14 Meilleures pratiques de sécurité de l’hébergement Web (2020)

Mis à jour le:

Lorsque nous pensons aux meilleures pratiques en matière de sécurité d’hébergement Web, c’est souvent dans le contexte où les choses tournent mal. Des fuites de sécurité de plusieurs millions de dollars impliquant des informations de carte de crédit, des informations de connexion et d’autres données précieuses sont largement couvertes par les médias. Ce qui laisse peut-être à croire que seules les grandes entreprises sont sensibles aux risques de sécurité en ligne.

Ne vous laissez pas berner. Les normes de sécurité sont essentielles au bien-être de tout site Web, petit ou grand. C’est pourquoi les propriétaires de sites sont souvent bombardés d’avertissements de risques de sécurité en tandem avec les arguments de vente de nombreux fournisseurs d’hébergement. Comment différenciez-vous le battage publicitaire des risques réels ?

L’éducation est la première étape pour protéger votre marque en ligne. Étudions quelques bonnes pratiques à suivre dans vos opérations de gestion de site Web, ainsi que certaines fonctionnalités clés à rechercher dans les sociétés d’hébergement Web les plus sécurisées.

Quels sont les fournisseurs avec les meilleures normes de sécurité d’hébergement Web ?

Sécurité des serveru

Avant de nous plonger dans tous les détails techniques et les démarches nuancées nécessaires pour protéger correctement un site Web, sachez que tout un tas de fournisseurs d’hébergement s’occupent de tout pour vous.

Vous pouvez toujours en apprendre davantage sur toutes les facettes de la sécurité Web dans cet article. Nous avons examiné différents niveaux de plans d’hébergement pour trouver les meilleurs fournisseurs. Voici comment les trier par type de plan d’hébergement :

Hébergement partagé sécurisé

Dans un scénario d’hébergement partagé, votre site est un dossier sur un serveur partagé avec de nombreux autres sites. Les opérations au niveau du serveur et les besoins de sécurité sont gérés par la société hébergeur. C’est un point de départ économique pour les sites qui n’ont pas besoin de beaucoup de ressources.

L’hébergement partagé est perçu comme le moins sûr des trois types d’hébergement principaux – serveurs partagés, virtuels et dédiés. Les meilleurs hébergeurs partagés sur le marché garantiront cependant que votre site est parfaitement à l’abri des menaces standard.

Hébergement VPS sécurisé

Un serveur privé virtuel (VPS) est une machine virtuelle. C’est un programme exécuté sur un ordinateur hébergeur qui agit comme sa propre entité ou serveur. Vous partagez la machine hébergeur avec d’autres clients, mais chaque serveur virtuel est une unité indépendante sous le contrôle total du client.

Vous bénéficiez toujours d’un contrôle et de responsabilités au niveau du serveur avec la route VPS. Puis, vous êtes moins sensible au problème de voisin bruyant rencontré par les clients d’hébergement partagé.

Hébergement dédié sécurisé

Avec un serveur dédié, vous êtes le seul client. Vous avez le contrôle total et la responsabilité de la maintenance du matériel, des logiciels et de la sécurité globale de votre serveur. La société d’hébergement peut vous aider avec les mises à jour du système d’exploitation et les correctifs de sécurité au niveau du serveur.

Globalement le plus sûr : Fournisseur d’hébergement géré

Hébergement géré

L’hébergement géré signifie que votre hébergeur gère le matériel pendant que vous gérez le contenu et les logiciels de votre site Web. Ce type de service d’hébergement premium minimise la quantité de travaux informatiques pratiques dont votre équipe est responsable.

Le fardeau de la maintenance de la sécurité, au moins du point de vue de l’infrastructure du serveur et du système d’exploitation, est principalement placé sur les épaules de votre société d’hébergement.

Bien qu’il existe plusieurs niveaux de gestion disponibles selon le fournisseur et le plan que vous choisissez, nous pensons que l’hébergement Web géré est votre meilleur choix pour un hébergement Web sécurisé et sans tracas.

Les fonctionnalités de sécurité de l’hébergeur Web à rechercher

La plupart d’entre nous utiliseront un fournisseur d’hébergement et sélectionneront l’un de leurs plans. Les services appartiennent à un spectre allant de l’hébergement partagé à l’hébergement de serveurs dédiés.

Le fournisseur d’hébergement prendra en charge de nombreuses mesures de sécurité. Mais selon le plan que vous sélectionnez, vous devez poser des questions pour savoir exactement quelles fonctionnalités la société propose et ce que vous devez faire.

1. Sauvegardes et points de restauration

Les gens négligent souvent les sauvegardes comme élément de sécurité. Les sauvegardes fournissent et nécessitent la sécurité. Elles doivent être conservées dans un endroit sûr, loin du serveur principal, en suivant les autres étapes de sécurité que nous allons décrire.

Une sauvegarde sécurisée fournit un référentiel de confiance pour les dernières copies du système et les données qui peuvent être déployées pour restaurer un système propre et connu, et fonctionnel.

Les éléments représentant les sauvegardes de sites Web
Les sauvegardes redondantes de sites Web sont une fonctionnalité de sécurité essentielle que nous recherchons lors des évaluations d’hébergeurs.

Il est important de poser des questions sur le calendrier de sauvegarde et les politiques de restauration d’une société d’hébergement. Par exemple,

  • À quelle fréquence les sauvegardes sont-elles effectuées – hebdomadairement, mensuellement ou quotidiennement ?
  • Les représentants du service client vous aideront-ils à restaurer votre site à partir de fichiers de sauvegarde, ou les sauvegardes sont-elles destinées à leur usage uniquement ?
  • L’équipe trouvera-t-elle et restaurera-t-elle les fichiers perdus ou corrompus ou effectuera-t-elle uniquement un remplacement complet à partir d’une sauvegarde récente ?
  • Le service d’hébergement n’utilisera-t-il que la sauvegarde la plus récente ou pouvez-vous demander des restaurations plus anciennes ?
  • Et si tel est le cas, jusqu’où pouvez-vous remonter dans le temps dans le contexte de restauration plus ancienne ?

2. Surveillance du réseau

Le fournisseur d’hébergement surveille-t-il le réseau interne pour détecter les intrusions et les activités inhabituelles ? Une surveillance diligente peut arrêter la propagation de logiciels malveillants de serveur à serveur avant qu’ils n’atteignent le serveur hébergeant votre site.

Demandez des détails sur la façon dont l’équipe de service technique surveille le réseau, si le personnel est dédié à cette fonction, et ce que les ingénieurs recherchent.

Le guide SolarWinds sur les meilleures pratiques de surveillance du réseau détaille plusieurs procédures et politiques que toute bonne équipe de gestion de réseau doit suivre.

3. SSL, pare-feu et prévention DDoS

certificats SSL

Les attaques par déni de service distribué (DDoS) se produisent lorsqu’une quantité écrasante de trafic est envoyée vers votre site, le rendant inutile pour les visiteurs. La prévention commence en bordure du réseau avec un bon pare-feu. Cependant, il existe des limites à la façon dont un pare-feu arrête les attaques DDoS.

  • Votre fournisseur peut-il vous donner une idée des intrusions que les pare-feux de l’entreprise sont susceptibles de bloquer et des autres mesures utilisées par l’équipe de sécurité ?
  • Si vous avez un plan dans lequel vous gérez votre propre serveur, vous devrez savoir comment renforcer ce que le service d’hébergement fournit.
  • À quel stade les responsables de la surveillance du réseau informeront-ils les propriétaires de plans des problèmes potentiels qui pourraient affecter leur site ?
  • À quel stade les responsables de la surveillance du réseau informeront-ils les propriétaires de plans des problèmes potentiels qui pourraient affecter leur site ?
  • Le fournisseur met-il à disposition des certificats SSL ?

Vous êtes en charge d’implémenter SSL, mais vous ne pouvez pas le faire s’il n’est pas disponible. Nous y reviendrons dans la section 12.

4. Analyse et/ou suppression des antivirus et des logiciels malveillants

Vous devez comprendre les actions de protection que votre hébergeur effectuera et ce que vous devez faire par vous-même pour protéger votre site Web.

  • L’équipe d’assistance exécute-t-elle des analyses sur les fichiers de votre compte et pouvez-vous voir les rapports ?
  • Si votre compte est infecté, le plan d’assistance comprend-il une aide pour identifier et supprimer le malware ?

Les étapes de sécurité du serveur que nous décrivons à partir de l’étape 6 vous permettront de garder les logiciels malveillants hors de votre site Web.

5. Haute disponibilité et reprise après sinistre

Recherchez une société d’hébergement qui fera fonctionner votre site avec une disponibilité de 99,9% ou mieux. Cela va au-delà des sauvegardes au niveau des fichiers.

Une image BMR est-elle disponible pour votre serveur ? Il s’agit d’une copie complète d’un système d’exploitation de serveur propre et fonctionnel pour une récupération rapide des défaillances du système.

Le réseau de l’hébergeur doit disposer d’un matériel redondant pour se prémunir contre les temps d’arrêt causés par des pannes matérielles. Les pare-feux peuvent être configurés pour fonctionner par paires, chacun étant prêt à prendre en charge la pleine charge en cas de défaillance de l’autre. Le même concept s’étend aux serveurs. Le basculement matériel est un composant important des réseaux à haute disponibilité.

Image de Datacenter Cage
Votre hébergeur doit non seulement protéger votre site avec une atténuation des menaces, mais également être là pour vous aider à récupérer en cas de catastrophe.

L’équilibrage de charge est une autre fonctionnalité à haute disponibilité. Dans ce cas, plusieurs serveurs sont prêts à gérer le trafic du serveur. Ils fonctionnent tous avec la même copie des données de votre site Web stockées sur un lecteur partagé en réseau. Ils se transmettent le trafic les uns aux autres pour éviter qu’un serveur soit surchargé.

Meilleures pratiques de sécurité des serveurs

Si vous avez un plan qui fournit un serveur sans support de gestion, vous devrez peut-être faire tout ou une partie de vous-même. Si votre plan inclut un certain degré de support de gestion matérielle et/ou logicielle, ce qui suit vous donnera une idée des questions à poser ou de quoi parlent les personnes d’assistance.

sécurité des serveurs

6. Accès et autorisations utilisateur

Au niveau de l’hébergeur, l’accès signifie un accès physique aux machines, ainsi que la possibilité de se connecter au serveur. L’accès physique doit être limité aux techniciens formés avec une habilitation de sécurité.

Vous et votre société d’hébergement devez utiliser Secure Socket Shell (SSH), ou équivalent. Cela vous permet de vous connecter au serveur afin de maintenir le système d’exploitation (OS) ou le site Web. Pour plus de sécurité, utilisez des clés RSA protégées par une phrase secrète. Digital Ocean et Rackspace ont tous les deux des tutoriels sur la façon de procéder.

Une autre bonne étape de sécurité consiste à mettre sur liste blanche les adresses IP autorisées à accéder au serveur pour la maintenance. Cela peut être fait et modifié via le panneau de contrôle de la société d’hébergement fourni pour votre compte. Vous devez également désactiver les connexions depuis l’utilisateur root.

Les logiciels malveillants tentent généralement d’exploiter ce point d’accès car l’utilisateur root dispose de tous les privilèges administratifs. Vous pouvez toujours accorder une autorisation équivalente aux connexions administrateur autorisées.

Les fichiers sont protégés par des autorisations sur les fichiers. Des autorisations incorrectes provoquent des erreurs chronophages et il est tentant de corriger ces erreurs en accordant des autorisations complètes à tous les fichiers. Ne fais pas ça ! Cela donne à tout pirate criminel le contrôle total de votre système s’ils y entrent. Le guide de Sucuri sur la sécurité des sites Web comprend une introduction sur les autorisations de fichiers correctes.

7. Gestion des fichiers

Tout accès à votre serveur est distant. Personne ne se rendra sur le serveur pour ajouter, supprimer ou déplacer des fichiers de contenu de site Web. Vous devez utiliser le FTP sécurisé (SFTP) avec un mot de passe sécurisé et robuste pour tous les transferts de fichiers et la maintenance tout en suivant les autres meilleures pratiques FTP et SFTP.

8. Applications et logins

Applications et connexion

La société d’hébergement doit avoir une politique de mot de passe stricte pour les employés avec des changements de mot de passe obligatoires à intervalles réguliers ainsi que lorsque l’équipement ou le personnel change. Vous devez avoir des politiques similaires pour vos mots de passe d’accès au serveur.

Établissez et appliquez des politiques pour les mots de passe forts. Ceux qui le souhaitent peuvent exploiter les mots de passe faibles en seulement quelques heures.

Supprimez toutes les applications inutilisées et non maintenues sur le serveur afin que personne ne puisse exploiter les vulnérabilités non corrigées. Installez – et maintenez – des utilitaires qui surveillent l’UC du serveur, l’utilisation du disque, l’utilisation de la mémoire et la disponibilité des applications.

Les bases de données sur votre serveur sont des cibles potentiellement vulnérables pour les criminels en ligne. UC Berkeley fournit un guide pour renforcer les bases de données contre les attaques.

Meilleures pratiques de codage et de sécurité des sites Web

La sécurité de votre logiciel de site Web et de vos fichiers de données est de votre responsabilité, même avec un plan d’hébergement géré. En tant que webmaster, vous êtes responsable de la gestion de votre contenu et des fonctionnalités de votre site. La société d’hébergement ne sait pas ce que vous voulez sur le site ni comment vous voulez qu’il fonctionne pour les visiteurs de votre site.

9. Mots de passe et accès utilisateur

Au niveau du site Web, vous aurez des mots de passe pour les personnes qui administrent le site, les auteurs invités et potentiellement les visiteurs du site Web, selon la nature du site. Établissez et appliquez des politiques de renforcement des mots de passe pour tous ceux qui ont un accès backend.

Image illustrant la sécurité des mots de passe
Appliquez des politiques de renforcement des mots de passe et demandez aux administrateurs de site et aux contributeurs de mettre à jour leurs informations d’identification régulièrement.

Le personnel administratif et les auteurs invités auront besoin d’un mot de passe très fort, car leurs comptes ont un impact potentiellement plus important sur votre site. Appliquez les modifications après toute tentative de piratage suspectée ou lors de la mise à jour du système de gestion de contenu (CMS) ou d’un autre logiciel.

L’adresse/nom d’utilisateur info@votredomaine.com est couramment attaquée et ne doit pas être utilisée. Utilisez des gestionnaires de mots de passe sécurisés pour générer des mots de passe complexes uniques.

Chaque titulaire de compte devrait avoir le moins de privilèges nécessaires pour faire son travail. Par exemple, ne donnez jamais de privilèges d’administrateur à un auteur invité. Votre CMS doit avoir un niveau de privilèges qui lui permet d’uploader et de modifier son message et rien de plus.

Chaque personne doit avoir son propre identifiant afin d’être tenu responsable de toutes les modifications apportées par ce compte. Les administrateurs de haut niveau peuvent surveiller l’activité de tous les comptes.

N’autorisez jamais les uploads illimités de fichiers. Limitez les uploads aux types de fichiers que vos utilisateurs auront vraiment besoin d’uploader et excluez les scripts ou tout autre code exécutable. Un fichier exécutable uploadé associé à de mauvais paramètres d’accès aux fichiers donnera à un intrus un contrôle instantané de votre site Web.

Les fichiers de configuration de votre serveur incluent des paramètres qui restreignent l’accès à vos fichiers, tels que la navigation dans les répertoires. Ils protègent les dossiers contenant des informations sensibles.

10. Plugins, mises à jour logicielles et sauvegardes

Gardez toujours votre CMS et votre logiciel à jour. Les dernières versions sont patchées pour corriger tous les trous de sécurité connus. Modifiez les paramètres par défaut, tels que le nom de connexion administrateur, que les utilisateurs peuvent trouver et utiliser pour s’introduire.

Lors de l’installation de plugins et d’autres logiciels, tenez compte de l’âge du code ou de la date de sa dernière mise à jour, ainsi que du nombre d’installations. Ces mesures vous donnent une idée de la sécurité et de la fiabilité du produit. S’il est inactif, il n’a probablement pas été vérifié pour des failles de sécurité. Méfiez-vous de la source du téléchargement de ce logiciel. Des sites tiers peuvent avoir ajouté des logiciels malveillants au package.

Le contenu de votre site Web n’est pas sécurisé tant que des sauvegardes automatiques, fréquentes et redondantes n’ont pas été effectuées. Les sauvegardes doivent être stockées en dehors de votre serveur principal. L’idée est de protéger votre contenu contre les pannes potentielles dudit serveur. Une sauvegarde sur le serveur échouera souvent avec le serveur, selon la nature de la catastrophe.

Les sauvegardes doivent se produire assez fréquemment pour capturer le contenu nouveau et changeant. Elles doivent se produire automatiquement sans que quelqu’un se souvienne de les démarrer à chaque fois. Testez les sauvegardes pour vous assurer que le système fonctionne.

Si vous avez des thèmes, des plugins ou des logiciels similaires personnalisés, c’est une bonne idée de conserver de nouvelles copies des fichiers d’installation. S’ils ont mal fonctionné ou ont été compromis, ce problème sera enregistré sur la sauvegarde. Les fichiers d’installation vous permettent de revenir à une copie de travail vierge.

Gardez à l’esprit qu’une sauvegarde récupère votre site rapidement, mais elle ne résout pas le problème sous-jacent qui l’a bloquée. Par exemple, si quelqu’un a utilisé un exploit pour pénétrer votre site, cette vulnérabilité existe toujours dans la copie de sauvegarde et doit être corrigée immédiatement.

11. Revue de code

Une revue de code est une vérification approfondie d’une application une fois le développement terminé et prêt à être publié. Il est préférable de la faire avec un mélange d’outils automatisés et d’inspection humaine. L’examen est effectué dans le contexte complet de l’utilisation de l’application, de la connexion et l’authentification au traitement des données, au chiffrement et au stockage.

Revue de code
La revue de code et l’assurance qualité doivent être une partie non négociable de votre flux de travail de développement.

Méfiez-vous du SQL (Structured Query Language) insidieusement inséré dans les fichiers de votre site Web par un tiers. L’injection SQL est une méthode dans laquelle un attaquant répond à une requête d’entrée, comme un nom d’utilisateur, avec une commande SQL valide.

Ces commandes peuvent accéder aux données ou les supprimer. Le guide de Microsoft sur l’injection SQL décrit les attaques en détail et suggère des moyens d’atténuer le risque, par exemple avec l’utilisation de variables de session.

12. Cryptage, pare-feu et protection DDoS

Un pare-feu d’application Web (WAF ou web application firewall) surveille le trafic HTTP vers et depuis des applications Web spécifiques. Cela offre une sécurité plus spécifique qu’un pare-feu réseau qui surveille HTTP. Mais, il ne comprend pas les exigences spécifiques d’une application Web. Un WAF peut être configuré pour empêcher les injections SQL ainsi que d’autres techniques telles que l’écriture de scripts intersites et la recherche de vulnérabilités.

Bien que la prévention DDoS doive être mise en œuvre au niveau du réseau, les attaquants peuvent utiliser une ou plusieurs combinaisons de méthodes pour inonder vos serveurs. En effet, les propriétaires de sites doivent réagir et se protéger en conséquence.

Plusieurs leaders de la sécurité remarquables, dont Cloudflare et Incapsula, proposent des outils et des services avancés d’atténuation et de prévention qui peuvent être utilisés pour aider à assurer la sécurité des sites.

Enfin, la technologie SSL (Secure Sockets Layer) est requise lorsque des données sensibles sont transférées vers et depuis le serveur. Un certificat SSL ne sécurise pas votre serveur contre les attaques ou les logiciels malveillants. Il crypte et sécurise plutôt la communication entre votre serveur et la personne utilisant votre site. En utilisant SSL, vous sécurisez les informations de vos clients et gardez leur confiance dans votre site.

Meilleures pratiques de sécurité du système d’exploitation

Certaines des mesures que vous prendrez dépendront du système d’exploitation de votre serveur. Les serveurs Web fonctionnent sous Linux/Unix ou sous Windows. En général, vous choisissez ceci lors de la sélection d’un plan d’hébergement.

13. Système d’exploitation Linux et Unix

Le fichier de configuration du serveur sur les serveurs Linux est appelé .htaccess. Vous pouvez définir des règles dans ce fichier qui empêchent la navigation dans les répertoires et d’autres activités susceptibles d’exposer des informations sensibles ou d’ouvrir le serveur à d’autres vulnérabilités.

Bien que le langage PHP (préprocesseur hypertexte) soit plus disponible et plus pratique, il y a des risques à l’utiliser sur ces serveurs. Ces systèmes d’exploitation ont une autorisation appelée exécutable, ce qui signifie que le fichier peut exécuter du code. Il est important de limiter les commandes exécutables lors de l’utilisation de PHP. C’est là qu’une revue de code est bénéfique.

Image de serveur Linux vs serveur Windows

En général, les systèmes d’exploitation Linux/Unix ont moins de menaces connues et une réponse plus rapide. SELinux et AppARMOR sont deux extensions de sécurité utilisées sur ces serveurs.

14. Système d’exploitation Windows

Les serveurs Windows ont des privilèges utilisateur, tels que les exécutables et les limités par défaut. Les administrateurs doivent entrer des mots de passe pour obtenir des autorisations de haut niveau. Les mesures de sécurité sont guidées par la fonction Security Compliance Manager sur ces serveurs. Le fichier de configuration où les restrictions d’accès sont définies est web.config.

Microsoft fournit un guide des meilleures pratiques de sécurité. Bien qu’il existe des failles de sécurité plus connues avec le système d’exploitation Windows, les programmeurs Microsoft qualifiés corrigent des failles et publient des mises à jour. Puis, ils sont disponibles pour répondre aux incidents.

Atténuez les menaces sur votre site Web et votre serveur en suivant ces normes

menaces sur votre site Web

Bien que la sécurité semble effrayante, les webmasters qui font attention et bénéficient l’aide d’un bon partenaire de service d’hébergement peuvent gérer des sites Web sans subir de perturbations majeures. En suivant des règles basiques et de bon sens comme l’application de mots de passe forts, le suivi des mises à jour, la confiance des fournisseurs d’hébergement et de services établis, et la planification de sauvegardes régulières, votre site devrait être sécurisé.

Un peu de connaissances sera parfait, alors continuez d’apprendre une fois que votre site est lancé. La matrice des menaces de sécurité en ligne est en constante évolution et il vous appartient de vous tenir au courant des dernières tendances, normes et menaces émergentes. Que la force de l’hébergement Web sécurisé soit avec vous !

Posez une question dans le commentaire ci-dessous et nous vous répondrons. Nous nous efforçons de fournir les meilleurs conseils sur le net et nous sommes là pour vous aider de toutes les manières possibles.

Aina Strauss

À lire aussi

Amazon Luna : tout ce qu’il faut savoir sur le service de cloud gaming d’Amazon

Mis à jour le: 1 juillet 2020 Le cloud gaming en est peut-être encore à …

Share via
Copy link
Powered by Social Snap