La sécurisation d’un site Internet devient de plus en plus un argument pour adopter telle ou telle technologie. Une association, l’Open Web Application Security Project (OWASP), se réunit régulièrement pour travailler sur la sécurité des applications web depuis 2011. L’association a édité un document de 20 pages qui précise comment tester son site et corriger les failles en matière de sécurité. Il existe des gestes simples à suivre pour réussir son site avec un système de gestion de contenus ou Content Management System (CMS).
Table des matières
Un CMS en toute sécurité
Le community manager va veiller à faire régulièrement des mises à jour du CMS, des thèmes et des plugins. Lors des mises à jour, il veille à consulter tous les commentaires sur les différentes communautés qui réunissent les utilisateurs de CMS. C’est un excellent moyen de débusquer les failles critiques des CMS. Les thèmes premium gratuits cachent souvent des virus. L’utilisation d’une plateforme reconnue comme Orson.io vous prémunie contre les virus. Pour ne pas se faire pirater une session, n’utilisez pas le login « admin », sensibles aux attaques dites « force brute », préférez un mot de passe unique et complexe, qui peut être une phrase facile à mémoriser où vous remplacez certaines lettres par des chiffres ou des signes de ponctuation.
Ce qu’il faut vérifier sur son CMS
En matière de sécurité, il faut éviter de répondre aux injections SQL. Si une donnée non fiable est envoyée à un interprétateur dans une requête ou commande, les données hostiles de l’attaquant peuvent duper l’interprétateur. Il va alors être amené à exécuter des commandes néfastes ou à accéder à des données non autorisées. Parfois les fonctions relatives pour s’authentifier ne sont pas respectées correctement : cela permet une attaque du mot de passe, jeton de session ou une exploitation des erreurs d’implémentations. L’objectif est d’acquérir vos identités pour se servir de votre profil. Il est alors utile de ne pas taper l' »id session » dans l’url, de crypter les mots de passe et de préférer une navigation sécurisée type HTTPS au moment de saisir son mot de passe. La faille d’un CMS peut se situer au niveau du Cross-Site Scripting (XSS) : c’est le cas lorsque l’application accepte des données non fiables et les envoie à un navigateur web sans la bonne validation. XSS autorise alors les hackers d’exécuter un script dans votre navigateur pour détourner des sessions utilisateurs, modifier la page du site internet ou rediriger l’internaute vers des sites malveillants.
Moins de vulnérabilité avec un CMS sécurisé
D’autres dangers existent comme les références directes non sécurisées à un objet, une mauvaise configuration sécurité avec des logiciels non mis à jour régulièrement, et une exposition de données sensibles comme les informations d’authentification, les numéros de carte de crédit ou les identifiants pour les impôts. Enfin, il faudra bien contrôler l’accès au niveau fonctionnel, contrôler les requêtes intersites ou Cross Site Request Forgery (CSRF), veiller aux composants vulnérables comme les bibliothèques et les modules logiciels. Les redirections et renvois non valides permettent aussi aux hackers de renvoyer ces pages vers des sites de malware ou de phishing. Enfin, Stan, CEO d’Orson suggère aux gestionnaires de CMS de « respecter à la fois les mises à jour et les backup réguliers afin de ne pas diffuser de virus à ses clients, de se faire détourner des comptes clients et de se faire détourner du contenu au risque d’être blacklisté par Google ».
Pour en savoir plus : OWASP