Geekflare
[gtranslate]
Geekflare est soutenu par son public. Nous pouvons percevoir des commissions d'affiliation sur les liens d'achat présents sur ce site.
En Sécurité  |  Dernière mise à jour : 16 septembre 2023
Partager sur :
Invicti Web Application Security Scanner - la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

7 Meilleures pratiques de sécurité HTML pour les vulnérabilités des sites web statiques

Par
sécurité des sites statiques

Les sites web statiques stockent un contenu déjà rendu, c'est pourquoi ils n'ont pas besoin d'accéder à une base de données, d'exécuter des scripts complexes ou de dépendre d'un moteur d'exécution chaque fois qu'un utilisateur demande une page.

Cela se traduit par des avantages indéniables dans les domaines suivants temps de chargement et la sécurité : les pages statiques font gagner beaucoup de temps au serveur et présentent moins de vulnérabilités. Cela signifie que les moteurs de recherche classeront mieux les pages statiques que leurs équivalents dynamiques.

Les experts en référencement se tournent vers le contenu statique chaque fois qu'ils le peuvent, afin d'être plus compétitifs dans un monde où une fraction de seconde peut faire la différence entre un succès total et un échec total. Le déploiement de contenu statique est devenu un mot à la mode chez les stratèges en marketing, et le personnel informatique apprécie d'avoir un point moins vulnérable à surveiller.

Mais attention, ils ne sont pas 100% à l'abri des piratages, donc si vous envisagez de déployer un contenu statique sur votre site web, il y a quelques bonnes pratiques à suivre pour le sécuriser.

Utiliser les en-têtes HTTP de sécurité

En-têtes de sécurité sont un sous-ensemble d'en-têtes de réponse HTTP - un ensemble de métadonnées, de codes d'erreur, de règles de cache, etc. que le serveur web ajoute au contenu qu'il sert - conçus pour indiquer au navigateur ce qu'il doit faire et comment traiter le contenu qu'il reçoit. Tous les navigateurs ne prennent pas en charge tous les en-têtes de sécurité, mais il existe un petit ensemble assez courant qui fournit des mesures de sécurité de base pour empêcher les pirates d'exploiter les vulnérabilités.

X-Frame-Options : SAMEORIGIN

L'en-tête X-Frame-Options est destiné à désactiver ou à atténuer les risques imposés par les iframes sur votre site. Les iframes peuvent être utilisées par les pirates pour s'emparer des clics légitimes et diriger les visiteurs vers l'URL de leur choix. Il existe différentes façons d'empêcher l'utilisation abusive des iframes.

La meilleure pratique recommandée par l'OWASP (Open Web Application Security Project) suggère d'utiliser cet en-tête avec la balise SAMEORIGIN qui n'autorise l'utilisation des iframes que par une personne ayant la même origine. Les autres options sont DENY, pour désactiver complètement les iframes, et ALLOW-FROM, pour n'autoriser que des URL spécifiques à placer des pages dans les iframes.

Consultez le guide de mise en œuvre pour Apache et Nginx.

X-XSS-Protection : 1 ; mode=block

L'en-tête X-XSS-Protection est conçu pour protéger les sites web contre les attaques de les scripts intersites. Cette fonction d'en-tête peut être mise en œuvre de deux manières :

  • X-XSS-Protection : 1
  • X-XSS-Protection : 1 ; mode=block

La première est plus permissive, filtrant les scripts de la requête au serveur web mais rendant la page quand même. La seconde est plus sûre car elle bloque la page entière lorsqu'un script X-XSS est détecté dans la requête. Cette deuxième option est la meilleure pratique recommandée par l'OWASP.

X-Content-Type-Options : nosniff

Cet en-tête empêche l'utilisation de MIME "reniflage" - une fonction qui permet au navigateur d'analyser le contenu et de réagir différemment de ce que l'en-tête indique. Lorsque cet en-tête est présent, le navigateur doit définir le type de contenu comme indiqué, au lieu de le déduire en "reniflant" le contenu à l'avance.

Si vous appliquez cet en-tête, vous devez vérifier que vos types de contenu sont appliqués correctement sur chaque page de votre site web statique.

Content-Type : text/html ; charset=utf-8

Cette ligne est ajoutée aux en-têtes de requête et de réponse des pages HTML depuis la version 1.0 du protocole HTTP. Elle établit que toutes les balises sont rendues dans le navigateur, affichant le résultat sur la page web.

Utiliser des certificats TLS

Un certificat SSL/TLS est indispensable pour tout site web, car il permet au serveur web de crypter les données qu'il envoie au navigateur web via le protocole sécurisé HTTPS. Ainsi, si les données sont interceptées lors de leur transmission, elles seront illisibles, ce qui est essentiel pour la protection de la vie privée. vie privée des utilisateurs et de sécuriser le site web. Un site web statique ne stocke pas les informations personnelles de ses visiteurs, mais il est essentiel que les informations qu'ils demandent ne puissent pas être vues par des observateurs indésirables.

L'utilisation du cryptage par un site web est nécessaire pour que la plupart des navigateurs web le considèrent comme un site sûr et est obligatoire pour les sites web qui cherchent à se conformer au Règlement général sur la protection des données (RGPD) de l'UE. La loi n'indique pas spécifiquement qu'un certificat SSL doit être utilisé, mais c'est le moyen le plus simple de répondre aux exigences de confidentialité du règlement.

En termes de sécurité, le Certificat SSL permet aux autorités de vérifier la propriété d'un site web et d'empêcher les pirates d'en créer de fausses versions. L'utilisation d'un certificat SSL permet au visiteur du site de vérifier l'authenticité de l'éditeur et de s'assurer que personne n'est en mesure d'espionner ses activités sur le site.

La bonne nouvelle, c'est que le certificat ne coûte pas cher. En fait, vous pouvez l'obtenir GRATUITEMENT à l'adresse suivante ZeroSSL ou en acheter un de qualité supérieure auprès de Boutique SSL.

Déployer une protection DDoS

Les attaques par déni de service distribué (DDoS) sont de plus en plus fréquentes de nos jours. Dans ce type d'attaque, un ensemble de dispositifs distribués est utilisé pour submerger un serveur d'un flot de requêtes, jusqu'à ce qu'il soit saturé et refuse tout simplement de fonctionner. Peu importe que votre site web ait un contenu statique, son serveur web peut facilement être victime d'une attaque DDoS si vous ne prenez pas les mesures nécessaires.

Le moyen le plus simple de mettre en place une protection contre les attaques DDoS sur votre site web est de demander à un fournisseur de services de sécurité de s'occuper de toutes les cybermenaces. Ce service assurera la détection des intrusions, les services antiviraux, l'analyse des vulnérabilités et bien d'autres choses encore, de sorte que vous n'aurez pratiquement plus à vous préoccuper des menaces.

Une solution aussi complète peut être coûteuse, mais il existe également des solutions plus ciblées et moins onéreuses, telles que la protection DDoS en tant que service (DPaaS). Demandez à votre fournisseur d'hébergement s'il propose un tel service.

Des solutions plus abordables sont Protection DDoS basée sur l'informatique dématérialisée tels que ceux proposés par Akamai, Sucuriou Cloudflare. Ces services permettent de détecter et d'analyser rapidement les attaques DDoS, de les filtrer et de les détourner, c'est-à-dire de rediriger le trafic malveillant loin de votre site.

Lorsqu'une solution anti-DDoS est envisagée, il convient de prêter attention à la capacité du réseau : ce paramètre indique l'intensité de l'attaque à laquelle la protection peut résister.

Éviter les bibliothèques JavaScript vulnérables

Même si votre site web a un contenu statique, il peut faire appel à Bibliothèques JavaScript qui présentent des risques pour la sécurité. On considère généralement que 20% de ces bibliothèques rend un site web plus vulnérable. Heureusement, vous pouvez utiliser le service fourni par Base de données des vulnérabilités pour vérifier si une bibliothèque particulière est sûre ou non. Dans sa base de données, vous trouverez des informations détaillées et des conseils pour un grand nombre de vulnérabilités connues.

Outre la vérification des vulnérabilités d'une bibliothèque particulière, vous pouvez suivre cette liste de bonnes pratiques pour les bibliothèques JavaScript, qui vous permettra de remédier aux risques potentiels qu'elles présentent :

  • N'utilisez pas de serveurs de bibliothèques externes. Stockez plutôt les bibliothèques sur le même serveur que celui qui héberge votre site web. Si vous devez utiliser des bibliothèques externes, évitez d'utiliser les bibliothèques de serveurs sur liste noireet vérifier périodiquement la sécurité des serveurs externes.
  • Utilisez la gestion des versions pour les bibliothèques JavaScript et assurez-vous d'utiliser la dernière version de chaque bibliothèque. Si la gestion des versions n'est pas possible, vous devez au moins utiliser des versions exemptes de vulnérabilités connues. Vous pouvez utiliser retire.js pour détecter l'utilisation de versions vulnérables.
  • Vérifiez régulièrement si votre site web utilise des bibliothèques externes dont vous n'avez pas connaissance. Vous saurez ainsi si un pirate a injecté des liens vers des fournisseurs de bibliothèques indésirables. Attaques par injection sont peu probables dans les sites web statiques, mais il n'est pas inutile de procéder à cette vérification de temps à autre.

Mise en œuvre d'une stratégie de sauvegarde

Le contenu d'un site web statique doit toujours être sauvegardé en toute sécurité chaque fois qu'il est modifié. Les copies de sauvegarde doivent être stockées en toute sécurité et facilement accessibles au cas où vous auriez besoin de restaurer votre site web en cas de panne. Il existe de nombreuses façons de sauvegarder votre site web statique, mais en général, on peut les classer en deux catégories : les sauvegardes manuelles et les sauvegardes automatiques.

Si le contenu de votre site web ne change pas très fréquemment, une stratégie de sauvegarde manuelle peut suffire - il vous suffit de vous rappeler de faire une nouvelle sauvegarde chaque fois que vous modifiez le contenu. Si vous disposez d'un panneau de contrôle pour gérer votre compte d'hébergement, il est très probable que vous y trouverez une option pour effectuer des sauvegardes. Si ce n'est pas le cas, vous pouvez toujours utiliser un client FTP pour télécharger tout le contenu du site web sur un périphérique local où vous pourrez le conserver en toute sécurité et le restaurer si nécessaire.

Bien entendu, l'option de sauvegarde automatique est préférable si vous souhaitez réduire au minimum les tâches de gestion de votre site web. Cependant, les sauvegardes automatiques sont généralement proposées par les fournisseurs d'hébergement en tant que fonctionnalités premium, ce qui augmente le coût total de la sécurisation de votre site web.

Vous pouvez envisager d'utiliser stockage d'objets dans le nuage pour la sauvegarde.

Utiliser un fournisseur d'hébergement fiable

Un service d'hébergement web fiable est nécessaire pour garantir le bon fonctionnement et la rapidité de votre site web, mais aussi pour être sûr qu'il ne sera pas piraté. La plupart des avis sur l'hébergement web vous donneront des chiffres et des comparaisons sur la vitesse, le temps de fonctionnement et l'assistance à la clientèle, mais en ce qui concerne la sécurité du site web, certains aspects doivent être soigneusement observés et vous devez vous renseigner auprès de votre fournisseur avant de faire appel à ses services :

  • Sécurité des logiciels : vous devez savoir comment sont gérées les mises à jour des logiciels ; par exemple, si tous les logiciels sont mis à jour automatiquement ou si chaque mise à jour fait l'objet d'un processus de test avant d'être déployée.
  • Protection DDoS : si ce type de protection est inclus dans le service d'hébergement, demandez des détails sur la manière dont il est mis en œuvre, afin de vérifier s'il répond aux exigences de votre site web.
  • Disponibilité du SSL et assistance : étant donné que, dans la plupart des cas, les certificats sont gérés par le fournisseur d'hébergement, vous devez vérifier le type de certificat qu'il propose et la politique de renouvellement des certificats.
  • Sauvegarde et restauration : de nombreux fournisseurs d'hébergement proposent un service de sauvegarde automatisé, ce qui est une bonne chose car cela vous permet pratiquement d'oublier de faire des sauvegardes, de les stocker et de les mettre à jour. Prenez toutefois en compte le coût d'un tel service et comparez-le à l'effort que vous devrez fournir pour sauvegarder vous-même votre contenu.
  • Protection contre les logiciels malveillants : un fournisseur d'hébergement fiable doit protéger ses serveurs contre les logiciels malveillants en effectuant des analyses périodiques et en contrôlant l'intégrité des fichiers. Dans le cas d'un hébergement partagé, il est souhaitable que le fournisseur d'hébergement utilise l'isolation des comptes, afin d'empêcher les infections par des logiciels malveillants de se propager entre les sites web voisins.
  • Protection par pare-feu : un fournisseur d'hébergement peut accroître le niveau de sécurité des sites web qu'il héberge en déployant un pare-feu qui empêche le trafic hostile d'entrer.

Consultez le site plate-forme d'hébergement de sites statiques fiable.

Appliquer une politique de mot de passe fort

Comme un site statique n'a pas de base de données ou de système de contenu géré, il y a moins de noms d'utilisateur et de mots de passe à gérer. Mais vous devez toujours appliquer une politique de mot de passe pour les comptes d'hébergement ou FTP que vous utiliserez pour mettre à jour le contenu statique.

Les bonnes pratiques en matière de mots de passe sont notamment les suivantes :

  • Les changer périodiquement
  • Définition d'une longueur minimale pour le mot de passe.
  • Utilisation de combinaisons de lettres majuscules/minuscules, de caractères spéciaux et de chiffres
  • Évitez de les communiquer par courrier électronique ou par SMS.

De même, le mot de passe par défaut des comptes administratifs doit être modifié dès le départ - il s'agit d'une erreur courante que les pirates peuvent facilement exploiter. N'ayez pas peur de perdre votre mot de passe. gestionnaire de mot de passe pour les gérer en toute sécurité.

Soyons statiques

Il y a quelques années, le contenu dynamique était à l'honneur : tout pouvait être facilement modifié et mis à jour, ce qui permettait de remanier entièrement un site web en quelques secondes. Mais ce n'est pas tout, vitesse est devenu la priorité absolue, et le contenu statique est soudainement redevenu cool.

En ce sens, toutes les pratiques de sécurité des sites web devraient être réévaluées - il y a certes moins d'aspects à prendre en compte, mais il ne faut pas se relâcher pour autant. Cette liste de meilleures pratiques vous aidera certainement à créer votre propre liste de contrôle pour garder votre site Web sécurisé. site web statique sain et sauf.

  • Geekflare Editorial
    Auteur
Marqué comme
Merci à nos sponsors
Autres lectures sur la sécurité
Alimentez votre entreprise
Quelques outils et services pour aider votre entreprise à se développer.
  • Invicti
    Invicti utilise le Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Brightdata
    Web scraping, proxy résidentiel, proxy manager, web unlocker, search engine crawler, et tout ce dont vous avez besoin pour collecter des données web.
    Essayez Brightdata
  • Lundi.com
    Monday.com est un système d'exploitation tout-en-un qui vous aide à gérer vos projets, vos tâches, votre travail, vos ventes, votre CRM, vos opérations, vos flux de travail et bien plus encore.
    Essayez le lundi
  • Intrus
    Intruder est un scanner de vulnérabilité en ligne qui détecte les faiblesses de votre infrastructure en matière de cybersécurité, afin d'éviter des violations de données coûteuses.
    Essayer l'intrus