Sécurité d’un site internet réalisé sous WordPress ou Prestashop

Il existe plusieurs manières et d'innombrables raisons de protéger sont site Internet, et pour un propriétaire de site, c'est une obligation, car, vous êtes légalement responsables des données recueillies par votre site internet. Peu de gens le savent.

Que cherchent les hackers?

Il est réellement difficile de répondre à cette question.

  • Il y les moins dangereux, qui ne cherche qu'à se challenger et relever des défi afin de prouver leurs capacités. Un fois entré, ils ne font pas de dégât et ne violent pas de données.
  • On trouve également, les spammeur, qui se servent de votre site pour envoyer du spam. La conséquence, outre un dépôt de plainte contre vous, puisque c'est l'IP de votre site qui est utilisée, vous risquez des sanction définitives au niveau de votre référencement
  • On monte en gamme, avec les voleur d'adresses email. Les adresse emails confirmées, valent des fortunes au marché noir afin d'alimenter le spammeurs, et même s'il s'en défendent, les entreprises qui proposent des liste d'email, de personnes ayant soit disant donné leur accord.
  • D'autres encore, placent des liens afin de détourner vos visiteurs vers des sites copie du vôtre afin de les escroquer. Ils commandent et payent des marchandises qui n'arrivent jamais, puisque vous n'avez pas reçu la commande, mais le hacker, lui, a encaissé l'argent. Et pour le client, le responsable c'est vous, autant que pour la justice.
  • Il y a les hacker qui tentent de voler des coordonnées bancaires, ou de placer des scripts d'interception de transaction.

La liste est longue, il vous suffit d'interroger un IA et vous aurez la liste de tout ce que les hacker tentent de faire, et justement, avec le développement massif de l'IA, au bénéfice des hackers, les risques sont de plus en plus grands, et leur imagination n'a d'égal que leur mépris pour ceux qui tentent de survivre sur le champs de la guerre commercial, car, aujourd'hui, le monde est réellement devenu un champ de bataille où chacun livre une guerre pour écraser la concurrence.

Bref, vous l'aurez compris, avoir un site internet, n'est pas seulement un moyen de gagner de l'argent ou de promouvoir votre entreprise, c'est aussi une responsabilité.

Contrairement à ce qu'on pourrait croire, l'énorme majorité des hackers sont des lâches et utilisent leurs talents pour nuire aux plus petits d'entre nous, parce qu'ils sont malintentionnés et qu'ils savent que les "petits" ont moins de moyens pour se protéger des attaques.

Un adage qu'il faut toujours garder à l'esprit : La sécurité totale sur le web est une illusion, et celui qui la promet est un charlatant.

DONC MÉFIEZ VOUS TOUJOURS DES BEAUX PARLEURS QUI VOUS ANNONCENT UNE SÉCURITÉ PARFAITE : LE MIEUX A FAIRE EST DE VISER LA SECURITÉ MAXIMUM, ET DE TENTER DE COMPLIQUER LE PLUS POSSIBLE LE TRAVAIL DES HACKERS. plus il y aura de barrières, plus vous aurez de chances de protéger votre site du mieux possible.

Pour en savoir plus sur les risques et les raisons de se protéger, je vous recommande la lecture de ces quelques articles : Pourquoi et comment protéger son site Internet?

Quel est le minimum à savoir sur la sécurité d'un site web?

  • Il y a plusieurs éléments de votre site web à protéger :
    • La base de données, la priorité!
    • L'accès aux fichier de votre site
    • Vos images,
    • Votre accès backoffice,
    • Et bien sûr les transactions
  • Mais souvent certains éléments sont totalement négligés :
    • La fichiers de sauvegarde stockés localement, dans un répertoire de votre site. Ces fichiers contiennent, non seulement, les fichiers, mais aussi et surtout, dans l'énorme majorité des cas, la base de données. Si un hacker met la main sur l'un de vos sauvegarde, autant lui laisser libre accès à votre site.
    • Les fichiers anodins. Certains fichiers textes ou d'un autre formats, s'ils ne sont pas protégés, et qu'un hacker parvient à y accéder, peuvent être modifiés pour devenir malveillant, créant une "backdoor" que le hacker exploitera pour tenter de s'infiltrer dans votre site web.

Il faut donc sécuriser son site le plus tôt possible. L'idéal est de le faire dès la création. Un audit de sécurité peut être nécessaire afin de déterminer si le site actuel à sécuriser a déjà été hacké ou non, parce que les hackers évoluent constamment, s'adaptent et changent leurs techniques et leurs matériels, toujours plus performant, les rendant capables de lancer de multiples attaques sur le même site ou d'attaquer plusieurs plateforme web simultanément.

Les règles de sécurité de votre site doivent également s'adapter et évoluer et permanence.

Comment sécuriser sont site?

Je traite de ce sujet, plus précisément dans plusieurs articles, je ne vais donc pas rentrer dans les détails.

Mais, ce que je dirais ici, c'est que selon le support technologique utilisé pour la création de votre plateforme internet (un CMS, un Framework), les actions à entreprendre ne sont pas les mêmes, même si certaines se retrouvent d'un projet à l'autre.

Installer un ou plusieurs plugins de sécurité sur son site Internet créé avec un CMS : Bonne ou mauvaise idée?

Paramétrage des plugins

J'ai rencontré, il y a peu de temps, un jeune créateur de site web, qui me disait assurer la sécurité des sites de ses clients, parce qu'il utilisait trois plugins de sécurité. Quand je l'ai interrogé sur la manière dont il les paramétrait, la fougue de la jeunesse, l'a empêché d'accepter qui faisait mal (voire n'importe quoi).

Quoi qu'il arrive, il vous faut, au minimum un plugin de sécurité, ça c'est évident, mais il faut bien le choisir. La sécurité étant essentielle, il est recommandé de passer sur des version payante, car les version gratuites couvre souvent une partie de la sécurité mais pas tout.

D'un plugin à l'autre, l'on constate des différences : ce que l'un proposera gratuitement, l'autre le fera de manière payante et inversement, ce qui fait que les plugins (ou modules pour Prestashop) pourraient être complémentaires, c'est vrai.

Le problème, c'est qu'il a certaines règles qui sont tellement évidentes, que tous les modules ou plugins le proposent. Et c'est la que va se trouver le problème. Si deux plugins assurent la même sécurité, ils peuvent entrer en conflit, et modifier chacun leur tour les règles appliquées selon leur propre paramétrage, ou encore se neutraliser, créant ainsi, dans les deux cas une brèche. Vous croyant, doublement protégé, vous n'aurez réussi qu'à créer une brèche. Lorsque l'on a compris ça, il est facile de comprendre comment palier au problème : Un plugin principal qui fait le gros du travail, et d'autres plugins, dans lesquels vous désactivez toutes les protections assurées par le plugin principal, afin d'éviter les conflits. Et si ce n'est pas possible, cherchez un autre plugin.

Les plugins de sécurité doivent être complémentaires, et non supplémentaires.

Une erreur des plus communes : croire que, simplement, installer un plugin de sécurité suffit!

Afin de ne nuire à personne, je ne citerai aucun nom. Pas loin de chez moi, il y a un restaurant de grande renommée. Il a un site internet, dont la gestion est confiée à ce que j'appellerai un débutant. Il a fait un très bon travail de Front, en choisissant un beau Template, mais coté sécurité, rien. Lorsque j'ai rencontré le propriétaire, je lui en ai fait la remarque et a fait passer le message à la ma personne qui s'occupe du site internet du restaurant, et quand j'ai sur que c'était fait, je suis retourné voir. En en effet, il était installé et activé. Mais il ne l'avait pas paramétré.

Un logiciel de sécurité non ou mal paramétré ne servira pas à grand chose. Mais il ne faut activer des sécurités que lorsque l'on sait ce que l'on fait et à quoi elles servent. Heureusement, à l'heure d'aujourd'hui, il est plus que facile d'obtenir ces informations. D'autant plus, que pour ceux qui fonctionnent avec des versions gratuites et souhaite y rester, ils vont avoir besoin de plusieurs plugin, et comme je l'ai dit précédemment, activer deux fois la même sécurité sur deux plugins différent, revient à créer une faille. Il est donc d'autant plus important de savoir quelles sécurités on active sur chaque plugin.

Double authentification

En plus, d'un logiciel de sécurité qui va protéger votre site d'accès non autorisés, de prévenir les modifications de fichier, de bloquer les spam, etc., je vous recommande plus que fortement d'installer et d'UTILISER un plugin de double authentification.

Le principe est simple :

  1. Vous installez une application 2FAS sur votre téléphone (exemple : Microsoft Authenticator, mais il y en a d'autres, à vous de les essayer et de choisir celle qui vous convient le mieux). NOTA BENE : n'oubliez pas de protéger l'accès à l'application, au cas ou vous perdriez ou vous feriez voler votre téléphone, car si vous ne protégez pas l'ouverture de l'application, n'importe qui pourra accéder à votre site.. 
  2. Installez un plugin 2FAS (mais avant vérifiez si votre plugin de sécurité ne le propose pas, de plus en plus de plugin de sécurité proposent cette fonctionnalité)
  3. rendez-vous sur la page de paramétrage de la double authentification, où vous trouverez un QR code.
  4. Sur votre appli téléphone, créez un nouvel accès et scannez le QRcode. Vérifiez que les codes sur votre téléphone et sur la page du plugin sont identiques.
  5. Si tout est bon, enregistrez le paramétrage du plugin et de l'accès sur votre téléphone. 5noubliez pas de vérifiez que la fonctionnalité est activée, car souvent, il est possible de faire le paramétrage, mais il faut activer la sécurité pour qu'elle soit en marche.
  6. Votre accès est protégé! Maintenant, pour vous connectez à votre site vous aurez besoin de votre téléphone. Soit, en devant saisir le code affiché dans votre téléphone, soit en validant une alerte que vous recevez sur votre téléphone pour autoriser l'accès.
  7.  IMPORTANT : Tous les comptes qui ont accès au backoffice, doivent être paramétrés avec la protection 2FAS, sinon, c'est une faille exploitable.

Actions complémentaires pour sécuriser le site internet

Pour protéger votre site internet, vous avez plein de possibilités qui s'offres à vous.

Les chmod

Les chmod, sont les droits d'accès des fichiers, en "lecture", en "écriture" et en "exécution", pour le "propriétaire", le "groupe" et "Autres".

En général, vous pouvez modifier les droits des fichiers et des dossiers avec un logiciel FTP par exemple (WinSCP, FileZilla pour ne citer qu'eux, mais il y en a bien d'autres), et pour les plus techniques, vous pouvez le faire, via des commande de terminal.

Vous devez absolument vous référer à la documentation du support technologique qui a servit à créer votre site internet (CMS WordPress, Dupral, Magento, Prestashop, Symfony, etc), car, chacun aura des règles de fonctionnement précises à appliquer sur le droit d'accès aux fichier.

Par exemple, sous WordPress, il est recommandé de mettre les droits d'accès :

  • du fichier de configuration (wp-config) sur 0640
  • Les dossiers sur 0705
  • tous les autres fichiers sur 0644

Mais attention, je parle ici du cas général. Il se peut que certains fichiers ou dossier doivent avoir des droits plus restrictif, par exemple comme le dossier qui contient les sauvegarde.

Vous pouvez aussi trouver des informations utiles dans la documentation d'aide de votre hébergeur.

Le fichier htaccess

Su les serveur Apache, il est possible (et vivement recommandé) d'avoir un fichier caché portant le nom de .htaccess.

Ce fichier, dont la syntaxe interne varie en fonction de la version du serveur de votre hébergement, est un élément essentiel de la sécurité. Vous pouvez utiliser le IA pour vous fournir de règles de sécurité, mais, attention à ce que vous délivrent les IA qui ne font que répéter ce qui est majoritairement dit le web. Vérifiez donc, les instruction données, mais le fichier .htaccess est un élément incontournable de la sécurité.

 

mais toutes ne sont pas applicables de la même manière, car elle dépendant du type de Serveur (Apache, Nginx) ainsi que de leurs versions...

Prestations proposées

Mise en Sécurité de Wrodpress et Prestashop

Sécurisation de WordPress
399 € HT
TVA non applicable Article 293-b du CGI

Installation d'un module spécialisé

Sécurisation des Comptes utilisateurs

Connexions Backoffice : Sécurisation de premier niveau

Connexion Backoffice : Autorisation de connexion via Smartphone - option : multi-utilisateurs

Sécurisation de l'enregistrement des utilisateurs

Sécurisation de la Base de données

Sécurisation des Fichiers du site

Gestionnaire de liste noire

Sécurisation Pare-feu

Sécurisation contre les Attaques Brute-Force

Sécurisation Contre les spammeurs

Protection du contenu

Scan antivirus

Sureveillance des changements de fichiers

Activation des Pot de miel

Activation des Captcha (simple ou multiples)

Alerte de connexion

Modification de l'url de connexion

Option supplément payant : Scan régulier à la recherche de malware

Sécurisation de Prestashop
699 € HT
TVA non applicable Article 293-b du CGI

Installation d'un module spécialisé

Sécurisation des Comptes utilisateurs

Connexions Backoffice sécurisée

Connexion Backoffice : ajout d'une deuxième authentification

Connexion Backoffice Mesure extrême : possibilité de rendre la connexion furtive

Sécurisation de l'enregistrement des utilisateurs

Sécurisation de la Base de données

Sécurisation des Fichiers du site

Gestionnaire de liste noire

Sécurisation Pare-feu

Sécurisation contre les Attaques Brute-Force

Sécurisation Contre les spammeurs

Protection du contenu

Scan antivirus

Sureveillance des changements de fichiers

Activation des Pot de miel

Activation des Captcha (simple ou multiples)

Alerte de connexion

Modification de l'url de connexion

Scan régulier à la recherche de malware

Sécurisation des entêtes HTTP

Possibilité de désactiver le formulaire de contact

Protection contre les faux paniers

Surveillance de panne du site

Mesure de force du mot de passe

Possibilité de forcer des mots de passe forts pour les comptes clients

Système de détection de fraude potentielle sur les commandes

Possibilité de modifier le nom du répertoire d'administration quand bon vous semble

Générateur de mots de passe

Analyse de la configuration serveur

Analyse du système de fichiers Prestashop

Analyse SSL/TLS

Analyse des modules

Complément recommandé : SAUVEGARDE

La sécurité, c'est bien, c'est même très bien, mais comme je l'ai dit, aucun site au monde (pas même celui du Pentagone au Etats-Unis) n'est totalement protégé.

En cas de piratage, vous aurez, tout d'abord une obligation légale, et deux possibilités :

Une Obligation Légale

alerter la CNIL du piratage et si le hacker à volé des données clients, vous devez les avertir du piratage. Celà nuira à votre réputation, c'est évident, mais imaginez ce qui pourrait se produire si le piratage venait à être découvert et que vous n'ayez pas alerté vos clients?!...

Deux Possibilités

  • Passer des heures, ou bien payer un professionnel qui passera des heures, à la recherche de la faille, et la corriger. Car le problème, c'est que déterminer avec exactitude tous les dégâts qu'aura commis le hacker et connaitre tous les fichiers qu'il aura modifiés est un travail de fourmis réclamant des compétences techniques avancées
  • Trouver la faille exploitée par le hacker, puis Restaurer votre site à une date antérieure avant le piratage, et rajouter les protections nécessaires pour que cela ne se reproduise pas. Mais pour utiliser cette mesure, encore faut-il avoir mis en place un moyen de sauvegarde régulière et avoir conservé les fichiers.