De tous les types d'hébergement Web disponibles, l'hébergement partagé est le plus courant et le plus vulnérable aux problèmes de sécurité.

Apprenez à protéger le vôtre.

Regardons les choses en face: quand il s'agit de la sécurité Web, la plupart d'entre nous préfèrent vivre dans le déni. «Je suis trop petit pour être piraté», «Je sais que je ne suis pas si malchanceux», «Nous verrons à ce sujet quand j'aurai plus de temps» - il n'y a pas de fin aux excuses que nous pouvons cuisiner pour échapper à la corvée , un travail fastidieux pour renforcer la sécurité de votre site Web.

Oui, même l'idée de créer des sauvegardes suffit à nous endormir.

Alors, qu'est-ce qui peut nous motiver à prendre la sécurité plus au sérieux?

Peut-être coller les détails des hacks les plus dévastateurs du monde sur nos murs? Mais alors, les pensées que je suis trop petit pour être piraté prendront le dessus. Une idée que je pense peut fonctionner comme un compteur fonctionnant quelque part - un compteur qui montre le nombre total d'heures que vous avez consacrées à cette entreprise ou à votre site Web. Si cela fait cinq ans (supposons que vous consacriez en moyenne 15 heures par jour à l'entreprise), ce sera 15 x 30 x 12 x 5 = 27,000 heures d'effort qui seront épuisés en un instant si votre site Web était piraté et toutes les données détruites!

Bien que cet article ne porte pas sur les habitudes et la motivation, j'ai pensé qu'une discussion rapide s'imposait. Si cela ne vous fait pas peur et ne vous motive pas, je ne sais pas ce qui le fera. 🙂

Quoi qu'il en soit, pour ceux qui ont eu suffisamment peur ou qui sont préoccupés par leur sécurité en général, passons à ce que vous pouvez faire pour rendre votre compte d'hébergement partagé plus sécurisé.

Veuillez noter: c'est un commun hébergement compte, nous parlons ici, pas d'un serveur virtuel ou physique (ou même d'une collection d'entre eux). Les serveurs indépendants sont un jeu de balle complètement différent, alors que dans cet article, je cible la majorité des gens pas si techniques dont les revenus dépendent des propriétés numériques.

Create (ensure) regular backups

Il est difficile de croire que les sauvegardes peuvent être connectées à la sécurité, mais elles le sont.

Souvent, les hacks sont si mauvais qu'ils effacent vos données; parfois, le code malveillant s'enfonce profondément dans les fondations et continue de réapparaître (je ne peux même pas commencer à expliquer combien de fois cela m'est arrivé sur les clients Site WordPress!) malgré le meilleur nettoyage professionnel.

Dans de telles occasions, il n'y a rien de mieux à faire que d'appuyer sur le bouton de restauration: accédez à une sauvegarde qui fonctionnait pour vous, nettoyez l'ardoise, reconfigurez tout et importez les données. Que perdez-vous? Les données collectées depuis la sauvegarde. Que gagnez-vous? Toute l'affaire!

Cela dit, il y a quelques points à garder à l'esprit concernant les sauvegardes.

Restauration

Les sauvegardes ne signifient rien s'il n'y a aucune disposition pour une restauration rapide et prévisible. Il est probable que votre fournisseur d'hébergement partagé dispose d'une option de restauration, mais êtes-vous sûr que cela fonctionne?

Et s'il n'y a pas de bouton de restauration, savez-vous comment tout reconfigurer?

Il y a forcément de quoi être surpris, car avec le temps, vous collectez d'énormes quantités de données, ce qui peut être pénible pour la restauration. Et puis il y a d'autres choses à considérer: la version de la base de données, la version du logiciel, la version PHP (si vous utilisez un site Web PHP, c'est-à-dire), la compatibilité de ces versions, etc. Plus que probablement, vous n'avez pas les compétences ou l'énergie nécessaires pour vous lancer dans tout cela.

Sinon, je vous recommande fortement d'opter pour un service de gestion qui s'occupera de tout pour vous, même si cela vous semble cher. D'un autre côté, si vous êtes convaincu que vous pouvez réussir, je dois vous demander de faire des répétitions régulières (disons, tous les six mois) - croyez-moi, peu importe à quel point l'expert est, il y a toujours quelque chose à trébucher sur.

Si vous recherchez un hébergement partagé fiable pour créer un site WordPress, Joomla, Magento, qui offre une sauvegarde quotidienne, essayez SiteGround.

La fréquence

À quelle fréquence devez-vous sauvegarder? Il y a deux choses à considérer ici: la taille de vos données collectées et la criticité de votre entreprise.

Supposons que vous ayez un total de 40 Go de données nécessaires pour gérer l'entreprise. Si vous planifiez des sauvegardes quotidiennes, vous utiliserez 40 x 30 = 1200 1.2 Go ou XNUMX To de données au cours du premier mois.

À la fin du premier trimestre, il serait passé à 3.6 To - peu importe où vous choisissez de stocker cette quantité de données, un trou dans votre poche est garanti.

Source : taylorirrigation.com

La solution?

Supprimer les données antérieures à une durée spécifique. Désormais, la durée de cette durée dépend entièrement de votre entreprise, bien que dans la plupart des cas, des sauvegardes deux fois par semaine conservées au cours des deux derniers mois soient plus que suffisantes.

Même dans ce cas, les factures pour les sauvegardes ne seront pas triviales et vous devrez vous assurer que ce sont les données utiles qui sont sauvegardées, et cela aussi sous une forme réutilisable. Sinon, eh bien, vous connaissez les risques. . . 🙂

Embrace Two-factor Authentication

Pour ceux qui ne sont pas conscients de l'idée, l'authentification à deux facteurs signifie l'utilisation d'un processus en deux étapes pour vérifier les utilisateurs avant de les connecter et de leur remettre les rênes (plus de détails ici).

Source : shahmeeramir.com

Pourquoi ?

Seulement parce que si quelqu'un devine ou vole votre mot de passe et tente de se connecter à partir de son ordinateur, il sera mis au défi de prouver son identité.

Le système peut leur demander de répondre à une question secrète, saisir un OTP envoyé par SMS ou par e-mail, leur demander de sélectionner une image préférée ou d'utiliser une autre méthode pour faire respecter l'identité. Honnêtement, étant donné à quel point certaines personnes choisissent mal les mots de passe (non, s1mpled00d is pas un mot de passe fort), et comme il est facile pour les hacks basés sur le navigateur de récupérer vos mots de passe, il est préférable de mettre en place une authentification à deux facteurs.

Pour les sites Web WordPress, vous pouvez choisir plusieurs plugins, ce qui rend la tâche très facile et rapide.

Avoid Untrusted Sources

C'est un autre point qui devrait être aussi évident que la couleur du ciel (il is évident, n'est-ce pas? ?), mais comme dans le monde humain, les émotions prennent le dessus assez rapidement.

Vous souhaitez déployer rapidement une fonctionnalité et vous rencontrez une source qui offre exactement ce dont vous avez besoin, peut-être même gratuitement. Les démos sont incroyables, l'UX époustouflante - de quoi d'autre avez-vous besoin?!

Pas si vite, petit! Les sources tierces peuvent être la source de plusieurs problèmes désagréables (et le plus souvent, ils le sont) - elles peuvent contenir du code malveillant qui vole vos mots de passe enregistrés ou vos informations de carte de crédit (sur une application mobile, le code malveillant peut faire est effrayant!), ou ils peuvent être mal codés, devenant ainsi un maillon faible de la sécurité de votre site Web une fois intégré.

Et s'il vous plaît, n'écoutez pas votre développeur s'il dit qu'il a parcouru le code et l'approuve - le monde de la sécurité est extrêmement tordu, avec des attaques incroyablement astucieuses révélées chaque jour (voici un exemple de la façon dont l'humble serialize() et un unserialize() les fonctions en PHP peuvent être manipulées pour permettre l'exécution de code à distance).

Toujours, toujours prendre des plugins, des thèmes, des bibliothèques, etc., à partir de sources fiables. Pour les utilisateurs de WordPress, cela signifie s'en tenir aux plugins officiellement disponibles (car ils sont brutaux, strictement contrôlés pour la qualité et la sécurité du code), et il en va de même pour les autres plates-formes.

Encore une fois, avant de ressentir l'envie incontrôlable de saisir ce plugin et de vous enfuir, pensez au nombre total d'heures que vous mettez en danger.

Stronger Passwords

Le problème avec les mots de passe «forts» que nous proposons est qu'ils sont tout sauf sécurisés.

Avec un peu de connaissance de votre vie personnelle et l'aide d'un Dictionnaire attaque, les chances de fissurer la coque sont très élevées.

La solution?

Je recommande d'utiliser un service gratuit et fiable comme LastPass's générateur de mot de passe cela vous permet de choisir la complexité et la longueur du mot de passe. S'il vous plaît, n'allez pas doucement sur l'outil - faites-le étirer ses muscles au maximum.

Oubliez d'avoir un mot de passe dont vous vous souviendrez - non, ces jours sont révolus depuis longtemps. Les mots de passe dont on peut se souvenir sont faciles à déchiffrer. Au lieu de cela, faites tourner le générateur de mots de passe plusieurs fois et installez-vous sur quelque chose qui vous fait tourner l'estomac.

Voici quelques suggestions que j'ai reçues (avec une longueur de mot de passe de 20 caractères):

  • rfg$t^cvwBg@Z0lj0Oxu
  • 1sNYhBXrYJ2IW^J$f@Sq
  • Plg6 # YicW% bh et UzVpp # Z
  • f95 ^ * sMm592OwQcg et QZi

Laid? Très. Sécurise? Très!

Enfin, si vous avez un site Web sur lequel d'autres personnes sont autorisées à créer un compte, assurez-vous d'appliquer la validation du mot de passe et de refuser d'accepter tout ce qui n'est pas horrible à regarder. Oui, le nouveau contributeur veut bien dire, mais comme on dit, la route de l'enfer est pavée de bonnes intentions. ??

Update Software Regularly

Si votre compte d'hébergement partagé vous offre un panneau d'administration qui vous permet de mettre à niveau le logiciel installé, je vous recommande vivement de le faire.

Pourquoi? Non pas parce que cela semble élitiste, mais parce que de nouveaux logiciels sont publiés pour corriger en grande partie les failles de sécurité découvertes dans les versions précédentes (Aha! Maintenant, vous savez pourquoi votre Windows veut si désespérément que vous continuiez à mettre à jour).

Veuillez ne pas prendre cela à la légère (ou en fait, aucune suggestion dans cet article: D). On ne sait pas combien d'installations, d'applications, de serveurs et d'appareils sont assis sur des bombes à retardement parce qu'ils exécutent d'anciens logiciels.

Si vous roulez des yeux là-dessus, je suis avec vous - il n'y a rien de plus douloureux que de devoir constamment vérifier, tester, mettre à jour et supprimer des éléments qui ne fonctionnent pas. Mais c'est la «taxe» que nous payons sur l'infrastructure numérique - nos propriétés numériques sont beaucoup plus sensibles et beaucoup plus puissantes que les autres choses auxquelles nous sommes habitués, et elles nécessitent donc une attention particulière.

Encore une fois, si vous pouvez vous le permettre, optez pour une offre gérée.

Choose a Safer Hosting Provider

Tous les hébergeurs ne sont pas créés égaux, et dans ce monde de publicité agressive et de marketing d'affiliation, il peut être difficile de distinguer les bons des mauvais.

Alors, comment décidez-vous quel fournisseur d'hébergement est «meilleur»?

Eh bien, j'aurais aimé avoir un critère magique, mais ce n'est pas le cas.

Les infrastructures d'hébergement sont des bêtes complexes et il n'y a aucun moyen que les évaluations, les critiques, la conception de sites Web ou la convivialité du client puissent fournir un bon indicateur. Mais je dirai ceci: si vous rencontrez des problèmes, n'hésitez pas à essayer quelque chose de nouveau. Si quoi que ce soit, je vous conseillerais de rester à l'écart des très vieilles et très grandes entreprises vendant des domaines et de l'hébergement (vous savez à qui je veux parler, n'est-ce pas ?! ;-)) et plutôt donner une chance à des plus jeunes , les entreprises les plus affamées.

Je ne peux pas trop le vendre.

Passer à un plus sécurisé, un fournisseur de services plus performant peut vous épargner des heures de maux de tête et des nuits blanches chaque mois.

J'ai plusieurs amis qui gèrent des sites WordPress axés sur le contenu, dont les problèmes de site Web ont disparu dès qu'ils ont pris la décision audacieuse (et douloureuse) de changer, et il n'y a pas eu un seul problème depuis des années. Ils disent que des choses insignifiantes comme la lenteur du site Web et les temps d'arrêt ne valent pas leur temps, et je pense qu'elles ont raison. 🙂

Use DDoS Protection

Le problème avec le Web, c'est que c'est le Web «World Wide». N'importe qui de n'importe où peut accéder à votre site Web ou essayer de s'introduire par effraction.

Même les bots.

Maintenant, si sur les plusieurs milliers de visites que votre site Web reçoit toutes les heures, 99% sont des robots qui essaient de trouver un moyen d'entrer, vous avez un problème entre vos mains - non seulement ces demandes inutiles consommeront des ressources système, mais elles consommeront également bande passante de votre quota.

Je sais que les sites d'hébergement mutualisé revendiquent une bande passante «illimitée», mais croyez-moi, rien n'est illimité.

Source : britannica.com

Même si nous supposons une seconde qu'ils offrent un transfert de données illimité chaque mois, n'oublions pas que les réseaux physiques qui connectent tout ont une capacité limitée. En d'autres termes, le nombre d'utilisateurs que votre site Web peut servir en même temps est limité, donc même si vous pourriez avoir une utilisation mensuelle infinie, votre site sera toujours très lent ou en panne pour les utilisateurs.

Et qui veut visiter un site Web comme celui-là, non?

Le plus souvent, une telle attaque est orchestrée par un attaquant en contrôlant plusieurs ordinateurs et en les faisant visiter le site Web cible (pour autant que vous le sachiez, votre ordinateur est déjà un participant réticent à une attaque comme celle-ci).

Source : comodo.com

Le scénario que je viens de décrire est ce que l'on appelle techniquement l'attaque par déni de service distribué (DDoS) (plus de détails ici), et cela reste l'une des formes d'attaques les plus frustrantes car il est pratiquement impossible de le distinguer d'un grand nombre d'utilisateurs qui font des demandes sur votre site Web.

Cela dit, certaines entreprises comme Cloudflare, SUCURI ont construit d'excellents systèmes de défense autour de lui, qui peuvent analyser intelligemment et bloquer les attaques DDoS basé sur les modèles de trafic passés.

Encore une fois, cela semblera cher pour beaucoup, mais alors, vous devez décider par vous-même si le risque de perdre toute votre entreprise en vaut la peine.

Cloud Firewall

Pour ceux qui ne le savent pas, un pare-feu est simplement un logiciel exécuté sur votre ordinateur et votre réseau qui bloque ou autorise le trafic en fonction de règles spécifiques. Il devrait maintenant être évident ce qu'est un pare-feu «cloud», mais voici une image qui vaut vraiment mille mots. 🙂

Source : webscale.com

Si vous me demandez, un pare-feu correctement configuré fait plus pour protéger vos propriétés numériques que toutes les autres mesures combinées. Si les réseaux des géants de la technologie sont impénétrables, le mérite en revient à leurs redoutables pare-feu filtrant agressivement tout le trafic entrant et sortant. Si un attaquant tente même de sonder les ouvertures, le résultat est instantanément une liste noire, ce qui rend très, très difficile de s'introduire ou de couper le réseau.

Voici notre recommandation des meilleurs pare-feu là-bas. Encore une fois, si vous pensez que c'est cher, souvenez-vous du compteur!

Il y a beaucoup d'autres choses que vous pouvez faire pour rendre les choses «plus sûres», mais je pense que si vous prenez cet article au sérieux, vous serez sauvé de 99.9% des attaques et hacks potentiellement embarrassants.

Cela vaut particulièrement pour les utilisateurs de WordPress, car ce n'est pas une plate-forme très sécurisée de par sa conception. Même si vous avez un site Web HTML simple, n'oubliez pas que les attaques DDoS peuvent gâcher la saveur de vos utilisateurs, de votre fournisseur d'hébergement et de vous en même temps.

Autrement dit, seuls les paranoïaques survivent (il y a aussi un joli livre de ce nom, au cas où ça vous intéresse) ! 🙂