Lors de la création d’un site internet, il est important d’apporter de sécuriser ce dernier pour éviter les pertes de données et les accès indésirables.
En effet, il est “hébergé” chez un fournisseur dont la responsabilité se limite à son hébergement. Certains hébergeurs, proposent gratuitement des outils pour sécuriser les sites internet et faciliter la vie des Webmasters. Comme exemples d’hébergeurs, nous pouvons citer par exemple Ovh, Nordnet …
Si une personne mal intentionnée accède à votre site de manière frauduleuse, il peut le rendre complètement inutilisable. Il est alors important de pouvoir revenir à la situation antérieure, “quand le site fonctionnait”, dans les plus brefs délais.
La majorité des sites internet sont crées grâce à un CMS (Content Management System). Ce CMS permet d’écrire des pages, des articles … en se s’affranchissant de l’affichage et de la mise en forme du site dont il est responsable. Le CMS se charge de la présentation. Les CMS les plus courants du marché sont gratuits et sont Joomla, WordPress, Prestashop, Drupal …
Un site internet “servi” par un CMS se compose de deux parties :
Les fichiers
Les fichiers sont stockés (enregistrés) chez l’hébergeur, sur un ou plusieurs disques durs, de façon transparente. A chaque appel au site internet via l’adresse www.monsite.fr, les fichiers sont exécutés ou lus.
La base de données
La base de données est un logiciel proposé par l’hébergeur qui sert à stocker les données nécessaires au bon fonctionnement des fichiers, et du CMS en général. Ainsi, sont stockés les utilisateurs (les personnes qui peuvent écrire des pages), leurs droits (un utilisateur peut lire ou écrire ou les lire et écrire …), …
Sécuriser les fichiers
Pour sécuriser les fichiers, il est nécessaire d’assurer une sauvegarde de ces derniers via ftp. ftp est un protocole de communication qui permet d’accéder via un logiciel tel que Filezilla à la structure du site sur le/les disques durs du site internet stockés chez l’hébergeur. Une copie régulière de tous ces fichiers vers votre ordinateur personnel est impérative ! Certains hébergeurs proposent néanmoins de garder un historique de la structure de vos fichiers. Vous pouvez ainsi facilement revenir à la situation à J-1, J-2 …
Sécuriser la base de données
La base de données se sécurise via une sauvegarde de base de données. L’hébergeur fournit des outils dans ce but. La plupart des hébergeurs utilisent la base de données MySQL qu l’on peut sauvegarder avec phpMyAdmin.
Sécuriser les URLS
Chaque CMS possède son propre lien vers son interface d’administration, interface qui sert à l’écriture d’articles, de pages … Ainsi, sous WordPress, le lien vers l’administration est www.monsite.fr/wp-admin.
Ainsi, voici la procédure pour la protéger :
- Sur le lien à protéger (ici www.monsite.fr/wp-admin), il faut positionner un fichier (test.php par exemple) contenant les lignes suivantes :
<?php
echo realpath(“path.php”);
?>
- Aller d’abord sur www.monsite.fr/wp-admin et lancer www.montesite.fr/wp-admin/test.php
=> Le navigateur répond en affichant le chemin “réel” sur les disques durs de l’hébergeur : ex : /home/lienSiteweb/
- Créer un fichier nommé “.htaccess” contenant :
<Files .htaccess>
order allow,deny
deny from all
</Files>
AuthName “Administration protégée”
AuthType Basic
AuthUserFile “/home/lienSiteweb/www/wp-admin/.htpasswd”
Require valid-user
- Le déposer via ftp sur le répertoire www.montesite.fr/wp-admin/
- Créer un fichier .htpasswd contenant une seule ligne : Utillisateur:0.smAErtFDfdU
- “Utilisateur” est le nom de l’utilisateur qu’il vous faudra écrire chaque fois que vous irez sur www.monsite.fr/wp-admin, avant d’arriver sur la saisie des login/mots de passe du CMS à proprement parler.
- “:” est un séprateur à ne pas oublier
- “0.smAErtFDfdU” est le mot de passe encodé en MD5. Le site httpss://shop.alterlinks.com/htpasswd/passwd.php propose gratuitement de générer ce type de mot de passe à insérer dans le fichier .htpasswd
- Enfin, le déposer via ftp sur le répertoire www.montesite.fr/wp-admin/
Si tout fonctionne normalement, lors de l’accès à www.montesite.fr/wp-admin/, une boite vous propose de rentrer vos identifiants de connexion.
Pour finir, vous pourrez ensuite rentrer vos identifiants de connexion au CMS à proprement parler.