Les fonctions de sécurité essentielles de votre site web. Sont-elles activées ?

Bâtir et maintenir une sécurité solide sur un site web est un processus constant qui est souvent négligé par les propriétaires de sites web en raison de sa complexité, du temps qu’il prend et des coûts qu’il engendre. En tant que fournisseur d’hébergement, nous sommes bien placés pour le savoir. Plus de 18 ans d’expérience dans l’hébergement, la maintenance et la sécurisation de millions de sites web nous ont appris que la sécurité des sites web est absolument essentielle pour toutes les entreprises en ligne. Nous avons vu les conséquences dévastatrices qu’un piratage peut avoir sur un site web et, en fin de compte, sur une entreprise, et nous avons consacré de sérieux efforts à la prévention et à la minimisation des effets des tentatives de piratage. 

Au fil des années, nous avons optimisé la sécurité de notre plateforme en développant des systèmes de sécurité sophistiqués, en introduisant une variété d’outils de sécurité, de plugins et de fonctionnalités, et en analysant et surveillant constamment le trafic et les modèles afin de reconnaître les menaces potentielles. Bien que tout cela ait fait de nous l’un des fournisseurs d’hébergement web les plus sûrs et les plus fiables au monde, nous savons que la sécurité de la plateforme ne suffit pas à elle seule. L’implication des webmasters et des propriétaires de sites est tout aussi importante pour sécuriser correctement un site web. C’est pourquoi nous avons compilé une liste des fonctions de sécurité les plus essentielles que vous pouvez activer et qui peuvent faire la différence entre un site web piraté et un esprit tranquille.

Utilisez le SSL

De nos jours, un certificat SSL est absolument essentiel pour tout site web. Un certificat SSL crypte la connexion entre les navigateurs de vos visiteurs et le serveur de votre site web afin que les données transmises entre les deux, telles que les informations personnelles, les données de carte de crédit, les identifiants de connexion ou autres, ne puissent pas être détournées par des pirates informatiques.

Les clients de SiteGround reçoivent gratuitement des certificats SSL Standard et Wildcard avec tous les plans d’hébergement, quel que soit le nombre de sites. Assurez-vous que votre SSL est installé et que le trafic est correctement redirigé via HTTPS à partir de Site Tools > Sécurité > SSL pour garantir le cryptage de la connexion.

Si vous avez un site web commercial ou si vous traitez des paiements en ligne, vous pouvez envisager nos certificats Wildcard premium qui sont assortis d’une garantie de 10 000 $ et d’un sceau de site dynamique pour créer de la crédibilité et de la confiance parmi vos visiteurs.

Protégez votre connexion

Vos identifiants de connexion sont une passerelle vers votre compte et vos informations personnelles (et lorsqu’il s’agit de sites web, vers votre domaine, votre site et vos e-mails également). Il y a plusieurs choses que vous pouvez faire pour vous assurer que vos identifiants soient sûrs et sécurisés, et que seuls vous ou les personnes que vous avez autorisées aient accès à votre site web :

Renforcez vos mots de passe

Malgré toute la sensibilisation actuelle aux mots de passe faibles et à l’importance de ne jamais partager ses identifiants de connexion avec qui que ce soit, l’un des piratages d’identifiants les plus courants consiste à deviner ou à forcer brutalement des mots de passe faciles à décrypter. Un mot de passe long, composé de plusieurs caractères et d’une combinaison de mots, de lettres, de chiffres et de symboles est un moyen simple et très efficace de sécuriser vos comptes. N’oubliez pas d’utiliser des mots de passe différents selon les sites et les applications, et ne partagez jamais vos mots de passe avec qui que ce soit, et ne les écrivez dans des endroits accessibles au public, comme des post-it sur votre ordinateur ! Pour en savoir plus, cliquez ici.

Utilisez l’authentification à 2 facteurs

Quelle que soit la rigueur de votre mot de passe, il est toujours possible qu’un pirate y accède par une attaque par force brute, un virus, un logiciel malveillant ou autre. Lorsque l’authentification à deux facteurs est activée, toute personne qui tente d’accéder à vos données doit franchir une deuxième étape. L’authentification à 2 facteurs ajoute une autre couche d’authentification, généralement par le biais d’un code temporaire généré dynamiquement (accessible uniquement à partir de votre téléphone ou de votre e-mail, selon les paramètres), qui ne peut pas être deviné ou piraté et qui rend votre défense de connexion à l’épreuve des balles !

• Pour l’Espace Client SiteGround, qui est la passerelle vers vos domaines et sites, vous pouvez facilement activer le 2FA à partir de l’Espace Client > Connexion & Profil. 
• Pour votre application WordPress, vous pouvez installer et activer le plugin SiteGround Security et activer la fonction 2FA. Téléchargez le plugin ici, ou installez-le directement dans votre zone d’administration WordPress.

Surveillez votre site web

Scanner régulièrement pour la détection de malwares

Un site web peut être infecté par des logiciels malveillants de différentes manières : identifiants de connexion compromis, plugins et thèmes infectés ou falsifiés, logiciels corrompus, etc. Les logiciels malveillants peuvent avoir un impact sérieux sur votre site et votre activité en ligne. La meilleure prévention est une plateforme d’hébergement web sécurisée et une surveillance constante. Si vous êtes client de SiteGround, vous pouvez activer Site Scanner – un service qui parcourt votre site web quotidiennement et vous informe des logiciels malveillants potentiels et d’autres menaces. Récemment, Site Scanner a aidé à sauver des milliers de sites WordPress d’un logiciel malveillant particulièrement dangereux.

Bloquer le trafic suspect

Dans certains cas, seule la personne qui gère un site peut remarquer des tendances spécifiques ou une activité suspecte. Nous avons fourni des outils puissants et faciles à utiliser pour bloquer des adresses IP spécifiques ou des pays entiers, ce qui permet à nos clients de contrôler qui accède à leur site web et d’empêcher les visiteurs indésirables.

Sauvegardez régulièrement votre site

Si les sauvegardes ne vous protègent pas directement des pirates informatiques, elles vous mettent à l’abri d’autres événements inattendus : une mise à jour de site qui a pu mal tourner, un site infecté qui doit être ramené à une version propre et toute autre situation dans laquelle une copie de votre site web est tout ce dont vous avez besoin pour le remettre en ligne. Nous savons que les sauvegardes peuvent souvent sauver une situation désastreuse, c’est pourquoi nous effectuons des sauvegardes quotidiennes automatisées de tous les sites hébergés chez nous et les conservons jusqu’à 30 jours. Vous pouvez facilement restaurer votre site web, vos fichiers ou vos bases de données gratuitement en quelques clics depuis Site Tools > Sécurité > Sauvegardes.

Prenez soin de votre WordPress

En tant que CMS le plus populaire au monde, WordPress est également l’une des cibles les plus populaires des pirates informatiques. Bien que tous les conseils ci-dessus s’appliquent à WordPress, il y a quelques mesures supplémentaires que vous pouvez prendre pour vous assurer que votre site WordPress soit bien protégé contre les acteurs malveillants et les logiciels malveillants.

Gardez votre WordPress à jour

Garder votre WordPress à jour est essentiel pour la sécurité de votre site web. Si votre site est hébergé chez SiteGround, nous nous en occupons. Tous les sites WordPress hébergés chez nous sont automatiquement mis à jour vers la dernière version stable de WordPress (uniquement après que nous l’ayons testée en profondeur). Les plugins gratuits sont également mis à jour automatiquement, en fonction des paramètres de l’utilisateur.

Ajouter une couche de sécurité supplémentaire avec un plugin de sécurité de confiance

Il existe des exploits et des vulnérabilités spécifiques à WordPress qui sont mieux gérés au sein de WordPress lui-même. Certains de nos meilleurs ingénieurs WordPress ont développé le plugin de sécurité SiteGround (gratuit pour tous) qui consiste en un certain nombre d’outils et de fonctionnalités conçus pour garder votre WordPress sûr et sécurisé. Il aide les propriétaires de sites à désactiver le XML-RPC si vous n’en avez pas besoin, à ajouter une protection XSS, à protéger les dossiers système contre l’injection de fichiers malveillants en un seul clic, et bien d’autres choses encore.

Évitez les noms d’utilisateur courants comme “Admin”

Votre connexion se compose de deux éléments : un nom d’utilisateur et un mot de passe. Dans de nombreux cas, le nom d’utilisateur est généré automatiquement par la plateforme sur laquelle vous vous inscrivez et vous n’avez aucun contrôle dessus, mais dans d’autres cas, comme votre application WordPress, vous avez le contrôle total de ce que vos noms d’utilisateur doivent être. Sauf que toutes les installations WP sont livrées avec l’utilisateur “Admin” par défaut. Et les pirates le savent, ce qui signifie qu’ils sont à deux doigts d’accéder à votre site ! C’est pourquoi nous vous suggérons de désactiver tous les utilisateurs Admin sur vos sites, et de créer des utilisateurs avec des noms d’utilisateur différents et des droits égaux à ceux de l’Admin. Vous pouvez désactiver l’utilisation de l’Admin et d’autres noms d’utilisateur communs avec le plugin gratuit SiteGround Security.

Limiter les tentatives de connexion

Un comportement standard des utilisateurs non autorisés consiste à essayer de deviner votre mot de passe (ou votre nom d’utilisateur et votre mot de passe) dans le formulaire de connexion en enchaînant plusieurs tentatives consécutives. Vous pouvez facilement leur couper l’herbe sous le pied en limitant le nombre de tentatives de connexion consécutives infructueuses qu’ils peuvent effectuer. Lorsqu’ils atteignent le nombre fixé, l’IP à partir de laquelle ils se connectent est bloquée pendant une heure. Utilisez le plugin gratuit SiteGround Security pour activer cette fonction pour les sites WordPress.

Utiliser un fournisseur d’hébergement web de confiance dont l’approche est axée sur la sécurité

Comme nous l’avons mentionné au début, la protection de votre site web est un effort d’équipe et sur notre plateforme, la sécurité de vos sites web est notre priorité numéro un. Ici, nous voulons récapituler certaines des choses que nous faisons et, au cas où vous ne seriez pas un client de SiteGround, vous voudrez peut-être prendre en considération ces éléments essentiels de sécurité pour tout fournisseur d’hébergement avec lequel vous travaillez :

Pare-feu d’application web au niveau du serveur

Le pare-feu d’application web surveille le trafic et empêche les pirates d’exploiter les failles de sécurité des applications les plus courantes. Bien qu’il existe de nombreuses solutions telles que des plugins WordPress ou des services tiers pour répondre à ce besoin, un WAF au niveau du serveur est de la plus haute importance car il travaille avec des données volumineuses et en temps réel. C’est pourquoi notre équipe de sécurité dédiée surveille en permanence les différents bulletins de sécurité pour détecter les exploits et les vulnérabilités, et crée immédiatement des règles de sécurité personnalisées, qu’elle ajoute à notre Web Application Firewall intelligent et géré en interne. Il protège tous les sites hébergés chez nous dès leur sortie de production.

Prévention de la force brute

Siteground dispose d’un système sophistiqué de prévention de la force brute basé sur l’IA qui, depuis des années, arrête des millions de tentatives de force brute par jour (voire par heure) ! Bien que ce système soit impressionnant en soi, nous l’avons récemment amélioré. Après la récente mise à jour du système, nous avons réussi à réduire de 95 % la quantité de trafic malveillant atteignant votre site, minimisant ainsi de manière significative les tentatives de force brute ! Aucune action n’est requise de la part de nos clients, ils l’utilisent déjà.

Protection contre les attaques DDOS

Les attaques DDOS sont fréquemment utilisées par les pirates informatiques pour faire tomber des sites pour différentes raisons : demandes de rançon, concurrence économique ou commerciale, motifs politiques ou simple vandalisme. Nous disposons d’un système de mécanismes logiciels et matériels qui détournent les attaques DDOS, atténuent leur impact et finissent par les arrêter. Et le mieux, c’est que vous n’avez rien à faire : nous protégeons tous les sites hébergés sur notre plateforme !

Gestion de PHP

Il est essentiel de maintenir le PHP à jour pour assurer la sécurité de votre site web. Les anciennes versions de PHP sont souvent une porte d’entrée pour les vulnérabilités et les logiciels malveillants, et de nombreux fournisseurs d’hébergement web ont tendance à négliger ce point afin de faciliter la gestion de PHP. Nous avons développé une solution sécurisée de gestion de PHP qui aide nos clients à maintenir leur PHP à jour avec la dernière version stable de PHP.

Blocage du trafic à la demande (blocage IP et géographique)

Dans certains cas, seule la personne qui gère un site peut remarquer des schémas spécifiques ou une activité suspecte. Nous avons fourni des outils puissants et faciles à utiliser pour bloquer des adresses IP spécifiques ou des pays entiers, ce qui permet à nos clients de contrôler qui accède à leur site web et d’empêcher les visiteurs indésirables.

Espace client intelligent et connexion aux outils du site

Tous les comptes SiteGround sont protégés par une connexion intelligente que nous avons développée pour reconnaître les comportements suspects et imposer une vérification supplémentaire du client lorsqu’un modèle irrégulier est détecté. Notre système de connexion apprend de votre comportement – comme les appareils que vous utilisez habituellement ou les endroits à partir desquels vous vous connectez souvent, par exemple – et sait si une tentative de connexion vient de vous ou d’un imposteur. Dans ce dernier cas, un défi est lancé – un défi facile à relever pour le véritable propriétaire du compte et très difficile à relever pour les autres.

Rapports de sécurité mensuels

Il y a encore une chose que l’on oublie souvent, mais qu’il est important d’inclure dans la stratégie de sécurité de votre site web. Vous devez vous assurer que vous gardez un œil sur le statut de sécurité de votre site régulièrement, mais cela peut vous prendre beaucoup de temps, d’efforts et d’argent. Les clients de SiteGround reçoivent des rapports de sécurité mensuels gratuits directement dans leur boîte de réception.

Nous effectuons des contrôles de sécurité automatisés sur les sites web de nos clients et leur fournissons ensuite un résumé des résultats dans un format simple à utiliser, ainsi que des conseils pratiques pour réduire le risque d’attaques malveillantes, si nous identifions des points faibles.

Ces fonctionnalités sont essentielles pour la sécurité de votre site web. Si vous les avez toutes activées, nous sommes convaincus que votre site est bien protégé et que vous pouvez avoir l’esprit tranquille en sachant que vous avez fait tout ce qui était en votre pouvoir pour sécuriser votre activité en ligne. Nous aimerions savoir lesquelles de ces fonctionnalités vous utilisez déjà et lesquelles vous venez de découvrir.