordPress et d’accéder à la rubrique « Réglages » ou « Plugins » pour vérifier s’il existe une version plus récente.

Chez SiteGround, nous mettons automatiquement à jour tous les sites WordPress hébergés chez nous avec la dernière version stable de WordPress, ainsi que les plugins gratuits, en fonction des paramètres des clients dans leurs Site Tools > WordPress > Mise à jour automatique.

• Réviser les rôles et les droits de vos utilisateurs

Assurez-vous de réviser et de supprimer les utilisateurs inactifs ou de limiter l’accès de certains utilisateurs uniquement aux informations et ressources dont ils ont besoin pour ce rôle spécifique. Par exemple, ne laissez les comptes de niveau administrateur qu’aux personnes responsables des aspects techniques de votre site web, mais ne donnez un accès de modification à votre blog qu’aux utilisateurs qui gèrent le contenu ou les utilisateurs de votre site.

• Éviter les noms d’utilisateur communs

N’oubliez pas que votre connexion WordPress est composée de votre nom d’utilisateur et de votre mot de passe. Cependant, toutes les installations WordPress par défaut viennent avec le nom d’utilisateur « Admin », ce qui signifie que les pirates connaissent déjà l’un des deux éléments de vos informations de connexion. C’est pourquoi il est important de changer votre nom d’utilisateur pour un nom personnalisé.

• Supprimer les plugins et les thèmes inactifs ou obsolètes

Les plugins et thèmes inactifs ou obsolètes, y compris ceux qui sont désactivés, ouvrent également la voie aux pirates pour accéder à votre site web. Pour éviter cette possibilité, il suffit de supprimer tous les plugins et thèmes qui vous n’utilisent pas sur votre site web.

• Ajoutez une couche de sécurité supplémentaire avec un plugin fiable

Le plugin Security Optimizer, disponible gratuitement pour tous les sites WordPress, vous offre toutes les fonctionnalités de sécurité dont vous avez besoin pour protéger votre site WordPress. Son interface conviviale vous permet d’activer une variété de fonctionnalités de sécurité en quelques clics – du masquage de la version de WordPress, au verrouillage et à la protection des dossiers de système, en passant par le renforcement de différents éléments de la sécurité de votre connexion, ainsi que la surveillance des visites, des robots  et d’autres dans un journal d’activité détaillé.

10. Sauvegardez régulièrement votre site web

💡POURQUOI : Même si vous avez pris de certains mesures de sécurité, des événements inattendus peuvent toujours se produire – une mise à jour peut mal tourner, vous pouvez involontairement “casser” quelque chose sur votre site, ou toute autre circonstance imprévue peut vous obliger à revenir sur une ancienne version de votre site web. C’est comme un bouton « ANNULER » dans la vie réelle. C’est pourquoi il est indispensable de conserver plusieurs copies de sauvegarde de votre site web afin de revenir en arrière en cas de problème.

❓COMMENT : Il existe deux façons principales de sauvegarder votre site web: manuellement et à l’aide d’un service de sauvegarde tiers. Si vous souhaitez sauvegarder votre site web vous-même, vous devez vous connecter à votre compte d’hébergement web, localiser le répertoire contenant les fichiers de votre site web, utiliser un client FTP pour télécharger ce répertoire sur votre ordinateur local et le stocker dans un endroit sûr. Cette méthode est utile, mais elle peut s’avérer peu pratique, car on ne sait jamais quand une erreur peut se produire – c’est pourquoi il est essentiel de disposer d’une sauvegarde automatique.

Chez SiteGround, nous savons que les sauvegardes peuvent souvent sauver une situation d’urgence avec votre site web. C’est pourquoi nous disposons d’un système avancé pour créer et conserver automatiquement des sauvegardes de votre site. Nous créons une sauvegarde de votre site web tous les jours et la conservons pendant 30 jours. De plus, nous conservons ces sauvegardes dans un datacenter différent de celui qui héberge le compte réel, ce qui constitue une couche de sécurité supplémentaire pour vos données, au cas où quelque chose affecterait l’ensemble de votre datacenter. Les clients de SiteGround peuvent facilement gérer les sauvegardes à partir de Site Tools > Sécurité > Sauvegarde. 

Pour la tranquillité d’esprit de nos clients, nous avons récemment lancé notre nouveau service de sauvegarde premium qui fournit aux clients des sauvegardes automatiques effectués toutes les heures, des sauvegardes à la demande pour une sauvegarde complète de leurs sites web (disponible à tout moment), 7 sauvegardes quotidiennes automatiques supplémentaires en plus de celles incluses dans leur plan, et permet de télécharger toutes les sauvegardes sur leur ordinateur local.

11. Surveillez régulièrement l’état de sécurité de votre site web

💡POURQUOI : Même si votre site est sécurisé et sauvegardé, vous devez tout de même vérifier régulièrement son état de sécurité. Il est important de savoir à quel point votre site est sécurisé et si le niveau de sécurité a changé – gardez un œil sur le nombre d’attaques qui ont été atténuées, ou trouvez de nouveaux moyens de protéger davantage votre site contre les incidents.

❓COMMENT : Pour vérifier l’état de sécurité de votre site web, vous pouvez utiliser un outil de test de sécurité web gratuit et open source. De nombreux outils de ce type sont disponibles en ligne. Si vous utilisez WordPress, vous pouvez également vérifier le niveau de sécurité avec différents plugins gratuits conçus pour analyser votre site web afin de détecter les vulnérabilités. Après avoir vérifié l’état de la sécurité de votre site web, il est important d’analyser les résultats et de prendre des mesures si nécessaire.

Les clients de SiteGround reçoivent des rapports de sécurité mensuels gratuits, directement dans leur boîte de réception. Dans ces rapports, ils obtiennent un résumé des résultats de la vérification de la sécurité de leur site, ainsi que des conseils pratiques sur la manière de réduire le risque d’attaques malveillantes, si des points faibles sont identifiés. Toutes ces informations sont rassemblées dans un format convivial, et cette fonctionnalité est activée par défaut pour tous nos clients. Pour gérer leurs préférences en matière de rapports pour n’importe lequel de leurs sites web, il leur suffit de se rendre dans leur Espace client > Préférences de notification et d’appuyer sur l’icône en forme de crayon située à côté de Rapports de sécurité mensuels.

Conclusion

Un site web est l’actif numérique le plus important et le plus précieux que vous possédez, il est donc essentiel de vous assurer qu’il est aussi sécurisé que possible, en permanence. En révisant constamment les mesures de sécurité et en en mettant de nouvelles en œuvre, vous vous assurez que votre site bénéficie d’un niveau de sécurité maximal. De cette manière, votre entreprise, les informations de vos visiteurs et votre réputation seront toujours protégées.

Aide-mémoire