9 menaces courantes pour la sécurité des sites Web (et comment les contrer)
Publié: 2023-10-25Désolé de vous le dire, mais votre site Web n'est pas sécurisé. Ce n’est pas nécessairement dû à quelque chose que vous avez fait, mais simplement parce que rien sur Internet n’est jamais complètement sécurisé. Chaque site Web est confronté à des menaces de sécurité qui peuvent le faire tomber, l'endommager ou pire encore.
C'est la mauvaise nouvelle. Le côté positif est qu’il existe de nombreuses choses que vous pouvez faire pour lutter contre ces menaces et la première étape est d’être conscient de leur existence. Après tout, vous ne pouvez vous protéger que contre quelque chose dont vous savez qu’il pourrait présenter un risque.
Pour vous aider à faire exactement cela, cet article passera en revue les menaces courantes de sécurité des sites Web pour WordPress et au-delà. Nous parlerons de quelles sont les menaces, de leur fonctionnement et de ce que vous pouvez faire pour les empêcher de se produire. Lorsque vous avez fini de lire, nous voulons que vous vous sentiez capable de garder votre site WordPress en sécurité et hors de danger, afin que vous puissiez vous concentrer sur ce qui compte vraiment.
Pourquoi se soucier des menaces de sécurité des sites Web ?
La première réaction que vous pourriez avoir est de vous demander si cela vous concerne. Bien sûr, on entend souvent parler de ces violations et piratages de données massives, mais ce genre de choses n'arrive-t-il pas généralement uniquement aux grandes entreprises ? Vous savez, vos Facebook, Twitter, Equifaxes et Yahoos – des entreprises qui possèdent des informations qui valent la peine d'être volées.
Désolé d’éclater votre bulle, mais simplement parce que vous n’êtes pas une entreprise qui vaut un million de dollars, de nombreuses personnes souhaitent encore faire tomber ou pirater votre site Web.
Les cyberattaques mondiales ont augmenté de 38 % rien qu’en 2022 et selon un rapport Verizon de 2019, les petites entreprises étaient la cible numéro un, représentant 43 % de toutes les violations de données. Lorsqu’elles sont victimes d’une cyberattaque, cela coûte en moyenne 25 000 $ à ces entreprises. En fait, en 2022, les dommages causés par la cybercriminalité se sont élevés à 10,2 milliards de dollars rien qu’aux États-Unis, selon le FBI.
Cependant, il ne s’agit pas uniquement des coûts directs liés à la gestion et à l’élimination d’une attaque. Vous payez également en perte de clientèle, en temps d'arrêt, en interruptions de travail, en perte de confiance entre les clients, en étant bloqué par les moteurs de recherche, etc.
Ainsi, même en tant que petit site Web, vous pouvez être une cible. Cela est notamment dû au fait que la plupart des attaques sont lancées automatiquement par des programmes qui analysent le Web à la recherche de vulnérabilités jusqu'à ce qu'ils trouvent quelque chose. Donc, si vous leur laissez une ouverture, quelqu’un tentera d’en profiter.
Vous voulez savoir comment vous protéger ? Passons en revue certaines des menaces de sécurité les plus courantes.
Menace de sécurité des sites Web n° 1 : le phishing
Source : Andrew Levine
Le phishing se produit lorsque des pirates tentent de vous amener à visiter un site Web malveillant, à cliquer sur un lien dangereux, à télécharger une pièce jointe corrompue ou à divulguer des informations sensibles telles que la connexion à votre site Web. La plupart d'entre eux se présentent sous la forme d'e-mails prétendant provenir de sources légitimes. Cependant, vous pouvez également recevoir des messages de phishing via des SMS, des applications de messagerie ou de fausses pages de connexion aux réseaux sociaux.
Dangers potentiels du phishing
L’obtention de vos informations de connexion par phishing fait gagner beaucoup de temps aux attaquants. Au lieu d’avoir à essayer minutieusement de deviner et de se frayer un chemin brutalement vers votre site, ils peuvent simplement utiliser les informations d’identification qui fonctionnent définitivement.
Avec cela en main, ils ont carte blanche sur votre site Web, surtout si les informations d’identification sont assorties de privilèges d’utilisateur élevés. Ils peuvent créer de nouveaux utilisateurs, ajouter du contenu et des liens, manipuler des fichiers, créer des portes dérobées et même exécuter du code. De plus, si des informations sensibles sont enregistrées sur votre site, telles que des données clients dans une boutique en ligne, un pirate informatique y a également accès.
Bien sûr, si cela se produit et devient public, c'est un véritable coup dur pour votre réputation. De plus, selon les lois sur la confidentialité en vertu desquelles vous opérez, cela peut entraîner des amendes supplémentaires.
Comment y faire face
La meilleure façon de prévenir les attaques de phishing est de les sensibiliser. Si vous recevez un message vous demandant des informations sensibles, cela devrait immédiatement vous faire réfléchir. Ne renvoyez rien, ne cliquez sur aucun lien, ne téléchargez et n'exécutez pas les pièces jointes. À tout le moins, vérifiez l'adresse e-mail de l'expéditeur si elle est légitime. De plus, renseignez-vous sur les tactiques de phishing et faites de même avec les autres personnes de votre entreprise.
Source : Techopedia
Menace de sécurité des sites Web n°2 : attaques (D)DoS
DoS signifie « déni de service », c'est-à-dire lorsque quelqu'un tente de supprimer votre site Web en l'inondant de trafic illégitime. Le but est de submerger votre serveur de requêtes afin qu’il ne puisse plus faire face et cesse de fonctionner.
Les attaques DoS sont souvent menées via des botnets, c'est-à-dire des ordinateurs infiltrés par un virus ou un cheval de Troie et que les pirates peuvent contrôler à distance. Dans ce cas, vous parlez également de « déni de service distribué » ou DDoS.
Source : Everaldo Coelho et YellowIcon/LGPL
Les attaques de ce type visent à nuire à une entreprise ou à un site Web ou à les faire chanter pour obtenir de l'argent. Ces attaques sont également menées pour des raisons idéologiques, car l'attaquant n'est pas d'accord avec les idées du site Web en question ou en raison d'une déclaration publique d'une entreprise. Cependant, dans d’autres cas, les attaques DDoS peuvent également être utilisées comme diversion pour vous distraire pendant que des pirates tentent de s’introduire dans votre site.
Quels sont les résultats ?
L’effet d’une attaque DDoS est que le site Web en question ne répond plus et devient inaccessible aux vrais clients et visiteurs. Le serveur a trop de choses à faire pour traiter correctement les visites et se charge très lentement, voire pas du tout, pour les visiteurs légitimes.
Bien entendu, pour la plupart des entreprises, le site Internet constitue l’un de leurs principaux atouts. Lorsqu’il devient inaccessible, cela entraîne une perte d’activité et de revenus. Les attaques DDoS peuvent également nuire à votre réputation, car certains visiteurs penseront que la qualité de votre site Web n'est tout simplement pas bonne.
Comment prévenir les attaques DDoS
L’un des meilleurs moyens de contrer les menaces de ce type sur les sites Web consiste à ajouter une autre couche de sécurité sous la forme d’un pare-feu ou d’un pare-feu d’application Web. Ceux-ci sont conçus pour filtrer le trafic malveillant avant qu’il n’atteigne votre site. De cette façon, l’attaque n’atteint même pas votre site Web et ne peut pas causer de dégâts. De plus, si l’attaque DDoS n’est qu’une distraction pour une intrusion, les pare-feu offrent également une protection contre cela. Les bons fournisseurs ici sont Sucuri et Cloudflare.
Source : Cloudflare
Un autre bon investissement pour vous protéger contre cette menace de sécurité des sites Web est un réseau de diffusion de contenu ou CDN. Il place des copies de votre site sur différents serveurs, ce qui rend plus difficile sa suppression complète du Web. Cela peut également éloigner l’attaque de votre serveur principal. De nombreux CDN incluent une protection DDoS.
Si vous hébergez votre site Web sur WP Engine, vous pouvez profiter de ces deux méthodes à la fois en utilisant Global Edge Security. Il s'agit d'un module complémentaire de performances et de sécurité de niveau entreprise qui comprend un pare-feu d'application Web géré, une protection DDoS avancée et un CDN mondial. En bref, tout ce dont vous avez besoin pour tenir à distance les menaces de sécurité externes.
De plus, c'est assez simple. Vous l’ajoutez simplement à votre forfait, pointez vos enregistrements DNS vers le bon serveur et le reste est pris en charge pour vous. Très facile. Enfin, c'est une bonne idée de mettre en place un suivi de la disponibilité, par exemple avec UptimeRobot. De cette façon, vous êtes rapidement alerté lorsque votre site n'est plus accessible afin que vous puissiez agir immédiatement.
Menace de sécurité des sites Web n°3 : attaques par force brute et bourrage d'informations d'identification
Les attaques par force brute sont quelque peu similaires aux attaques DDoS dans le sens où elles attaquent automatiquement une partie de votre site. Cependant, au lieu de bloquer le trafic, ils ciblent votre page de connexion et tentent d'accéder au site Web en devinant vos informations de connexion. Les programmes de ce type essaient de nombreuses combinaisons courantes de mots de passe et de noms d'utilisateur par seconde jusqu'à ce qu'ils entrent.
Une variété légèrement plus sophistiquée est ce qu'on appelle le credential stuffing. Ici, au lieu d’informations de connexion aléatoires, les attaquants utilisent des combinaisons e-mail/mot de passe déjà connues lors d’autres violations de données. Ces attaques misent sur le fait que de nombreuses personnes réutilisent leurs informations de connexion.
Si un attaquant parvient à deviner vos identifiants de connexion, le résultat est à peu près le même que celui évoqué dans la section « phishing ».
Dissuader les attaques de connexion
Il existe plusieurs façons de vous protéger contre les attaques sur votre page de connexion :
- Limitez les tentatives de connexion et verrouillez les utilisateurs qui échouent trop souvent, par exemple via Limit Login Attempts Reloaded
- Ne réutilisez pas vos informations d'identification, ayez des mots de passe individuels pour chaque compte que vous possédez
- Limitez le nombre d’utilisateurs sur votre site WordPress et donnez-leur uniquement autant de fonctionnalités dont ils ont besoin pour leur travail
- Forcer les mots de passe forts, par exemple via Password Policy Manager
- Mieux encore, utilisez l'authentification multifacteur
- Désactivez l'éditeur de thèmes et de plugins afin que les attaquants ne puissent pas manipuler vos fichiers depuis le tableau de bord WordPress.
Menace de sécurité des sites Web n°4 : Cross-Site Scripting (XSS)
Dans le cas des scripts intersites, un pirate informatique incite un site Web à transmettre des scripts malveillants au navigateur d'une victime. En raison de la source, le navigateur fait confiance et exécute le script. Cela se produit souvent via des champs de saisie, comme dans un formulaire de contact. Cependant, l’attaque peut également provenir de la base de données d’un site Web compromis.
Résultats possibles
En cas de succès, un attaquant peut utiliser des scripts intersites pour voler les données de connexion, installer des logiciels malveillants, rediriger l'utilisateur vers un autre site et même manipuler la page qu'il consulte. Ils peuvent également accéder au site Internet en question en tant qu'autre utilisateur et lire leurs données. De plus, ils pourraient être en mesure d'installer un logiciel sur l'ordinateur de la victime.
Crédit : Michel Bakni
Dans l’ensemble, les scripts intersites constituent plus un danger pour vos visiteurs que le site lui-même. Cependant, s’il provient de votre présence sur le Web, cela ne vous mettra naturellement pas en valeur. Par conséquent, vous avez le devoir envers vous-même et vos visiteurs de sécuriser votre site.
Comment prévenir les attaques XSS
Sur le plan technique, l'étape la plus importante pour empêcher les scripts intersites est de nettoyer et de valider vos entrées de données. Cela signifie refuser les caractères spéciaux et les symboles pour éviter l'injection de code, par exemple, assurez-vous que l'entrée ne peut pas contenir d'éléments tels qu'un script, un objet ou un lien. Les langages de programmation comme PHP et JavaScript offrent des fonctions standard à cet effet et WordPress dispose également de son propre balisage à cet effet.
Si vous n'êtes pas un développeur, votre rôle est de faire preuve de bon sens afin d'éloigner de votre site tout code qui ne respecte pas ces règles. Cela signifie que procurez-vous des thèmes et des plugins auprès de sources réputées et assurez-vous qu'ils sont bien pris en charge et entretenus. De plus, n’installez pas d’extraits de code sur votre site que vous ne comprenez pas.
Menace de sécurité des sites Web n°5 : injections SQL
Les injections SQL sont similaires aux scripts intersites. Ils fonctionnent également en utilisant des champs de saisie pour exécuter du code SQL malveillant sur votre site Web et accéder à la base de données.
Si votre site Web est vulnérable aux injections SQL, un attaquant peut utiliser cette technique pour l'endommager de plusieurs manières :
- Créez de nouvelles identités avec des droits d'administrateur et accédez à votre site
- Accédez directement à toutes les données sur le serveur
- Détruire/modifier la base de données pour la rendre inutilisable
Bien sûr, rien de tout cela n’est une bonne nouvelle.
Contrecarrer les injections SQL
Cette menace pour la sécurité des sites Web nécessite une vigilance similaire à celle du cross-site-scripting. Désinfectez, filtrez, échappez et validez la saisie des données et assurez-vous de crypter les informations confidentielles. De nombreux frameworks Web le font automatiquement.
En tant que non-développeur, gardez WordPress et ses composants à jour et utilisez un plugin de sécurité WordPress. Beaucoup d’entre eux sont dotés de fonctionnalités permettant d’empêcher les injections SQL. Vous pouvez trouver des informations plus détaillées sur ce sujet dans un article dédié à WP Engine.
Menace de sécurité des sites Web n°6 : Ransomware/Défacement
Un ransomware est un type de logiciel qui bloque l'accès à votre site Web ou à d'autres actifs de votre entreprise et ne le déverrouille à nouveau que si vous versez de l'argent à l'attaquant, et parfois même pas dans ce cas.
La dégradation est similaire dans la mesure où elle perturbe la conception ou le contenu de votre site Web ou laisse un message indiquant un piratage réussi.
Dans chaque cas, quelqu’un a eu accès à votre site d’une manière ou d’une autre, ce qui peut entraîner de nombreuses conséquences négatives :
- Le coût de la rançon (si vous la payez, cela peut coûter cher)
- Frais pour le nettoyage
- Ventes perdues et perte de réputation
- Pertes de productivité du personnel dues à l'incapacité d'effectuer leur travail
- Classement réduit dans les moteurs de recherche en raison de la liste de blocage
Comment vous protéger
La façon de prévenir les attaques de ransomwares et de dégradations consiste à suivre les autres bonnes pratiques mentionnées dans ce guide pour verrouiller l'accès à votre site Web et à votre serveur. Conservez vos informations de connexion en sécurité, votre site à jour et mettez en place une solution de sauvegarde afin de pouvoir revenir à une version antérieure de votre site.
Menace de sécurité des sites Web n°7 : logiciels malveillants et logiciels espions
Il ne s’agit pas tant d’un danger pour les sites Web eux-mêmes que de quelque chose qui peut arriver à votre site. Lorsqu'un attaquant y accède, il peut installer des logiciels malveillants et des logiciels espions qui infectent les ordinateurs de vos visiteurs. Votre site Web compromis finit par servir de véhicule pour faire avancer le programme du pirate informatique.
Que peut-il arriver ?
Les logiciels malveillants représentent un grand danger pour votre réputation. Lorsqu'un navigateur ou un programme antivirus le détecte, il empêchera les visiteurs d'accéder à votre site.
De plus, les moteurs de recherche peuvent vous bloquer et vous supprimer de leur index car ils ne veulent pas envoyer leurs utilisateurs vers des sites Web qui leur nuisent.
Bien sûr, les deux peuvent entraîner une perte massive de trafic, et il est parfois difficile de se retirer des listes de blocage même lorsque vous avez résolu le problème. Sans trafic, il n’y a pas de revenus, pas de leads, pas de clients, pas d’activité.
Prévenir les infections par des logiciels malveillants
Encore une fois, suivez les pratiques mentionnées dans ce guide pour empêcher les autres menaces de sécurité de votre site Web d'accéder à votre site. En particulier, utilisez des informations d’identification solides et une authentification multifacteur, maintenez les composants du site Web à jour et soyez vigilant sur ce que vous installez sur votre site.
De plus, gardez votre propre ordinateur propre en utilisant un logiciel antivirus et analysez régulièrement votre site Web à la recherche de logiciels malveillants, par exemple via Sucuri Sitecheck.
Menace de sécurité des sites Web n°8 : attaque de l'homme du milieu
Ces types d'attaques sont courants sur les sites Web qui n'utilisent pas de cryptage pour leur trafic. Ici, l'attaquant intercepte les données non protégées et peut ainsi accéder aux informations de connexion, de paiement ou à d'autres informations sensibles. Les attaques de l’homme du milieu se produisent également sur les réseaux wifi non sécurisés.
Comment vous protéger
Sur les sites Web, la méthode numéro un pour contrer cette menace consiste à utiliser le cryptage. Installez un protocole TLS/SSL sur votre site et passez-le en HTTPS. Cela crypte automatiquement toutes les informations envoyées entre votre site et les navigateurs des visiteurs, empêchant ainsi les attaques de l'homme du milieu de réussir.
De plus, protégez votre wifi professionnel et domestique avec un mot de passe fort et en modifiant les informations d'identification par défaut. De plus, soyez particulièrement prudent lorsque vous utilisez le wifi public. Utilisez un VPN pour protéger votre trafic et connectez-vous à votre site depuis le wifi public uniquement lorsque cela est absolument nécessaire.
Menace de sécurité des sites Web n°9 : attaques de la chaîne d'approvisionnement
Une attaque de chaîne d’approvisionnement se produit lorsqu’un attaquant infiltre un site Web via un logiciel tiers. Par exemple, lorsque quelqu'un pirate un produit SaaS qui s'intègre à de nombreux sites Web et accède ensuite à ces sites au cours du processus.
Nous avons été témoins d’attaques de chaîne d’approvisionnement dans WordPress ces dernières années. Dans un cas, des attaquants ont intentionnellement enrichi des plugins avec du code malveillant. Une autre fois, ils ont pénétré par effraction dans le serveur de distribution pour obtenir une extension WordPress afin de faire de même.
Dans la plupart des cas, ces attaques ont été rapidement découvertes et les plugins en question ont été interdits ou corrigés. Mais c'est quand même quelque chose dont il faut être conscient.
Comment l'empêcher
La meilleure recette pour prévenir les attaques contre la chaîne d’approvisionnement est de suivre les meilleures pratiques pour l’utilisation de plugins et de codes tiers sur votre site Web :
- Utilisez uniquement des sources réputées pour les extensions telles que les plugins et les thèmes
- Gardez vos intégrations au minimum, installez uniquement ce dont vous avez vraiment besoin
- Auditez régulièrement votre site si tous les éléments tiers sont toujours pertinents
- Utilisez un journal d'activité pour repérer les comportements suspects sur votre site
Gardez les menaces des sites Web à distance
Les menaces de sécurité sont un problème auquel tout propriétaire de site Web doit faire face. C’est une triste réalité du fonctionnement sur Internet. Heureusement, bon nombre d’entre eux peuvent être évités en mettant en œuvre quelques bonnes pratiques de bon sens :
- Soyez vigilant sur les messages que vous recevez, les liens sur lesquels vous cliquez et les pièces jointes que vous téléchargez
- Investissez dans un pare-feu, un CDN et une surveillance de la disponibilité
- Utilisez des mots de passe forts, limitez les capacités des utilisateurs et les tentatives de connexion, et configurez une authentification multifacteur
- Minimisez la quantité de plugins et de thèmes sur votre site et assurez-vous de les obtenir auprès de sources légitimes
- En tant que développeur, nettoyez et validez vos données
- Gardez votre site Web et tout ce qui y appartient à jour
- Utilisez HTTPS pour chiffrer le trafic de votre site Web
- Avoir une solution de sauvegarde en place en cas de problème
- Ne saisissez pas d'informations sensibles sur des réseaux non sécurisés
Les suivre devrait suffire à vous protéger de la majorité des menaces courantes pour la sécurité des sites Web. Restez vigilant !
Quelles autres façons de protéger votre site Web contre les menaces de sécurité recommandez-vous ? Partagez votre opinion dans les commentaires ci-dessous!