© 2019 Senou Publishing | Depuis le 10 Sep. 2017  |  Mentions Légales et Confidentialités 

Sécuriser votre site de vente

Sécuriser votre site de vente
1 juillet 2017 Awa FALL
In Blog

Sept (07) ÉTAPES POUR SÉCURISER ET PROTÉGER VOTRE SITE

Les site de vente très connus et donc de véritable cible des hackers. D’après PwC, en 2014, environ 117 339 cyber-attaques ont lieu chaque jour. Un chiffre impressionnant qui augmente chaque année, c’est pour cela que vous devez impérativement sécuriser votre site. Ceci bien évidement si vous ne voulez pas perdre tout le travail et le temps investi dans votre site internet. Mais, pourquoi votre site de vente est attaqué? N’imaginez pas que ces attaques soient personnelles et que c’est votre site qui est personnellement visé, bien au contraire, la grande majorité des attaques contre les sites internet sont automatisée via des “bots” qui parcourent inlassablement la toile à la recherche de nouvelles proies.

En effet, ces pirates vont utiliser votre site internet pour réaliser leurs petites magouilles brouillant ainsi les traces pour les retrouver. Il est très simple d’ajouter sur votre site internet un petit morceau de code difficile à détecter qui va envoyer des milliers d’emails à travers votre serveur par exemple. Il est très rare qu’un site soit attaqué de façon intentionnel de façon à détruire votre travail, du moins tant que vous n’êtes pas très connu, un site politique et que vous ne traitez pas de sujets hautement confidentiels.

Pour cela je vous propose 7 étapes simples pour sécuriser votre site et éliminer la majorité des risques les plus courants :

1- Vérifier que votre site et vos extensions soient à jour:

La solution la plus efficace pour éviter de se faire attaquer bêtement est de s’assurer que vous utilisez bien les dernières versions de votre template et de vos extensions. Dès qu’une faille de sécurité est repérée, elle est très rapidement corrigée par les équipes de production des templates et par les développeurs d’extensions sérieux. Ils publient dès lors une mise à jour corrective. Cependant, le revers de la médaille c’est que dés que cette faille est publiée, elle est immédiatement utilisée par des milliers de robots pour des actions malveillantes. Il est donc impératif que vous sécurisiez votre site en mettant régulièrement votre site internet à jour. Je vous conseille de faire une vérification toutes les semaines. Pour connaitre votre version de template, regardez en bas à droite de votre panneau d’administration dans la barre grise. Pour vérifier les mises à jour disponibles vous pouvez aller dans Panneau d’administration > Extensions > Gestion des Extensions > Mises à jour (dans la barre à gauche).

2 – Utilisez un login et un mot de passe sécurisé pour votre administration

La majorité des attaques se font très simplement en passant par le panneau d’authentification, en entrant le login Admin et le mot de passe “password”, “azerty” ou encore “123456”. Vous êtes choqués? Et pourtant, sachez que si votre mot de passe est le nom de votre chien, la date de naissance de votre fille ou encore la date de votre premier jour dans votre nouvelle entreprise, il est très simple de retrouver ces informations grâce aux réseaux sociaux ou les autres sites que vous parcourez avec le même identifiant. Pour illustrer mes propos, avec le simple identifiant d’une personne rencontrée sur un site de rencontre célèbre j’ai pu en quelques minutes retrouver son nom, prénom, date de naissance, l’histoire de son avortement racontée sur doctissimo, et en recoupant son identifiant avec son nom, j’ai pu retrouver son adresse sur un forum de discussion où elle posait une question juridique. C’est une réalité, à partir du moment où vous êtes internaute, vous laissez des traces. Donc pour votre identifiant et votre mot de passe utilisez des mots uniques et compliqués. Par exemple si votre société est créée en Juin 2017 et s’appelle klmdsgn utilisez par exemple la combinaison: login : J08dsgn@15! Mot de passe : J0om!a@15dsgn08.

Vous pouvez aussi utiliser un générateur de mot de passe. Pour modifier votre identifiant et votre mot de passe rendez vous dans votre panneau d’administration > Utilisateurs > Gestion des Utilisateurs > et modifiez votre Super Admin. > Découvrez les 25 mots de passes les plus utilisez en 2014. 

3 – Bloquer les attaques les plus courantes avec un plugin spécialisé

Vous vous devez choisir un hébergeur sécurisé ou tout simplement installer un plugging de protection proposé gratuitement ou une extension de sécurité.

4 – Sauvegarder votre site internet

Même en protégeant au mieux votre site internet vous ne serez jamais à l’abris de quelqu’un de plus malin que vous, ou encore d’une attaque provenant d’un proche ou d’un salarié connaissant vos identifiants. Il est donc important que vous puissiez rapidement remettre en ligne une version saine de votre site internet. Pour cela il n’existe qu’une seule solution: faire des sauvegardes. Il faut réaliser et garder plusieurs sauvegardes de votre site internet, car en effet il se peut que vous fassiez une sauvegarde qui est dores et déjà infectée par un script malveillant, et si vous n’avez pas une autre sauvegarde vous êtes foutu! Le meilleur plugin pour faciliter la vie pour sauvegarder votre site internet est Akeeba Backup, en version gratuite vous devrez vous même lancer les sauvegardes mais en version Pro vous pouvez automatiser ces tâches. Sauvegardez votre base de données toutes les semaines et les fichiers de votre site toutes les deux semaines par exemple. C’est à décider en fonction du nombre d’article que vous écrivez.

5 – Créer un compte pour tous les utilisateurs.

Pour maîtriser la sécurité de votre site internet il est impératif de ne pas partager votre compte Super Admin avec toute votre équipe. Créez un utilisateur pour chaque personne susceptible d’intervenir sur le site et attribuez lui les droits relatifs à son travaille. Un rédacteur n’a pas besoin de pouvoir modifier les modules du site par exemple ou encore de créer des utilisateurs. Pour gérez les droits des utilisateurs rendez-vous dans votre panneau d’administration > Utilisateurs > Groupe d’utilisateur et créez les groupes d’utilisateurs dont vous aurez besoin (ex: Rédacteur). Ajoutez ensuite le groupe aux bons utilisateurs dans votre panneau d’administration > Utilisateurs > Gestion des utilisateurs

6 – Eviter au maximum d’installer des extensions gratuites

Les extensions gratuites avec peu d’utilisateurs sont bien souvent des nids à failles de sécurité. En effet, des utilisateurs avancés de certain template ont à une période donnée souhaité aider la communauté en rendant public le code de leur extension mais malheureusement ils ne s’assurent pas que leur extension reste viable vis à vis des évolutions de leur template. N’étant plus à jour, il se peut que ces extensions ouvrent des passages qui seront très rapidement exploités par les hackers et leurs robots. C’est pourquoi je vous conseille d’éviter au maximum de multiplier les extensions gratuites. Un bon indicateur est le nombre d’avis sur une extension, si vous avez moins de 100 avis, ne prenez pas de risque.

7 – Activer la double authentification

Il existe une méthode radicale pour sécuriser l’accès à votre panneau d’administration, c’est la double authentification. En plus de votre identifiant et de votre mot de passe, WordPress vous demandera une clef de sécurité générée automatiquement toutes les 30sec que vous pourrez retrouver via une application sur votre téléphone portable. Je vous conseille l’authentification en 2 étapes via Google Authenticator. Pour cela allez dans votre panneau d’administration > Extensions > Gestion des Plugin et recherchez : Authentification. Assurez-vous que le plugin Authentification en deux étapes – Google Authenticator est bien activé.

 

Comments (0)

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*