Votre site Web est-il sûr? Apprenez les menaces et comment rester en sécurité

Divulgation: Votre soutien aide à maintenir le site en marche! Nous gagnons des frais de référence pour certains des services que nous recommandons sur cette page.


Alors que le marché moderne s’appuie sur les médias virtuels, les vitrines et la gestion des relations, la nécessité d’une cybersécurité accrue – sur tout, des serveurs d’hébergement aux ordinateurs personnels en passant par les appareils mobiles – a augmenté de façon exponentielle. Il est révolu le temps des vitrines décontractées de GeoCities, sécurisées uniquement avec un mot de passe fort (on l’espère) et un œil vigilant.

Votre site Web est-il sûr?

Méfait sur le World Wide Web

Aujourd’hui, le World Wide Web compte près de 15 milliards de pages Web (réparties sur plus de 600 millions de sites Web) et la cybersécurité est devenue une grande entreprise. Les termes qui signifiaient peu pour quiconque en dehors du domaine des technologies de l’information alors raréfié il y a vingt ou même dix ans – piratage, hameçonnage, attaque par déni de service (DoS) – sont entrés dans le courant dominant alors que les entreprises et les particuliers se retrouvent du côté récepteur d’Internet. sottises.

Pourtant, «méfait» n’est peut-être pas un terme suffisamment fort. Les attaques contre les sites Web des entreprises et du gouvernement ont augmenté alors que les militants, les anarchistes et (peut-être le plus célèbre) groupe hacktiviste Anonymous ont compromis les sites Web et les fichiers sécurisés de leurs cibles malchanceuses en quelque chose d’un art. Et pour ceux qui se trouvent à l’extrémité de réception de la «pièce de performance» d’un pirate, les coûts peuvent être astronomiques.

Les sites Web du gouvernement ne sont pas immunisés

Prenons la ville de Naperville, dans l’Illinois, dont le site Web officiel de la ville a été piraté en octobre 2012. En plus de désactiver le courrier électronique à destination et en provenance des employés de la ville, l’attaque a effectivement éliminé l’accès en ligne des habitants de Naperville aux services publics et aux services sociaux. La ville a autorisé près de 700 000 $ pour restaurer le site et améliorer la sécurité, mais les coûts accessoires – temps, confiance des citoyens dans la sécurité de leurs données, retards dans les services – sont plus difficiles à quantifier.

Bien sûr, les sites Web du gouvernement ne sont pas la seule cible d’attaque populaire. Dans ce qui est devenu une sorte d’avertissement pour la communauté des joueurs et les partisans de la cybersécurité, le PlayStation Network de Sony a été paralysé en 2011 par une cyberattaque qui a coûté 171 millions de dollars à la société et a laissé les données personnelles (y compris les noms, les adresses et le crédit) informations sur la carte) de 77 millions de titulaires de compte exposés. Le mastodonte de l’électronique a fait face à des litiges massifs, a été contraint de changer de marque et continue de lutter pour regagner la confiance des clients.

Les menaces sont réelles – et vastes

La menace est réelle et les enjeux sont importants. Avec 86% des sites Web actuellement vulnérables à au moins un vecteur de cyberattaque, un plan de cybersécurité intelligent, bien développé et adaptable – qui inclut la recherche d’un fournisseur d’hébergement avec des options de sécurité adéquates – n’est plus facultatif pour les entreprises qui souhaitent conserver leurs sites Web. et sécurisation des données clients.

la sécurité de votre site Web

La sécurité de votre site Web?

Des centaines de milliers de sites Web dotés des deux systèmes de gestion de contenu les plus courants sont attaqués chaque année. Nous avons examiné à quel point ces attaques sont courantes, ce qui les provoque et comment les empêcher de poursuivre votre site..

634 000 000 sites Web signalés dans le monde – décembre 2012.

  • 10% des sites propulsés par WordPress
  • 4,7% des sites propulsés par Joomla!
  • 48% des 100 meilleurs blobs utilisent WordPress.

Près de 25 000 plugins WordPress sont disponibles avec plus de 450 millions de téléchargements.

De 2010 à 2012, les logiciels malveillants sur le Web ont augmenté d’environ 140%.

Près de 200 000 attaques de phishing dans le monde au premier semestre 2012, pour une perte totale de 687 millions de dollars, soit une augmentation de 19% par rapport à 2011.

  • avril 2013
    • 90000 adresses IP avec WordPress et Joomla! des sites
      • Cause: noms d’utilisateur et mots de passe faibles
    • Des liens de spam «Pay Day Loan» ont été injectés dans le populaire plugin de widget de médias sociaux WordPress (widget de médias sociaux) avec 900 000 téléchargements
      • Cause: le plugin a été vendu et les nouveaux propriétaires ont décidé d’utiliser leur double audience et d’injecter du spam sur tous les sites utilisant le plugin. Cela s’est également produit sur Joomla! des sites
  • Déc 2012
    • WordPress et Joomla! sites Web ont été victimes d’attaques d’intoxication par les moteurs de recherche (SEP)
      • Cause: une théorie était l’hébergement GoDaddy, une autre était des versions obsolètes des plates-formes. Securi a identifié deux variantes différentes de l’attaque
  • Sept 2012
    • Premièrement les sites Web des banques américaines, puis un certain nombre d’autres applications Web PHP, telles que Joomla! et de nombreux sites WordPress
      • Cause: une version obsolète du plug-in timthumb (un redimensionneur d’image populaire basé sur PHP.) Le piratage a entraîné plusieurs fausses publications sur son site Web, y compris une fausse interview avec un chef de l’armée rebelle syrienne
  • Août 2012
    • Thomson Reuters
      • Cause: une version obsolète de WordPress (fonctionnant sur 3.1.1 au lieu de la version actuelle 3.4.1)
  • Mars 2012
    • Plus de 30 000 sites Web ExpressionEngine, Joomla !, et WordPress ont été touchés par une attaque par injection de masse visant à diffuser de faux logiciels antivirus
      • Cause: informations d’identification FTP faibles

Types d’attaques les plus courants sur WordPress et Joomla! Des sites

  • Portes dérobées
    • Attaqué contourner l’authentification normale pour accéder à distance à votre environnement via des méthodes anormales telles que FTP, SFTP & WP-Admin.
  • Téléchargements en voiture
    • Les logiciels malveillants sont intégrés à votre site Web via un type d’injection de script. Les causes courantes sont les logiciels obsolètes, les informations d’identification compromises et l’injection SQL.
  • Pharma Hacks
    • Plus une menace de spam que de malware. Celles-ci sont encore plus dangereuses car elles sont visibles avant tout pour les moteurs de recherche uniquement. S’il est concerné, votre site Web peut être identifié par Google comme “compromis”.
  • Redirection malveillante
    • Redirige l’utilisateur vers un autre site Web et peut avoir un impact sur votre domaine principal ainsi que sur les sous-domaines.

Problèmes les plus courants

  • Hébergement pas cher
  • Extensions tierces mal codées
  • Mots de passe et informations d’identification d’administrateur médiocres ou faibles
  • Fichiers, plateformes, plugins et extensions obsolètes

Solutions et meilleures pratiques pour la sécurité

  • Restez informé
  • Utilisez un hôte sécurisé
  • Utilisez un scanner tel que le sitecheck de Securi (qui est gratuit) pour vérifier les infections. Les vérifications de thème et de plugin sont également disponibles
  • Inscrivez-vous aux outils Google pour les webmasters et vérifiez votre site Web
  • Utilisez des mots de passe très forts
  • Faites l’inventaire des extensions PHP, gardez-les à jour
  • Enregistrez le trafic réseau pour révéler les demandes PHP entrantes qui exposent les attaquants potentiels à la recherche de telles applications
  • Sauvegardez votre site

WordPress

  • Mettez à jour votre site (n’ignorez pas le message WordPress vous invitant à passer à la dernière version!)
  • Installez des plugins qui limitent le nombre de tentatives de connexion à partir de la même adresse IP ou du même réseau (et gardez-les à jour)
  • Activez l’authentification à deux facteurs pour ajouter une couche de sécurité supplémentaire

Joomla!

  • Utilisez la dernière mise à jour de sécurité
  • Utilisez un composant SEF qui rend votre site plus sécurisé. Une URL Joomla par défaut en dit beaucoup au spectateur sur la page visitée; que c’est un Joomla! page et quels composants sont utilisés. Un composant SEF masque ces informations et rend plus difficile pour un pirate de trouver des failles de sécurité
  • Protégez en écriture votre fichier de configuration (rendez-le inscriptible). Le fichier s’appelle «Configuration.php» et se trouve dans le dossier racine de votre domaine
  • Supprimer les modèles inutilisés
  • Modifier les autorisations de fichier pour restreindre l’édition ou l’écrasement

Restez à jour et restez en sécurité!

Sources

  • wordpress.com
  • wordpress.org
  • wp.smashingmagazine.com
  • blogs.rsa.com
  • thenextweb.com
  • blog.sucuri.net
  • informationweek.com
  • blogs.wsj.com
  • hyphenet.com
  • wpmu.org
  • joomlasecurity.org
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Adblock
detector