Votre site Internet est-il suffisamment sécurisé ?

5 juillet 2019
votre site internet est il suffisamment sécurisé

votre site internet est-il suffisamment sécurisé ?

Si vous gérez un site internet pour vous ou pour quelqu’un d’autre, vous devez tout faire pour sécuriser ce site internet et respecter quelques règles de sécurité essentielles. 

illustration article mauvaise connexion internet

Votre site Internet est-il suffisamment sécurisé ?

Votre site Internet est-il suffisamment sécurisé ? C’est une question essentielle qu’il faut vous poser si vous êtes propriétaire d’un site Internet. Peu importe ce que vous publiez dessus, blog, boutique en ligne, site vitrine ou forum vous devez respecter certaines règles établies par les acteurs de l’Internet mondial.

Dans cet article je vais vous aider à savoir si votre site respecte certaines conditions minimales de sécurité et éventuellement y remédier.

Cet article est important car Google et autres moteurs de recherches prennent en considération avant toute chose la sécurité des visiteurs de votre site et en cas de non respect, Google et autres vous black-listerons et il sera alors difficile de faire connaitre votre site au plus grand nombre.

Dans cet article j’essai de vous aider à faire le point sur la sécurité de votre site Internet.

Ne tentez rien si vous ne savez pas, car ces manipulations peuvent avoir un impact sur la stabilité, la protection de votre site Internet.

Nous pouvons vous aider à faire le point sur la sécurité de votre site et particulièrement de vos données, n’hésitez pas à nous contacter.

Patrice

Gérant, PATRICE INFORMATIQUE

Quel est le minimum requis pour que votre site soit sécurisé ?

Il y a 3 points vitaux à respecter pour montrer patte blanche auprès des moteurs de recherches.

  • L’ajout d’un certificat SSL de qualité à votre site Internent.
  • Une protection de vos bases de données.
  • Une protection des fichiers de votre site (html, css, php et JavaScript).

LE CERTIFICAT SSL

Le certificat SSL tout le monde en parle mais on ne sait pas trop ce que c’est et à quoi cela sert.

C’est tout simplement l’outil nécessaire pour crypter les communications qui transitent entre votre site Internet et les internautes qui visitent alors votre site.

Google et tout les acteurs d’Internet imposent depuis juillet 2018 l’adjonction d’un certificat SSL à votre site. Sans cela à chaque visite de votre site Google considèrera que votre site est dangereux et vous retirera de son référencement.

 

site internet dangereux car manque de certificat ssl

De plus en plus d’accès à des sites non sécurisés obtiennent ce message lorsque l’internaute fait une recherche sur un moteur de recherche. Quand vous lisez ce message cela ne vous donne pas envie d’aller plus loin. C’est ce qui se passe pour l’internaute qui souhaite accèder sur votre site pour la première fois.

 

Comment savoir si mon site est suffisamment sécurisé ?

Pour cela il existe plusieurs outils disponibles sur Internet. Ces outils vont vous permettre de faire un audit sur la sécurité SSL de votre site Internet.

Vous pouvez utiliser celui ci à l’adresse suivante : https://https.com/fr/tester-certificat-ssl  

Il suffit de copier l’adresse Internet de votre site Internet dans le barre de recherche comme indiqué sur le site et vous obtiendrez un rapport.

A ce moment là deux types de rapports peuvent apparaitre soit bon ou mauvais comme démontré dans les deux captures d’écrans suivantes :

exemple site internet non securise sslcapture test ssl patrice informatique

Le premier test pris sur un site lambda non sécurisé est sans appel ce site n’est pas sécurisé et donc considéré par Google et autres moteurs de recherches comme dangereux.

Le second test effectué sur notre site patriceinformatique.com indique clairement que le site que vous visitez actuellement est largement sécurisé et Google et autres moteurs de recherches le considèrent comme sur.

Une dernière astuce quand vous visitez votre site il suffit de regarder à gauche de votre barre d’adresse du navigateur choisi pour avoir votre réponse.

illustration cadenas certificat ssl sur les différents navigateurs

(source image https://wpchannel.com )

 

Quel certificat SSL devez vous choisir  ?

Il faudra choisir évidemment un certificat SSL de qualité.

Je précise de qualité car vous avez tout types de certificats SSL de disponibles sur Internet.

Il existe des certificats SSL gratuits qui sont en fait des certificats SSL partagés entre plusieurs sites. Ce que Google et autres moteurs de recherches n’aiment pas du tout.

Après il existe plusieurs types de certificats SSL selon l’importance des données échangées entre votre site Internet et vos internautes, il se déclinent en trois catégories :

  • Le certificat pour le nom de domaine
    • Cela garanti à l’internaute que le nom de domaine, ex: patriceinformatique.com a été vérifié auprès de son provider (fournisseur d’hébergement Internet). C’est un certificat simple et suffisamment sécurisé pour un site Vitrine ou blog.

 

  • Le certificat pour une organisation ou entreprise
    • Cela garanti à l’internaute que le nom de domaine a été vérifié auprès de son propriétaire et que ce dernier a prouvé être le gérant ou responsable de la société attachée à ce site. Utile pour un site administratif, d’une grande entreprise ou d’une boutique en ligne.

 

  • Le certificat étendu
    • C’est la garantie pour l’internaute que le nom de domaine attaché à ce site à non seulement été vérifié auprès de son propriétaire mais que ce dernier a du envoyer les documents nécessaires à la vérification auprès d’une autorité de certification SSL. Utile pour une grosse entreprise qui souhaite ajouter son nom dans la barre d’adresse des navigateurs afin de rassurer ses internautes.

Combien cela coûte ?

Prenons exemple chez notre hébergeur en l’occurence IONOS 1and1 qui propose les certificats SSL suivants:

  1. Le SSL Starter celui que Patrice Informatique utilise à 36 € TTC par an.
  2. Le SSL Business que je conseille aux boutiques en ligne ou site de grandes entreprises à 84 € TTC par an.
  3. Le SSL Premium pour les sites Internet exploitant des données à caractère sensibles à 240 € TTC par an.

Vous souhaitez en savoir plus consultez les offres de IONOS ici https://www.ionos.fr/securite/certificat-ssl#packs

 

Comment l’installer sur votre serveur ?

Il a plusieurs solutions ou techniques pour ajoindre un certificat SSL à votre site Internet ou du moins à son nom de domaine attaché.

  • La première c’est votre hébergeur qui s’occupe de tout et quelques heures après votre activation, votre site Internet est accessible en https (garantie de la présence d’un certificat SSL sur votre site).
  • La seconde, si vous achetez un certificat SSL ailleurs que chez votre propre hébergeur, vous devrez manuellement l’installer sur votre espace WEB. Il est conseillé de faire appel à un spécialiste pour l’installation.

Que faire par la suite ?

Lorsque votre site a été créé il l’a été en protocole « http » et non « https », vous devrez alors faire plusieurs manipulations techniques sur votre site comme:

  • La réécriture d’URL sur le site et dans votre base de données.
  • La vérification de vos images et médias pour les passer en « https »

Nous vous conseillons aussi de faire appel à un spécialiste pour effectuer cette opération.

 

 

Si vous passez cette première étape, votre site Internet sera d’un niveau de sécurité largement supérieur à ce qu’il était auparavant et Google et les autres moteurs de recherches vous considérerons à nouveau.

LA BASE DE DONNÉES

La base de données de votre site Internet c’est l’élément le plus fragile et le plus sensible de ce dernier.

Il est primordial de la protéger au mieux et d’éffectuer des sauvegardes régulières.

Une base de données infectée ou manquante et c’est la disparition totale de votre site Internet de votre écran.

Que contient une base de données ?

Des milliers d’informations vitales telles que :

  • Les données personnelles de vos utilisateurs connectés sur votre site et qui ont un compte d’enregistré, cela peut aller tout simplement d’un prénom ou pseudo et d’une adresse email, jusqu’à d’autres données plus sensibles comme l’adresse, des informations de paiement, des numéros de téléphone et pour les sites médicaux des données médicales de première importance.
  • Les données d’agencement de votre site Internet, textes, images et illustrations.

 

Pour les données personnelles stockées dans votre base de données, vous devez particulièrement être prudent et organisé comme vous y oblige la Comission Européenne à l’aide de son nouveau règlement européen sur la protection des données, la RGPD. Vous pouvez lire mon article à ce sujet ici https://patriceinformatique.com/la-rgpd-pour-les-editeurs-de-sites/

 

Comment faire pour sécuriser ma base de données ?

C’est tout l’enjeu de cet article vous apprendre en trois points à faire que votre site soit sécurisé.

Si vous effectuez les trois processus votre base de données sera alors sécurisée.

  • Premier point:
    • Quand vous créez une base de données soit dans l’interface de votre hébergeur ou à l’aide de PHP MY ADMIN il vous est demandé de créer un mot de passe ultra sécurisé.
    • C’est la première sécurité à faire de manière conscencieuse et pour vous aider à définir un mot de passe ultra sécurisé je vous invite à lire mon article ici https://patriceinformatique.com/creer-des-mots-de-passes-securises/
  • Deuxième point:
    • Vous pouvez aussi changer le préfixe des tables de votre base de données afin de la sécuriser encore plus. Par défaut de nombreuses tables et particulière dans WordPress commence par wp-  pour les utilisateurs la ou sont stockées toutes les données personnelles elle se nomme wp-users beaucoup trop simple à trouver pour les hackers. Il vous suffit de changer le préfixe par le nom de votre choix exemple abcd-users.
  • Troisième point:
    • Faire une sauvegarde régulière de votre base utile en cas de plantage ou d’attaque de votre site.

En ayant effectué tout ces points votre base de données est sécurisée, par contre restez vigilant en vérifiant l’intégrité de votre site régulièrement.

 

 

SI VOTRE BASE DE DONNÉES A ÉTÉ INFECTÉE OU PIRATÉE, VOUS DEVEZ LÉGALEMENT PRENDRE DES MESURES IMPORTANTES SOUS PEINE D’ÊTRE LOURDEMENT CONDAMNÉ PAR LA CNIL.

Vous devez informer par email tout vos utilisateurs, inscrits et abonnés que votre base de données s’est fait pirater et que ces derniers doivent sécuriser leurs informations personnelles en changeant leurs mots de passes sur tout les comptes connus.

Vous devez informer la CNIL en cliquant sur ce lien https://notifications.cnil.fr/notifications/index et en remplissant leur formulaire afin de les prévenir que tels types de données de vos utilisateurs ont étés piratées.

Pour finir faites vous assister par un expert informatique en règlementation RGPD afin de faire un audit de vos protections, de nettoyer votre base de données de tout script suspect ou au mieux d’en créer une nouvelle.

LES FICHIERS DE VOTRE SITE

Les fichiers qui composent votre site (html, css, php et autres) sont autant de portes de sorties entre votre site et vos visiteurs que des portes d’entrées dans votre site par des hackers.

Cette partie est tout aussi importante que les deux premières.

 A quoi servent ces fichiers ?

Ces fichiers sont simplement une liste d’actions à effectuer par votre serveur vers votre visiteur pour que cela soit lisible sur son ordinateur, tablette ou smartphone.

Par exemple :

  • un fichier html indiquera au serveur quel sont les textes, les liens des images, les pages et menus et certaines fonctionnalités à afficher sur votre site Internet.

exemple de fichier html

 

  • un fichier css indiquera au serveur comment mettre cela tout en place. Quelles couleurs utilisées pour les textes, ou placer les images, organiser les blocs de textes et agrémenter votre site de certains effets graphiques.

exemple de fichier css

  • un fichier php  certainnement le type de fichier le plus sensible car c’est le fichier qui donne tout les ordres à votre serveur.  Par exemple il demande à votre base de données d’afficher sur le site les informations de vos utilisateurs telles que prénom, nom, adresse email et autres. Il demande aussi au serveur de vous afficher tel contenu selon votre demande en directe sur le site, par exemple vous cliquez sur un bouton « voir la page », ce dernier va donner l’ordre au serveur de vous envoyer sur votre ordinateur, tablette ou smartphone la page demandée.

Ce type de fichier est principalement la porte d’entrée utilisées par le hackers afin d’accèder à votre base de données.

Comment ajouter de la sécurité à ces fichiers ?

Si vous ne maitrisez pas le codage html, css et php vous devrez faire appel à un professionnel afin qu’il reprenne tout votre code pour y trouver les failles de sécurité présentes.

Si vous maitrisez cela n’est pas trop sorcier.

– Première astuce, renommer certains fichier sensibles, un peu comme les préfixes des tables de votre base de données. En effet les hackers connaissent les debuts de nom de fichiers tels que index.php, htaccess ou php.ini. Si vous utilisez WordPress rien de plus simple de nombreux plugins de sécurité permettent de renommer vos pages d’administration.

– Deuxième astuce, donner les autorisations de lecture, écriture sur certains fichiers sensibles sur votre serveur soit en cpanel ou en ftp.

Vous pouvez vous référer à cet excellent article de https://wistee.fr  que vous pouvez lire ici https://www.wistee.fr/serveur-ftp/modifier-droits-chmod.html

 

Cette partie est la plus technique et peut engendrer des risques importants pour votre site, ne faites rien si vous ne savez pas ! Prenez des conseils ou assistance auprès d’un professionnel. Patrice Informatique se désengage de toute responsabilité en cas de plantage de votre site suite à des modifications que vous auriez éffectué suite à la lecture de cet article.

0 commentaires

Aller au contenu principal