Pour le protéger contre les attaques, il est important de comprendre comment votre site a été piraté. Cette page présente certaines failles de sécurité qui peuvent entraîner le piratage de votre site.
La vidéo suivante décrit les différents types de piratages et comment les pirates peuvent prendre le contrôle de votre site.
Mots de passe découverts
Les pirates informatiques peuvent utiliser des techniques de deviner le mot de passe en essayant différents mots de passe jusqu'à ce qu'ils trouvent le bon. Les attaques par supposition de mot de passe peuvent être menées à l'aide de différentes méthodes, telles que l'essai de mots de passe courants ou la recherche par combinaison aléatoire de lettres et de chiffres jusqu'à ce que le mot de passe soit découvert. Pour que votre mot de passe reste confidentiel, choisissez un mot de passe sécurisé, difficile à deviner. Vous trouverez des conseils pour créer un mot de passe sécurisé dans l'article du centre d'aide de Google.
Deux points sont essentiels. Tout d'abord, il est important d'éviter de réutiliser les mots de passe d'un service à l'autre. Une fois que les pirates informatiques sont en mesure d'identifier une combinaison nom d'utilisateur/mot de passe fonctionnelle, ils essaient de l'utiliser sur autant de services que possible. Par conséquent, l'utilisation de mots de passe différents sur différents services peut empêcher le piratage des comptes d'autres services.
Ensuite, tirez parti d'une authentification à deux facteurs (2FA) telle que la validation en deux étapes de Google, si cette option est disponible. L'authentification à deux facteurs autorise une deuxième couche d'identifiants de connexion, généralement via un code envoyé par SMS ou un autre code généré dynamiquement, ce qui réduit la capacité d'un pirate informatique à accéder à votre compte avec un simple mot de passe volé. Certains fournisseurs de CMS proposent des conseils sur la configuration de l'authentification à deux facteurs. Consultez la documentation de Joomla!, WordPress ou Drupal.
Mises à jour de sécurité manquées
Les versions antérieures des logiciels peuvent être affectées par des failles de sécurité à haut risque qui permettent aux pirates informatiques de compromettre l'intégralité d'un site. Les pirates informatiques recherchent activement les anciens logiciels présentant des vulnérabilités. Ignorer une faille sur votre site augmente les risques d'attaque.
Voici quelques exemples de logiciels que vous devrez tenir à jour:
- Les logiciels de serveur Web, si vous exécutez vos propres serveurs.
- Votre système de gestion de contenu (CMS) Exemples: versions de sécurité de WordPress, Drupal et Joomla!.
- tous les plug-ins et modules complémentaires que vous utilisez sur votre site ;
Thèmes et plug-ins non sécurisés
Sur un CMS, les plug-ins et thèmes ajoutent des fonctionnalités utiles et améliorées. Toutefois, les thèmes et les plug-ins obsolètes ou non corrigés sont une source majeure de failles sur les sites Web. Si vous utilisez des thèmes ou des plug-ins sur votre site, veillez à les maintenir à jour. Supprimez les thèmes ou les plug-ins qui ne sont plus gérés par leurs développeurs.
Soyez extrêmement prudent avec les plug-ins ou les thèmes sans frais des sites non approuvés. Les pirates informatiques ont souvent pour tactique d'ajouter du code malveillant aux versions sans frais de plug-ins ou de thèmes payants. Lorsque vous supprimez un plug-in, veillez à supprimer tous ses fichiers de votre serveur au lieu de le désactiver.
Ingénierie sociale
L'ingénierie sociale consiste à exploiter la nature humaine pour contourner une infrastructure de sécurité sophistiquée. Ces types d'attaques incitent les utilisateurs autorisés à fournir des informations confidentielles telles que des mots de passe. Une forme courante d'ingénierie sociale est l'hameçonnage. Lors d'une tentative d'hameçonnage, un pirate informatique envoie un e-mail se faisant passer pour une organisation légitime et demande des informations confidentielles.
Veillez à ne jamais divulguer d'informations sensibles (par exemple, des mots de passe, des numéros de carte de crédit, des informations bancaires ou même votre date de naissance), sauf si vous êtes sûr de l'identité du demandeur. Si votre site est géré par plusieurs personnes, envisagez de proposer une formation pour les sensibiliser aux attaques d'ingénierie sociale en matière de sécurité. Pour obtenir des conseils de base sur la protection contre l'hameçonnage, consultez le centre d'aide Gmail.
Failles dans les règles de sécurité
Si vous êtes administrateur système ou si vous gérez votre propre site, n'oubliez pas que de mauvaises règles de sécurité peuvent permettre aux pirates informatiques de compromettre votre site. Voici quelques exemples :
- Autoriser les utilisateurs à créer des mots de passe peu sécurisés
- Accorder un accès administrateur aux utilisateurs qui n'en ont pas besoin.
- Ne pas activer HTTPS sur votre site et permettre aux utilisateurs de se connecter via HTTP.
- Autoriser les importations de fichiers provenant d'utilisateurs non authentifiés, ou sans vérification du type
Voici quelques conseils de base pour protéger votre site :
- Assurez-vous que votre site Web est configuré avec des contrôles de sécurité élevés en désactivant les services inutiles.
- Testez les contrôles d'accès et les droits des utilisateurs.
- Utilisez le chiffrement pour les pages qui gèrent des informations sensibles, telles que les pages de connexion.
- Vérifiez régulièrement vos journaux pour détecter toute activité suspecte.
Fuites de données
Des fuites de données peuvent se produire lorsque des données confidentielles sont importées et qu'une mauvaise configuration rend ces informations confidentielles accessibles au public. Par exemple, la gestion des erreurs et la messagerie dans une application Web peuvent entraîner la fuite d'informations de configuration dans un message d'erreur non géré. Grâce à une méthode appelée dorking, des acteurs malveillants peuvent exploiter les fonctionnalités des moteurs de recherche pour trouver ces données.
Assurez-vous que votre site ne divulgue pas d'informations sensibles à des utilisateurs non autorisés. Pour ce faire, effectuez des vérifications périodiques et limitez les données confidentielles aux entités de confiance grâce à des règles de sécurité. Si vous découvrez des informations sensibles affichées sur votre site et que vous devez supprimer en urgence des résultats de recherche Google, vous pouvez utiliser l'outil de suppression d'URL pour supprimer des URL individuelles de la recherche Google.