Services WEB en Midi Pyrénées
Partenaire informatique des PME et PMI. Tél. : 06 20 29 33 00.

Principes élémentaires de sécurité

Le succès des CMS comme wordpress, joomla, prestashop, est aussi leur point faible. Nombre de hackers s’y intéressent, malheureusement pour vous.

Voici quelques conseils de bon sens pour réduire les risques sur votre site WEB.

  1. Faites des sauvegardes régulières : Adaptez le rythme des ces sauvegardes au rythme de vie de votre site évidemment. Si vous avez un site de présentation dont le contenu change peu, faites une sauvegarde mensuellement et à chaque fois que vous faites un gros effort de mise à jour. Si vous avez un e commerce ou un blog très actif, il vous faudra prévoir une sauvegarde journalière voire bi-journalière. Et surtout, assurez vous que vous pouvez restaurer votre sauvegarde, chez un autre hébergeur ou pas, et que ça marche ….
  2. Gérez les droits sur les fichiers et répertoires : Avec un client FTP comme FileZilla, vérifiez les droits d’accès. La plupart des machines tournent sous un système de type Unix (très souvent Linux). Tous les fichiers sont en mode 644 et les répertoires en mode 755.  Ce code signifie simplement que seul le propriétaire a un droit d’écriture, tous les autres étant en lecture seule. Même si vous trouvez encore assez fréquement ce conseil sur internet, jamais, au grand jamais de droit 777 sur quoi que ce soit !
  3. Politique de mot de passe : l’accès à votre backoffice est protégé par un identifiant et un mot de passe.
    1. Sur beaucoup de CMS, l’identifiant est simplement admin ou administrateur. Changez le ! C’est bien trop simple, et c’est déjà la moité de la clé …
    2. Le mot de passe lui même doit être complexe et mémorisable facilement pour vous, ce qui n’est pas toujours évident. N’utilisez jamais de prénoms, ni date de naissance, ni enseigne ou métier et encore moins des astuces comme 123456 ou password. Les hackers aussi cherchent et trouvent de précieuses infos sur votre page facebook …
    3. Prestashop impose une url d’acces au back office généré automatiquement. C’est une bonne idée. Sur d’autres CMS, un module additionnel peut s’en charger.
  4. Mettez à jour votre CMS et ses extensions ou plugins : tous les éditeurs sérieux publient très fréquemment des mises à jour, notamment lorsqu’une faille de sécurité est découverte. Contrôler très régulièrement son site est une bonne chose. Si vous avez un petit peu de contenu à mettre en plus, c’est bon pour votre référencement.
  5. Faites attention aux copier/coller : Ne faites pas de copier coller d’un contenu web quelconque, sans aucune vérification : c’est du code informatique, et il peut être malveillant.
  6. Changer le préfixe des tables sql : Cette opération peut ne pas être évidente à mener « après coup ». Des modules additionnels peuvent s’en charger. Une attaque assez courante consiste à injecter un nouveau compte admin dans la bonne table sql.
  7. Supprimez les marques et versions : sauf si le mode de licence vous impose de laisser un copyright , ne laissez pas d’indication évidente de version des logiciels utilisés. Lorsque l’on connait le nom et la version exacte d’un logiciel, on a aussi la liste des failles de sécurité.
  8. Le malheur, c’est que l’inventivité des hackers est sans limite; Donc cette liste n’a pas de fin …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

4 × 4 =