La pire chose qui peut nous arriver lorsque l’on gère une page Web, c’est de la voir compromise par un script malveillant ou par des attaques en force. Avec les Systèmes de Gestion de Contenu (SGC) comme WordPress, Joomla, Drupal ou Magento, il est très simple de mettre en ligne son site Web et d’en faire la gestion. Par contre, les connaissances en sécurité peuvent nous échapper, car nous n’avons pas besoin d’être des experts et à tout programmer. Est-ce un réel problème ? Non. Mais il est important d’être vigilant.

En tant que webmestre, peu importe votre niveau de compétence, s’occuper de son site et en maintenir la sécurité est une priorité. N’allez pas croire qu’après avoir créé votre site il fonctionnera parfaitement pendant des années, surtout si vous l’avez construit avec un SGC. Il faut le maintenir à jour, car des gens mal intentionnés travaillent perpétuellement à trouver les failles des sites Web ; ainsi les SGC sont une cible idéale due au nombre élevé de personnes qui l’utilisent.

Autre que pratiquer un comportement sécuritaire sur le Web, que pouvez-vous faire pour sécuriser votre site ?

Voici le top 4 des meilleures astuces pour sécuriser votre SGC !

Numéro 1 : mises à jour régulières

Nous ne le répéterons jamais assez : effectuer la mise à jour régulière de vos logiciels Web prévient énormément de problèmes. Une mise à jour n’est pas seulement de nouveaux « features », mais aussi des résolutions de bogues connus. Bien souvent, ces mises à jour réparent aussi des brèches de sécurité.

C’est très simple : tout SGC a un panneau de contrôle administratif. Lorsque vous y accédez, si vous rencontrez un avis qu’une nouvelle version du logiciel est disponible, vous devriez effectuer la mise à jour suggérée. Nous vous suggérons fortement d’effectuer une copie de sauvegarde de votre site et vos bases de données, car si la mise à jour brise quelque chose, vous pourrez revenir en arrière facilement. Soyez sans crainte, Trillys Communications conserve plus de 7 jours de sauvegardes de votre compte, donc vous pouvez toujours nous demander de récupérer une de nos sauvegardes pour vous.

Le logiciel principal n’est pas la seule chose à mettre à jour. Considérez aussi les modules complémentaires (plug-ins) et le thème que vous utilisez.

NOTE : quand vous téléchargez des plug-ins et des thèmes, assurez-vous de les obtenir de la source d’origine. Trop souvent, des thèmes populaires sont copiés et offerts gratuitement avec une brèche de sécurité. Si vous désirez utiliser de bons modules et de bons thèmes et qu’ils demandent de payer : faites-le !

Numéro 2 : Limiter l’accès au panneau administratif

Tous les SGC ont une interface de gestion. Ils sont souvent la cible d’attaques en force, car le lien vers ce panneau est plutôt standard.

Le nom d’utilisateur administratif : n’utilisez pas « admin » comme nom d’utilisateur principal ; changez-le pour quelque chose d’unique. Assurez-vous que son mot de passe est très compliqué (lettres minuscules et majuscules, chiffres ET symboles).
Sécurisez l’accès au panneau administratif : ajoutez un niveau de sécurité supplémentaire en sécurisant le répertoire donnant accès au panneau de contrôle administratif. Consultez cet article de notre base de connaissances pour plus de détails.
Limitez l’accès/permissions à l’administration : chaque utilisateur que vous créez devrait avoir des permissions précises, limitées à leurs tâches. Idéalement, uniquement un utilisateur devrait avoir tous les droits de gestion (« admin »). Les SGC ont déjà des groupes limitant les permissions aux utilisateurs : utilisez-les !

Numéro 3 : les trucs des experts en hébergement Web

Ne le cachons pas : nous sommes des experts en hébergement. J’ai donc consulté nos TIs pour connaître d’autres astuces qui pourraient vous aider. Voici quelques suggestions qui pourront dérouter plusieurs types d’attaques sur votre site.

Si votre site n’affiche pas la section des commentaires, désactivez-les complètement. Ce n’est pas parce que les champs ne sont pas visibles sur votre page qu’ils ne peuvent pas être appelés par des scripts malveillants.
Lors de l’installation de votre SGC, modifiez le préfixe de la base de données suggéré par le logiciel (par exemple, WordPress utilise ‘wp_’).
Assurez-vous que les permissions des fichiers et des répertoires respectent un format sécuritaire.
Désactivez l’édition des fichiers PHP effectués par l’interface administrative.

Numéro 4 : plug-ins !

Plusieurs modules complémentaires peuvent être installés pour vous protéger à plusieurs niveaux sur votre SGC. Chaque SGC a au moins un petit truc pour sécuriser l’interface administrative (par exemple, WordPress a un module « Captcha » qui fonctionne très bien).

Il y a aussi des modules qui pourront limiter les commentaires « spam » sur vos pages. D’ailleurs, Joomla a une longue réputation d’avoir un problème de pollupostage dans « k2_comments » et nous avons trouvé un bon article pour vous aider.

D’autres modules peuvent effectuer des vérifications quotidiennes sur votre site et mettre en place des protocoles sécuritaires que vous n’auriez jamais imaginé (comme Better WP-Security).

Certains plug-ins sont payants, mais en valent vraiment la peine. Il suffit de chercher un peu, et de se fier aux sources originelles et pas aux copies non certifiées.