Sécurité et protection du site Web - comment protéger un site Web ?

Écoutez cet article

Protection du site Web — comment protéger et sécuriser votre site web? La sécurité des sites Web peut être un sujet complexe (voire déroutant) dans un environnement en constante évolution. Ce guide est destiné à fournir un cadre clair aux propriétaires de sites Web qui cherchent à atténuer les risques et à appliquer les principes de sécurité à leurs propriétés Web.

Avant de commencer, il est important de garder à l'esprit que la sécurité n'est jamais une solution « fixe et c'est parti ». Au lieu de cela, je vous encourage à le considérer comme un processus continu qui nécessite une évaluation constante pour réduire votre risque global.

En adoptant une approche systématique de la sécurité des sites Web, nous pouvons la considérer comme une base composée de plusieurs couches de protection combinées en un seul élément. Nous devons examiner la sécurité du site Web de manière globale et l'aborder avec une stratégie de défense en profondeur.

Le contenu de l'article :

• Qu'est-ce que la sécurité d'un site Web ?
• Vulnérabilités et menaces du site Web
• Sécurité des sites Web de commerce électronique et conformité PCI
• Cadre de sécurité du site Web
• Comment protéger votre site et assurer la sécurité ?
• Mesures de sécurité supplémentaires pour le site Web
• Foire aux questions sur la sécurité du site Web

Qu'est-ce que la sécurité d'un site Web ?

La sécurité du site Web est l'ensemble des mesures prises pour protéger un site Web contre les cyberattaques. En ce sens, la sécurité du site Web est un processus continu et fait partie intégrante de la gestion du site Web.

Pourquoi la sécurité du site Web est-elle importante ?

La sécurité des sites Web peut être difficile, en particulier lorsqu'il s'agit d'un vaste réseau de sites. Avoir un site Web sécurisé est tout aussi important pour la présence en ligne d'une personne que d'avoir un hébergeur de site Web.

Par exemple, si un site Web est piraté et mis sur liste noire, il peut perdre jusqu'à 98% de son trafic. Ne pas avoir de site Web sécurisé peut être aussi mauvais que ne pas en avoir du tout, voire pire. Par exemple, la fuite de données client peut entraîner des poursuites, de lourdes amendes et des réputations entachées.

1. Stratégie de défense en profondeur

La stratégie de défense en profondeur pour la sécurité des sites Web prend en compte la profondeur de la défense et l'étendue de la surface d'attaque pour analyser les outils utilisés dans la pile. Cette approche fournit une image plus précise du paysage actuel des menaces de sécurité des sites Web.

Comment les professionnels du Web voient la sécurité des sites Web

Nous ne pouvons pas oublier les statistiques qui font de la sécurité des sites Web un sujet attrayant pour toute entreprise en ligne, quelle que soit sa taille.
Après avoir analysé plus de 1 000 réponses à des enquêtes de professionnels du Web, certaines conclusions peuvent être tirées sur le paysage de la sécurité :

• 671 TP28T clients professionnels du Web ont été interrogés sur la sécurité des sites Web, mais moins de 11 TP28T répondants proposent la sécurité des sites Web en tant que service.
• A propos de 72% les professionnels du web s'inquiètent des cyberattaques sur les sites clients.

Pourquoi les sites sont piratés

En 2019, il y avait plus de 1,94 milliard de sites Web sur le Web. Cela fournit un vaste terrain de jeu pour les pirates. Il y a souvent une idée fausse sur la raison pour laquelle les sites Web sont piratés. Les propriétaires et les administrateurs pensent souvent qu'ils ne seront pas piratés car leurs sites sont plus petits et donc moins attrayants pour les pirates. Les pirates peuvent choisir des sites plus grands s'ils veulent voler des informations ou saboter. À d'autres fins (qui sont plus courantes), tout petit site est d'une grande valeur.
Lors du piratage de sites Web, divers objectifs sont poursuivis, mais les principaux sont:

• Utilisation des visiteurs du site.
• Vol d'informations stockées sur le serveur.
• Déception des bots et des robots de recherche (Black Hat SEO).
• Abus des ressources du serveur.
• Hooliganisme pur (dommage).

2. Attaques automatiques sur les sites Web

Malheureusement, l'automatisation réduit les frais généraux, permet une divulgation massive et augmente les chances d'un compromis réussi, quel que soit le volume de trafic ou la popularité du site Web.
En fait, l'automatisation est reine dans le monde du piratage. Les attaques automatisées impliquent souvent l'exploitation de vulnérabilités connues pour affecter un grand nombre de sites, parfois même à l'insu du propriétaire du site.

Les attaques automatiques sont basées sur l'opportunité. Contrairement à la croyance populaire, les attaques automatisées sont beaucoup plus courantes que les attaques ciblées triées sur le volet en raison de leur portée et de leur facilité d'accès. Près de 60% Internet fonctionne sur CMS.

Problèmes de sécurité du CMS

Il est plus facile pour le propriétaire de site Web moyen de se connecter rapidement avec un système de gestion de contenu (CMS) open source comme WordPress, Magento, Joomla ou Drupal et plus encore.
Alors que ces plates-formes fournissent souvent des mises à jour de sécurité fréquentes, l'utilisation de composants extensibles tiers tels que des plugins ou des thèmes conduit à des vulnérabilités qui peuvent facilement être exploitées pour des attaques d'opportunité.

La norme de sécurité de l'information est - Confidentialité, Intégrité et Disponibilité. Ce modèle est utilisé pour développer des politiques visant à sécuriser les organisations.

3. Confidentialité, intégrité et disponibilité

• Confidentialité fait référence au contrôle de l'accès à l'information pour s'assurer que ceux qui ne devraient pas y avoir accès n'y sont pas autorisés. Cela peut être fait en utilisant des mots de passe, des noms d'utilisateur et d'autres composants de contrôle d'accès.
• Intégrité garantit que les informations que les utilisateurs finaux reçoivent sont exactes et inchangées par quiconque autre que le propriétaire du site. Cela se fait souvent avec un chiffrement, tel que les certificats Secure Socket Layer (SSL), qui chiffrent les données en transit.
• Disponibilité donne accès à l'information en cas de besoin. La menace la plus courante pour la disponibilité des sites Web est un déni de service distribué ou une attaque DDoS.

Maintenant que nous avons une certaine connaissance des attaques automatisées et ciblées, nous pouvons nous plonger dans certaines des menaces de sécurité des sites Web les plus courantes.

Vulnérabilités et menaces du site Web

Voici les vulnérabilités et les menaces de sécurité des sites Web les plus courantes :

1. Injection SQL - Ces attaques par injection SQL sont menées en injectant du code malveillant dans une requête SQL vulnérable. Ils s'appuient sur un attaquant ajoutant une requête spécialement conçue à un message qu'un site Web envoie à une base de données.
Une attaque réussie modifiera la requête de la base de données afin qu'elle renvoie les informations souhaitées par l'attaquant au lieu des informations attendues par le site Web. Les injections SQL peuvent même modifier ou ajouter des informations malveillantes à la base de données.
2. Script intersite (XSS) Les attaques de scripts intersites consistent à injecter des scripts malveillants côté client dans un site Web et à utiliser le site Web comme méthode de distribution. Le danger de XSS est qu'il permet à un attaquant d'injecter du contenu dans un site Web et de modifier la façon dont il est affiché en obligeant le navigateur de la victime à exécuter le code fourni par l'attaquant lorsque la page est chargée. Si un administrateur de site connecté télécharge le code, le script sera exécuté à son niveau de privilège, ce qui pourrait conduire à une prise de contrôle du site.
3. Attaques d'identification par force brute L'accès au panneau d'administration, au panneau de configuration ou même à un serveur SFTP d'un site Web est l'un des vecteurs les plus couramment utilisés pour compromettre les sites Web. Le processus est très simple:

1. Les attaquants programment essentiellement un script pour essayer plusieurs combinaisons de noms d'utilisateur et de mots de passe jusqu'à ce qu'il en trouve un qui fonctionne ;
2. Une fois l'accès accordé, les attaquants peuvent lancer diverses activités malveillantes, allant des campagnes de spam à l'extraction de pièces et au vol d'informations sur les dibets. ou cartes de crédit.

4. Infection et attaques de logiciels malveillants sur le site Web En utilisant certains des problèmes de sécurité précédents comme moyen d'obtenir un accès non autorisé à un site Web, les attaquants peuvent :

1. Injectez du spam SEO dans la page ;
2. Retirez la porte dérobée pour garder l'accès ;
3. Recueillir des informations sur les visiteurs ou des données de carte ;
4. Exécutez des exploits sur le serveur pour augmenter le niveau d'accès ;
5. Utiliser les ordinateurs des visiteurs pour miner des crypto-monnaies ;
6. Stockez les scripts de commande et de contrôle pour les botnets ;
7. Afficher des publicités indésirables, rediriger les visiteurs vers des sites Web frauduleux ;
8. Hébergement de téléchargements malveillants ;
9. Lancer des attaques sur d'autres sites.

5. Attaques DoS/DDoS Une attaque par déni de service distribué (DDoS) est une attaque Internet non intrusive. Ceci est fait afin de désactiver ou de ralentir le site Web cible en inondant le réseau, le serveur ou l'application avec un faux trafic.

Les attaques DDoS sont des menaces dont les propriétaires de sites Web doivent être conscients car elles constituent une partie importante d'un système de sécurité. Lorsqu'une attaque DDoS cible un point de terminaison vulnérable et gourmand en ressources, même une petite quantité de trafic suffit pour réussir l'attaque.

Sécurité des sites Web de commerce électronique et conformité PCI

Les normes de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) définissent les exigences pour les propriétaires de sites Web avec des magasins en ligne. Ces exigences permettent de garantir que les données de titulaire de carte que vous collectez en tant que boutique en ligne sont correctement protégées. Selon la norme PCI DSS, les données de titulaire de carte qui doivent être protégées font référence au numéro de compte principal (PAN) complet, mais peuvent également apparaître sous l'une des formes suivantes :

1. Données complètes de la bande magnétique (ou puce équivalente) ;
2. Date de péremption ;
3. code service ;
4. Broche;
5. numéros CVV ;
6. Nom et/ou prénom du titulaire de la carte.

Les règles de conformité PCI s'appliquent que vous transfériez des données par voie numérique, par écrit ou que vous communiquiez avec une autre personne ayant accès aux données.

Il est très important que les sites Web de commerce électronique fassent tout ce qui est en leur pouvoir pour s'assurer que les données du titulaire de la carte sont transmises du navigateur au serveur Web avec un cryptage approprié via HTTPS. Il doit également être stocké en toute sécurité et crypté de la même manière sur le serveur lorsqu'il est transmis à des services de traitement des paiements tiers.

Les pirates peuvent essayer de voler ou d'intercepter les données des titulaires de carte à tout moment, que les données soient au repos ou en transit.

Cadre de sécurité du site Web

Quelle que soit la taille de votre entreprise, le développement d'un système de sécurité peut vous aider à réduire votre risque global. Comprendre que la sécurité est un processus continu signifie qu'il commence par établir les bases de la sécurité d'un site Web. Cette structure inclura la création d'une « culture de sécurité » où les inspections programmées aideront à garder les choses simples et opportunes.
Cinq fonctions : "Identifier", "Protéger", "Détecter", "Réagir" et "Récupérer" seront décrites en détail ainsi que les actions à appliquer.
1. Pour identifier - à ce stade, toute la gestion des stocks et des actifs est documentée et vérifiée. La gestion des stocks et des actifs peut être poussée un peu plus loin dans les sous-catégories suivantes :

1. ressources Web ;
2. serveurs et infrastructure Web ;
3. plugins, extensions, thèmes et modules ;
4. intégrations et services tiers ;
5. points d'accès et nœuds.

Une fois que vous avez une liste des actifs de votre site Web, vous pouvez prendre des mesures pour auditer et protéger chacun contre les attaques.
2. Protéger Il existe de nombreuses raisons pour lesquelles la mise en place de mesures de sécurité Web préventives est essentielle, mais par où commencer ? Ceux-ci sont connus sous le nom de technologies de sécurité et de niveaux de sécurité. Parfois, ces mesures satisfont aux exigences de conformité telles que PCI ou facilitent la correction virtuelle et le renforcement des environnements vulnérables aux attaques. La sécurité peut également inclure la formation des employés et les politiques de contrôle d'accès.

L'un des meilleurs moyens de sécuriser votre site Web consiste à activer le pare-feu de l'application Web. Si vous passez beaucoup de temps à réfléchir aux processus, outils et configurations de sécurité, cela affectera la sécurité de votre site Web.

3. Détecter (surveillance continue) est un concept qui fait référence à la mise en place d'outils pour surveiller votre site Web (actifs) et vous signaler tout problème. La surveillance doit être installée pour vérifier l'état de la sécurité :

1. enregistrements DNS ;
2. certificats SSL ;
3. mise en place d'un serveur Web ;
4. mises à jour des applications ;
5. Accès utilisateur;
6. l'intégrité des fichiers.

Vous pouvez également utiliser des scanners et des outils de sécurité (tels que SiteCheck) pour rechercher des indicateurs de compromission ou de vulnérabilité.
4. Réagir — l'analyse et l'atténuation aident à créer une catégorie de réponse. Lorsqu'un incident survient, il doit y avoir un plan d'intervention. Avoir un plan d'intervention en place avant un incident compromis fait des merveilles pour le psychisme. Un plan de réponse aux incidents approprié comprend :

1. Sélection d'une équipe ou d'une personne d'intervention en cas d'incident ;
2. Rapport d'incident pour vérifier les résultats ;
3. Atténuation des événements.

Pendant le processus de correction, nous ne savons jamais à l'avance quel type de malware nous allons trouver. Certains problèmes peuvent se propager rapidement et infecter d'autres sites Web dans un environnement de serveur partagé (infection croisée). Le processus de réponse aux incidents, tel que défini par le NIST, se décompose en quatre étapes principales :

1. Préparation et planification ;
2. Détection et analyse ;
3. Confinement, éradication et restauration ;
4. Actions après l'incident.

Une phase de préparation solide et une équipe de sécurité du site Web sur laquelle vous pouvez compter sont essentielles au succès de la mission. Voici à quoi cela devrait ressembler :

Préparation et planification

À ce stade, nous nous assurons que nous disposons de tous les outils et ressources nécessaires avant qu'un incident ne se produise. Tout cela va de pair avec les sections précédentes du cadre de sécurité.
Les hébergeurs jouent un rôle crucial à ce stade en s'assurant que les systèmes, les serveurs et les réseaux sont suffisamment sécurisés. Il est également important de vous assurer que votre développeur Web ou votre équipe technique est prêt à gérer un incident de sécurité.

Découverte et analyse

Bien qu'il existe plusieurs méthodes d'attaque, nous devons être prêts à faire face à tout incident. La plupart des infections sont des composants vulnérables installés sur le site Web (principalement des plugins), des compromis de mot de passe (mot de passe faible, force brute) et autres.
Selon le problème et l'intention, la phase de découverte peut être complexe. Certains attaquants recherchent la renommée, d'autres peuvent vouloir exploiter des ressources ou intercepter des informations sensibles.
Dans certains cas, rien n'indique qu'une porte dérobée a été installée, attendant qu'un attaquant y accède pour une activité malveillante. Par conséquent, il est fortement recommandé de mettre en place des mécanismes pour assurer l'intégrité de votre système de fichiers.

Confinement, éradication et restauration

Quant à la phase de confinement, d'élimination et de récupération, le processus doit s'adapter au type de problème rencontré sur le site Web et aux stratégies d'attaque prédéfinies. Par exemple, une infection cryptominer consomme généralement beaucoup de ressources serveur (leecher), et l'équipe de réponse aux incidents doit contenir la menace avant de commencer le processus de correction.

Contenir cette attaque est une étape importante pour éviter un épuisement supplémentaire des ressources et d'autres dommages. Ce système de prise de décision et ces stratégies sont une partie importante de cette phase. Par exemple, si nous identifions un fichier particulier comme 100% malveillant, il devrait y avoir une action pour le détruire. Si le fichier contient du code partiellement malveillant, seule cette partie doit être supprimée. Chaque script doit avoir un processus défini.

Actions après l'incident

Enfin et surtout, l'action post-incident peut également être appelée étape des leçons apprises. À ce stade, l'équipe d'intervention en cas d'incident doit soumettre un rapport détaillant ce qui s'est passé, quelles mesures ont été prises et dans quelle mesure l'intervention a fonctionné. Nous devons réfléchir à l'incident, en tirer des leçons et prendre des mesures pour prévenir des problèmes similaires à l'avenir. Ces actions peuvent être aussi simples que la mise à jour d'un composant, la modification des mots de passe ou l'ajout d'un pare-feu de site Web pour empêcher les attaques à la périphérie.

Passez en revue les actions que votre service doit entreprendre pour renforcer davantage la sécurité. Assurez-vous ensuite de prendre ces mesures le plus rapidement possible. Vous pouvez baser toutes les actions ultérieures sur les conseils suivants :

• Restreignez l'accès global à votre site (ou à des zones spécifiques) à l'aide des méthodes GET ou POST pour minimiser l'impact.
• Mettez à jour les autorisations sur les répertoires et les fichiers pour garantir un accès en lecture/écriture approprié.
• Mettez à jour ou supprimez les logiciels/thèmes/plugins obsolètes.
• Réinitialisez vos mots de passe immédiatement avec une politique de mots de passe forts.
• Activez 2FA/MFA dans la mesure du possible pour ajouter une couche supplémentaire d'authentification.

En outre, si vous utilisez activement le pare-feu d'application Web (WAF), passez en revue votre configuration existante pour déterminer les modifications à apporter. Gardez à l'esprit que même si les WAF aident à respecter plusieurs normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS), ils ne sont pas une panacée. Il existe d'autres facteurs qui peuvent affecter votre entreprise, en particulier le facteur humain.
5. se remettre — la planification du rétablissement aura lieu lorsqu'une analyse complète de toutes les étapes en cas d'incident aura été effectuée. La récupération est également liée à la mise en place d'un plan de sauvegarde pour les situations où toutes les étapes précédentes ont échoué, telles que les attaques de ransomwares.

Ce processus doit également inclure le temps nécessaire pour discuter avec votre fournisseur de sécurité de la manière d'améliorer les points faibles. Ils sont mieux équipés pour offrir un aperçu de ce qui peut être fait.

Avoir une stratégie de communication

Si des données sont à risque, informez-en vos clients. Ceci est particulièrement important si vous faites des affaires dans l'UE, où une organisation doit signaler une violation de données dans les 72 heures conformément à l'article 33 du règlement général sur la protection des données (RGPD) .

Utiliser la sauvegarde automatique

Peu importe ce que vous faites pour protéger votre site Web, le risque ne sera jamais nul. Si la fonctionnalité de votre site Web est endommagée, vous avez besoin d'un moyen de restaurer rapidement les données - pas une, mais au moins deux. Il est extrêmement important d'avoir une sauvegarde locale de toute l'application et une sauvegarde externe qui n'est pas directement liée à l'application en cas de panne matérielle ou d'attaque.

Comment protéger votre site et assurer la sécurité ?

L'importance de la sécurité du site Web ne peut être sous-estimée. Dans cette section, nous verrons comment assurer la sécurité et la protection de votre site Web. Il ne s'agit pas d'un guide étape par étape, mais il vous fournira des recommandations de sécurité de site Web pour trouver les services adaptés à vos besoins.
1. Tout mettre à jour - D'innombrables sites Web sont menacés chaque jour en raison de logiciels obsolètes et non sécurisés. Il est important de mettre à jour votre site dès qu'un nouveau plugin ou une nouvelle version du CMS est disponible. Ces mises à jour peuvent simplement contenir des améliorations de sécurité ou corriger des vulnérabilités.
La plupart des attaques sur les sites Web sont automatisées. Les bots explorent constamment tous les sites qu'ils peuvent à la recherche d'opportunités d'exploitation. Il ne suffit plus de mettre à jour une fois par mois ou même une fois par semaine, car les bots trouveront très probablement une vulnérabilité avant que vous ne la corrigiez.
C'est pourquoi vous devriez utiliser un pare-feu de site Web qui fermera pratiquement la faille de sécurité dès que les mises à jour seront publiées. Si vous avez un site Web WordPress, un plugin que vous devriez considérer est WP Updates Notifier. Il vous envoie un e-mail pour vous informer lorsqu'un plugin ou une mise à jour du noyau WordPress est disponible.
2. Avoir des mots de passe forts Avoir un site Web sécurisé dépend beaucoup de votre sécurité. Avez-vous déjà pensé à la façon dont les mots de passe que vous utilisez peuvent menacer la sécurité de votre site ?
Pour nettoyer les sites Web infectés, les solutionneurs doivent se connecter au site client ou au serveur à l'aide de leurs informations d'identification d'utilisateur administrateur. Ils peuvent être surpris de voir à quel point les mots de passe root peuvent être peu sûrs. Avec des identifiants comme admin/admin, vous n'avez peut-être pas du tout de mot de passe.
Les pirates combineront les données du réseau avec des listes de mots du dictionnaire pour générer des listes encore plus grandes de mots de passe potentiels. Si les mots de passe que vous utilisez figurent sur l'une de ces listes, ce n'est qu'une question de temps avant que votre site ne soit compromis.

Recommandations de mot de passe fort

Recommandations pour créer un mot de passe fort :

• Ne réutilisez pas les mots de passe : chacun de vos mots de passe doit être unique. Un gestionnaire de mots de passe peut faciliter cette tâche.
• Utilisez des mots de passe longs. Essayez d'utiliser plus de 12 caractères. Plus le mot de passe est long, plus il faudra de temps à un programme informatique pour le déchiffrer.
• Utilisez des mots de passe aléatoires. Les programmes de piratage de mots de passe peuvent deviner des millions de mots de passe en quelques minutes s'ils contiennent des mots trouvés sur Internet ou dans des dictionnaires. Si votre mot de passe contient de vrais mots, ce n'est pas aléatoire. Si vous pouvez prononcer facilement votre mot de passe, cela signifie qu'il n'est pas assez fort. Même la substitution de caractères (c'est-à-dire le remplacement de la lettre O par le chiffre 0) ne suffit pas. Il existe plusieurs gestionnaires de mots de passe utiles tels que LastPass (en ligne) et KeePass 2 (hors ligne). Ces outils stockent tous vos mots de passe dans un format crypté et peuvent facilement générer des mots de passe aléatoires en un clic. Les gestionnaires de mots de passe vous permettent d'utiliser des mots de passe forts sans avoir à vous souvenir des plus faibles ou à les écrire.

3. Un site = un stockage Héberger de nombreux sites Web sur un seul serveur peut sembler idéal, surtout si vous avez un plan d'hébergement Web "illimité". Malheureusement, c'est l'une des pires pratiques de sécurité que vous puissiez utiliser. Placer plusieurs sites au même endroit crée une très grande surface d'attaque. Vous devez savoir que la contamination croisée est très courante. Cela se produit lorsqu'un site est affecté négativement par des sites voisins sur le même serveur en raison d'une mauvaise isolation du serveur ou de la configuration du compte.
Par exemple, un serveur hébergeant un site pourrait avoir une installation WordPress avec un thème et 10 plugins qui pourraient potentiellement être ciblés par un attaquant. Si vous hébergez cinq sites sur un serveur, un attaquant pourrait avoir trois installations WordPress, deux installations Joomla, cinq thèmes et 50 plugins qui pourraient être des cibles potentielles. Pire encore, une fois qu'un attaquant a trouvé un exploit sur un site, l'infection peut facilement se propager à d'autres sites sur le même serveur.

Non seulement cela peut entraîner le piratage de tous vos sites en même temps, mais cela rendra également le processus de nettoyage beaucoup plus long et difficile. Les sites infectés peuvent continuer à se réinfecter, provoquant une boucle sans fin.

Une fois le nettoyage réussi, vous avez maintenant une tâche beaucoup plus difficile lorsqu'il s'agit de réinitialiser vos mots de passe. Au lieu d'un site, vous en avez plusieurs. Chaque mot de passe associé à chaque site Web sur le serveur doit être modifié après la disparition de l'infection. Cela inclut toutes vos bases de données CMS et les utilisateurs FTP (File Transfer Protocol) pour chacun de ces sites Web. Si vous ignorez cette étape, tous les sites Web peuvent être réinfectés et vous devrez redémarrer le processus.
4. Restreindre l'accès et les autorisations des utilisateurs Le code de votre site Web n'est peut-être pas la cible d'un attaquant, mais vos utilisateurs le seront. L'enregistrement des adresses IP et de tout l'historique des activités sera utile pour une analyse médico-légale ultérieure.
Par exemple, une augmentation significative du nombre d'utilisateurs enregistrés peut indiquer un échec dans le processus d'enregistrement et permettre aux spammeurs d'inonder votre site de faux contenus.

Principe du moindre privilège

Le principe du moindre privilège repose sur un principe qui vise à atteindre deux objectifs :

1. Utiliser l'ensemble minimum de privilèges dans le système pour effectuer une action ;
2. Accorder ces privilèges uniquement pour le moment où une action est nécessaire.

L'octroi de privilèges à certains rôles dictera ce qu'ils peuvent et ne peuvent pas faire. Dans un système idéal, un rôle empêcherait toute personne tentant d'effectuer une action en dehors de ce qu'elle était censée faire.
Par exemple, supposons qu'un administrateur puisse intégrer du code HTML non filtré dans des publications ou exécuter des commandes pour installer des plug-ins. Est-ce une vulnérabilité ? Non, il s'agit d'une fonctionnalité basée sur un élément très important : la confiance. Cependant, l'auteur doit-il avoir les mêmes privilèges et accès ? Envisagez de séparer les rôles en fonction de la confiance et de verrouiller tous les comptes.
Cela s'applique uniquement aux sites avec plusieurs utilisateurs ou connexions. Il est important que chaque utilisateur dispose de l'autorisation appropriée requise pour effectuer son travail. Si vous avez actuellement besoin d'autorisations étendues, accordez-les. Ensuite, réduisez-le une fois le travail terminé.

Par exemple, si quelqu'un veut écrire un article de blog invité pour vous, assurez-vous que son compte ne dispose pas des droits d'administrateur complets. Le compte ne devrait pouvoir créer que de nouveaux messages et modifier ses propres messages, car il n'a pas besoin de modifier les paramètres du site Web. Des rôles d'utilisateur et des règles d'accès soigneusement définis limiteront les erreurs possibles. Il réduit également le nombre de comptes compromis et peut protéger contre les dommages causés par des utilisateurs frauduleux.
Il s'agit d'une partie souvent négligée de la gestion des utilisateurs : la responsabilité et la surveillance. Si plusieurs personnes utilisent le même compte utilisateur et que cet utilisateur apporte des modifications indésirables, comment savez-vous qui est responsable dans votre équipe ?
Si vous avez des comptes distincts pour chaque utilisateur, vous pouvez suivre leur comportement en consultant les journaux et en connaissant leurs tendances habituelles, telles que le moment et l'endroit où ils visitent habituellement un site Web. Ainsi, si un utilisateur se connecte à une heure étrange ou à partir d'un emplacement suspect, vous pouvez enquêter. La tenue de journaux d'audit est essentielle pour garder une trace de toute modification suspecte apportée à votre site Web.

Un journal d'audit est un document qui enregistre les événements sur un site Web afin que vous puissiez détecter les anomalies et confirmer au responsable que le compte n'a pas été compromis.

Bien sûr, la journalisation d'audit manuelle peut être difficile pour certains utilisateurs. Si vous avez un site Web WordPress, vous pouvez utiliser le plugin de sécurité gratuit Sucuri, qui peut être téléchargé à partir du référentiel WordPress officiel.

Autorisations de fichiers

Les autorisations de fichier déterminent qui peut faire quoi avec un fichier. Chaque fichier dispose de trois autorisations disponibles, et chaque autorisation est représentée par un nombre :

1. Lire (4) : afficher le contenu du fichier ;
2. Ecrire (2) : modifier le contenu du fichier ;
3. Exécuter (1) : exécuter un fichier programme ou un script.

Si vous souhaitez autoriser plusieurs autorisations, ajoutez simplement les nombres ensemble, par exemple, pour autoriser la lecture (4) et l'écriture (2), vous définissez l'autorisation de l'utilisateur sur 6. Si vous souhaitez autoriser l'utilisateur à lire (4), écrivez (2) et faites ( 1), puis définissez l'autorisation de l'utilisateur sur 7.

Type d'utilisateur

Il existe également trois types d'utilisateurs :

1. Propriétaire : Il s'agit généralement du créateur du fichier, mais cela peut être modifié. Un seul utilisateur peut être le propriétaire ;
2. Groupe : Chaque fichier est affecté à un groupe et tout utilisateur faisant partie de ce groupe obtiendra ces autorisations ;
3. Général : tous les autres.

Ainsi, si vous souhaitez que le propriétaire ait un accès en lecture-écriture, que le groupe ait un accès en lecture seule et que le public n'ait pas d'accès, les paramètres d'autorisation de fichier doivent être :
5. Modifier les paramètres CMS par défaut Les applications CMS modernes (bien que faciles à utiliser) peuvent être difficiles en termes de sécurité pour les utilisateurs finaux. De loin, les attaques les plus courantes sur les sites Web sont entièrement automatisées. Bon nombre de ces attaques reposent sur le fait que les utilisateurs n'ont que des paramètres par défaut. Cela signifie que vous pouvez éviter de nombreuses attaques en modifiant simplement les paramètres par défaut lors de l'installation du CMS de votre choix.
Par exemple, certaines applications CMS sont accessibles en écriture par l'utilisateur, ce qui permet à l'utilisateur d'installer les extensions de son choix.
Il existe des paramètres que vous pouvez ajuster pour contrôler les commentaires, les utilisateurs et la visibilité de vos informations utilisateur. Les autorisations de fichiers sont un autre exemple de paramètre par défaut qui peut être amélioré.
Vous pouvez modifier ces valeurs par défaut lors de l'installation du CMS ou ultérieurement, mais n'oubliez pas de le faire.
6. Choix de l'extension (plugins) Les webmasters aiment généralement l'extensibilité des applications CMS, mais cela peut aussi être l'un des plus gros inconvénients. Il existe des plugins, des add-ons et des extensions qui fournissent à peu près toutes les fonctionnalités que vous pouvez imaginer. Mais comment savoir lequel est sûr à installer ?

Choisir des extensions sécurisées (plugins) - la principale sécurité du site

Voici ce qu'il faut rechercher lors du choix des extensions :

• Quand l'extension (plugin) a été mise à jour pour la dernière fois: si la dernière mise à jour remonte à plus d'un an, l'auteur a peut-être arrêté de travailler dessus. Utilisez des extensions qui sont en développement actif car cela indique que l'auteur sera au moins disposé à implémenter un correctif si des problèmes de sécurité sont détectés. De plus, si une extension n'est pas prise en charge par l'auteur, elle peut cesser de fonctionner si les mises à jour du noyau provoquent des conflits.
• Âge de l'extension (plugin) et nombre d'installations. Une extension développée par un auteur établi avec de nombreuses installations est plus fiable qu'une extension avec peu d'installations publiée par un développeur novice. Non seulement les développeurs expérimentés ont une meilleure compréhension des meilleures pratiques de sécurité, mais ils sont également beaucoup moins susceptibles de nuire à leur réputation en insérant du code malveillant dans leur extension.
• Sources légales et fiables: Téléchargez des plugins, des extensions et des thèmes à partir de sources légitimes. Méfiez-vous des versions gratuites, qui peuvent être piratées et infectées par des logiciels malveillants. Il existe certaines extensions dont le seul but est d'infecter autant de sites Web que possible avec des logiciels malveillants.

7. Avoir des sauvegardes de vos sites Web – en cas de piratage, les sauvegardes de sites Web sont essentielles pour récupérer votre site Web après une faille de sécurité majeure. Bien qu'elle ne doive pas être considérée comme un remplacement d'une solution de sécurité de site Web, une sauvegarde peut aider à récupérer des fichiers corrompus.

Choisir la meilleure solution de sauvegarde de site Web

Une bonne solution de sauvegarde doit répondre aux exigences suivantes :
— Premièrement, ils doivent être hors site. Si vos sauvegardes sont stockées sur le serveur de votre site Web, elles sont tout aussi vulnérables aux attaques que toute autre chose. Vous devez stocker vos sauvegardes hors site car vous voulez que vos données sauvegardées soient à l'abri des pirates et des pannes matérielles. Le stockage des sauvegardes sur votre serveur Web est également un risque de sécurité majeur. Ces sauvegardes contiennent toujours des versions non corrigées de votre CMS et de vos extensions, permettant aux pirates d'accéder facilement à votre serveur.
- Deuxièmement, vos sauvegardes doivent être automatiques. Vous faites tellement de choses chaque jour qu'il peut être impensable de devoir sauvegarder votre site Web. Utilisez une solution de sauvegarde qui peut être planifiée en fonction des besoins de votre site Web.
Pour finir, ayez une récupération fiable. Cela signifie avoir des sauvegardes de vos sauvegardes et les tester pour vous assurer qu'elles fonctionnent réellement. Vous aurez besoin de plusieurs sauvegardes pour la redondance. En faisant cela, vous pouvez récupérer des fichiers d'avant le piratage.
8. Fichiers de configuration du serveur - Vérifiez les fichiers de configuration de votre serveur Web : les serveurs Web Apache utilisent le fichier .htaccess, les serveurs Nginx utilisent nginx.conf, les serveurs Microsoft IIS utilisent web.config.
Les fichiers de configuration du serveur, qui se trouvent le plus souvent dans le répertoire racine du web, sont très puissants. Ils vous permettent d'appliquer les règles du serveur, y compris les directives qui augmentent la sécurité de votre site. Si vous n'êtes pas sûr du serveur Web que vous utilisez, lancez votre site Web via Sitecheck et accédez à l'onglet "Détails du site Web".

Sécurité du site - Meilleures pratiques pour les serveurs Web

Voici quelques directives que vous pouvez ajouter pour un serveur Web spécifique :

• Refuser l'accès aux répertoires : cela empêche les attaquants de voir le contenu de chaque répertoire du site Web. Limiter les informations disponibles pour les attaquants est toujours une mesure de sécurité utile.
• Image Hotlink Prevention : bien qu'il ne s'agisse pas strictement d'une amélioration de la sécurité, il empêche d'autres sites Web d'afficher des images hébergées sur votre serveur Web. Si des personnes commencent à lier des images à partir de votre serveur, la bande passante autorisée de votre plan d'hébergement peut rapidement être utilisée pour afficher des images pour le site de quelqu'un d'autre.
• Protection des fichiers confidentiels : vous pouvez définir des règles pour protéger des fichiers et des dossiers spécifiques. Les fichiers de configuration CMS sont l'un des fichiers les plus importants stockés sur un serveur Web car ils contiennent des informations de connexion à la base de données en texte brut. D'autres endroits, comme les zones administratives, peuvent être bloqués. Vous pouvez également restreindre l'exécution de PHP aux répertoires contenant des images ou autorisant les téléchargements.

9. Installer un certificat SSL - Les certificats SSL sont utilisés pour chiffrer les données en transit entre l'hôte (serveur Web ou pare-feu) et le client (navigateur Web). Cela permet de garantir que vos informations sont envoyées au bon serveur et ne sont pas interceptées.
Certains types de certificats SSL, tels que le certificat SSL d'organisation ou le certificat SSL à validation étendue, ajoutent une couche de confiance supplémentaire car le visiteur peut voir les détails de votre organisation et savoir que vous êtes une personne légitime.
En tant qu'entreprise de sécurité de sites Web, nous devons éduquer les webmasters et leur faire prendre conscience que les certificats SSL ne protègent pas les sites Web contre les attaques et les piratages. Les certificats SSL cryptent les données en transit mais n'ajoutent pas une couche de sécurité au site Web lui-même.
10. Installer des outils d'analyse et de surveillance - contrôler chaque étape pour assurer l'intégrité de l'application. Les mécanismes d'alerte peuvent réduire le temps de réponse et réduire les dommages en cas de violation. Sans vérifications ni analyses, comment savoir si votre site a été compromis ?
Des journaux d'au moins un mois peuvent être très utiles pour détecter les pannes d'application. Ils montreront également si le serveur est sous attaque DDoS ou s'il est sous charge inutile. Enregistrez et examinez régulièrement toutes les activités qui se produisent dans les parties critiques de l'application, en particulier (mais pas exclusivement) les zones d'administration. Un attaquant pourrait essayer d'utiliser une partie moins importante du site pour un niveau d'accès plus élevé ultérieurement.
Assurez-vous de créer des déclencheurs pour vous avertir en cas d'attaque par force brute ou de tentative d'utilisation de l'une des fonctionnalités du site, y compris celles qui ne sont pas liées aux systèmes d'authentification. Il est important de vérifier régulièrement les mises à jour et de les appliquer pour vous assurer que les derniers correctifs de sécurité sont installés. Cela est particulièrement vrai si vous n'activez pas le pare-feu de l'application Web pour bloquer les tentatives d'exploitation de la vulnérabilité.
11. Suivre les consignes de sécurité personnelle - la protection de votre ordinateur personnel est une tâche importante pour les propriétaires de sites Web. Vos appareils peuvent devenir un vecteur d'infection et entraîner le piratage de votre site.
Un bon guide de sécurité de site Web mentionne l'analyse de votre ordinateur à la recherche de logiciels malveillants si votre site Web a été piraté. Les logiciels malveillants sont connus pour s'infiltrer à partir de l'ordinateur d'un utilisateur infecté via des éditeurs de texte et des clients FTP.
Vous devez supprimer tous les programmes inutilisés de votre ordinateur. Cette étape est importante car ces programmes peuvent également avoir des problèmes de confidentialité, tout comme les plugins et les thèmes inutilisés sur votre site Web.
Si quelque chose n'est pas installé, il ne peut pas devenir un vecteur d'attaque pour infecter votre machine, en particulier une extension de navigateur. Ils ont un accès complet aux sites Web lorsque les webmasters sont connectés à leurs interfaces d'administration. Moins vous en avez installé sur votre ordinateur, mieux c'est.
Si vous n'êtes pas sûr du but d'une application particulière, faites une petite recherche en ligne pour voir si elle est nécessaire ou quelque chose que vous pouvez supprimer. Si vous n'avez pas l'intention de l'utiliser, retirez-le.
12. Utiliser un pare-feu de site Web - Utiliser uniquement des certificats SSL n'est pas suffisant pour empêcher un attaquant d'accéder à des informations confidentielles. Une vulnérabilité dans votre application Web pourrait permettre à un attaquant d'intercepter le trafic, d'envoyer des visiteurs vers de faux sites Web, d'afficher de fausses informations, de prendre un site Web en otage (ransomware) ou d'effacer toutes ses données.
Même avec une application entièrement corrigée, un attaquant peut également attaquer votre serveur ou votre réseau en utilisant des attaques DDoS pour ralentir ou désactiver un site Web. Le pare-feu d'application Web (WAF) est conçu pour empêcher de telles attaques sur les sites Web et vous permet de vous concentrer sur votre entreprise.

Mesures supplémentaires sans site Web

Pour protéger vos sites Web et rendre Internet plus sûr, utilisez ces ressources et outils gratuits.
1. Outils de protection de site Web - Voici quelques outils de sécurité de site Web gratuits :

1.1 SiteCheck est une vérification gratuite et un scanner de logiciels malveillants sans site.
1.2 Sucuri Load Time Tester - vérifiez et comparez la vitesse du site Web.
1.3 Plugin de sécurité WordPress Sucuri - Audit, scanner de logiciels malveillants et renforcement de la sécurité pour les sites Web WordPress.
1.4 Google Search Console - alertes de sécurité et outils pour mesurer le trafic de recherche et les performances du site Web.
1.5 Outils pour les webmasters Bing - Diagnostics des moteurs de recherche et rapports de sécurité.
1.6 Yandex Webmaster - Notifications de recherche Web et de violation de la sécurité.
1.6 Unmaskparasites - vérification des pages pour le contenu illégal caché.
1.7 Meilleur WAF - comparaison des meilleurs pare-feu pour les applications Web cloud.

2. Ressources additionnelles Voici quelques ressources pédagogiques sur la sécurité des sites Web :

2.2 Sucuri Labs - Recherche de menaces, base de données de signatures de logiciels malveillants et statistiques.
2.3 OWASP est un projet de sécurité des applications Web open source.
2.4 Liste de contrôle de conformité PCI - Liste de contrôle de conformité PCI.
2.5 SANS Institute - formation, certification et recherche dans le domaine de la sécurité de l'information.
2.6 NIST - Institut national des normes et de la technologie.

Foire aux questions sur la sécurité du site Web

Pourquoi la sécurité du site Web est-elle importante ?

La sécurité du site Web est essentielle pour maintenir un site Web en ligne et sûr pour les visiteurs. Sans une attention particulière à la sécurité du site Web, les pirates peuvent tirer parti de votre site Web, le désactiver et affecter votre présence en ligne. Les conséquences d'un piratage de site Web peuvent inclure des pertes financières, des problèmes de réputation de marque et un faible classement dans les moteurs de recherche.

Quels sont les risques de sécurité pour un site Web ?

Les principaux risques de sécurité du site Web incluent : le code vulnérable, un contrôle d'accès médiocre et l'utilisation des ressources du serveur. Par exemple, les attaques DDoS peuvent rendre un site inaccessible aux visiteurs en quelques minutes. Il existe de nombreuses raisons pour lesquelles les sites Web sont piratés. un mot de passe faible ou un plugin obsolète peut entraîner le piratage d'un site.

Qu'est-ce qui rend un site sécurisé ?

Un pare-feu d'application Web est activé sur un site Web sécurisé pour empêcher les attaques et les piratages. Il suit également les meilleures pratiques de sécurité des sites Web et ne présente aucun problème de configuration ni vulnérabilité connue. Vous pouvez utiliser SiteCheck pour voir si un site Web a un pare-feu, des anomalies de sécurité, des logiciels malveillants ou s'il est sur liste noire. SiteCheck pour voir si un site Web a un pare-feu, des anomalies de sécurité, des logiciels malveillants ou s'il est sur liste noire.

Ai-je besoin de sécurité pour mon site ?

Oui bien sûr. La sécurité du site Web n'est pas incluse dans la plupart des forfaits d'hébergement Web. La sécurité du site Web relève de la responsabilité du propriétaire du site Web. La sécurité devrait être l'une des premières considérations lors de la configuration d'un site Web et d'un processus de vérification continu. Si un site Web n'est pas sécurisé, il peut devenir une proie facile pour les cybercriminels.

Comment sécuriser mon site ?

Vous pouvez protéger votre site Web en suivant les meilleures pratiques de sécurité du site Web, telles que :

• Utilisez un pare-feu de site Web.
• Utilisez toujours la dernière version du CMS, des plugins, des thèmes et des services tiers du site.
• Maintenez et utilisez des mots de passe forts.
• Fournissez uniquement le type d'accès dont une personne a besoin pour effectuer une tâche.
• Installez des outils d'analyse et de surveillance pour garantir l'intégrité de votre site Web.
• Installez des certificats SSL pour le cryptage des données.
• Conservez des copies de sauvegarde des sites Web.

Lire cet article :

• 2 façons - d'assurer la sécurité de votre site
• Pratiques de gestion de la sécurité des données ?

Merci d'avoir lu : SEO HELPER | NICOLA.TOP