la sécurité de votre site web

Comment améliorer la sécurité de votre site web

Home » Comment améliorer la sécurité de votre site web

Comment améliorer la sécurité de votre site web

Cet article examine l’état de la sécurité des sites Web, par des techniques simples. Il aborde également la façon la plus efficace pour les organisations d’obtenir des améliorations durables dans la sécurité du site en leur du code qu’ils ont mis ou supprimer le site Web.

Le plus commun   Vulnérabilités de sécurité de site Web

  1. INJECTIONS SQL

L’un des traitements de la sécurité des sites Web est l’injection SQL. L’injection SQL est un type de vulnérabilité de la sécurité d’un site Web dans laquelle les pirates informatiques tentent d’utiliser un code de programme pour accéder au contenu de la base de données ou le supprimer. En cas de réussite, cela permet aux pirates informatiques d’insérer, de lire, de récupérer, de modifier ou de supprimer des données stockées dans la base de données principale. L’injection SQL est l’un des types de vulnérabilité de sécurité des sites Web les plus courants.

website/web app security

  1. SCRIPTAGE DE SITE TRANSVERSAL (XSS)

Le script inter-sites (XSS) cible le client d’une application par code de perfusion, généralement un script côté client tel que JavaScript, dans la sortie d’un site Web. La signification de XSS est de retoucher les scripts côté client d’un site Web pour les appliquer de la manière souhaitée par le pirate. XSS permet aux pirates informatiques d’exécuter des scripts dans le navigateur de la victime, ce qui permet de supprimer des sessions utilisateur, d’éliminer des sites Web ou de rediriger l’utilisateur vers des sites Web malveillants.

  1. AUTHENTIFICATION CASSÉE ET GESTION DE SESSION

L’authentification et la gestion de session rompues contiennent de nombreux sujets de sécurité, tous liés à la conservation de l’identité d’un client. Si le certificat d’authentification et les identifiants de session ne sont pas préservés ou protégés à tout moment, un pirate informatique peut pirater une session active et prendre l’identité d’un utilisateur.

  1. ASSUREZ LES RÉFÉRENCES DES OBJETS DIRECTS

Une référence directe non sécurisée à un objet survient lorsqu’un site Web affiche une référence à une entité d’implémentation interne. L’entité d’implémentation interne contient des fichiers, des enregistrements de base de données, des répertoires et des index de base de données. Lorsqu’une application affiche une référence à l’une de ces entités dans une URL, un attaquant peut l’administrer pour accéder aux données privées d’un utilisateur.

Cette technique est utilisée par un pirate informatique qui est déjà un utilisateur valide. Ils changent simplement une valeur de restriction pour renvoyer un objet système à un autre objet afin d’accroître l’accès à d’autres données et de l’accorder. Tous les paramètres d’objet doivent avoir des défenses appropriées en demandant une autorisation pour des ressources spécifiques et en limitant les paramètres indirects aux valeurs autorisées pour l’utilisateur valide.

  1. MISCONFIGURATION DE SÉCURITÉ

Une mauvaise configuration de la sécurité inclut de nombreux types de vulnérabilités, toutes se concentrant sur un manque de maintenance ou un manque d’attention pour la configuration de l’application Web. Une configuration sécurisée doit être préparée et déployée pour l’application, les infrastructures, le serveur d’applications, le serveur Web, le serveur de base de données et la plate-forme. Une mauvaise configuration de la sécurité donne à l’attaquant l’accès à des données personnelles ou à des aspects et peut donner lieu à un rapprochement complet du système.

Les comptes par défaut, les pages inutilisées, les erreurs non corrigées et les répertoires sont tous accessibles aux hackers pour augmenter les accès non autorisés. Un serrage de sécurité approprié doit être effectué sur l’ensemble de la pile d’applications pour éviter ce piratage. Les logiciels (y compris TOUTES les bibliothèques de codes) doivent être tenus à jour et les ports, services, pages, comptes, etc. utilisables doivent être supprimés. Les configurations de sécurité dans les infrastructures de développement telles que Spring , Struts … doivent être configurées correctement.

  1. DEMANDE DE FOURNITURE CROISÉE (CSRF)

La falsification de requêtes inter-sites (CSRF), également connue sous le nom de XSRF, est une offensive flagrante qui oblige un utilisateur final à exécuter des actions non souhaitées sur un site Web sur lequel il est actuellement authentifié. Un site Web tiers enverra une demande à une application Web à laquelle un utilisateur est déjà authentifié (par exemple, sa banque). Le pirate informatique peut alors accéder aux fonctionnalités via le navigateur déjà authentifié de la victime.

Une attaque CSRF réussie peut être destructive à la fois pour l’entreprise et pour l’utilisateur. Cela peut entraîner des relations client corrompues, des transferts de fonds non autorisés, une modification des mots de passe et le vol de données, y compris des cookies de session volés.

  1. Protection insuffisante de la couche de transport

Si le trafic réseau du client n’est pas complètement observé, un attaquant peut exposer des données et voler des comptes. Une mauvaise configuration SSL peut même aider les attaques de type MITM ou phishing. Le moyen le plus simple consiste à exiger le protocole SSL pour l’ensemble du site ou au moins sur les pages privées. Le fournisseur SSL ne devrait prendre en charge que des algorithmes puissants et l’indicateur sécurisé devrait figurer sur tous les cookies.

  1. Défaut de limiter l’accès aux URL

Cette vulnérabilité est si facile à utiliser qu’elle ne doit pas être ignorée. Si la faille de sécurité existe, un pirate informatique, en tant qu’utilisateur autorisé, peut éventuellement modifier directement une URL pour accéder à une page à privilèges et éventuellement augmenter rapidement leurs privilèges. Les développeurs doivent vérifier chaque page et s’assurer que les méthodes de sécurité externes ou les protections au niveau du code sont configurées exactement pour chaque page. Les stratégies doivent être hautement configurables pour minimiser les problèmes codés en dur, et les mécanismes d’application doivent refuser l’accès par défaut en exigeant un accès spécifique pour les utilisateurs.

  1. Invalidés Redirections et Attaquants

Dans cette méthode, un pirate informatique renvoie à une redirection invalidée et essaie de tromper les visiteurs ou les clients en leur demandant de cliquer sur le lien. Puisque le lien est à un les utilisateurs autorisés du site risquent davantage d’être des fraudeurs. Le pirate informatique cible les transferts non sécurisés pour contourner les contrôles sécurisés. Le moyen le plus simple est d’éviter d’utiliser les redirections et les transferts. Vous pouvez également leur demander de calculer la destination sans impliquer de restriction utilisateur. Si ces deux solutions ne peuvent pas être accomplies, assurez-vous que les valeurs fournies pour les paramètres sont valides et autorisées pour l’utilisateur.

  1. Stockage cryptographique non sécurisé

Généralement, l’attaquant ne franchira pas directement la cryptographie. Au lieu de cela, ils trouveront des clés, obtiendront des copies de texte en clair ou des canaux qui se décoderont automatiquement. Pour protéger les données décodées, vous devez les chiffrer dans toutes les zones où elles sont stockées à long terme. Les copies déchiffrées des données et des clés doivent être préservées en nécessitant une autorisation.

Plus d'information

COMMENT SÉCURISER VOTRE SITE WEB :

Les cyberattaques sont de plus en plus populaires chaque jour, d’influences sur des élections majeures pour paralyser les affaires du jour au lendemain, la tendance que le cyber-belligérance joue dans nos vies quotidiennes ne devrait pas être dégradée. Bien qu’il s’agisse d’une statistique extraordinaire, il existe de nombreuses méthodes que vous pouvez utiliser pour certifier que votre site Web est aussi sécurisé que possible. Au-dessous vous trouverez ci- dessous certains problèmes importants susceptibles de réduire les risques d’attaque de votre site web.

Mettre à jour et le faire souvent

Vous devez faire face à la dure réalité que vous aurez piratée, si vous n’êtes pas mettre à jour tous les logiciels et le matériel dans votre entreprise contient ceux qui sont utilisés pour votre site Web sur une base régulière alors. Ce n’est pas une question de « si » mais plutôt une question de « quand ». Bien que tout mettre à jour puisse être un harcèlement, En particulier lorsque vous essayez de gérer une entreprise, ne pas effectuer de mise à jour causera au mieux une déception et, dans le pire des cas, mettra votre entreprise en faillite.

Selon   ITRC Dat a Breach Reports 31 mars 2019, plus de 50 % des violations de sécurité visaient des entreprises   et cela a affecté plus de 200 milliards de clients et plus de 18 millions de disques. Cela signifie la mise à jour des serveurs, des plates-formes de sites Web et des plug-ins, ainsi que des logiciels et du matériel informatique, des pare-feu et de tous les types de logiciels et de matériels permettant à votre entreprise de continuer à fonctionner.

Restez au courant des dernières menaces

En plus de garder votre matériel et vos logiciels à portée de main, c’est une bonne idée de vous tenir au courant des dernières infractions en matière de cyber sécurité dans le monde. Pour ce faire, la meilleure solution consiste à rechercher « IT Security News» et à vous informer sur les menaces signalées les plus récentes et les plus importantes.

Plus d'information

Une entreprise informatique au service de votre entreprise est le meilleur moyen de limiter les violations de données. Rester au courant et discuter de la manière dont ces nouvelles menaces pourraient affecter votre entreprise contribueront dans une large mesure à la prévention des problèmes.

Mots de passe et authentification à 2 facteurs

Celui-ci ne semble pas devoir être dit parce que c’est si simple. Malheureusement, la sécurité des mots de passe n’est toujours pas suffisamment prise au sérieux. Oui, il est difficile d’essayer constamment de créer un mot de passe sécurisé et il est encore plus difficile de se souvenir de ce que c’est une fois que vous l’avez fait, mais il est absolument nécessaire de le faire.

Les pirates ont un contrôle parfait sur les endroits où ils ne devraient pas entrer. Un mot de passe faible, c’est comme laisser la porte ouverte à la maison avec une note disant « Prends ce que tu veux »! Alors engagez-vous à être quelqu’un qui ne laisse pas les problèmes avoir un accès facile. Voici quelques méthodes authentiques et fiables pour créer des mots de passe sécurisés.ce cas est un des facteurs qui pourraient être assurés de la sécurité de votre site Web / application Web.

1) Ils doivent être complexes et aléatoires.

N’utilisez pas votre nom, date de naissance, nom de l’animal, nom de l’enfant, équipe favorite ou équipe sportive, etc. Ces types de mots de passe sont très faciles à deviner avec un minimum d’informations sur vous. Utilisez des lettres majuscules et minuscules, des chiffres et des symboles dans vos mots de passe.

2) Les mots de passe doivent comporter au moins 12 caractères.

Plus le mot de passe est long, plus il est difficile pour un pirate informatique de le deviner. Par exemple, un mot de passe comportant uniquement 7 caractères ne prend que 0,29 millisecondes, un mot de passe de 9 caractères prend 5 jours et un mot de passe de 10 caractères dure 4 mois. Vous vous demandez combien de temps ce mot de passe de 12 caractères craquerait? Un énorme 2 siècles !

3) Les mots de passe doivent être uniques.

Ne réutilisez pas les mots de passe. Chaque fois que vous créez un nouveau mot de passe, il doit être unique. Ce faisant, il est très difficile d’être victime d’une atteinte à la sécurité. Si l’un de vos mots de passe est déchiffré, cela n’affectera pas tous vos comptes. Les pirates aiment découvrir le mot de passe d’une personne, car celle-ci accède ensuite à tous les sites qu’elle peut pour cette même personne et l’essai encore et encore. Statistiquement, étant donné que les humains sont très prévisibles, ils toucheront le jackpot de plusieurs comptes avec ce mot de passe calculé.

La plupart des gens ne suivent pas ces règles de mot de passe simples pour une raison et une raison: ils ont peur de ne pas se souvenir du mot de passe. C’est une peur raisonnable. Cependant, nous l’avons tous, c’est un problème auquel nous sommes tous confrontés et que nous devons résoudre, et vous pouvez faire certaines choses pour vous aider dans ce processus.

1) Utilisez un gestionnaire de mot de passe.

Il y en a beaucoup autour et beaucoup d’entre eux sont gratuits. Restez sur ceux qui sont connus comme LastPass, KeePass ou 1Password. Il y en a beaucoup d’autres aussi, alors faites des recherches et choisissez celle qui vous convient. Ces gestionnaires de mots de passe stockent non seulement vos mots de passe pour vous, mais ils peuvent également générer et modifier un mot de passe pour vous.

2) Créez une formule pour créer votre mot de passe.

Il existe plusieurs façons de créer une formule, mais celle-ci devrait vous convenir le mieux. Pour des idées sur la façon de créer des mots de passe en utilisant différentes formules.

Un seul site Web par serveur

Si vous ou votre entreprise possédez plusieurs sites Web, assurez-vous que chaque site Web est hébergé sur son propre serveur. Beaucoup de gens pensent que s’ils disposent d’un plan d’hébergement Web illimité, ils peuvent également regrouper tous les sites Web au même endroit, mais cela est très risqué. Pourquoi? Parce que si un pirate informatique parvient à accéder à votre serveur, il peut accéder à tous vos sites Web et bases de données à la fois.

 

Une fois que les pirates sont sur votre site, ils peuvent voler toutes les données sensibles et infecter le site avec des logiciels malveillants. Si vous avez plusieurs sites sur le même serveur, vous pouvez également être infecté. Assurez-vous donc que chaque site Web possède son propre plan d’hébergement et son propre serveur. Ainsi, si un site est piraté, tous les autres sont en sécurité. Assurez-vous également que les mots de passe de tous vos sites Web sont différents.

 

Contrôle de l’accès au site

La règle de base est que vous ne donnez accès à votre site Web qu’à ceux qui en ont absolument besoin et à ceux qui y ont accès, mais leur donnez autant d’accès qu’il le faut pour faire leur travail. C’est ce qu’on appelle le principe du moindre privilège.

Trop de personnes qui accèdent au site Web le rendent non seulement plus vulnérable aux atteintes à la sécurité, mais également aux erreurs humaines. Plus les gens s’amusent, plus il est probable que quelque chose de grave se produise.

Parmi ceux qui sont autorisés à accéder, assurez-vous qu’ils ont tous leur propre identifiant et mot de passe et qu’ils sont autorisés à effectuer uniquement les tâches qu’ils devraient être autorisés à effectuer. Il est également sage de mettre en place une stratégie qui décrit la révision régulière des autorisations d’accès et supprime celles qui ont changé ou ont quitté l’organisation. Plus le nombre de comptes disponibles est élevé, plus grand est le nombre de « pirates » potentiels à saisir. Fermez toutes les « portes » qui ne sont plus nécessaires.

Sauvegardez et faites-le souvent

Celui-ci se classe avec des mots de passe forts. C’est quelque chose que la plupart des gens savent au moins, c’est important, mais pas beaucoup d’entre eux. Si vous faites partie de ces personnes, vos chances de récupérer vos données et de restaurer votre entreprise rapidement sont pratiquement nulles. Avec des sauvegardes fréquentes, le site Web de votre entreprise et toutes ses données peuvent être remis en service rapidement, ce qui réduit les temps d’arrêt de votre entreprise.

Mais il ne s’agit pas seulement d’avoir des sauvegardes régulières, c’est important. Vous devez également vérifier périodiquement les sauvegardes de votre site Web pour vous assurer qu’elles sont complètes et non corrompues. Dans une enquête menée par Barkly, 100% des informaticiens interrogés ont déclaré qu’ils protégeaient activement leurs données et 80 % d’entre eux ont déclaré être confiants de pouvoir récupérer complètement leurs données en cas d’atteinte à la sécurité. En fait, seules 40 % des victimes de ransom-ware ont pu récupérer toutes leurs données à partir de sauvegardes. La raison principale de cet échec était l’échec des sauvegardes et des sauvegardes non enregistrées, ce qui a entraîné des pertes de données.

Les sauvegardes n’empêcheront pas votre site d’être piraté. Cependant, il sera plus rapide de le faire fonctionner une fois qu’il aura été piraté. Assurez-vous que non seulement les fichiers du site Web sont sauvegardés, mais également les bases de données impliquées.

Obtenir un certificat SSL (HTTPS)

Bien que la certification SSL ne protège pas votre site Web contre les pirates informatiques, elle protège les informations envoyées depuis votre site Web vers les navigateurs de vos utilisateurs en cryptant toutes les communications. C’est quelque chose que chaque site Web devrait avoir, surtout s’il s’agit d’un site de commerce électronique qui contient des informations sur les paiements.

Cependant, tous les sites Web bénéficieraient d’une certification SSL pour sécuriser toutes leurs communications. Avec toutes les failles de sécurité, les utilisateurs avertis sont de plus en plus habitués à rechercher le symbole « https » au début de l’URL d’un site Web, ainsi que le verrou vert situé à gauche de l’URL. Pour s’assurer que leurs communications sont sécurisées. Assurez la tranquillité d’esprit des visiteurs de votre site Web en cryptant les communications à l’aide de la certification SSL.

Désactiver le remplissage automatique du formulaire

Connaissez-vous le formulaire de contact que vous avez sur votre site web? Saviez-vous que certains sites Web permettent aux visiteurs qui visitent régulièrement votre site de remplir automatiquement des formulaires avec toutes leurs informations? Eh bien, ce formulaire n’est pas vraiment une bonne chose pour vos visiteurs ou votre entreprise. Si leur ordinateur ou leur téléphone est volé, un pirate informatique peut accéder à votre site web en entrant automatiquement des informations sur la victime. Assurez-vous que la fonctionnalité de saisie automatique est désactivée sur votre site Web. Bien que pratique pour les visiteurs paresseux sur votre site, il s’agit d’une atteinte à la sécurité que vous ne devez pas laisser à l’extérieur.

Limiter ou éliminer les téléchargements de fichiers

Tout site Web permettant le téléchargement de fichiers sur son site laisse libre cours à une faille de sécurité et ne doit pas obligatoirement être un pirate informatique qui télécharge un fichier contenant des virus. Cela peut être une personne qui ne sait pas que son fichier contient un virus. Quel que soit le niveau de sécurité que vous avez sur votre système pour vérifier les fichiers, les virus peuvent passer et, dès qu’ils le font, tout pirate informatique peut accéder à votre site Web et à toutes ses données.

Bien entendu, la meilleure pratique serait de n’accepter aucun téléchargement sur votre site Web. Cependant, il est parfois nécessaire d’autoriser le téléchargement de fichiers pour diverses raisons. Si tel est le cas avec votre site Web, assurez-vous que tous les fichiers téléchargés sur votre site sont stockés en dehors du répertoire racine. Si vous ne savez pas comment faire cela, votre hébergeur Web peut vous aider à le faire fonctionner(la sécurité de votre site Web / application Web).

 Ne stockez pas de données de paiement sur vos serveurs

Tout ce que vous stockez sur vos serveurs peut être volé en cas d’atteinte à la sécurité et vous ne pouvez pas stocker certains types de données. Cependant, vous devez assumer la responsabilité de certains types d’informations, notamment les données de paiement.

C’est pourquoi il est préférable de laisser les fournisseurs de commerce électronique que vous utilisez pour le traitement du paiement stocker et protéger les données sur leurs serveurs. Ils sont plus disposés à protéger ce type de données.

Alors, maintenant que vous connaissez les principales choses que vous pouvez faire pour sécuriser votre site Web, veillez à créer un plan d’action et à tout mettre en place immédiatement. Vous ne regretterez jamais d’être proactif.

5/5
Catégories

Aucun avis n’a été donné pour le moment. Soyez le premier à en écrire un.

Retour en haut