Ces dernières années, le nombre de sites Web a littéralement explosé. Cela tient notamment au fait que des outils simples à manier, ne demandant pas de connaissances techniques et toujours meilleur marché sont disponibles pour créer des sites Internet. Les systèmes de gestion de contenu (content management systems, CMS) permettent de créer et de publier un site en quelques clics. Il en existe aujourd’hui des dizaines, utilisés aussi bien par les particuliers ou les PME que par les grandes entreprises.
Leur popularité croissante suscite également l'intérêt des cybercriminels, qui consacrent d’autant plus d’énergie et d’efforts à la recherche de failles de sécurité qu’un logiciel est répandu et donc que le nombre de victimes potentielles est important. A l’instar des CMS, tout logiciel peut comporter des failles de sécurité et aucun produit n'est sûr à 100 %. En outre, les développeurs de logiciels introduisent constamment de nouvelles fonctions. Or, à chaque ligne de code supplémentaire, non seulement le nombre de fonctions augmente, mais également la complexité du logiciel et, avec elle, le risque de failles de sécurité.
Il est possible de réduire drastiquement les attaques sur les CMS en procédant régulièrement à des mises à jour de sécurité. Il existe également de nombreuses autres mesures qui contribuent à renforcer la sécurité des CMS.
Gestion des correctifs logiciels (patch management)
Les mises à jour disponibles doivent être installées sans délai. Un grand nombre de fabricants de logiciels offrent la possibilité de mettre à jour automatiquement leurs produits. Activez cette fonction si elle est disponible pour ne plus avoir à vous soucier de l'installation des mises à jour.
Authentification à deux facteurs
En plus de l’authentification usuelle (nom d’utilisateur et mot de passe), l'OFCS recommande la mise en place d’une authentification à deux facteurs pour l’accès à l’interface d’administration. Ce mot de passe à usage unique (one time password, OTP) peut par exemple être généré avec Google Authenticator.
Une application installée sur votre téléphone mobile génèrera un nouvel OTP toutes les 60 secondes. Google Authenticator peut être implémenté sur le serveur Web (CMS) grâce à un module (plug-in) qui est déjà disponible pour de nombreux CMS tels que Wordpress ou Typo3.
Restriction de l’accès administrateur à certaines adresses IP
Une telle restriction peut s'appliquer en fonction d'adresses IP précises, de plages d’adresses ou de la géolocalisation. Des modules spécifiques existent déjà pour de nombreux CMS.
Restriction de l’accès administrateur grâce à des fichiers .htaccess sur le serveur Apache
Cette solution présente l’avantage non seulement de permettre la restriction à une plage d’adresses IP, mais également de permettre l'implémentation d'une méthode d'authentification d'accès de base (basic authentication) supplémentaire (nom d’utilisateur et mot de passe).
Sécurisation de l'ordinateur de l'administrateur
Les sites Web et les CMS sont souvent infectés à la suite d’un vol de données d’accès FTP, ce qui se produit souvent à cause d’un cheval de Troie envoyé sur l'ordinateur de l'administrateur du site. Il appartient donc à ce dernier d’éviter qu’une telle infection ne se produise et de se protéger à l’aide d’un logiciel antivirus à jour. Par ailleurs, il est recommandé dans la mesure du possible de crypter les liaisons FTP (utilisation de sFTP).
Pare-feu pour applications Web
Il est possible de bloquer les attaques sur le Web à l’aide d’un pare-feu pour applications Web (web application firewall) avant qu'elles n’atteignent l’application visée. Il existe de nombreuses solutions, mais la solution à source ouverte (open source) la plus connue est ModSecurity.
Détection précoce des failles de sécurité
Le but est de détecter les failles de sécurité potentielles sur son propre site Web avant que les criminels ne le fassent. Il existe là aussi sur Internet de multiples solutions payantes ou gratuites.
