Les 7 erreurs capitales de sécurité en webmastering

En tant qu’hébergeur, nous voyons régulièrement des sites se faire pirater, ce qui n’est jamais agréable pour le propriétaire du site. Or, ces piratages proviennent de failles laissées ces sites, de points d’entrée faciles à exploiter pour les pirates ou robots pirates. Nous estimons -totalement subjectivement- qu’au moins 95% des piratages auraient pu être évités grâce à des mesures simples prises par les webmasters. Cela explique pourquoi certains sites sont piratés et d’autres pas.

Voici donc les principales erreurs à éviter absolument pour ne pas voir son site piraté.

Erreur 1) Avoir un mot de passe et identifiant « facile » à retenir

… Et facile à deviner pour les pirates !

Si vous avez comme nom d’utilisateur « admin » et comme mot de passe « password », écrivez directement « hackez-moi » en titre de votre site, car cela revient à laisser la porte de votre domicile grande ouverte lorsque vous partez en vacances.

flickr.com – neosnaps / Creative Commons License

Vous seriez surpris du nombre de sites piratés où le mot de passe choisi était le prénom de l’utilisateur… Votre identifiant et mot de passe ne doit pas pouvoir être deviné par un robot ou un humain.

La complexité de l’identifiant n’est pas à négliger non-plus, car s’il est également difficile à trouver, cela rajoute une couche de sécurité d’autant plus grande à votre login. Ainsi, il est plus difficile de deviner le nom d’utilisateur »HackMeIfYouCan_42-1337″ que « admin » ou « administrator ».

Vos mots de passe protègent l’accès à vos services. Que ce soit un accès FTP, backoffice, à votre espace client, à Plesk, à votre boîte mail, vous souhaitez être la seule personne à accéder à vos services. De nombreux robots et utilisateurs malveillants parcourent le web à la recherche de mots de passe simples afin de profiter de vos accès, pour de l’envoi de spams, de la diffusion publicitaire, ou de la simple malfaisance. C’est pourquoi, il est primordial de choisir des mots de passe sécurisés, de « bons mots de passe ».

Un bon mot de passe doit:

  • Faire au minimum 8 caractères
  • Contenir minuscules, majuscules, chiffres et signes
  • Être unique

Un mot de passe ne doit pas:

  • Contenir des mots existants dans le dictionnaire
  • Contenir un quelconque mot en rapport avec le compte pour lequel il est utilisé
  • Contenir une suite facile (azerty, 123, 2017, etc)

Erreur 2) Ignorer les mises à jour de son site

Vous avez un CMS utilisé par des millions, voir milliards de sites internet ?
Vous utilisez des dizaines de modules additionnels, bien-sûr, très populaires eux aussi ?

Mettez-les à jour ! Le plus souvent possible !

Ne pas ignorer les mises à jour de son CMS

Parce que ces CMS, thèmes et plugins sont populaires et répandus, ils sont la première cible des pirates.
Mais ils sont aussi très bien supportés par leurs développeurs : Dès qu’une faille de sécurité est détectée, elle est très rapidement corrigée. Il faut donc rapidement faire la mise à jour pour corriger la vulnérabilité.

Si votre site n’est pas à jour, c’est sur vous que tombera le piratage !

Plus vous passez de temps sans mettre à jour votre site, plus vos chances d’être piraté augmentent… Exponentiellement.
Nous estimons qu’il faut au minimum effectuer ses mises à jour tous les mois et qu’un risque très important de piratage existe à partir de 3 mois sans mises à jour.
Aussi, si vous remarquez qu’un plugin ou thème n’est plus mis à jour par son développeur, il faut lui trouver une alternative à ce module.

Il ne faut généralement que quelques minutes et quelques clics pour faire la mise à jour d’un CMS moderne et les problèmes liés aux mises à jour sont d’autant plus faibles que vous entretenez votre site régulièrement, ce serait dommage de passer à côté.

Chez HaiSoft, tous les hébergements sont sous Plesk, ce qui permet de détecter de nombreux CMS. Vous pouvez ainsi activer les mises à jour automatiques, faire la mise à jour des plugins et thèmes de plusieurs sites d’un coup et même contrôler et améliorer la sécurité de vos CMS. Il est vivement conseillé d’user et d’abuser de ces fonctionnalités ! N’hésitez pas à demander conseil au support si besoin.

Erreur 3) Utiliser une version de PHP Obsolète

PHP est le langage de tous les sites dynamiques modernes. « PHP » désigne à la fois d’un langage de programmation, mais également de l’interpréteur qui fait tourner le code. Il est en constante évolution de sorte à améliorer les temps de chargement, mais aussi et surtout la sécurité. Ainsi, au fil des versions PHP corrige des failles, désactive des fonctions jugées dangereuses, etc. Il faut donc mettre à jour votre version de PHP.

Partiriez-vous à l’autre bout du monde à bord de cet avion ?

Le Wright Flyer (1903) est communément considéré comme le premier avion, capable d’effectuer un vol motorisé et contrôlé. (Source: wikipédia)

Pourtant, nous voyons régulièrement des clients installer des CMS dernier cri comme WordPress avec une version de PHP obsolète depuis plusieurs années (comme PHP 5.4). Non-seulement cela peut causer des dysfonctionnements et ralentir considérablement votre site, mais vous allez surtout laisser des failles de sécurité gigantesques ouvertes sur votre site.

Chez HaiSoft, nous vous rendons disponibles les versions de PHP dès le jour de leur sortie !

Afin d’avoir la meilleure expérience et la meilleure sécurité possible, prenez les quelques secondes nécessaires pour vous connecter à votre panneau de contrôle Plesk et choisissez la version de PHP la plus récente compatible avec votre script.

Erreur 4) Se croire invulnérable

Il est aujourd’hui tellement facile de créer son site internet et de publier du contenu, qu’on en oublierait presque que le côté public d’internet est également un risque.
Si votre site est statique (en HTML), alors le seul risque possible est d’avoir un mot de passe FTP ou Apache trop simple. Mais si votre site est, comme la majorité des sites, un site en PHP, qui peut donc s’exécuter et recevoir des commandes de l’extérieur, vous imaginez facilement que cela nécessite quelques précautions.

– « Qui voudrait me hacker ? On est une toute petite association. »
– « Je croyais que WordPress c’était sécurisé »
– « Je ne savais pas qu’il fallait faire les mises à jour »
– « Qui pourrait deviner le nom de mon chien comme mot de passe ? »

Autant de phrases innocentes que nous entendons souvent après un piratage mais qui traduisent une ignorance totale de la réalité des risques.

Nous vivons à une époque où les pirates programment des robots pour chercher des sites vulnérables et les pirater automatiquement.

De notre côté, nous rendons la vie dure à ces bots en les bannissant de nos serveur lorsque leur activité est reconnaissable, mais nous ne pouvons détecter 100% d’entre eux et si votre site est vraiment trop vulnérable, ils peuvent parvenir à leurs fins avant que nous détections la tentative d’intrusion.
Les intentions des pirates sont souvent économiques (envoyer de la pub, miner des crypto-monnaies, récupérer des adresses email et les revendre à des anonceurs peu scrupuleux), parfois il s’agit d’un concours entre pirates (celui qui fera apparaître son nom sur le plus grand nombre de sites) et finalement très rarement, ce sont des attaques ciblées qui visent à nuire à votre entreprise ou votre personne spécifiquement.

Ces risques concernent donc tout site en ligne.
Que vous soyez une toute petite ou une gigantesque structure, que vous utilisiez un CMS populaire ou non, tout site dynamique peut comporter des failles de sécurité.
Sur internet, vous êtes donc sur un pied d’égalité avec vos voisins : vulnérable comme tout le monde.

  • Ne négligez jamais une mesure de sécurité sous prétexte qu’elle ne vous concernerait pas.
  • Si votre site est piratable, ce n’est qu’une question de temps avant qu’il soit piraté.
  • En sécurité, mieux vaut être parano qu’imprudent.
  • Votre niveau de sécurité global est celui du maillon le plus faible de votre chaîne.

 

Erreur 5) Un bug ? Facile, je n’ai qu’à augmenter les permissions ! chmod 777 (rwxrwxrwx)

Si vous avez un jour l’impression que cette solution est la bonne solution, alors vous êtes probablement en train de vous fourvoyer.

  • Un maximum de droits pour tous les users d’un serveur sur vos fichiers, c’est de l’inconscience.
  • Un minimum de droits, c’est un maximum de sécurité.
  • En aucun cas le droit d’exécution ne devrait être autorisé sur des fichiers PHP.
  • En aucun cas il n’est souhaitable que tous les utilisateurs du serveur aient des droits sur les fichiers de votre site.
  • Un serveur web récent est pensé de sorte à ce que des permissions « 644 » sur les fichiers, « 755 » sur les dossiers suffisent lorsque le fichier appartient à votre user FTP principal (utilisateur du site) et au groupe « psacln » (Plesk). Le dossier « httpdocs » de la racine de votre site sous Plesk doit être en chmod « 750 » et appartenir au groupe « psaserv ».
  • Si la lecture ou l’écriture est impossible sur un fichier ou dans un dossier, demandez-vous d’abord pourquoi : Les fichiers appartiennent-ils au bon utilisateur ? L’accès aux fichiers est-il restreint au niveau d’un dossier parent ou par une règle .htaccess ? Consultez vos logs !

Erreur 6) Ne pas faire de sauvegarde / faire une sauvegarde locale

Mieux vaut prévenir que guérir prévoir la guérison que tomber des nues.

Vous avez déployé votre site, vous êtes content, vous comptez le laisser pendant des mois, voir des années sans aucun entretien, pendant qu’il devient de plus en plus vulnérable et se fasse pirater… Ou peut-être comptez-vous bichonner votre site et un jour, vous ferez une mauvaise manip’ et perdre tout votre travail. Le risque zéro n’existe pas ! Dans tous les cas, faites une sauvegarde de votre site en état de marche.

Peut-être voudrez-vous installer un module de sauvegarde dans votre site ? En termes de sécurité, cela revient à peu près à laisser vos papiers du véricule dans le véhicule pour ne pas les perdre… Autrement dit : C’est le pire backup possible, ne faites pas cela. Un backup digne de ce nom doit être déporté de la source qu’il sauvegarde. De plus, ce backup qui rempli votre formule d’hébergement sera-t-il complet ? Comment le restaurez-vous si le site est HS ? Il existe de bien meilleures alternatives.

Voici la méthode la plus élémentaire, universelle et efficace pour faire un backup complet de votre site, cela prend moins de 10 minutes et sauve des vies :

  • Créez un dossier au nom du site et à la date du jour sur votre ordinateur ou NAS.
  • Connectez-vous à votre panneau de contrôle Plesk
  • Exportez et téléchargez un dump de votre base de données à placer dans votre dossier.
  • Connectez-vous en FTP, téléchargez tous les fichiers du site que vous placez aussi dans votre dossier.
  • Optionnellement, créez un .zip correctement nommé de ce dossier afin de vous assurer que ça ne bouge pas.

Si vous disposez d’un serveur FTP, vous pouvez programmer un backup automatique dans Plesk. N’hésitez pas à nous contacter pour mettre cela en place si besoin.

HaiSoft effectue des sauvegardes quotidiennes de ses serveurs mutualisés et les gardes durant 4 à 6 mois. Mais il arrive parfois qu’un client se rende compte de son piratage ou réagisse à nos avertissements plus de 6 mois après. La restauration de notre backup est alors impossible et la réparation du site peut être complexe voir impossible. Gardez donc au moins une archive sinon plusieurs de votre site en parfait état de marche. De plus, ce backup pourrait vous servir en cas d’échec de mise à jour ou d’erreur de manipulation.

Un backup devrait être effectuée avant et après chaque changement majeur de votre site afin d’éviter de perdre votre travail et de revenir en arrière en cas d’erreur, mais surtout, d’avoir un contenu à restaurer en cas de piratage du site.

 

Erreur 7) Ne pas utiliser HTTPS

La sécurisation via Let’s Encrypt est 100% gratuite chez HaiSoft et peut se déployer très simplement dans de nombreux cas.

N’attendez pas une seconde !

Protégez vos identifiants et vos données personnelles. HTTPS est devenu une norme de sécurité incontournable. Cela protège de certains types de piratages de type « man in the middle » mais également de certaines attaques de robots car certains robots pirate ne sont pas encore compatibles HTTPS ! Cela permet aussi d’améliorer votre référencement (SEO).

HTTPS est un sujet à part entière, nous avons un article pour vous expliquer cela en détails : https://blog.haisoft.fr/securite/securiser-gratuitement-site-https-ssl-tls/

 

 

Nous espérons que cet article vous aura plu et que vous ne commettrez pas ces erreurs. N’hésitez pas à le partager s’il vous a été utile !

Laissez un commentaire