Les sites Web statiques stockent du contenu déjà rendu, c'est pourquoi ils n'ont pas besoin d'accéder à une base de données, d'exécuter des scripts complexes ou de dépendre d'un moteur d'exécution chaque fois qu'un utilisateur demande une page.

Cela se traduit par des avantages évidents temps de chargement et sécurité: les pages statiques font gagner beaucoup de temps au serveur et présentent moins de vulnérabilités. Cela signifie à son tour que les moteurs de recherche classeront les pages statiques mieux que leurs équivalents dynamiques.

Les experts en référencement se tournent vers le contenu statique chaque fois qu'ils le peuvent, pour mieux rivaliser dans un monde où une fraction de seconde peut faire la différence entre un succès total et un échec total. Le déploiement de contenu statique est devenu un mot à la mode entre les stratèges marketing et le personnel informatique aime avoir un endroit moins vulnérable à surveiller.

Mais attention, ils ne sont pas 100% à l'épreuve du piratage, donc si vous prévoyez de déployer du contenu statique sur votre site Web, vous devez suivre certaines des meilleures pratiques pour le protéger.

Use Security HTTP Headers

En-têtes de sécurité sont un sous-ensemble d'en-têtes de réponse HTTP - un ensemble de métadonnées, de codes d'erreur, de règles de cache, etc. que le serveur Web ajoute au contenu qu'il sert - conçus pour indiquer au navigateur ce qu'il doit faire et comment gérer le contenu qu'il reçoit. Tous les navigateurs ne prennent pas en charge tous les en-têtes de sécurité, mais il existe un petit ensemble qui est assez courant et fournit des mesures de sécurité de base pour empêcher les pirates d'exploiter les vulnérabilités.

X-Frame-Options: SAMEORIGIN

L'en-tête X-Frame-Options est destiné à désactiver ou à atténuer les risques imposés par les iframes sur votre site. Les iframes peuvent être utilisés par les pirates pour saisir des clics légitimes et diriger les visiteurs vers l'URL de leur choix. Il existe différentes manières d'éviter l'utilisation abusive des iframes.

La meilleure pratique recommandée par OWASP (Open Web Application Security Project) suggère d'utiliser cet en-tête avec le SAMEORIGINE paramètre, qui permet l'utilisation d'iframes uniquement par quelqu'un de la même origine. D'autres options sont DENY, pour désactiver complètement les iframes, et ALLOW-FROM, pour autoriser uniquement des URL spécifiques à placer des pages sur des iframes.

Consultez le guide de mise en œuvre pour Apache et Nginx.

Protection X-XSS: 1; mode = bloc

L'en-tête X-XSS-Protection est conçu pour protéger les sites Web script inter-site. Cette fonctionnalité d'en-tête peut être implémentée de deux manières:

  • Protection X-XSS: 1
  • Protection X-XSS: 1; mode = bloc

Le premier est plus permissif, filtrant les scripts de la requête vers le serveur Web mais restituant la page quand même. La seconde méthode est plus sécurisée car elle bloque toute la page lorsqu'un script X-XSS est détecté dans la requête. Cette deuxième option est la meilleure pratique recommandée par l'OWASP.

Options de type de contenu X: nosniff

Cet en-tête empêche l'utilisation de MIME «Reniflement» - une fonctionnalité qui permet au navigateur d'analyser le contenu et de répondre différemment de ce que l'en-tête indique. Lorsque cet en-tête est présent, le navigateur doit définir le type de contenu comme indiqué, au lieu de l'inférer en «reniflant» le contenu à l'avance.

Si vous appliquez cet en-tête, vous devez vérifier que vos types de contenu sont correctement appliqués sur chaque page de votre site Web statique.

Type de contenu: texte / html; charset = utf-8

Cette ligne est ajoutée aux en-têtes de requête et de réponse des pages HTML depuis la version 1.0 du protocole HTTP. Il établit que toutes les balises sont rendues dans le navigateur, affichant le résultat sur la page Web.

Use TLS certificates

Un certificat SSL / TLS est indispensable pour tous les sites Web, car il permet au serveur Web de crypter les données qu'il envoie au navigateur Web via le protocole HTTPS sécurisé. De cette façon, si les données sont interceptées lors de leur voyage, elles seront illisibles, ce qui est essentiel pour protéger confidentialité de l'utilisateur et pour sécuriser le site Web. Un site Web statique ne stocke pas les informations personnelles de ses visiteurs, mais il est essentiel que les informations qu'ils demandent ne puissent pas être vues par des observateurs indésirables.

L'utilisation du cryptage par un site Web est nécessaire pour être marqué comme site sûr par la plupart des navigateurs Web et est obligatoire pour les sites Web qui cherchent à se conformer au règlement général sur la protection des données (RGPD) de l'UE. La loi ne stipule pas spécifiquement qu'un certificat SSL doit être utilisé, mais c'est le moyen le plus simple de répondre aux exigences de confidentialité du règlement.

En termes de sécurité, le certificat SSL permet aux autorités de vérifier la propriété d'un site Web et d'empêcher les pirates de créer de fausses versions de celui-ci. L'utilisation d'un certificat SSL permet au visiteur du site Web de vérifier l'authenticité de l'éditeur et d'avoir la certitude que personne ne peut espionner ses activités sur le site.

La bonne nouvelle est que le certificat ne coûte pas cher. En fait, vous pouvez l'obtenir GRATUITEMENT à partir de Zéro SSL ou achetez-en un premium chez Magasin SSL.

Deploy DDoS protection

Les attaques par déni de service distribué (DDoS) sont de plus en plus courantes de nos jours. Dans ce type d'attaque, un ensemble d'appareils distribués est utilisé pour submerger un serveur avec un flot de requêtes, jusqu'à ce qu'il soit saturé et refuse tout simplement de fonctionner. Peu importe que votre site Web ait un contenu statique - son serveur Web pourrait facilement être victime d'une attaque DDoS si vous ne prenez pas les mesures nécessaires.

Le moyen le plus simple de mettre en œuvre la protection DDoS sur votre site Web consiste à demander à un fournisseur de services de sécurité de prendre en charge toutes les cybermenaces. Ce service fournira la détection d'intrusion, les services antiviraux, l'analyse des vulnérabilités, etc., de sorte que vous n'avez pratiquement pas à vous soucier des menaces.

Une solution aussi complète pourrait être coûteuse, mais il existe également des solutions plus ciblées à moindre coût, telles que la protection DDoS en tant que service (DPaaS). Vous devez demander à votre hébergeur s'il propose un tel service.

Des solutions plus abordables sont protection DDoS basée sur le cloud des services, tels que ceux proposés par Akamai, Sucuriou Cloudflare. Ces services fournissent une détection et une analyse précoces des attaques DDoS, ainsi que le filtrage et le détournement de ces attaques, c'est-à-dire le réacheminement du trafic malveillant loin de votre site.

Lorsque vous envisagez une solution anti-DDoS, vous devez faire attention à la capacité de son réseau: ce paramètre indique l'intensité d'attaque que la protection peut supporter.

Avoid Vulnerable JavaScript Libraries

Même si votre site Web a un contenu statique, il peut utiliser Bibliothèques JavaScript qui imposent des risques de sécurité. On considère généralement que 20% de ces bibliothèques rendent un site Web plus vulnérable. Heureusement, vous pouvez utiliser le service fourni par Vulnérabilité DB pour vérifier si une bibliothèque particulière est sûre ou non. Dans sa base de données, vous pouvez trouver des informations détaillées et des conseils sur de nombreuses vulnérabilités connues.

Outre la vérification d'une bibliothèque particulière pour les vulnérabilités, vous pouvez suivre cette liste de bonnes pratiques pour les bibliothèques JavaScript qui permettront de remédier à ses risques potentiels:

  • N'utilisez pas de serveurs de bibliothèque externes. Au lieu de cela, stockez les bibliothèques sur le même serveur qui héberge votre site Web. Si vous devez utiliser des bibliothèques externes, évitez d'utiliser des bibliothèques de serveurs sur liste noireet vérifiez régulièrement la sécurité des serveurs externes.
  • Utilisez la gestion des versions pour les bibliothèques JavaScript et assurez-vous d'utiliser la dernière version de chaque bibliothèque. Si la gestion des versions n'est pas une option, vous devez au moins utiliser des versions exemptes de vulnérabilités connues. Vous pouvez utiliser retraite.js pour détecter l'utilisation de versions vulnérables.
  • Vérifiez régulièrement si votre site Web utilise des bibliothèques externes que vous ne connaissez pas. De cette façon, vous saurez si un pirate a injecté des liens vers des fournisseurs de bibliothèques indésirables. Attaques par injection sont peu probables dans les sites Web statiques, mais il ne sera pas gênant d'effectuer cette vérification de temps en temps.

Implement Backup Strategy

Un site Web statique doit toujours avoir son contenu sauvegardé en toute sécurité chaque fois qu'il est modifié. Les copies de sauvegarde doivent être stockées en toute sécurité et facilement accessibles au cas où vous auriez besoin de restaurer votre site Web en cas de panne. Il existe de nombreuses façons de sauvegarder votre site Web statique, mais en général, elles peuvent être classées en manuel et en automatique.

Si le contenu de votre site Web ne change pas très souvent, une stratégie de sauvegarde manuelle peut être adéquate - il vous suffit de vous rappeler de faire une nouvelle sauvegarde chaque fois que vous apportez une modification au contenu. Si vous avez un panneau de contrôle pour gérer votre compte d'hébergement, il est très probable que dans ce panneau de contrôle, vous trouverez une option pour effectuer des sauvegardes. Sinon, vous pouvez toujours utiliser un client FTP pour télécharger tout le contenu du site Web sur un appareil local où vous pouvez le conserver en lieu sûr et le restaurer si nécessaire.

Bien entendu, l'option de sauvegarde automatique est préférable si vous souhaitez réduire au minimum les tâches de gestion de votre site Web. Mais les sauvegardes automatiques sont généralement proposées en tant que fonctionnalités premium par les fournisseurs d'hébergement, ce qui ajoute au coût total de la sécurisation de votre site Web.

Vous pouvez envisager d'utiliser stockage d'objets dans le cloud pour la sauvegarde.

Use a Reliable Hosting Provider

Un service d'hébergement Web fiable est nécessaire pour garantir que votre site Web fonctionnera correctement et rapidement, mais aussi pour être sûr qu'il ne sera pas piraté. La plupart des revues d'hébergement Web vous montreront des chiffres et des comparaisons sur la vitesse, la disponibilité et le support client, mais lorsque vous considérez la sécurité du site Web, certains aspects doivent être soigneusement observés et sur lesquels vous devriez vous renseigner auprès de votre fournisseur avant de louer son service:

  • Sécurité logicielle: vous devez savoir comment les mises à jour logicielles sont gérées; par exemple, si tous les logiciels sont mis à jour automatiquement ou si chaque mise à jour est soumise à un processus de test avant son déploiement.
  • Protection DDoS: dans le cas où ce type de protection est inclus avec le service d'hébergement, demandez des détails sur la façon dont elle est mise en œuvre, pour vérifier si elle répond aux exigences de votre site Web.
  • Disponibilité et support SSL: puisque dans la plupart des cas les certificats sont gérés par le fournisseur d'hébergement, vous devez vérifier quel type de certificat il propose et quelle est la politique de renouvellement de certificat.
  • Sauvegarde et restauration: de nombreux hébergeurs proposent un service de sauvegarde automatisé, ce qui est une bonne chose car il vous permet pratiquement d'oublier de faire des sauvegardes, de les stocker et de les mettre à jour. Mais tenez compte du coût d'un tel service et comparez-le aux efforts qu'il faudra pour garder votre contenu sauvegardé par vous-même.
  • Protection contre les logiciels malveillants: un fournisseur d'hébergement fiable doit protéger ses serveurs contre les logiciels malveillants, en effectuant des analyses périodiques des logiciels malveillants et en surveillant l'intégrité des fichiers. Dans le cas de l'hébergement partagé, il est souhaitable que le fournisseur d'hébergement utilise l'isolation de compte, pour empêcher les infections de logiciels malveillants de se propager entre les sites Web voisins.
  • Protection par pare-feu: un fournisseur d'hébergement peut augmenter le niveau de sécurité des sites Web qu'il héberge en déployant un pare-feu qui éloigne le trafic hostile.

Jetez un coup d'œil au plateforme d'hébergement de site statique fiable.

Enforce a Strong Password Policy

Puisqu'un site statique n'a pas de base de données ou de système de contenu géré, il a moins de noms d'utilisateur et de mots de passe à gérer. Mais vous devez toujours appliquer une politique de mot de passe pour les comptes d'hébergement ou FTP que vous utiliserez pour mettre à jour le contenu statique.

Les bonnes pratiques pour les mots de passe comprennent, entre autres:

  • Les changer périodiquement
  • Définition d'une longueur minimale de mot de passe.
  • Utilisation de combinaisons de lettres majuscules / minuscules avec des caractères spéciaux et des chiffres
  • Évitez de les communiquer par e-mail ou SMS.

De plus, le mot de passe par défaut des comptes administratifs doit être changé depuis le tout début - c'est une erreur courante que les pirates peuvent facilement exploiter. N'ayez pas peur de perdre votre mot de passe; utiliser un Password Manager pour les gérer en toute sécurité.

Soyons statiques

Il y a quelques années, le contenu dynamique était la voie à suivre: tout pouvait être facilement modifié et mis à jour, permettant une refonte complète d'un site Web en quelques secondes. Mais alors, vitesse est devenu la priorité absolue et le contenu statique est soudainement redevenu cool.

En ce sens, toutes les pratiques de sécurité du site Web devraient être réévaluées - il y a certainement moins d'aspects à prendre en compte, mais vous ne devriez pas vous détendre à ce sujet. Cette liste de bonnes pratiques vous aidera sûrement à créer votre propre liste de contrôle pour garder votre site statique sain et sauf.