N'oubliez pas ces 10 conseils de sécurité lors du lancement d'un nouveau site Web

Publicité

Il est facile de faire des erreurs lors de l'excitation de ouverture d'un nouveau site web Comment créer un site Web: pour les débutantsAujourd'hui, je vais vous guider à travers le processus de création d'un site Web complet à partir de zéro. Ne vous inquiétez pas si cela vous semble difficile. Je vais vous guider à travers chaque étape du processus. Lire la suite . Lancer un petit magasin, un portefeuille ou un blog est très amusant - mais traiter les failles de sécurité et les hacks l'est beaucoup moins. Lorsque vous créez un nouveau site Web, il est important de vous assurer qu'il est sécurisé.

Heureusement, la plupart des choses que vous devez faire sont très faciles. Certains prendront un peu de temps, mais c'est un investissement valable. Ne laissez pas votre site sans protection! Voici 10 choses que vous pouvez faire pour assurer sa sécurité.

1. Choisissez un registraire de domaine sécurisé

Lors de l'enregistrement de votre domaine, vous voulez vous assurer que personne ne va en prendre le contrôle. Si un mécréant est capable de se connecter à votre bureau d'enregistrement de domaine, il pourrait le transférer à lui-même ou faire des ravages supplémentaires.

Il existe quelques options pour les bureaux d'enregistrement de domaine qui utilisent authentification à deux facteurs (2FA) Qu'est-ce que l'authentification à deux facteurs et pourquoi l'utiliser?L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux façons différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement la carte, ... Lire la suite . Cela ajoute un niveau de sécurité supplémentaire et rend l'accès à quelqu'un d'autre beaucoup plus difficile. Même si quelqu'un parvient à obtenir votre mot de passe, il n'aura probablement pas accès à votre téléphone.

Voici quelques bureaux d'enregistrement qui proposent 2FA:

• Dynadot
• Allez papa
• Lexsynergy
• Name.com
• NameCheap

2. Masquer vos informations sur WHOIS

Chaque site Web a un Entrée WHOISet si vous ne prenez pas de mesures pour vous assurer que vos informations sont protégées, votre nom et votre adresse e-mail seront faciles à trouver pour les sociétés de spam. Votre nom et votre adresse e-mail sont tous deux nécessaires pour le vol d'identité.Par conséquent, leur confidentialité pourrait également vous protéger sur ce front.

La plupart des hébergeurs proposent un enregistrement WHOIS anonyme pour une somme modique, mais il y en a quelques-uns qui le fournissent gratuitement. Tous les deux Dreamhost et 1and1 vous permet d'ouvrir gratuitement un site contenant des informations WHOIS anonymes.

Que vous décidiez de payer ou non, faites ce que vous pouvez pour garder votre nom et votre adresse e-mail (ou même simplement votre adresse e-mail) hors de votre dossier WHOIS. Cela vous épargnera du temps pour traiter un grand nombre de spams et rendra un peu plus difficile pour quelqu'un d'obtenir vos informations.

3. Changez vos mots de passe

J'espère que cela va sans dire, mais changez vos mots de passe immédiatement Comment générer des mots de passe forts qui correspondent à votre personnalitéSans mot de passe fort, vous pourriez rapidement vous retrouver à l'extrémité réceptrice d'un cybercrime. Une façon de créer un mot de passe mémorable pourrait être de l'adapter à votre personnalité. Lire la suite . Si votre domaine, hôte, CMS ou toute autre chose est fourni avec un mot de passe administrateur standard, changez-le. Vous devriez même changer votre nom d'utilisateur de "admin" en quelque chose d'autre si c'est la valeur par défaut.

Ce n'est pas une mauvaise idée de changer régulièrement vos mots de passe. Utiliser un gestionnaire de mots de passe 7 super pouvoirs Clever Password Manager que vous devez commencer à utiliserLes gestionnaires de mots de passe comportent de nombreuses fonctionnalités intéressantes, mais les connaissiez-vous? Voici sept aspects d'un gestionnaire de mots de passe dont vous devriez profiter. Lire la suite pour garder une trace d'eux et vous assurer qu'ils sont sécurisés.

4. Mettez à jour le logiciel de votre site Web

Une fois que vous avez sécurisé votre inscription, il est temps de sécuriser le site lui-même. Et la première étape - tout comme la première étape pour sécuriser autre chose - est de tout garder à jour.

Lorsque les entreprises découvrent des failles dans leur sécurité, elles publient des correctifs et des mises à jour. Si vous ne mettez pas à jour votre logiciel, vous allez rester vulnérable. La plupart des hôtes rendent cela très facile et vous rappelleront souvent de mettre à jour lorsqu'une nouvelle version est disponible. Néanmoins, c'est une bonne idée de vérifier régulièrement les informations de votre version.

5. Utiliser des plugins de sécurité

Si vous utilisez un système de gestion de contenu (CMS) 10 systèmes de gestion de contenu les plus populaires en ligneL'époque des pages HTML codées à la main et de la maîtrise du CSS est révolue depuis longtemps. Installez un système de gestion de contenu (CMS) et en quelques minutes, vous pouvez avoir un site Web à partager avec le monde. Lire la suite , des plugins de sécurité sont disponibles pour cela. le grands comme WordPress 18 plugins et conseils de sécurité Wordpress pour sécuriser votre blog Lire la suite , Drupal, Joomla et Magento en ont tous une tonne. Tout ce que vous avez à faire est de choisir ceux qui correspondent le mieux à votre situation, puis de télécharger, d'installer et d'activer.

Chaque CMS et extension de sécurité vous donnera des conseils différents sur ce que vous devez utiliser. C’est aussi une bonne idée de consulter avis de tiers sur les plugins de sécurité. Mais si le plugin est créé par un fournisseur réputé, il contribuera à la sécurité de votre site. Utilisez des paramètres de sécurité plus élevés pour éliminer encore plus de vulnérabilités et garder vos extensions à jour également.

6. Activer HTTPS

Ce n'est pas seulement votre propre sécurité à laquelle vous devez penser. Vos visiteurs et Google apprécieront que vous chiffriez tout le trafic sur votre site. Surtout si vos visiteurs partageront des informations sensibles.

Certains services d'hébergement activent automatiquement HTTPS pour vous, et d'autres vous permettent de le faire en un ou deux clics. Si vous auto-hébergez ou louez simplement de l'espace serveur, vous devrez peut-être le faire à la dure. Cela implique l'achat d'un certificat SSL, son activation et la configuration de votre site pour utiliser HTTPS.

Ce n'est pas particulièrement compliqué, mais le processus peut différer sur votre service d'hébergement, alors vérifiez avec eux pour trouver la meilleure façon de le faire.

7. Vérifier les autorisations

Différents utilisateurs de votre site Web auront différents niveaux d'autorisation. En tant qu'administrateur, vous serez autorisé à modifier tout ce que vous voulez - les autres personnes devraient être plus restreintes. Les CMS vous permettent souvent de modifier les autorisations des visiteurs, des visiteurs connectés, des éditeurs, des contributeurs et de nombreux autres groupes d'utilisateurs.

Pensez à l'accès que chaque groupe devrait avoir. Vos éditeurs doivent-ils créer de nouveaux utilisateurs? Vos lecteurs devraient-ils pouvoir éditer des pages? Donnez à chacun le moins d'autorisations possible pour qu'il puisse faire son travail.

Si vous voulez devenir vraiment technique, vous pouvez utiliser un client FTP Comment transformer l'explorateur de fichiers Windows en client FTPLorsque vous devez déplacer des fichiers entre des ordinateurs, FTP est un excellent moyen de le faire. Et si vous utilisez l'Explorateur de fichiers Windows, vous n'avez plus besoin d'un client FTP tiers. Voici comment... Lire la suite pour regarder tous les fichiers de votre site et vérifier leurs autorisations en notation symbolique ou numérique. Vous pouvez ensuite utiliser le terminal de commande pour modifier les autorisations. (Si vous ne savez pas de quoi je parle, faites attention à ça!)

8. Cachez vos pages d'administration

Les pages que vous utilisez pour vous connecter et gérer votre site Web ne devraient pas être visibles pour les moteurs de recherche. Cela peut ne pas sembler être une mesure de sécurité importante, mais cela rend plus difficile pour les personnes ayant des intentions malveillantes de trouver ces pages. Et parce que c'est généralement très facile à faire, cela vaut la peine de prendre quelques minutes.

Certains CMS et plugins de sécurité vous permettront de masquer ces pages aux moteurs de recherche. Si le vôtre ne fournit pas cette fonctionnalité, vous pouvez le faire manuellement en modifiant votre fichier robots.txt, qui devrait être accessible à partir de vos paramètres CMS ou de la section administrateur de cPanel. Ajoutez ce qui suit au fichier:

Agent utilisateur: * Interdire: [l'URL relative de la page]

Dans WordPress, vous utiliseriez «/ wp-admin /» comme URL. D'autres CMS auront des URL différentes. Vous pouvez également interdire toutes les autres pages que les utilisateurs n'ont pas besoin de voir. Non seulement c'est bon pour la sécurité, mais cela peut aussi aider votre référencement!

9. Protection contre les scripts intersites

XSS est une tactique de piratage Qu'est-ce que le Cross-Site Scripting (XSS) et pourquoi il s'agit d'une menace pour la sécuritéLes vulnérabilités de script intersite sont le plus gros problème de sécurité de site Web aujourd'hui. Des études ont révélé qu'elles sont étonnamment courantes - 55% des sites Web contenaient des vulnérabilités XSS en 2011, selon le dernier rapport de White Hat Security, publié en juin ... Lire la suite qui implique l'exécution de code sur votre site Web à l'aide de méthodes de contournement. Cela peut arriver par exemple dans un formulaire de contact. En incluant un script dans le formulaire de contact, un pirate pourrait amener votre site Web à exécuter ce code, en leur donnant accès ou en faisant des ravages.

Se protéger contre ce type d'attaque est en fait assez compliqué. Si vous souhaitez en savoir plus sur les méthodes que vous pouvez utiliser, consultez ce génial Aide-mémoire anti-XSS de OWASP. Si vous êtes moins enclin à la technique, il existe de nombreux plugins anti-XSS disponibles. Certains plugins de sécurité standard peuvent couvrir cette vulnérabilité, mais ne supposez pas que ce soit le cas. Assurez-vous d'être protégé.

10. Empêcher la fuite d'informations

Alors que XSS, Injection SQL Qu'est-ce qu'une injection SQL? [MakeUseOf explique]Le monde de la sécurité Internet est en proie à des ports ouverts, des portes dérobées, des failles de sécurité, des chevaux de Troie, des vers, des vulnérabilités de pare-feu et une foule d'autres problèmes qui nous tiennent tous sur nos orteils tous les jours. Pour les particuliers, ... Lire la suite , le piratage de mot de passe et d'autres méthodes de piratage peuvent sembler les plus dangereux, ce sont souvent les choses les plus simples qui causent des problèmes. La fuite d'informations est l'une de ces choses.

Lorsque vous donnez accidentellement des informations dont vous n'aviez pas l'intention (ou dont vous n'êtes pas au courant), il s'agit d'une fuite d'informations. Il est facile pour les développeurs de laisser accidentellement des commentaires HTML dans le code de votre site Web, par exemple, qui contiennent des informations sensibles.

Si vous travaillez avec une implémentation CMS standard, ce ne sera pas vraiment un problème. Mais si vous avez demandé à quelqu'un de concevoir un thème personnalisé ou si vous avez effectué un travail de développement approfondi sur le site Web, vous devez vérifier les fuites d'informations. L’une des meilleures façons est d’utiliser simplement Voir la source dans votre navigateur et recherchez rapidement les commentaires HTML qui n'ont pas été supprimés.

Les sites Web plus volumineux composés de centaines ou de milliers de pages peuvent nécessiter un spécialiste de la sécurité dédié (ou au moins un stagiaire) pour suivre ce processus. Quoi qu'il en soit, c'est une chose facile à vérifier, alors ne la sautez pas.

Sécurisez votre site maintenant!

Lorsque vous créez un nouveau site Web, vous devez faire beaucoup de choses. Et il est facile d’oublier ces mesures de sécurité de base. Mais ils pourraient vous faire économiser beaucoup d'ennuis (et potentiellement beaucoup d'argent) à long terme. Alors ne sautez pas dessus! Assurez-vous que votre site est sécurisé avant de commencer à travailler sur votre contenu.

Quels autres conseils avez-vous pour sécuriser de nouveaux sites Web? Partagez votre opinion dans les commentaires ci-dessous!