• Accueil
  • Blog
  • 7 bonnes résolutions pour la sécurité
Améliorer la sécurité de mon site Internet

7 bonnes résolutions pour améliorer la sécurité de mon site

Même si la sécurité sur Internet est un état d'esprit à avoir en permanence, les bonnes résolutions qui accompagnent généralement le début d'année sont une bonne occasion de refaire un point sur la question et de mettre en place des - nouvelles - procédures de sécurité efficaces et pérennes.

Nous vous proposons donc une liste de 7 bonnes résolutions à prendre pour assurer votre tranquillité d'esprit cette année, du moins en ce qui concerne votre site Internet.

  1. Mon nom de domaine, je sécuriserai
  2. A jour mon site je garderai
  3. Au grand nettoyage je procéderai
  4. Mon site je protégerai
  5. Mes accès je verrouillerai
  6. Des sauvegardes je ferai
  7. Le RGPD je respecterai

Voyons tout cela dans le détail.

1. Mon nom de domaine, je sécuriserai

Après tout, si vous avez un site, c'est que vous avez un nom de domaine et c'est même le bien le plus précieux de votre patrimoine Internet. Sans lui, pas de site ni d'adresses email qui vous soient propres. Pas de données données analytiques pour vous aider dans vos actions de marketing ni de campagnes publicitaires en ligne non plus. Il est donc le premier"objet" dont il faut assurer la sécurité.

Pour commencer, êtes-vous sûr d'en être le propriétaire ? La question peut paraître stupide mais notre expérience a montré que, plus d'une fois, le véritable propriétaire du nom de domaine était l'ami, le cousin qui vous avait, il y a bien longtemps, créé la première version du site. Ou bien l'hébergeur chez qui vous avez un contrat "tout-en-un" (hébergement + le nom de domaine "gratuit"). Nous avons rencontré tous ces cas et il n'a pas toujours été facile ou rapide de récupérer la pleine propriété du domaine.

Vérifiez également que les données de contact enregistrées pour votre domaine sont correctes. C'est non seulement une obligation que vous avez vis à vis de l'ICANN, l'autorité de régulation de l'Internet, mais c'est aussi indispensable pour recevoir les notifications de renouvellement de l'enregistrement. Si vous manquez une échéance, non seulement votre site Internet et les comptes emails associés cesseront de fonctionner mais ne croyez pas que vous pourrez récupérer votre domaine facilement s'il a été racheté par quelqu'un d'autre. Cela peut vous coûter (très) cher, soit en frais de procédure, soit en cas de rachat. Et si vous pensez qu'il n'y a pas de vie après la mort d'un nom de domaine, lisez cet article.

Finalement, assurez-vous que vous savez chez qui votre nom de domaine est enregistré, que vous avez bien accès à sa gestion et que vous comprenez au moins les mécanismes qui sont en jeu (enregistrement, DNS, hébergement, redirection, ...). Cela vous évitera aussi de tomber dans les arnaques liées aux renouvellements de domaines qui ont été très nombreuses en 2019.

3 Choses que les propriétaires de sites devraient savoir

Si tout cela vous semble étranger, sachez que vous vous éviterez bien des angoisses et des mésaventures dans les situations touchant au fonctionnement de votre site si vous comprenez ce qui se cache derrière les notions d'enregistrement de domaine, d'enregistrements DNS, d'hébergement, de certificats SSL, ...

Pour vous y aider, nous mettons en place un cours en ligne qui abordera tous ces points importants et pendant lequel vous pourrez poser les questions qui vous concernent. Pour vous pré-inscrire, et bénéficier d'une réduction, complétez ce formulaire.

2. A jour mon site je garderai

Maintenant que tout est bien en ordre au niveau de votre domaine, il faut s'occuper de la sécurité du site lui-même et, pour cela, la première chose à faire est de veiller à garder le "moteur" du site à jour. Le CMS Joomla!®, mais c'est valable aussi pour Wordpress, Drupal, Typo3,..., est en réalité un logiciel et, comme tous les logiciels complexes, nécessite des mises à jour régulières pour corriger des bugs et combler des failles de sécurité. Ces dernières sont les causes principales du piratage des sites qui utilisent ces systèmes. C'est pour cela que les mises à jour sont aussi importantes et qu'il ne faut pas attendre pour les effectuer car, dès que la résolution d'une faille de sécurité est annoncée, on assiste à une vague d'attaques visant les sites qui ne sont pas protégés.

Message d'alerte mise à jour Joomla!

Il existe aussi une autre raison pour procéder à ces mises à jour au fur et à mesure de leur parution : Joomla!, depuis longtemps déjà, a réduit le processus de mise à jour du noyau à seulement quelques clics, dans un composant dédié à cet usage. Mais l'opération n'est cependant pas sans risque, un message d'avertissement vous le rappelle d'ailleurs. Mais s'il est minime lorsque l'on passe d'une version à celle qui la suit directement, il augmente au fur et à mesure que s'allonge l'écart entre la version actuellement utilisée et la nouvelle à installer, surtout si on passe d'une version "intermédiaire" à une autre. Concrètement, passer de la version 3.9.13 à la 3.9.14 ou même de la 3.9.3 à la 3.9.14 ne présente pratiquement aucune difficulté, tandis que le passage de la 3.7.3 à la 3.9.14 ou surtout de 3.3.3 à la 3.9.14 ne se fera pas nécessairement en deux coups de cuiller à pot. Enfin, dans les cas d'écarts encore plus grands, de Joomla! 2.5 à 3.9 ou - surtout - de Joomla! 1.5 à 3.9, on ne parlera plus de mise à jour mais de migration et cette opération devrait être confiée à un professionnel.

Et les mises à jour ne concernent pas uniquement le "noyau" de Joomla! mais également les - parfois nombreuses - extensions installées. Les développeurs sérieux ne manqueront pas de vous informer dès qu'une mise à jour de sécurité est publiée et, même avec les extensions payantes, vous pourrez bénéficier de solutions pour sécuriser le composant sans payer une nouvelle licence. Néanmoins, cela nécessite de modifier le code de certains fichiers, ce qui n'est pas forcément une chose que tout le monde se sente capable de faire.

Offre d'hébergement

Notre formule d'hébergement Joomla! "sans souci" comprend, entre autres, la maintenance du site et de ses extensions. Elle s'adresse aux propriétaires de sites désireux de se consacrer à la gestion du contenu de leur site et d'en confier les aspects techniques à un tiers expérimenté. L'hébergement se complète par un serveur de mail associé, avec un Webmail et une console de création et de gestion des comptes emails. Ce serveur de mail peut être utilisé pour l'envoi de newsletters sans les limitations habituelles des hébergements mutualisés. 

Si vous êtes intéressés par ce service, contactez-nous pour demander une offre sur mesure.

3. Au grand nettoyage je procéderai

Enfin un autre point qui est beaucoup moins abordé que celui des mises à jour est celui de la "propreté" de l'installation. Comme vous rangez votre bureau ou votre maison, pour faire de la place, pour y voir plus clair ou pour être plus efficace, il est important de "nettoyer" votre site de toutes les extensions obsolètes ou inutilisées. Nous intervenons très souvent sur des sites que nous n'avons pas créés et sommes toujours frappés d'y trouver une quantité de composants, modules, plugins ou templates qui n'ont pas - ou plus - leur raison d'être. Toutes ces extensions sont les "traces" laissées par les différentes évolutions (et parfois les différents prestataires) qui ont jalonné la vie, parfois longue, du site : migration d'une version Joomla! à une autre, refonte graphique, fonctionnalités abandonnées, ...

Ces extensions obsolètes, même désactivées peuvent causer différents problèmes :

  • les fichiers sont toujours présents sur le site et peuvent contenir des failles sécurité non corrigées et encore exploitables
  • les composants s'accompagnent souvent de nombreux plugins disséminés un peu partout dans le système et si certains ne sont pas désactivés, ils peuvent provoquer des erreurs (par exemple en cas d'évolution de la version PHP du serveur) ou générer des avertissements qui ne bloquent pas le site mais monopolisent inutilement les ressources du serveur
  • tous ces fichiers inutiles alourdissent les sauvegardes du site, rendant ainsi une restauration éventuelle plus longue qu'il ne faudrait.

La meilleure solution est donc de les désinstaller complètement, ce qui supprimera aussi les fichiers du serveur. Eventuellement, vous pouvez conserver les tables enregistrées dans la base de données : si vous changez d'avis et que vous ré-installez le composant, vous retrouverez vos anciennes données. Néanmoins, n'oubliez pas qu'encombrer inutilement votre base de données risque de nuire aux performances du site. A vous de peser le pour et le contre et d'opter plutôt vers une sauvegarde séparée des tables concernées.

Enfin, la désinstallation ne suffit pas toujours à éliminer tous les fichiers obsolètes du serveur et il est recommandé de procéder à une inspection visuelle en utilisant un logiciel FTP. Mais ici, en cas de suppression, il est impératif de savoir ce que l'on fait !

Offre de maintenance et de déménagement de site

Nous proposons aussi un service de maintenance des sites (Joomla! uniquement) indépendant de l'hébergement : si vous êtes satisfait de votre hébergeur actuel, nous nous chargeons de garder le site et ses extensions à jour, de conserver le serveur "propre" et de corriger tous les petits incidents de fonctionnement éventuels lorsqu'ils sont détectés.

Si par contre, vous souhaitez changer d'hébergeur mais en conserver la gestion, nous pouvons nous charger de déménager votre site vers un prestataire de confiance. Nous vous recommandons pour cela notre partenaire Gandi et sa formule Simple Hosting. Vous choisissez la formule qui vous convient et nous nous chargeons de transférer votre site depuis son emplacement actuel vers son nouveau serveur, cela au prix forfaitaire de 189 € HT (20 %).

Si vous êtes intéressés par ce service, contactez-nous via ce formulaire.

4. Mon site je protégerai

Avoir un site et ses extensions à jour est la chose la plus importante du point de vue de la sécurité. Mais cela ne suffit pas nécessairement. Les hackers sont de plus en plus nombreux et les techniques employées de plus en plus efficaces. Il convient dès lors de renforcer la sécurité avec une extension dédiée. Sur tous nos sites, nous utilisons l'extension Admin Tools Pro (disponible aussi pour Wordpress) qui propose un large éventail de fonctions et de parades contre les tentatives d'intrusion des pirates : WAF (pare-feu d'application Web), éditeur de fichier .htaccess, scanner de fichiers, ... C'est un peu comme installer une porte blindée à l'entrée de votre maison : cela n'empêchera pas un voleur expérimenté et déterminé d'entrer mais ça lui rendra la tâche beaucoup plus difficile et gardera les novices à l'écart. De plus, cette extension est aussi un véritable système d'alarme qui vous prévient lors de différents événements (programmables) : connexion à l'administration du site, création de Super Utilisateur, modification de fichiers importants, ...

En plus de la sécurité réelle apportée par ce type d'extension, un de ses avantages est qu'elle vous oblige à réfléchir sur la façon dont vous, et peut-être aussi vos collaborateurs, prenez en compte l'aspect sécuritaire de votre travail. Elle vous aidera à faire les compromis justes entre confort d'utilisation et protection maximale.

Test sur la sécurité des en-têtes http

N'oubliez pas non plus de tester, sur le site Security Headers, un autre facteur important de la sécurité des pages Web, les en-têtes HTTP. Ces en-têtes permettent au client (le navigateur du visiteur) et au serveur (sur lequel se trouve le site) d'échanger des informations en complément de la requête (la demande d'affichage d'une page) et de sa réponse (le contenu de la page demandée). Ces informations concernent, entre autres, des protections contre certaines attaques : X-XSS-Protection, Content-Security-Policy, Referrer-Policy, ...

Ici aussi, l'éditeur de fichier .htaccess d'Admin Tools Pro vous aidera à ajuster au mieux ces paramètres. Vous pouvez aussi utiliser un plugin dédié, à télécharger sur le dépôt GitHub de Yann Gomiero.

2 cours en ligne pour maîtriser la protection de son site

La protection contre les attaques des pirates sur Internet est un vaste sujet et il est difficile de savoir quelles sont les priorités où les aspects qui nous concernent personnellement. C'est pourquoi nous vous proposons deux cours en ligne qui feront le tour de la question :

  • Protéger son patrimoine Internet : il s'adresse à tout le monde, indépendamment de la technologie utilisée sur votre site, et offrira un aperçu des différents moyens de sécuriser son nom de domaine, son serveur, son site, ses comptes email, ...
    Pré-inscription
  • Protéger son site avec Admin Tools Pro : comme l'extension existe tant pour Joomla! que pour Wordpress, ce cours s'adresse aux propriétaires de sites utilisant l'une de ces deux technologies.
    Pré-inscription

Ces deux cours en ligne sont interactifs et vous aurez l'occasion de poser toutes les questions qui concernent votre situation particulière. Pour y participer, et bénéficier d'une réduction, complétez les formulaires de pré-inscription ci-dessus.

5. Mes accès je verrouillerai

Si vous avez suivi les recommandations du point 4 ci-dessus, vous venez d'installer une porte blindée. C'est parfait mais pas très efficace si vous laissez la clé sous le paillasson !

Les mots de passe sont les outils les plus couramment employés pour verrouiller les accès sur Internet mais les mots de passe "faibles" sont comme les clés glissées sous les paillassons. Bien sûr, il faut penser à regarder en-dessous mais ne comptez pas trop sur la chance ou la naïveté de vos visiteurs. Si vous voulez vraiment être sérieux avec la sécurité, utilisez un mot de passe "fort", c'est-à-dire :

  • qui soit un "mot" impossible à deviner et qui n'existe dans aucun dictionnaire d'aucune langue
  • qui ne soit utilisé que pour protéger un seul accès
  • qui soit changé régulièrement

Si on peut encore imaginer retenir une (ou deux) suite aléatoire de lettres, chiffres et symboles, il est illusoire de croire qu'on pourra le faire pour la série, tous les jours grandissante, de mots clés réclamés par notre vie connectée. Et si en plus il faut se rappeler de les changer régulièrement, cela en découragera plus d'un. Une étude récente a montré que, malgré tout, la plupart des gens comptent encore sur leur mémoire pour conserver leurs mots de passe mais sans beaucoup de succès puisque plus de 75 % des utilisateurs font régulièrement appel aux fonctions de récupération de codes d'accès existants sur les différents services.

Au lieu de perdre du temps dans ces procédures, qui parfois n'aboutissent pas, et générer des échanges inutiles d'informations confidentielles par des moyens peu sécurisés (emails), nous vous recommandons l'utilisation d'un gestionnaire de mots de passe. Notre choix s'est porté depuis des années sur LastPass dont, malgré une augmentation sensible du coût de l'abonnement, nous avons toujours apprécié la fiabilité pour retenir à notre place les plus de 500 mots de passe (différents !) que nous utilisons dans le cadre de notre travail.

Mais les mots de passe ont aussi leurs limites et, pour des comptes ou services importants, une protection supplémentaire peut s'avérer nécessaire. On parle alors de double authentification parce qu'on utilise deux "clés" au lieu d'une seule. C'est comme ajouter une deuxième serrure sur votre porte blindée. Il peut s'agir de l'introduction d'un code généré par une application, comme Google Authenticator, d'une clé USB comme les YubiKey, de scanner d'empreintes digitales,... Bien sûr ces moyens introduisent de nouvelles contraintes qui peuvent perturber votre travail mais elles offrent une réelle protection supplémentaire. Depuis septembre 2019, cette authentification forte est devenue obligatoire dans toute l'UE pour toutes les transactions financières en ligne. Les banques belges l'utilisent depuis des années pour le "online banking" (combinaison de mot de passe + digipass) mais les banques françaises sont encore à la traîne (combinaison numéro de client + mot de passe).

Comme toujours en matière de sécurité, il faut évaluer les risques et adapter les mesures de protection en fonction de la valeur des biens ou des données concernées.

Enfin, sécuriser les accès, si vous ne travaillez pas seul, peut concerner vos collaborateurs ou vos sous-traitants. N'oubliez pas de vérifier régulièrement qui a accès à quoi et pensez à désactiver les codes d'accès qui n'ont plus de raison d'être. De plus, un CMS comme Joomla! possède nativement un très puissant gestionnaire d'accès (ACL) qui permet de déterminer très finement ce que les utilisateurs peuvent voir (contrôle d'accès) et ce qu'ils peuvent faire (contrôle d'actions). Dans votre organisation, un chef de service n'a pas les mêmes privilèges qu'un simple employé. Vous pouvez, grâce à cet ACL, reproduire exactement, dans le site, la même structure hiérarchique.

Apprenez à utiliser un gestionnaire de mot de passe

La double authentification est abordée dans notre cours Protéger votre patrimoine Internet mais si vous souhaitez apprendre à utiliser correctement un gestionnaire de mot de passe, nous vous proposons un cours en ligne sur l'utilisation de LastPass. Pour vous pré-inscrire, et bénéficier d'une réduction, complétez ce formulaire.

6. Des sauvegardes je ferai

Tout le monde est persuadé de l'utilité des sauvegardes mais, curieusement, cette conviction ne survient bien souvent que le jour où l'on souhaite récupérer un document, un dossier, un site perdu, effacé ou corrompu. Et c'est, malheureusement, bien souvent pour s'apercevoir que cette sauvegarde est elle-même perdue, effacée ou corrompue.

C'est pour cela qu'il est important de bien maîtriser les aspects techniques de cette procédure et de mettre en place une politique de sauvegarde cohérente et efficace. Pour cela, une sauvegarde doit répondre à 3 critères :

  1. La procédure doit être automatique : vous aurez toujours une excuse pour ne pas faire la sauvegarde quand elle devrait être faite. Une machine ne procrastine pas.
  2. Les sauvegardes doivent être testées régulièrement : vous pensiez subir une catastrophe en perdant votre site ? Attendez de voir ce que vous éprouverez quand vous vous rendrez compte que les sauvegardes effectuées consciencieusement depuis des années (sans test) sont cryptées avec une clé de chiffrement dont vous n'avez aucune idée.
  3. Les sauvegardes doivent se trouver sur un support séparé : si vous les conservez sur le serveur qui vient d'être détruit par une malencontreuse (ou malveillante) manoeuvre, il n'y aura sans doute plus que Sainte Rita, la patronne des causes perdues, qui pourra vous aider dans la récupération des données.

Comme vous le voyez, cela ne s'improvise pas (automatisme), c'est quelque peu contraignant (tests) et cela nécessite une certaine infrastructure (support séparé). Mais il existe une extension formidable, disponible pour Joomla! et Wordpress, Akeeba Backup (Pro de préférence) qui pourra vous aider à mettre tout cela en place.

Concevoir une politique de sauvegarde efficace

Comme nous l'avons dit, les sauvegardes ne s'improvisent pas ni ne s'effectuent à la sauvette. Dans ce cours en ligne, nous vous expliquerons comment utiliser Akeeba Backup efficacement pour récupérer vos données complètement et rapidement. Vous pourrez poser pendant le cours les questions qui s'appliquent à votre situation personnelle. Pour vous pré-inscrire, et bénéficier d'une réduction, complétez ce formulaire.

7. Le RGPD je respecterai

Cela peut surprendre que nous abordions ce règlement dans un article sur la sécurité mais n'oubliez pas que les lettres "P" et "D" de l'acronyme signifie "Protection des Données". Il s'agit donc bien de sécurité et c'est un aspect important de cette législation entrée en vigueur le 25 mai 2018.

Depuis cette date en effet, en tant que propriétaires de sites, vous êtes responsables de la sécurité des données qui vous sont confiées (les nom, adresse, email, date de naissance, ... de vos membres par exemple). Bien sûr, si vous êtes une petite association, on ne vous demandera pas d'appliquer à votre site une sécurité digne d'une agence de renseignements mais on ne vous pardonnera pas non plus de ne rien faire : une politique laxiste en matière de mot de passe, un accès public à des données personnelles confidentielles, une absence de maintenance du site, ... pourront vous être reprochés et vous en subirez éventuellement les conséquences sous la forme d'une amende. Peut-être jugez-vous que les informations que vous récoltez ne sont pas importantes ou sensibles mais les gens qu'elles concernent peuvent avoir une opinion différente. Ils ont désormais la possibilité de porter plainte dans un cadre légal (relativement) bien défini.

En addition au traitement des données, il y a aussi celui des cookies qui s'apprête, en 2020, à voir l'apparition (et l'application) de nouvelles règles, du moins en France. Un simple bandeau laconique ne suffira bientôt plus pour la majorité des sites et nous vous recommandons de consulter les sites des organismes compétents dans votre pays de résidence, la CNIL en France ou l'APD en Belgique, pour vous informer des procédures à suivre pour être en conformité avec le RGPD et la gestion des cookies. Rappelons qu'en ce qui concerne le premier, aucune "période de transition" n'était prévue et qu'à présent les contrôles s'intensifient et que les amendes commencent à tomber.

Audit RGPD et gestion des cookies

Malgré toute la publicité faite autour de ces règlements, les mesures concrètes restent encore souvent mystérieuses pour beaucoup de propriétaires de sites. Contactez-nous si vous souhaitez un audit de votre site ou l'intégration de solutions de gestions des cookies conformes à la législation.

Envie de réagir ?

Laissez-nous vos commentaires ou questions sur la Page Facebook de Better Web.

Pour recevoir automatiquement nos nouveaux articles, abonnez-vous à notre lettre d'information.

Joomla!, Sécurité, Backup, RGPD, Akeeba Backup, Admin Tools

Nous suivre

Newsletter

Lisez nos derniers articles et profitez d'annonces spéciales.
Je comprends qu’en m’abonnant, je choisis explicitement de recevoir la newsletter et que je peux facilement et à tout moment me désabonner.
Better Web - Agence Joomla!
Prestataire Joomla! depuis 2006

BETTER WEB
Téléphone : +33 6 34 10 80 69
Email : info@betterweb.fr

Joomla Solution Developer

Le nom Joomla!® est utilisé sous licence limitée d'Open Source Matters, le propriétaire mondial de la marque de commerce. Better Web n'est ni affilié ni soutenu par Open Source Matters ou le projet Joomla!.