Comment sécuriser un site Internet ? Conseils d’experts

Sécurisation site Internet
© Pixabay

Vous avez envie de savoir comment sécuriser un site Internet afin d’éviter toute déconvenue ? Pour vous aider dans cette mission qui s’annonce périlleuse, nous avons décidé de réaliser un guide comprenant plusieurs actions à réaliser dans le but d’améliorer la sécurité de votre site WordPress, Joomla, ou autre. En appliquant chacune des étapes listées, vous allez pouvoir aborder les choses on ne peut plus sereinement.

Pourquoi est-il important de sécuriser son site ?

Avant de vous expliquer comment sécuriser au mieux un site web, nous avons jugé nécessaire de vous expliquer quelles peuvent être les conséquences si jamais votre site venait à être vulnérable et mal sécurisé.

Vous allez voir à la suite qu’il y a trois conséquences qu’il ne va surtout pas falloir négliger tant leur impact peut être grand. Il faut donc bien garder ces idées en tête quand vous créez un site web.

Cela affecte le référencement de votre site

Les moteurs de recherche (et Google tout particulièrement) protègent leurs utilisateurs face aux sites malveillants. Si votre site n’est pas sécurisé par un certificat SSL et le protocole HTTPS, ou qu’il a été infecté par un malware, un message d’avertissement sera directement affiché sur l’écran des utilisateurs leur demandant s’ils sont certains de vouloir poursuivre et de courir un risque.

Site non sécurisé certificat SSL
© Journal du Geek

La plupart du temps, les visiteurs vont simplement revenir en arrière et ne pas se rendre sur votre site… ce qui va envoyer un signal négatif aux moteurs de recherche.

Google a aussi mentionné publiquement que tout site qui n’était pas protégé correctement (certificat SSL + protocole HTTPS) se verrait sanctionner d’un point de vue référencement naturel.

Si vous ne faites pas le nécessaire, vous risquez de perdre gros au niveau de la visibilité de votre site sur Google et donc des visiteurs qui vont être amenés à consulter votre plateforme en ligne.

Cela affecte la réputation de votre site/marque/entreprise

Un site mal ou pas sécurisé qui a été victime d’un hack ou d’une faille de sécurité n’inspire pas confiance.

À partir de là, il est clair que cela peut avoir un impact négatif sur la réputation de votre plateforme, votre image de marque, et donc votre entreprise.

Surtout dans le cas où vous représentez une entreprise, le fait d’avoir été victime d’un vol de données (par exemple) peut avoir des conséquences énormes sur votre business. Beaucoup de clients et d’entreprises partenaires pourraient décider du jour au lendemain de couper les ponts avec vous pour cette raison.

Pour vos clients, vos lecteurs, le raisonnement peut être le même. Du jour au lendemain, ils peuvent décider de se tourner vers un concurrent plutôt que votre site Internet afin d’obtenir leurs informations, faire leurs achats, etc.

Cela affecte vos revenus

Le dernier point négatif que peut avoir la mauvaise sécurisation de votre site est une baisse de vos revenues.

Qui dit plus grande défiance face à votre site, votre marque, dit forcément moins de visiteurs… et moins de revenus !

Si vous ne faites pas le nécessaire afin d’assurer la sécurité de votre site et de vos visiteurs, vous risquez de perdre énormément d’argent.

En partant de ce constat, il est temps pour nous de vous expliquer comment améliorer la sécurité d’un site Internet.

Comment sécuriser un site Internet efficacement ? Tutoriel étape par étape

Pour rendre notre guide le plus complet et lisible possible, nous avons décidé de le découper en 7 étapes. Peut-être que vous avez déjà pu réaliser certaines des choses listées à la suite de votre côté. Si c’est le cas, c’est parfait.

Soyez cependant conscient d’une chose : certaines étapes ne sont pas une simple action à réaliser une fois mais plutôt quelque chose de récurrent. Car oui, sans surprise, sécuriser son site ne se fait pas en quelques heures et est un véritable travail de longue haleine.

1. Utilisez le protocole HTTPS (et installez un certificat SSL)

En 2021, une chose est devenue essentielle lorsqu’on parle de sécuriser un site web : l’utilisation du protocole HTTPS et la mise en place d’un certificat SSL.

Vous ne pouvez plus vous passer de cette paire afin d’assurer la sécurité de votre site mais surtout des visiteurs de celui-ci.

Si vous ne savez pas ce qu’est un certificat SSL, c’est un certificat digital qui va permettre de créer une connexion chiffrée entre un serveur web et un navigateur (celui de vos visiteurs). Cela signifie que les informations envoyées par les visiteurs vers votre site (par exemple) vont être directement dirigées vers le serveur web et non pas un hackeur qui se serait placé entre les deux.

Sur la plupart des navigateurs web, un petit cadenas sera visible à gauche de la barre d’adresse signifiant que l’ensemble est sécurisé.

Site sécurisé certificat SSL
© Journal du Geek

Combien coûte un certificat SSL ? Cela va dépendre du type de certificat que vous souhaitez acheter. Dans la plupart des cas, un certificat de type DV (Validation de domaine) fera amplement l’affaire. En optant pour un bon hébergeur web, un tel certificat SSL vous sera même offert. C’est le cas par exemple chez Hostinger ou PlanetHoster.

Découvrir les offres de Hostinger

Maintenant si vous avez une boutique en ligne générant pas mal de trafic, il peut être intéressant d’acheter un certificat SSL à validation étendue (EV) ou à validation de l’organisation (OV). Dans ces cas là, le prix peut aller de 50€ à 150€ par an.

Une fois que vous aurez obtenu votre certificat SSL, il faudra le déployer puis veiller à ce que toutes les pages de votre site utilisent le protocole HTTPS. Si ce n’est pas le cas, vous devrez faire les redirections nécessaires.

2. Choisissez un hébergement web sécurisé

Assurer la sécurité de son site Internet passe aussi par un choix judicieux d’hébergeur web.

Est-ce que votre hébergeur web actuel vous offre une protection anti-DDoS digne de ce nom ? Une protection face aux malwares ? Ce sont des questions qu’il faut se poser avant même de s’engager chez un hébergeur.

Si vous venez de remarquer que votre hébergeur web actuel ne fait pas le nécessaire afin d’assurer la sécurité de votre site, ce n’est pas un problème. Nous avons en effet sélectionné pour vous deux hébergeurs web réputés qui vont pouvoir faire ça comme il se doit. En plus, ils ont l’avantage de proposer une migration gratuite de votre site vers leur infrastructure. De votre côté vous n’aurez rien à faire si ce n’est de donner les informations nécessaires à leurs équipes techniques (dans le but qu’elles puissent réaliser le transfert en autonomie).

Quels sont ces hébergeurs qui vont vous permettre d’améliorer la sécurité de votre site ? C’est encore une fois Hostinger et PlanetHoster.

 Gamme mutualisé, VPS, Cloud, Minecraft

 Wordpress, Joomla, Magento, Prestashop

 30 jours satisfait ou remboursé

 Promo : JOURNALDUGEEK (-10%)

9.6 /10

Caractéristiques
- Offre spéciale SOLDES -80%
- Support client par chat (en français)
- Migration gratuite
- Nom de domaine gratuit
- Offre gratuite (limitée)
Notre avis : Le meilleur hébergeur web avec un rapport qualité/prix imbattable.
Gamme de produits
Fiabilité
Fonctionnalités
Simplicité
Support client
Qualité / prix
EN VOIR +
1

 Gamme mutualisé, VPS, Dédié

 Wordpress, Joomla, Magento, Prestashop

 14 jours satisfait ou remboursé

 Promo : PHA-Journal-du-geek (-25%)

9.3 /10

Caractéristiques
- Migration gratuite
- Nom de domaine gratuit
- Offre gratuite (limitée)
- Serveurs en France et au Canada
- Support par téléphone
Notre avis : Un excellent hébergeur francophone à des prix attractifs
Gamme de produits
Fiabilité
Fonctionnalités
Simplicité
Support client
Qualité / prix
EN VOIR +
2

Peu importe votre choix, votre site va être protégé par une protection efficace face aux attaques DDoS mais aussi face aux malwares. Ceci étant dit, vous ne pouvez pas vous reposer uniquement sur les protections proposées par votre hébergeur web. Il va falloir réaliser un certain nombre de choses de votre côté comme vous allez pouvoir le constater dans la suite de notre guide.

3. Mettez à jour régulièrement votre CMS, les plugins, votre thème

Pour beaucoup cela peut sembler être un détail mais croyez nous ce n’en est pas un : il faut mettre à jour de manière régulière votre CMS (que ce soit WordPress, Joomla, Drupal, ou un autre), votre thème, mais aussi les plugins/modules qui sont installés sur votre site.

Pour quelle raison au juste ? Eh bien car de possibles failles/vulnérabilités peuvent être trouvées et exploitées par des personnes malveillantes. Pour remédier à cela, les développeurs de votre thème, des plugins que vous utilisez, ainsi que du CMS qui propulse votre site, réalisent de manière régulière des mises-à-jour afin de corriger ces failles et vous éviter le moindre problème.

D’un point de vue sécurité, il est donc nécessaire de réaliser régulièrement ces mises-à-jour. Attention cependant à ne pas faire cela trop rapidement.

Effectivement, il se peut qu’une mise-à-jour entraîne des bugs ou des comportements inattendus. Afin d’éviter d’être la victime de ces problèmes, il vaut mieux attendre quelques semaines suite à la sortie d’une nouvelle mise-à-jour avant de l’installer.

4. Optez pour des mots de passe sécurisés pour tous les comptes de votre site

Une faille de sécurité courante sur les sites Internet se situe au niveau des mots de passe des comptes ayant des droits “privilégiés” (administrateur).

Il faut veiller à ce que ces derniers soient relativement complexes et si possible, il faut essayer de les changer de manière régulière. Changer le mot de passe des comptes admin tous les 6 mois est une bonne idée par exemple, même si on vous l’accorde, c’est contraignant.

En ce qui concerne la complexité d’un mot de passe, il faut qu’il contienne des majuscules, des chiffres, ainsi que des caractères spéciaux.

Si vous avez du mal à savoir à quel point votre mot de passe est sécurisé, n’hésitez pas à vous appuyer sur des sites permettant de générer un mot de passe complexe. Ils vont vous permettre en quelques clics de spécifier le nombre de caractères ainsi que les spécificités voulues.

On peut vous recommander les sites suivants :

  • passwordsgenerator.net
  • lastpass.com
Générateur mots de passe sécurisés
© passwordsgenerator.net

Avoir un mot de passe complexe va venir consolider la sécurité de votre site et de son panneau d’administration (qui est, on le rappelle, le point névralgique de votre plateforme).

5. Utilisez des plugins qui permettent de surveiller le niveau de sécurité de votre site (et de le protéger)

En installant des plugins spécialisés dans la sécurisation de sites Internet, vous allez avoir accès à un niveau supplémentaire de protection.

La question est : quel plugin utiliser ? Nous allons nous concentrer sur les plugins proposés sur WordPress car il est le CMS le plus populaire sur le marché. Maintenant sachez que vous trouverez des équivalents que vous soyez sur Joomla, Drupal, ou n’importe quel autre CMS.

Les deux plugins que nous pouvons vous recommander sont :

  • iThemes Security
  • Wordfence
Plugin Wordfence Security
© Wordfence Security

N’hésitez pas à faire une recherche les concernant depuis votre panneau d’administration WordPress. Vous verrez ainsi les nombreux avantages qu’ils vont pouvoir vous offrir.

Pour résumer très rapidement, ces extensions vont vous protéger de pas mal d’attaques, vont vous permettre de gérer et d’ajouter des règles à votre firewall, d’améliorer la sécurité des connexions réalisées via votre panneau d’administration WordPress, ou encore de scanner votre site afin de trouver de possibles logiciels malveillants.

Il est vrai que dans pas mal de cas cela peut faire doublon avec certains outils mis à disposition par votre hébergeur. Maintenant, le fait que l’ensemble soit administrable et configurable via l’interface d’administration de WordPress est un vrai plus. Cela rend la démarche bien plus simple.

Vous cherchez à changer d’hébergement web ? Voici les recommandations de nos experts :

 Gamme mutualisé, VPS, Cloud, Minecraft

 Wordpress, Joomla, Magento, Prestashop

 30 jours satisfait ou remboursé

 Promo : JOURNALDUGEEK (-10%)

9.6 /10

Caractéristiques
- Offre spéciale SOLDES -80%
- Support client par chat (en français)
- Migration gratuite
- Nom de domaine gratuit
- Offre gratuite (limitée)
Notre avis : Le meilleur hébergeur web avec un rapport qualité/prix imbattable.
Gamme de produits
Fiabilité
Fonctionnalités
Simplicité
Support client
Qualité / prix
EN VOIR +
1

 Gamme mutualisé, VPS, Dédié

 Wordpress, Joomla, Magento, Prestashop

 14 jours satisfait ou remboursé

 Promo : PHA-Journal-du-geek (-25%)

9.3 /10

Caractéristiques
- Migration gratuite
- Nom de domaine gratuit
- Offre gratuite (limitée)
- Serveurs en France et au Canada
- Support par téléphone
Notre avis : Un excellent hébergeur francophone à des prix attractifs
Gamme de produits
Fiabilité
Fonctionnalités
Simplicité
Support client
Qualité / prix
EN VOIR +
2

6. Encadrez les droits donnés aux personnes qui travaillent sur votre site

Très souvent, une faille de sécurité peut être due à l’action d’un administrateur ou d’un utilisateur ayant un certain nombre de droits.

En plus d’éduquer au maximum les personnes aux risques liés à l’administration et l’édition d’un site, il est important de s’assurer que vous donner les droits nécessaires (et pas plus) à chaque acteur qui va travailler sur votre site Internet.

Évitez aussi que des personnes partagent le même compte. Créez un compte pour chaque personne impliquée dans votre site, et attribuez lui les droits qui sont nécessaires.

Pourquoi ne faut-il pas que plusieurs personnes partagent le même compte ? Car en cas de problème, vous aurez plus de mal à avoir un historique clair de ce qui a été réalisé… et par qui. Vous l’aurez compris, la sécurisation de votre site passe aussi par une gestion rigoureuse des comptes et des droits qui sont attribués.

7. Sauvegardez votre site régulièrement

Cette dernière recommandation ne va pas directement sécuriser votre site ni le protéger de possibles attaques. Maintenant il est on ne peut plus important de mettre en place des sauvegardes régulières (journalières voire hebdomadaires) afin de vous éviter toute mésaventure.

En cas d’erreur humaine, d’attaque malveillante, ou de panne significative du côté de votre hébergeur (personne n’est à l’abri comme l’a prouvé OVH), le fait d’avoir accès à des sauvegardes complètes de votre site est un vrai plus. Grâce à cela, en quelques minutes à peine, vous pourrez facilement restaurer des fichiers, des dossiers, ou votre site dans son ensemble.

Comment réaliser des sauvegardes ?

Il y a deux possibilités :

  • Utiliser l’outil de sauvegarde mis à disposition par votre hébergeur web (s’il propose une telle chose). À titre d’exemple, les hébergeurs Hostinger et PlanetHoster supportent la réalisation de sauvegardes régulières.
  • Passer par un plugin de sauvegarde.

Si vous voulez notre avis, et étant donné qu’il est possible de paramétrer l’exécution automatique de sauvegardes, vous avez intérêt à utiliser les deux méthodes. En plus de cela, il peut aussi être intéressant de stocker les sauvegardes réalisées via la méthode 1, sur un espace de stockage “X”, et les sauvegardes réalisées via la méthode 2, sur un espace de stockage “Y”. Il est bon de ne pas mettre tous les œufs dans le même panier.

Pour revenir à la réalisation de sauvegardes via un plugin, si vous êtes sur WordPress, nous vous recommandons d’utiliser le très réputé plugin UpdraftPlus.

Avec lui, en quelques minutes à peine, vous serez en mesure de paramétrer des sauvegardes journalières, puis de sélectionner l’endroit où stocker l’ensemble. À titre d’information, UpdraftPlus permet de stocker vos sauvegardes sur un disque dur physique, sur Dropbox, un FTP, Google Drive, Microsoft Azure, Amazon S3, etc.

Plugin sauvegarde UpdraftPlus
© Journal du Geek

Conclusion

Notre tutoriel vous expliquant comment sécuriser un site Internet touche à sa fin. Nous espérons qu’avec tous les conseils que nous avons pu vous distiller au cours de celui, vous serez en mesure de faire le nécessaire afin d’assurer la sécurité de votre site, de ses données, ainsi que de vos visiteurs.

Comme vous avez pu le constater en première partie d’article, le fait de ne pas sécuriser comme il se doit un site Internet peut avoir des conséquences énormes sur votre image de marque (que vous soyez un simple blogueur, que vous vendiez des produits en ligne, etc) et donc sur votre société, votre personne.

Il ne faut donc pas prendre ce sujet à la légère et faire le nécessaire, de manière régulière. Car oui, comme nous avons pu le laisser entendre à plusieurs reprises, certaines choses vont devoir être réalisées de manière journalière, hebdomadaire, mensuelle…

Assurer la sécurité d’un site prend du temps qu’il ne faut surtout pas rechigner à se donner afin de faire le nécessaire.

Les hébergeurs web sécurisés que nous recommandons :

 Gamme mutualisé, VPS, Cloud, Minecraft

 Wordpress, Joomla, Magento, Prestashop

 30 jours satisfait ou remboursé

 Promo : JOURNALDUGEEK (-10%)

9.6 /10

Caractéristiques
- Offre spéciale SOLDES -80%
- Support client par chat (en français)
- Migration gratuite
- Nom de domaine gratuit
- Offre gratuite (limitée)
Notre avis : Le meilleur hébergeur web avec un rapport qualité/prix imbattable.
Gamme de produits
Fiabilité
Fonctionnalités
Simplicité
Support client
Qualité / prix
EN VOIR +
1

 Gamme mutualisé, VPS, Dédié

 Wordpress, Joomla, Magento, Prestashop

 14 jours satisfait ou remboursé

 Promo : PHA-Journal-du-geek (-25%)

9.3 /10

Caractéristiques
- Migration gratuite
- Nom de domaine gratuit
- Offre gratuite (limitée)
- Serveurs en France et au Canada
- Support par téléphone
Notre avis : Un excellent hébergeur francophone à des prix attractifs
Gamme de produits
Fiabilité
Fonctionnalités
Simplicité
Support client
Qualité / prix
EN VOIR +
2

Vous avez encore des questions concernant certaines des démarches présentées et qu’il va falloir entreprendre afin de sécuriser votre site WordPress, Joomla, Wix, etc ? Laissez un commentaire à la suite afin que nous puissions vous éclairer. Si vous avez des bonnes pratiques à partager avec nos lecteurs, n’hésitez pas non plus.