Succès! Vous avez sécurisé votre site Web avec le logiciel antivirus le plus récent et le meilleur du marché. Alors l'impensable se produit; votre site Web est violé! Les pirates ont volé des mots de passe et des informations sur les utilisateurs, ils ont installé des logiciels malveillants susceptibles de toucher vos utilisateurs et, pire encore, les pirates exigent un logiciel de rançon! Le fait inquiétant est que cela se produit quotidiennement sur des milliers de sites Web du monde entier.
Bien que ce soit formidable ce site Web et les plates-formes CMS, comme WordPress, Magento et Drupal, facilitent la création d’un site Web pour tous, mais la sécurité fait souvent défaut et la menace d’être attaquée est bien réelle.
À l'heure actuelle, Google a indiqué qu'il mettait tous les jours plus de 10 000 sites Web sur liste noire pour les programmes malveillants et environ 50 000 pour le phishing. En janvier 2019, 1,76 milliard de disques ont été divulgués; la Rapport d'activité sur la cybersécurité a constaté que le coût des dommages causés par les ransomwares aux entreprises jusqu'à présent en 2019 s'élevait à 11,6 milliards de dollars; IBM et le Ponemon’s Institute Coût d'une étude de violation de données ont découvert que 48% des violations de données résultaient d’attaques malveillantes ou criminelles. Chiffres étonnants.
Les professionnels d’InfoSec affirment que “78% des attaques sont contre l’application” et que la plupart d’entre elles ne sont pas très techniques et ne demandent pas une armée de gens à accomplir. La réalité est que si votre site Web n’a pas encore été attaqué, faites attention, il se peut qu’il le soit à l’avenir.
Top 5 des attaques les plus courantes sur les sites Web
Voici certaines des attaques les plus courantes dont vous devriez vous méfier:
Bots
Également connu sous le nom de Web scraping, les robots sont programmés pour effectuer des tâches automatisées, telles que les robots des moteurs de recherche, mais parfois tous les robots ne sont pas conviviaux. Imperva’s Les recherches montrent qu'un tiers du trafic sur Internet est créé par des bots hostiles. Les pirates peuvent utiliser des réseaux de zombies connectés à des appareils numériques pour lancer des cyberattaques DDoS. Il y a ensuite les spambots qui collectent les adresses électroniques de différentes sources, en envoyant du spam ou des courriers indésirables.
Attaques DDoS
Les attaques DDoS, ou déni de service distribué, démarrent à partir de plusieurs périphériques ou ordinateurs et laisseront plus d'un ou deux systèmes compromis acheminant d'importantes quantités de trafic vers des systèmes ciblés. Il existe trois formes d'attaques DDoS:
- Attaques volumétriques – ceux-ci incluent les inondations ICMP et UDP.
- Attaques de protocole – qui incluent les inondations SYN, le ping de la mort, les attaques par paquets fragmentés et le DDoS Smurf.
- Attaques de la couche d'application – il s’agit d’attaques par barrières basses et lentes et par saturation d’applications pouvant cibler les vulnérabilités de systèmes tels que Windows, Apache ou OpenBSD, ainsi que l’amplification NTP, les attaques HTTP Food et DDoS zéro jour et Slowloris.
XXS, ou Cross-Site Scripting
l'une des attaques les plus malveillantes sur les sites Web, les cyber-attaquants peuvent injecter des éléments de JavaScript dans une application sans validation. Un visiteur du site exécute le code JavaScript lorsque le clic sur l'URL, les codes sont modifiés et que l'attaquant a accès et peut voler des données personnelles, confidentielles et sensibles. Ces attaques XXS peuvent également modifier le contenu du site Web et diriger les utilisateurs vers différents sites Web frauduleux.
Injection SQL
Les attaquants utilisent une vulnérabilité non validée et injectent une commande SQL via les applications de base de données dorsales du site Web. Ces attaques sont généralement efficaces lorsqu'il existe des lacunes dans les logiciels ou les applications.
Malware
L'attaque la plus connue est probablement le malware qui est distribué via les canaux sociaux et exploite la vulnérabilité du système, généralement via le site Web ou le serveur. Une fois le logiciel malveillant installé, l’attaquant a accès aux zones sensibles et confidentielles d’une application et peut modifier les configurations du système ainsi que permettre l’exécution de fichiers. Les types de logiciels malveillants les plus courants incluent les ransomwares, les logiciels espions, les logiciels publicitaires, les chevaux de Troie, les vers et les rootkits.
Quelle que soit la taille du site Web, celui-ci peut être la cible d'attaques de malwares, DDoS, spam et autres, et, le cas échéant, aura un impact considérable sur l'entreprise. Le garder en sécurité est extrêmement important et plusieurs étapes peuvent être mises en œuvre pour garantir sa sécurité.
Installer un pare-feu
Internet n’est pas nécessairement l’environnement le plus fiable. Quitter le site Web, et en particulier l'hébergement Web, sans pare-feu ouvre la voie à la menace d'attaques de virus et de logiciels malveillants. Il existe deux types de pare-feu, matériel et logiciel. Des pare-feu logiciels familiers surveilleront les débits de téléchargement et les temps de transfert, ainsi que les adresses IP, et bloqueront les logiciels qui ne relèvent pas du pare-feu, évitant ainsi d’endommager le site Web.
Les pare-feu matériels se situeront entre Internet et le serveur et fonctionneront en balisant les paquets provenant du serveur pour savoir où se trouve la source des données. Le pare-feu sera en mesure de déterminer les transferts dignes de confiance et de bloquer ceux qui ne le sont pas. Le meilleur pare-feu est une combinaison de pare-feu logiciels et matériels qui surveillera les flux de trafic entrant et sortant de votre site Web.
Protéger contre les attaques DDoS
Un pare-feu détecte les attaques DDoS via des adresses IP car elles sont toutes uniques, mais ne détecte pas de botnet. Les pare-feu ne sont pas conçus pour pouvoir suivre une augmentation du trafic sur le site Web. Les attaques DDoS sont conçues pour augmenter considérablement le flux d'informations vers un site Web, ce qui entraîne le blocage du serveur Web. Mais en utilisant une solution dédiée à la rupture du trafic, telle que Cloudflare, aidera à atténuer une attaque par DDoS. Le logiciel de protection DDoS ré-achemine le trafic supplémentaire pour permettre aux utilisateurs légitimes de continuer, évitant ainsi les temps morts.
Utiliser un certificat SSL ou TLS
Un moyen simple et pratique de protéger votre site Web, ainsi que les utilisateurs, consiste à installer un certificat SSL – Secure Sockets Layer -. Si le site Web est une boutique en ligne ou un magasin en ligne, l’utilisation d’un certificat SSL est essentielle pour protéger les informations personnelles des utilisateurs, telles que les noms, adresses et détails de carte de crédit. De plus, sans certificat SSL, il est fort probable que Google mette en liste noire le site Web, ce qui n’est pas bon pour les affaires. Un certificat SSL fonctionne en connectant les utilisateurs à une connexion TLS sécurisée qui encryptera automatiquement les données transitant entre l'utilisateur et le site Web.
Lorsque les certificats SSL sont installés, les plates-formes de sites Web peuvent également être cryptées HTTPS et doivent être renouvelées une fois par an.
Un petit inconvénient des certificats SSL est qu’ils peuvent ralentir les transactions sur les sites Web, généralement en raison des couches de sécurité. La majorité des hôtes Web actuels incluent des certificats SSL dans les packages Web de commerce électronique et il vaut la peine de les prendre en compte.
N’oubliez pas d’agir sur cette mise à jour!
Toutes les mises à jour reçues des hébergeurs de sites Web et des fournisseurs de logiciels ne permettent pas d'ajouter de nouvelles fonctionnalités ou d'améliorer les performances. Elles sont souvent émises pour corriger une lacune découverte ou une vulnérabilité. C’est pour cette raison qu’il est important de prendre immédiatement en compte les mises à jour.
Cela est particulièrement vrai pour les sites Web WordPress, principalement en raison du nombre de plug-ins généralement intégrés à la création d'un site Web, et chacun constitue une menace potentielle pour la sécurité.
Mais un mot d'avertissement; ce n’est pas toujours une bonne idée avec les mises à jour de plugins WordPress de les exécuter immédiatement car il est possible que le plugin mis à jour soit compatible avec d’autres plugins utilisés avec le site Web. Assurez-vous que des sauvegardes du site Web sont effectuées régulièrement dans ce cas.
Mots de passe – changez-les régulièrement
Toute plate-forme utilisée pour créer un site Web nécessitera un nom d'utilisateur et un mot de passe. Évitez d'utiliser le même mot de passe pour le serveur Web et l'hébergement Web, en particulier si vous avez plusieurs sites Web sur le même serveur. Utiliser un gestionnaire de mots de passe, par exemple Dernier passage ou KeePass 2, veillera à ce que des mots de passe sécurisés soient générés pour lutter contre les attaques de sécurité utilisant des applications malveillantes et les mauvais fichiers téléchargés dans la base de données. Les mots de passe doivent être uniques et comporter des lettres, des chiffres et des symboles aléatoires de douze caractères ou plus, différents pour chaque étape de la chaîne du site Web et ne doivent pas être réutilisés.
Certaines plates-formes d'hébergement Web offrent une authentification à deux facteurs et ajoutent une couche de sécurité supplémentaire à des mots de passe uniques.
Faites plus attention à la sécurité du site
Prenez l’habitude de surveiller constamment la sécurité sur le site Web; notez une augmentation du trafic sur le site Web, du spam et de tout comportement suspect. Jetpack et Akismet Les anti-spams sont de bonnes solutions pour surveiller les plugins WordPress. Choisissez un serveur Web qui inclut des mesures de sécurité et essayez d'éviter l'hébergement mutualisé, car l'hébergement de plusieurs sites Web sur un serveur génère des attaques de sécurité.
Assurez-vous que les ordinateurs locaux sont régulièrement analysés. Bien qu'il soit important d'installer la meilleure solution antivirus possible, il est également sage d'exécuter régulièrement des analyses approfondies sur les ordinateurs portables, les ordinateurs de bureau et autres appareils, en particulier si les fichiers sont téléchargés à partir de ces appareils.
La dernière chose que toute entreprise souhaite, c'est un site Web piraté. Cela peut avoir un impact sérieux sur l’entreprise en termes de revenus et de réputation.
