Sécurité

Les bases de la sécurité des sites web pour les petites entreprises

9 min de lecture
Web Workmen
Les bases de la sécurité des sites web pour les petites entreprises

Vous verrouillez votre camion la nuit. Vous verrouillez votre atelier. Vous verrouillez la roulotte du chantier. Mais qu'en est-il de votre site web? La plupart des gens de métier ne pensent jamais à la sécurité de leur site web avant que quelque chose ne tourne mal — et à ce moment-là, c'est coûteux, embarrassant et long à réparer.

La sécurité d'un site web n'a pas besoin d'être compliquée. Voici les éléments essentiels dont chaque site web de petite entreprise a besoin, expliqués en termes simples.

Pourquoi les pirates ciblent les sites web des petites entreprises

Vous pourriez penser : « Pourquoi quelqu'un piraterait-il mon site web de plomberie? Je ne suis pas une banque. » Bonne question. Mais les pirates ne ciblent pas votre site web pour ce que vous avez — ils le ciblent pour ce qu'il peut faire pour eux.

Selon le rapport d'enquête sur les violations de données 2023 de Verizon, 43 % des cyberattaques ciblent les petites entreprises. Les sites web piratés sont utilisés pour :

  • Distribuer des logiciels malveillants à vos visiteurs (vos clients sont infectés)
  • Envoyer des courriels indésirables depuis votre domaine (votre réputation d'expéditeur est détruite)
  • Rediriger les visiteurs vers des sites d'arnaque, des pages de jeux de hasard ou pire
  • Héberger des pages de hameçonnage qui volent les numéros de carte de crédit
  • Miner de la cryptomonnaie en utilisant les ressources de votre serveur (et les navigateurs de vos visiteurs)

Les sites web de petites entreprises sont des cibles faciles car ils ont généralement des logiciels obsolètes, des mots de passe faibles et personne pour les surveiller. Un pirate informatique doté d'outils automatisés peut scanner des milliers de sites web par heure à la recherche de vulnérabilités connues.

Les indispensables : Essentiels de sécurité

1. Certificat SSL (HTTPS)

Si l'URL de votre site web commence par « http:// » au lieu de « https:// », vous avez un problème. Le « S » signifie « sécurisé » et cela indique que la connexion entre le navigateur de votre visiteur et votre site web est chiffrée.

Pourquoi c'est important :

  • Google Chrome (utilisé par 65 % des internautes) marque les sites HTTP comme « Non sécurisé » avec un avertissement visible. Cet avertissement seul fera fuir les clients.
  • Google a confirmé que HTTPS est un facteur de classement. Les sites HTTP sont pénalisés dans les résultats de recherche.
  • Si vous avez un formulaire de contact sur un site HTTP, les informations des clients (nom, téléphone, courriel) sont transmises en texte clair que n'importe qui sur le même réseau peut lire.

La solution : Les certificats SSL sont gratuits via des services comme Let's Encrypt, et la plupart des hébergeurs modernes les incluent automatiquement. Si votre hébergeur facture un supplément pour le SSL, c'est un signal d'alarme concernant votre hébergeur. Demandez à votre développeur web de le configurer — cela prend environ 15 minutes.

2. Maintenez vos logiciels à jour

Si votre site web fonctionne sur WordPress (environ 43 % de tous les sites web le font, selon W3Techs), le maintenir à jour est essentiel. Le noyau, les thèmes et les extensions WordPress reçoivent tous régulièrement des correctifs de sécurité. Utiliser des versions obsolètes, c'est comme laisser votre porte d'entrée déverrouillée.

La recherche de Sucuri a révélé que 39 % des sites WordPress piratés utilisaient des logiciels obsolètes au moment de la violation. Les mises à jour existent spécifiquement parce que des vulnérabilités de sécurité ont été découvertes — ne pas mettre à jour signifie que vous utilisez sciemment des logiciels avec des failles connues.

La solution : Connectez-vous à votre tableau de bord WordPress au moins une fois par mois et installez toutes les mises à jour disponibles. Ou mieux encore, activez les mises à jour automatiques pour les correctifs de sécurité. Si vous n'êtes pas à l'aise de le faire vous-même, assurez-vous que la personne qui gère votre site le fasse régulièrement.

3. Mots de passe robustes

Cela semble élémentaire parce que ça l'est, et pourtant « password123 » et « admin » figurent toujours parmi les mots de passe les plus courants trouvés sur les sites web piratés. Si le mot de passe de connexion de votre WordPress est le nom de votre entreprise, le nom de votre chien, ou tout ce qu'un humain pourrait deviner en cinq tentatives, changez-le dès aujourd'hui.

La solution : Utilisez un mot de passe d'au moins 12 caractères avec un mélange de lettres, de chiffres et de symboles. Mieux encore, utilisez un gestionnaire de mots de passe comme Bitwarden (gratuit) ou 1Password pour générer et stocker des mots de passe complexes. Et n'utilisez jamais le même mot de passe pour votre site web que celui que vous utilisez pour votre courriel ou votre banque.

4. Sauvegardes régulières

Si votre site web est piraté ou corrompu, une sauvegarde récente fait la différence entre une réparation de 30 minutes et la reconstruction de tout à partir de zéro.

La solution : Assurez-vous que votre site web est sauvegardé au moins une fois par semaine. De nombreux hébergeurs incluent des sauvegardes automatiques. Si le vôtre ne le fait pas, des extensions WordPress comme UpdraftPlus (gratuit) peuvent sauvegarder votre site sur Google Drive ou Dropbox automatiquement. Vérifiez que vos sauvegardes fonctionnent réellement en en restaurant une dans un environnement de test au moins une fois par an.

5. Supprimez les extensions et thèmes inutilisés

Chaque extension et thème WordPress installé sur votre site — même s'il n'est pas actif — est un point d'entrée potentiel pour les pirates. Les extensions qui n'ont pas été mises à jour par leurs développeurs depuis plus d'un an sont particulièrement risquées.

La solution : Allez dans votre tableau de bord WordPress, examinez vos extensions et thèmes installés. Supprimez tout ce que vous n'utilisez pas activement. Si vous avez 20 extensions et n'en utilisez que 8, les 12 autres ne font qu'ajouter du risque sans aucun avantage.

Signes d'alerte que votre site a été piraté

Parfois, les piratages sont évidents — votre page d'accueil est remplacée par un message dans une langue que vous ne comprenez pas. Mais souvent, les piratages sont subtils et vous pourriez ne pas les remarquer avant des semaines. Surveillez les points suivants :

  • Avertissement de recherche Google : Votre fiche indique « Ce site a peut-être été piraté » ou « Ce site peut endommager votre ordinateur »
  • Redirections étranges : Les visiteurs qui cliquent sur vos liens se retrouvent sur un site web différent
  • Nouveaux utilisateurs administrateurs : Vous voyez des comptes d'utilisateur dans votre tableau de bord WordPress que vous n'avez pas créés
  • Performances lentes : Un ralentissement soudain et inexpliqué peut indiquer que votre serveur est utilisé pour le minage de cryptomonnaie ou l'envoi de pourriels
  • Plaintes de clients : Des gens vous disent que votre site « a l'air bizarre » ou que leur antivirus l'a signalé
  • Courriels indésirables provenant de votre domaine : Vous commencez à recevoir des notifications d'échec de livraison pour des courriels que vous n'avez pas envoyés

Si vous soupçonnez que votre site a été piraté, agissez immédiatement. Mettez le site hors ligne, contactez votre fournisseur d'hébergement et faites appel à un professionnel de la sécurité. Plus un site piraté reste en ligne, plus il nuit à votre réputation et à votre classement Google.

L'avantage du site statique

Voici quelque chose que la plupart des gens ignorent : le site web le plus sécurisé est celui qui n'a aucun code côté serveur. Les sites web statiques — des sites construits avec des outils modernes qui génèrent de simples fichiers HTML — n'ont pratiquement aucune surface d'attaque. Il n'y a pas de base de données à pirater, pas de page de connexion à forcer, pas de plugins à exploiter.

Un site statique servi à partir d'un CDN comme Cloudflare est essentiellement impiratable par les méthodes traditionnelles. C'est la même approche utilisée par les grandes entreprises pour leurs sites marketing, et elle fonctionne à merveille pour les sites web d'entreprises de services. Aucune vulnérabilité WordPress, aucune mise à jour de plugin, aucun correctif de sécurité à craindre.

C'est l'une des raisons pour lesquelles nous construisons des sites statiques pour nos clients — non seulement ils sont plus rapides, mais ils sont aussi considérablement plus sécurisés que WordPress. Apprenez-en plus sur la façon dont nous construisons des sites web qui sont rapides et sécurisés par conception.

Votre liste de vérification de sécurité

Voici le minimum que tout site web de petite entreprise devrait avoir :

  1. Certificat SSL (HTTPS) — gratuit et non négociable
  2. Tous les logiciels mis à jour à la dernière version
  3. Mots de passe forts et uniques pour chaque compte
  4. Sauvegardes régulières stockées hors site
  5. Plugins et thèmes inutilisés supprimés
  6. Authentification à deux facteurs sur votre connexion administrateur
  7. Un service de surveillance qui vous alerte en cas de panne ou de changements

Rien de tout cela n'est cher. Rien de tout cela n'est compliqué. Mais l'ignorer est un pari qui devient plus risqué chaque année. Protégez votre site web de la même manière que vous protégez vos outils et votre camion. Contactez-nous si vous voulez un site web construit avec la sécurité comme fondation, et non comme une réflexion après coup.

Besoin d'un site web qui fonctionne vraiment pour votre métier?

Arrêtez de perdre des clients à cause d'un mauvais site web. Obtenez une soumission gratuite et sans engagement et voyez ce qu'un site moderne pourrait faire pour votre entreprise.

Obtenez votre soumission gratuite