Il est facile de faire des erreurs pendant l'excitation d'ouvrir un nouveau site Web Comment faire un site Web: Pour les débutants Comment faire un site Web: Pour les débutants Aujourd'hui, je vais vous guider à travers le processus de création d'un site Web complet à partir de zéro. Ne vous inquiétez pas si cela semble difficile. Je vais vous guider à travers chaque étape du chemin. Lire la suite . Mettre le feu à un petit magasin, un portefeuille ou un blog est très amusant - mais traiter les failles de sécurité et les hacks est beaucoup moins. Lorsque vous configurez un nouveau site Web, il est important de vous assurer qu'il est sécurisé.
Heureusement, la plupart des choses que vous devriez faire sont très faciles. Certains prendront un peu de temps, mais c'est un investissement digne. Ne laissez pas votre site sans protection! Voici 10 choses que vous pouvez faire pour le garder en sécurité.
1. Choisissez un registraire de domaine sécurisé
Lorsque vous enregistrez votre domaine, vous voulez vous assurer que personne ne va prendre le contrôle. Si un mécréant est capable de se connecter à votre registraire de domaine, ils peuvent le transférer à eux-mêmes ou faire encore plus de ravages.
Il existe quelques options pour les registrars de domaine qui utilisent l'authentification à deux facteurs (2FA) Qu'est-ce que l'authentification à deux facteurs? Pourquoi l'utiliser? Qu'est-ce que l'authentification à deux facteurs? Pourquoi utiliser l'authentification à deux facteurs? est une méthode de sécurité qui nécessite deux manières différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit nécessite non seulement la carte, ... Lire la suite. Cela ajoute un niveau de sécurité supplémentaire et rend beaucoup plus difficile l'accès à quelqu'un d'autre. Même si quelqu'un parvient à obtenir votre mot de passe, il n'aura probablement pas accès à votre téléphone.
Voici quelques bureaux d'enregistrement qui proposent 2FA:
- Dynadot
- Allez papa
- Lexsynergy
- Name.com
- NameCheap
2. Masquer vos informations du WHOIS
Chaque site Web a une entrée WHOIS, et si vous ne prenez pas de mesures pour vous assurer que vos informations y sont protégées, votre nom et votre adresse e-mail seront faciles à trouver pour les entreprises de spam. Votre nom et votre adresse e-mail sont tous les deux nécessaires pour le vol d'identité. Par conséquent, le fait de les garder confidentiels pourrait également vous protéger sur ce front.
La plupart des hébergeurs offrent un enregistrement WHOIS anonyme pour une somme modique, mais il y en a quelques-uns qui le fournissent librement. Les deux Dreamhost et 1and1 vous permettent d'ouvrir un site avec des informations WHOIS anonymes sans frais.
Que vous décidiez de payer pour cela ou non, faites ce que vous pouvez pour garder votre nom et votre adresse e-mail (ou même simplement votre adresse e-mail) hors de votre enregistrement WHOIS. Cela vous épargnera du temps pour traiter beaucoup de spam et rendra la tâche un peu plus difficile à quelqu'un pour obtenir vos informations.
3. Changez vos mots de passe
Heureusement, cela va sans dire, mais changez vos mots de passe immédiatement. Comment générer des mots de passe forts qui correspondent à votre personnalité Comment générer des mots de passe forts qui correspondent à votre personnalité Sans un mot de passe fort, vous pouvez vous retrouver rapidement. Une façon de créer un mot de passe mémorable pourrait être de le faire correspondre à votre personnalité. Lire la suite . Si votre domaine, votre hôte, votre système de gestion de contenu ou tout autre élément est associé à un mot de passe administrateur standard, modifiez-le. Vous devriez même changer votre nom d'utilisateur de "admin" à autre chose si c'est la valeur par défaut.
Ce n'est pas une mauvaise idée de changer régulièrement vos mots de passe. Utiliser un gestionnaire de mots de passe 7 Clever Password Manager Superpowers Vous devez commencer à utiliser 7 Superpowers Clever Password Manager Vous devez commencer à utiliser les gestionnaires de mot de passe portent beaucoup de fonctionnalités, mais saviez-vous à ce sujet? Voici sept aspects d'un gestionnaire de mot de passe dont vous devriez profiter. Lisez la suite pour les suivre et vous assurer qu'ils sont sécurisés.
4. Mettez à jour votre logiciel de site Web
Une fois votre inscription sécurisée, il est temps de sécuriser le site lui-même. Et la première étape - tout comme la première étape pour obtenir autre chose - consiste à tout mettre à jour.
Lorsque les entreprises découvrent des failles dans leur sécurité, elles publient des correctifs et des mises à jour. Si vous ne mettez pas à jour votre logiciel, vous resterez vulnérable. La plupart des hôtes rendent cela très facile, et vous rappelleront souvent de mettre à jour quand une nouvelle version est disponible. Même ainsi, c'est une bonne idée de vérifier vos informations de version régulièrement.
5. Utiliser les plugins de sécurité
Si vous utilisez un système de gestion de contenu (CMS) 10 Les systèmes de gestion de contenu les plus populaires en ligne 10 Les systèmes de gestion de contenu les plus populaires en ligne Les jours de pages HTML codées à la main et la maîtrise des CSS sont révolus depuis longtemps. Installez un système de gestion de contenu (CMS) et en quelques minutes vous pouvez avoir un site Web à partager avec le monde. Lire la suite, il existe des plugins de sécurité disponibles pour cela. Les grands comme WordPress 18 Plugins de sécurité Wordpress & Conseils pour sécuriser votre blog 18 Plugins de sécurité Wordpress & Conseils pour sécuriser votre blog Lire la suite, Drupal, Joomla, et Magento ont tous une tonne d'entre eux. Tout ce que vous devez faire est de choisir ceux qui correspondent le mieux à votre situation, puis téléchargez, installez et activez.
Chaque CMS et extension de sécurité vous donnera des conseils différents sur ce que vous devez utiliser. C'est également une bonne idée de consulter les avis de tiers sur les plugins de sécurité. Mais si le plugin est fait par un fournisseur de bonne réputation, il aidera à protéger votre site. Utilisez des paramètres de sécurité plus élevés pour éliminer encore plus de vulnérabilités et maintenez vos extensions à jour également.
6. Activer HTTPS
Ce n'est pas seulement votre propre sécurité que vous devriez penser. Vos visiteurs et Google apprécieront que vous cryptiez tout le trafic sur votre site. Surtout si vos visiteurs partageront des informations sensibles.
Certains services d'hébergement activent automatiquement HTTPS pour vous, et d'autres vous permettent de le faire en un clic ou deux. Si vous vous auto-hébergez ou si vous louez simplement un espace serveur, vous devrez peut-être le faire à la dure. Cela implique l'achat d'un certificat SSL, son activation et la configuration de votre site pour utiliser HTTPS.
Ce n'est pas particulièrement compliqué, mais le processus peut différer sur votre service d'hébergement, alors vérifiez avec eux pour trouver la meilleure façon de le faire.
7. Vérifiez les autorisations
Plusieurs utilisateurs de votre site Web auront des niveaux d'autorisation différents. En tant qu'administrateur, vous aurez la permission de changer tout ce que vous voulez - d'autres personnes devraient être plus restreintes. Les SGC vous permettent souvent de modifier les autorisations pour les visiteurs, les visiteurs connectés, les éditeurs, les contributeurs et bien d'autres groupes d'utilisateurs.
Pensez au nombre d'accès que chaque groupe devrait avoir. Vos éditeurs ont-ils besoin de créer de nouveaux utilisateurs? Vos lecteurs devraient-ils pouvoir éditer des pages? Donnez à chacun le moins d'autorisations possible pour qu'il puisse faire son travail.
Si vous voulez vraiment technique, vous pouvez utiliser un client FTP Comment faire pour tourner l'explorateur de fichiers Windows dans un client FTP Comment faire pour basculer l'explorateur de fichiers Windows dans un client FTP Lorsque vous devez déplacer des fichiers entre ordinateurs, FTP est une excellente façon de faire il. Et si vous utilisez Windows File Explorer, vous n'avez plus besoin d'un client FTP tiers. Voici comment ... Lisez plus pour regarder tous les fichiers sur votre site et vérifier leurs permissions en notation symbolique ou numérique. Vous pouvez ensuite utiliser le terminal de commande pour modifier les autorisations. (Si vous ne savez pas de quoi je parle, soyez prudent avec ça!)
8. Masquer vos pages d'administration
Les pages que vous utilisez pour vous connecter et gérer votre site Web ne doivent pas être visibles par les moteurs de recherche. Cela peut ne pas sembler être une mesure de sécurité, mais il est plus difficile pour les personnes mal intentionnées de trouver ces pages. Et parce que c'est généralement très facile à faire, cela vaut la peine de prendre quelques minutes.
Certains CMS et plugins de sécurité vous permettront de cacher ces pages des moteurs de recherche. Si le vôtre n'offre pas cette fonctionnalité, vous pouvez le faire manuellement en modifiant votre fichier robots.txt, qui devrait être accessible à partir des paramètres de votre CMS ou de la section administrateur de cPanel. Ajoutez ce qui suit au fichier:
User-agent: * Disallow: [the relative URL of the page] Dans WordPress, vous utiliseriez "/ wp-admin /" comme URL. Les autres CMS auront des URL différentes. Vous pouvez également interdire toute autre page que les utilisateurs n'ont pas besoin de voir. Non seulement cela est bon pour la sécurité, mais cela peut également aider votre SEO!
9. Protégez contre les scripts inter-sites
XSS est une tactique de piratage Qu'est-ce que Cross-Site Scripting (XSS), et pourquoi c'est une menace de sécurité Qu'est-ce que Cross-Site Scripting (XSS), et pourquoi c'est une menace de sécurité? Selon le dernier rapport de White Hat Security, publié en juin dernier, 55% des sites Web contenaient des vulnérabilités XSS. Pour en savoir plus, vous devez exécuter du code sur votre site Web à l'aide de méthodes détournées. Cela peut arriver dans un formulaire de contact, par exemple. En incluant un script dans le formulaire de contact, un pirate pourrait obtenir que votre site web exécute ce code, leur donnant accès ou faisant des ravages.
Protéger contre ce type d'attaque est en réalité plutôt compliqué. Si vous voulez en apprendre davantage sur les méthodes que vous pouvez utiliser, consultez cette feuille de triche anti-XSS génial d'OWASP. Si vous êtes moins techniquement enclin, il y a beaucoup de plugins anti-XSS disponibles. Certains plugins de sécurité standard peuvent couvrir cette vulnérabilité, mais ne supposez pas que c'est le cas. Assurez-vous que vous êtes protégé.
10. Prévenir les fuites d'informations
Alors que XSS, injection SQL Qu'est-ce qu'une injection SQL? [MakeUseOf explique] Qu'est-ce qu'une injection SQL? [MakeUseOf explique] Le monde de la sécurité Internet est marqué par des ports ouverts, des portes dérobées, des failles de sécurité, des chevaux de Troie, des vers, des vulnérabilités de pare-feu et une foule d'autres problèmes. Pour les utilisateurs privés, ... Lire la suite, le cracking de mot de passe, et d'autres méthodes de piratage peuvent sembler les plus dangereux, ce sont souvent les choses les plus simples qui causent des problèmes. La fuite d'information est l'une de ces choses.
Lorsque vous donnez accidentellement des informations que vous n'aviez pas l'intention (ou que vous ne connaissez pas), c'est une fuite d'informations. Il est facile pour les développeurs de laisser par inadvertance des commentaires HTML dans le code de votre site Web, par exemple, qui contiennent des informations sensibles.
Si vous travaillez avec une implémentation CMS standard, ce ne sera pas vraiment un problème. Mais si vous avez demandé à quelqu'un de concevoir un thème personnalisé pour vous, ou si vous avez effectué un travail de développement étendu sur le site Web, vous devriez vérifier la fuite d'informations. L'une des meilleures façons consiste à utiliser simplement l'option Afficher la source dans votre navigateur et à rechercher rapidement les commentaires HTML qui n'ont pas été supprimés.
Les plus grands sites Web comprenant des centaines ou des milliers de pages peuvent nécessiter un spécialiste en sécurité spécialisé (ou au moins un stagiaire) pour suivre ce processus. De toute façon, c'est une chose facile à vérifier, alors ne l'ignorez pas.
Sécurisez votre site maintenant!
Lorsque vous créez un nouveau site Web, il y a beaucoup de choses à faire. Et il est facile d'oublier ces mesures de sécurité de base. Mais ils pourraient vous épargner beaucoup d'ennuis (et potentiellement beaucoup d'argent) à long terme. Alors ne sautez pas sur eux! Assurez-vous que votre site est sécurisé avant de commencer à travailler sur votre contenu.
Quels autres conseils avez-vous pour sécuriser de nouveaux sites Web? Partagez votre opinion dans les commentaires ci-dessous!