7 Meilleures pratiques de sécurité HTML pour les vulnérabilités des sites web statiques

Les sites web statiques stockent un contenu déjà rendu, c’est pourquoi ils n’ont pas besoin d’accéder à une base de données, d’exécuter des scripts complexes ou de dépendre d’un moteur d’exécution chaque fois qu’un utilisateur demande une page.

Cela se traduit par des avantages évidents en termes de temps de chargement et de sécurité : les pages statiques font gagner beaucoup de temps au serveur et présentent moins de vulnérabilités. Cela signifie que les moteurs de recherche classeront mieux les pages statiques que leurs équivalents dynamiques.

Les experts en référencement se tournent vers le contenu statique chaque fois qu’ils le peuvent, afin d’être plus compétitifs dans un monde où une fraction de seconde peut faire la différence entre un succès total et un échec total. Le déploiement de contenu statique est devenu un mot à la mode chez les stratèges en marketing, et le personnel informatique apprécie d’avoir un point moins vulnérable à surveiller.

Si vous envisagez de déployer du contenu statique sur votre site web, vous devez donc respecter certaines bonnes pratiques pour en assurer la sécurité.

Utilisez des en-têtes HTTP de sécurité

Lesen-têtes de sécurité sont un sous-ensemble des en-têtes de réponse HTTP – un ensemble de métadonnées, de codes d’erreur, de règles de cache, etc. que le serveur web ajoute au contenu qu’il diffuse – conçus pour indiquer au navigateur ce qu’il doit faire et comment traiter le contenu qu’il reçoit. Tous les navigateurs ne prennent pas en charge tous les en-têtes de sécurité, mais il existe un petit ensemble assez courant qui fournit des mesures de sécurité de base pour empêcher les pirates d’exploiter les vulnérabilités.

X-Frame-Options : SAMEORIGIN

L’en-tête X-Frame-Options est destiné à désactiver ou à atténuer les risques imposés par les iframes sur votre site. Les iframes peuvent être utilisées par les pirates pour s’emparer des clics légitimes et diriger les visiteurs vers l’URL de leur choix. Il existe différentes façons d’empêcher l’utilisation abusive des iframes.

La meilleure pratique recommandée par l’OWASP (Open Web Application Security Project) consiste à utiliser cet en-tête avec le paramètre SAMEORIGIN, qui n’autorise l’utilisation des iframes que par une personne ayant la même origine. Les autres options sont DENY, pour désactiver complètement les iframes, et ALLOW-FROM, pour n’autoriser que des URL spécifiques à placer des pages dans les iframes.

Consultez le guide d’implémentation pour Apache et Nginx.

X-XSS-Protection : 1 ; mode=block

L’en-tête X-XSS-Protection est conçu pour protéger les sites web contre les scripts intersites. Cette fonction d’en-tête peut être mise en œuvre de deux manières :

X-XSS-Protection : 1
X-XSS-Protection : 1 ; mode=block

La première méthode est plus permissive, car elle filtre les scripts dans la demande adressée au serveur web, mais la page est quand même affichée. La deuxième méthode est plus sûre car elle bloque la page entière lorsqu’un script X-XSS est détecté dans la requête. Cette deuxième option est la meilleure pratique recommandée par l’OWASP.

X-Content-Type-Options : nosniff

Cet en-tête empêche l’utilisation du “reniflage” MIME, une fonction qui permet au navigateur d’analyser le contenu et de répondre différemment de ce que l’en-tête indique. Lorsque cet en-tête est présent, le navigateur doit définir le type de contenu selon les instructions, au lieu de le déduire en “reniflant” le contenu à l’avance.

Si vous appliquez cet en-tête, vous devez vérifier que vos types de contenu sont appliqués correctement sur chaque page de votre site web statique.

Content-Type : text/html ; charset=utf-8

Cette ligne est ajoutée aux en-têtes de requête et de réponse des pages HTML depuis la version 1.0 du protocole HTTP. Elle établit que toutes les balises sont rendues dans le navigateur, affichant le résultat sur la page web.

Utilisez des certificats TLS

Un certificat SSL/TLS est indispensable pour tout site web, car il permet au serveur web de crypter les données qu’il envoie au navigateur web via le protocole sécurisé HTTPS. Ainsi, si les données sont interceptées au cours de leur voyage, elles seront illisibles, ce qui est essentiel pour protéger la vie privée de l’utilisateur et sécuriser le site web. Un site web statique ne stocke pas les informations personnelles de ses visiteurs, mais il est essentiel que les informations qu’ils demandent ne puissent pas être vues par des observateurs indésirables.

L’utilisation du cryptage par un site web est nécessaire pour être marqué comme un site sûr par la plupart des navigateurs web et est obligatoire pour les sites web qui cherchent à se conformer au Règlement général sur la protection des données (RGPD) de l’UE. La loi n’indique pas spécifiquement qu’un certificat SSL doit être utilisé, mais c’est le moyen le plus simple de répondre aux exigences de confidentialité du règlement.

En termes de sécurité, le certificat SSL permet aux autorités de vérifier la propriété d’un site web et d’empêcher les pirates d’en créer de fausses versions. L’utilisation d’un certificat SSL permet au visiteur du site web de vérifier l’authenticité de l’éditeur et de s’assurer que personne n’est en mesure d’espionner ses activités sur le site web.

La bonne nouvelle, c’est que le certificat ne coûte pas cher. En fait, vous pouvez l’obtenir GRATUITEMENT auprès de ZeroSSL ou acheter un certificat premium auprès de SSL Store.

Déployez une protection DDoS

Les attaques par déni de service distribué (DDoS) sont de plus en plus fréquentes de nos jours. Dans ce type d’attaque, un ensemble de dispositifs distribués est utilisé pour submerger un serveur d’un flot de requêtes, jusqu’à ce qu’il soit saturé et refuse tout simplement de fonctionner. Peu importe que votre site web ait un contenu statique : son serveur web peut facilement être victime d’une attaque DDoS si vous ne prenez pas les mesures nécessaires.

Le moyen le plus simple de mettre en place une protection contre les attaques DDoS sur votre site web est de demander à un fournisseur de services de sécurité de s’occuper de toutes les cybermenaces. Ce service assurera la détection des intrusions, les services antiviraux, l’analyse des vulnérabilités et bien d’autres choses encore, de sorte que vous n’aurez pratiquement plus à vous préoccuper de ces menaces.

Une solution aussi complète peut être coûteuse, mais il existe également des solutions plus ciblées et moins onéreuses, telles que la protection DDoS en tant que service (DPaaS). Demandez à votre hébergeur s’il propose un tel service.

Les services de protection DDoS dans le nuage, tels que ceux proposés par Akamai, Sucuri ou Cloudflare, sont des solutions plus abordables. Ces services permettent une détection et une analyse précoces des attaques DDoS, ainsi que le filtrage et le détournement de ces attaques, c’est-à-dire le réacheminement du trafic malveillant loin de votre site.

Lorsque vous envisagez d’opter pour une solution anti-DDoS, vous devez prêter attention à la capacité de son réseau : ce paramètre indique l’intensité de l’attaque à laquelle la protection peut résister.

Évitez les bibliothèques JavaScript vulnérables

Même si votre site web a un contenu statique, il peut utiliser des bibliothèques JavaScript qui présentent des risques pour la sécurité. On considère généralement que 20 % de ces bibliothèques rendent un site web plus vulnérable. Heureusement, vous pouvez utiliser le service fourni par Vulnerability DB pour vérifier si une bibliothèque particulière est sûre ou non. Dans sa base de données, vous trouverez des informations détaillées et des conseils pour un grand nombre de vulnérabilités connues.

Outre la vérification des vulnérabilités d’une bibliothèque particulière, vous pouvez suivre cette liste de meilleures pratiques pour les bibliothèques JavaScript, qui vous permettra de remédier aux risques potentiels :

N’utilisez pas de serveurs de bibliothèques externes. Stockez plutôt les bibliothèques sur le même serveur que celui qui héberge votre site web. Si vous devez utiliser des bibliothèques externes, évitez d’utiliser des bibliothèques provenant de serveurs figurant sur une liste noire et vérifiez régulièrement la sécurité des serveurs externes.
Utilisez la gestion des versions pour les bibliothèques JavaScript et assurez-vous d’utiliser la dernière version de chaque bibliothèque. Si la gestion des versions n’est pas possible, vous devez au moins utiliser des versions exemptes de vulnérabilités connues. Vous pouvez utiliser retire.js pour détecter l’utilisation de versions vulnérables.
Vérifiez régulièrement si votre site web utilise des bibliothèques externes que vous ne connaissez pas. Vous saurez ainsi si un pirate a injecté des liens vers des fournisseurs de bibliothèques indésirables. Les attaques par injection sont peu probables sur les sites web statiques, mais il n’est pas inutile de procéder à cette vérification de temps à autre.

Mettez en œuvre une stratégie de sauvegarde

Le contenu d’un site web statique doit toujours être sauvegardé en toute sécurité chaque fois qu’il est modifié. Les copies de sauvegarde doivent être stockées en toute sécurité et facilement accessibles au cas où vous auriez besoin de restaurer votre site en cas de panne. Il existe de nombreuses façons de sauvegarder votre site web statique, mais en général, on peut les classer en deux catégories : les sauvegardes manuelles et les sauvegardes automatiques.

Si le contenu de votre site web ne change pas très fréquemment, une stratégie de sauvegarde manuelle peut suffire : il vous suffit de vous rappeler de faire une nouvelle sauvegarde chaque fois que vous modifiez le contenu. Si vous disposez d’un panneau de contrôle pour gérer votre compte d’hébergement, il est très probable que vous y trouverez une option pour effectuer des sauvegardes. Si ce n’est pas le cas, vous pouvez toujours utiliser un client FTP pour télécharger tout le contenu du site web sur un périphérique local où vous pourrez le conserver en toute sécurité et le restaurer si nécessaire.

Bien entendu, l’option de sauvegarde automatique est préférable si vous souhaitez réduire au minimum les tâches de gestion de votre site web. Cependant, les sauvegardes automatiques sont généralement proposées par les fournisseurs d’hébergement en tant que fonctionnalités premium, ce qui augmente le coût total de la sécurisation de votre site web.

Vous pouvez envisager d’utiliser le stockage d’objets dans le nuage pour la sauvegarde.

Utilisez un fournisseur d’hébergement fiable

Un service d’hébergement web fiable est nécessaire pour garantir le bon fonctionnement et la rapidité de votre site web, mais aussi pour être sûr qu’il ne sera pas piraté. La plupart des avis sur l’hébergement web vous donneront des chiffres et des comparaisons sur la vitesse, le temps de fonctionnement et l’assistance à la clientèle, mais en ce qui concerne la sécurité du site web, certains aspects doivent être soigneusement observés et vous devez vous renseigner auprès de votre fournisseur avant de faire appel à ses services :

Sécurité des logiciels : vous devez savoir comment sont gérées les mises à jour des logiciels ; par exemple, si tous les logiciels sont mis à jour automatiquement ou si chaque mise à jour fait l’objet d’un processus de test avant d’être déployée.
Protection DDoS : si ce type de protection est inclus dans le service d’hébergement, demandez des détails sur la manière dont il est mis en œuvre, afin de vérifier s’il répond aux exigences de votre site web.
Disponibilité et support SSL : étant donné que, dans la plupart des cas, les certificats sont gérés par le fournisseur d’hébergement, vous devez vérifier quel type de certificat il propose et quelle est la politique de renouvellement des certificats.
Sauvegarde et restauration : de nombreux fournisseurs d’hébergement proposent un service de sauvegarde automatisé, ce qui est une bonne chose car vous n’avez pratiquement plus à vous soucier de faire des sauvegardes, de les stocker et de les mettre à jour. Prenez toutefois en compte le coût d’un tel service et mettez-le en balance avec les efforts que vous devrez déployer pour sauvegarder vous-même votre contenu.
Protection contre les logiciels malveillants : un fournisseur d’hébergement fiable doit protéger ses serveurs contre les logiciels malveillants en effectuant des analyses périodiques et en contrôlant l’intégrité des fichiers. Dans le cas d’un hébergement partagé, il est souhaitable que le fournisseur d’hébergement utilise l’isolation des comptes, afin d’empêcher les infections par des logiciels malveillants de se propager entre les sites web voisins.
Protection par pare-feu : un hébergeur peut augmenter le niveau de sécurité des sites web qu’il héberge en déployant un pare-feu qui empêche le trafic hostile d’entrer.

Découvrez la plateforme d’hébergement de sites statiques la plus fiable.

Appliquez une politique de mot de passe fort

Comme un site statique n’a pas de base de données ou de système de gestion de contenu, il a moins de noms d’utilisateur et de mots de passe à gérer. Mais vous devez tout de même appliquer une politique de mot de passe pour les comptes d’hébergement ou FTP que vous utiliserez pour mettre à jour le contenu statique.

Les bonnes pratiques en matière de mots de passe sont, entre autres, les suivantes

Les changer périodiquement
Fixer une longueur minimale pour le mot de passe.
Utiliser des combinaisons de lettres majuscules et minuscules, de caractères spéciaux et de chiffres
Éviter de les communiquer par courrier électronique ou par SMS.

De même, le mot de passe par défaut des comptes administratifs doit être modifié dès le départ – il s’agit d’une erreur courante que les pirates peuvent facilement exploiter. N’ayez pas peur de perdre vos mots de passe ; utilisez un gestionnaire de mots de passe pour les gérer en toute sécurité.

Soyons statiques

Il y a quelques années, le contenu dynamique était la voie à suivre : tout pouvait être facilement modifié et mis à jour, ce qui permettait une refonte complète du site web en quelques secondes. Mais la vitesse est devenue la priorité absolue, et le contenu statique est soudain redevenu cool.

En ce sens, toutes les pratiques de sécurité des sites web devraient être réévaluées – il y a certes moins d’aspects à prendre en compte, mais il ne faut pas se relâcher pour autant. Cette liste de bonnes pratiques vous aidera certainement à créer votre propre liste de contrôle pour assurer la sécurité de votre site web statique.

Editorial Staff
Contributeur
- LinkedIn
L’équipe d’experts de Geekflare se consacre avec passion au partage de contenus utiles, d’informations et de conseils personnalisés pour aider les particuliers et les entreprises à prospérer dans le monde numérique.