Avoir un site internet, c’est bien pour son business. Mais il ne faut pas négliger la sécurité.
Imaginez. Vous êtes l’heureux propriétaire d’un pavillon flambant neuf dans un petit village proche d’une grande ville. Cela ne vous viendrait pas à l’idée de laisser la porte d’entrée et les fenêtres grandes ouvertes ?
Un site internet, c’est pareil.
Un hébergement sain, pour un site sain
La base de la base sera toujours l’hébergement.
Tout comme on ne confie pas son compte bancaire au premier venu (mais dans une banque reconnue), votre site internet doit avoir un hébergeur digne de ce nom.
Exit les hébergeurs exotiques pas cher, bonjours les hébergeurs reconnus : OVH, Ionos, Hostinger, Infomaniak… Mon petit préféré étant O2Switch (hébergeur 100% français, basé à Clermont-Ferrand).
La configuration n’est pas à négliger non plus. La plupart des hébergeurs cités précédemment permet une configuration simple et sécurisée (comprenant un certificat SSL pour un superbe HTTPS dans votre adresse). La redirection des adresses HTTP vers HTTPS est absolument nécessaire.
Et bien entendu, tout cela est protégé par un mot de passe solide, unique et changé régulièrement. L’utilisation de la double authentification (2FA) si elle est proposée est un énorme plus.
Petite digression pour les sites WordPress
Erf, je suis principalement développeur WordPress, donc il est normal que je m’étende un peu sur le sujet.
Un site WordPress, ça vit. Et ça se met à jour régulièrement.
Il y a tellement de possibilités de piratage, simplement parce que votre WordPress n’est pas à la dernière version (je découvre encore des sites WP en version 5 alors qu’à l’heure où j’écris cet article, on est à la version 6, et la version 7 arrive bientôt !).
Idem pour les extensions, une mise à jour régulière est un minimum pour assurer la sécurité de votre site. Une extension bien pratique quand on a plusieurs sites peut se trouver du côté de ManageWP, qui propose de regrouper plusieurs sites WP et d’y faire la mise à jour d’un seul clic.
Qui dit mise à jour, dit aussi sauvegarde. Si une mise à jour se passe mal, il est important d’avoir un backup pour remettre le site en marche rapidement. Allez voir du côté de Updraft pour des petites sauvegardes régulières, ou Duplicator pour les grosses sauvegardes.
Bien entendu, tout ça ne fonctionne pas si les accès à votre back WordPress n’est pas sécurisé. On dit au revoir aux comptes « admin », « wpadmin », « theme » ou simplement le nom de votre site, qui sont les noms de comptes les plus répandus. Il en va de même avec les mots de passe « 123456 », « azerty », « admin » et autres simplicités. Un mot de passe doit être solide, unique et régulièrement changé. J’en parlais dans une chronique sur France Bleu il y a un petit moment.
Le petit plus du développeur : changez votre adresse pour vous connecter à votre back (par défaut, c’est /wp-admin ou /admin). Ça ralentira la possibilité de piratage en brute force. Une extension comme WPS Hide Login fait très bien cette tâche.
Pour tous les sites, même ceux codés sur mesure
Je vais plutôt parler de ce que je connais, mais j’imagine que c’est aussi valable pour d’autres façons de créer son site, ou pour d’autres langages.
Pour ma part, je développe aussi sur React et NodeJS. Et il existe de petites règles simples pour éviter les soucis.
Côté React, mettez toujours la version build de votre site en ligne, et non la version dev. Un petit montage en CI/CD avec votre gestionnaire de versioning préféré peut automatiser la chose.
Côté NodeJS, dans le cas d’une API, ayez une attention particulière sur les différentes routes proposées. Toutes les routes dites « critiques » doivent être sécurisées par un token ou une méthode d’autorisation. Une route non protégée sera réputée publique, et servira de point d’entrée pour une attaque.
La gestion des bases de données est aussi importante. Dans le cas de l’utilisation d’une base de donnée (quelle soit relationnelle ou non), on cache ses identifiants de connexion, au moyen d’un fichier d’environnement par exemple.
En conclusion
La gestion d’un site internet requiert une bonne logique de sécurisation. Chaque point sensible doit être vérifié constamment, et corrigé quand c’est possible.
Cet article ne pointe pas tous les domaines à vérifier, mais cela donne déjà une bonne base pour avoir l’esprit serein et un site internet sécurisé.
Article écrit sur LinkedIn : Lien