La démocratisation de la création de site web et ses impacts en terme de sécurité

Il est incontestable que les CMS ont permis de démocratiser la création de sites web. Ils permettent, en quelques clics, de créer son site vitrine ou eCommerce, sans connaissance particulière en matière de développement ou graphisme. TPE, PME, association, institution, grande entreprise, il y en a pour tous les goûts et tous les budgets.

Pour leur réalisation, certains font appel à des agences ou développeurs freelance pour un forfait "one shot". Le résultat est au rendez-vous. Cependant, il n'est pas rare que ces sites web, une fois créés, soient laissés de côté pour vivre leur vie.

Quid de la maintenance ? des évolutions ? de la sécurité ?

Votre activité n'a rien de stratégique et vous pensez être à l'abri ? Détrompez-vous. 

Le succès des CMS et leur facilité d'utilisation ont une contrepartie. Ils sont de très bonnes cibles pour les hackers. Une faille détectée peut être la clé de milliers voire millions de sites. Quelques lignes de codes écrites et le script peut tester la sécurité de millions de sites et profiter de la faiblesse de certains. Vous n'êtes donc pas ciblé particulièrement, mais avez le profil cible.

Pourquoi attaquent-ils ? Que cherchent-ils ? Que risquez-vous ?

Vous pouvez avoir à faire à des "script kiddies", autrement dit à des enfants ou adolescents qui trouvent des scripts sur internet et s'amusent à pirater des sites web ;

Certains hackers peuvent, par passion, développer leur script et chercher la faille, sans mauvaise intention, "pour l'exploit" ;

Enfin, un troisième type de hacker pouvant s'attaquer à votre site est le moins bienveillant. Il s'immiscera sur votre serveur pour voler vos données, pour les détruire ou encore pour tromper Google et profiter de la popularité de votre site. 

Dans ce dernier cas, vos utilisateurs habituels ne se rendront sans doute compte de rien. Vous non plus peut-être. Pourtant, votre site sera référencé dans les moteurs de recherche pour des mots-clés sans lien avec votre activité, sans doute des produits illégaux. Votre site servira de relais pour l'achat de ce type de produits. Pour vous donner un exemple concret, vous êtes une association. Votre site apparaîtra dans les résultats d'une recherche "acheter sac Dior", sans rapport avec votre activité. En cliquant sur le lien de votre site, l'utilisateur sera redirigé vers un site pirate eCommerce qui n'a rien à voir avec la marque Dior. S'il passait commande, il risquerait fort, vous vous en doutez, de ne jamais recevoir quoi que ce soit.

Si votre activité n'est pas stratégique, vos données (ou celles de vos clients) peuvent mériter que vous vous attardiez sur leur protection. Quant à votre image de marque, elle, le mérite certainement, non ? Que votre site redirige même occasionnellement et à votre insu vers des sites illégaux, de vente de viagra, par exemple, risquerait de lui porter préjudice.

De plus, une fois installé, le pirate est bien difficile à déloger. Sans compter qu'il est souvent détecté bien longtemps après son arrivée voire pas du tout, car peut rester très discret. Si cela vous arrive, le plus simple sera sans doute de réinstaller votre site internet intégralement grâce à votre sauegarde, lorsque c'est possible. Dans le cas contraire, il faudra vous armer de patience, nettoyer votre serveur et le sécuriser en espérant y parvenir. Courage !

En conclusion, il est souvent bien plus simple et agréable d'anticiper que de corriger le tir après coup. Alors, ne négligez pas la sécurité de vos sites internet !

Quelques réflexes simples : 

A la mise en place de votre site :

- sécuriser les dossiers et fichiers sur le serveur,

- ne rien laisser sur le serveur qui n'ait son utilité,

- protéger du serveur via les fichiers de configuration,

- installer des modules pour sécuriser votre site.

Tout au long de la vie du site :

- la mise à jour immédiate dès qu'une nouvelle version sort,

- au cas où, il ne serait pas du luxe d'avoir toujours une sauvegarde de son site et sa base de données à l'abri,

- l'inscription à la newsletter sécurité de votre CMS si elle existe.

Tous les hébergeurs et de nombreux internautes prodiguent leurs conseils, profitez-en. Vous pouvez également, évidemment, faire appel à des professionnels.