La sécurité de votre site web est de la plus haute importance pour le bien de l'investissement que vous avez fait dans votre site et des utilisateurs qui l'utilisent. Tous les sites en ligne sont soumis aux dangers du web et doivent prendre des mesures de sécurité et de conformité. les données des utilisateurs.
Si votre site était piraté, toutes les données de vos utilisateurs seraient en danger, ce qu'il vous incombe de protéger et vous pouvez engager votre responsabilité à l'égard de ces utilisateurs. Le site piraté pourrait être utilisé pour endommager les ordinateurs des visiteurs ou pour envoyer des messages non sollicités en masse, ce qui ternirait le nom de votre entreprise. Pire encore, si vous n'êtes pas conforme ou si vous vous faites pirater, votre site risque d'être désindexé des moteurs de recherche, ou de ne plus être accessible. sur une liste noire d'envoi de courriels.
Bien qu'il soit pratiquement impossible de rendre votre site 100% sûr, nous essaierons de vous présenter quelques-unes des mesures essentielles que vous pouvez prendre pour assurer la sécurité de votre site et respecter les exigences modernes en matière de conformité. La gestion de la sécurité et de la conformité est un élément essentiel de la construction d'un site. Si vous n'êtes pas en mesure de répondre aux besoins en matière de sécurité, vous devriez faire appel à une aide professionnelle pour assurer la conformité et la sécurité de votre site.
Fonctionnalités de sécurité de MemberMouse
MemberMouse utilise les normes et les protocoles de sécurité les plus récents pour les mots de passe, les licences et les transactions de paiement, et nous nous efforçons d'intégrer toutes les nouvelles versions des fonctions de sécurité améliorées. Votre site Web MemberMouse et nos serveurs ne stockeront jamais les informations de paiement de vos clients ; ces informations sont stockées sur les serveurs de votre organisme de paiement.
MemberMouse est livré prêt à l'emploi avec plusieurs options permettant de renforcer la sécurité de votre site :
- Protection contre le partage de compte (activée par défaut) permet de limiter le nombre d'adresses IP pouvant accéder à un compte sur une période de 24 heures.
- MemberMouse peut être intégré à Éléments de rayuresqui est le dernier en date des Paiement 3D Secure La technologie de sécurité de Stripe, qui est conforme à la norme PCI la plus stricte, est Prêt pour le SCA. Le paiement 3D Secure est obligatoire pour les clients de l'Espace économique européen (EEE) afin d'être conforme. Les informations relatives aux cartes de crédit et à la facturation sont envoyées directement à Stripe et n'entrent jamais en contact avec vos serveurs.
- Lorsque vous utilisez Stripe Connect dans la version 2.4.3+, vos clés Stripe sont stockées en toute sécurité séparément du site web sur lequel elles sont installées, ce qui permet une prévention d'accès à toute épreuve.
- MemberMouse peut être intégré à Authorize.net CIM, Cela permettra d'activer le gestionnaire d'informations client qui stocke les détails du client sur les serveurs d'Authorize.net. En outre, l'échange de jetons Accept.js a été incorporé dans notre intégration CIM Authorize.net, de sorte que les informations relatives aux cartes de crédit et à la facturation sont envoyées directement à Authorize.net et n'entrent jamais en contact avec vos serveurs.
- MemberMouse peut être intégré à Braintree, qui comprend Paiement 3D Secure Le système d'encaissement 3D Secure 2.0 est conforme aux normes PCI les plus strictes et est prêt pour le SCA. Le paiement 3D Secure est obligatoire pour les clients de l'Espace économique européen (EEE) afin d'être conforme. Les informations relatives aux cartes de crédit et à la facturation sont envoyées directement à Braintree et n'entrent jamais en contact avec vos serveurs.
- Intégration du plugin Limit Login Attempts - Par défaut, WordPress autorise un nombre illimité de tentatives de connexion. Nous avons mis en place une intégration avec le plugin plugin Limiter les tentatives de connexion qui vous permettra de configurer votre site de manière à ce qu'une adresse internet ne puisse plus faire de tentatives après qu'une limite de tentatives spécifiée a été atteinte, ce qui rendra une attaque par force brute difficile, voire impossible.
- Lors de la création d'un utilisateur ou de la réinitialisation d'un mot de passe, MemberMouse impose un mot de passe d'une force minimale de 8 caractères. MemberMouse prend également en charge l'ajout d'un cFiltre personnalisé qui permet d'évaluer le mot de passe en fonction d'exigences personnalisées que vous pouvez définir.
- La caisse peut être configurée pour utiliser V3 de Google ReCaptcha qui est la dernière version d'un système invisible qui réduit au minimum les inscriptions de robots et d'escrocs.
- membermouse.com ne stocke pas et n'a pas accès aux données de l'utilisateur ni aux informations relatives aux cartes de crédit.
- MemberMouse est conforme au GDPR et a pour gérer les demandes relatives au GDPR.
- MemberMouse utilise la fonctionnalité de mot de passe standard de WordPress, ce qui vous permet de savoir que vous disposerez toujours des fonctionnalités les plus récentes et les plus performantes en matière de stockage et de gestion des mots de passe.
- MemberMouse est régulièrement mis à jour et est compatible avec les dernières versions de PHP.
Sécurité de l'hébergement
La plupart des hébergements modernes disposent des éléments de base nécessaires pour assurer la sécurité de votre serveur grâce à des outils tels que Modsecurity ou (WAF) web application firewalls. Vous ne devriez jamais utiliser un hébergement bon marché ou un hébergement revendeur de bas niveau qui n'a peut-être pas mis en place de protocoles pour assurer la sécurité de votre serveur, ou qui n'est pas en mesure de répondre aux demandes d'urgence que vous pourriez avoir.
Étant donné que votre hébergeur devrait déjà disposer de protocoles et de modules communs pour assurer la sécurité de votre serveur, c'est à vous qu'incombe une grande partie des responsabilités en matière de sécurité de votre serveur. Il est malheureusement courant que de nombreux propriétaires de sites ne prennent pas en compte les dangers potentiels lors de la configuration de leur pack d'hébergement et une mauvaise gestion de l'hébergement est à l'origine de 41% de la plupart des piratages. Pour vous aider à assurer la sécurité de votre serveur, voici quelques éléments qui sont souvent négligés et qui peuvent être pris en charge afin d'assurer la sécurité de votre serveur :
- Utiliser un protocole de mot de passe fort de vous connecter à votre plan d'hébergement avec un mélange de lettres, de chiffres et de caractères, et de ne jamais utiliser de mots que l'on peut trouver dans le dictionnaire.
- Supprimez tous les comptes FTP lorsqu'ils ne sont pas utilisés. De nombreux hôtes permettent de fermer les comptes FTP lorsqu'ils ne sont pas utilisés. Là encore, utilisez des protocoles de mots de passe forts lors de la mise en place de cette procédure.
- Tous les comptes de courrier électronique associés au site web ou se trouvant sur le serveur doivent être dotés de protocoles de mots de passe robustes. Si ces comptes sont piratés, ils peuvent être utilisés pour accéder au site et causer des dommages, ainsi que pour envoyer des courriels non sollicités.
- Vérifiez régulièrement que votre gestionnaire de fichiers ne présente pas d'irrégularités. Souvent, les sauvegardes ou les fichiers de base de données sont situés dans le répertoire public_html, ce qui les rend accessibles au public. Ces sauvegardes peuvent être téléchargées facilement et toutes les informations sécurisées de votre site s'y trouvent, y compris l'accès à la base de données et les mots de passe des administrateurs. Gardez votre système de fichiers en ordre et ne stockez que les fichiers nécessaires au fonctionnement de votre site.
- Vérifiez souvent que les droits d'accès aux fichiers et aux dossiers sont correctement définis. Les fichiers, y compris votre fichier .htaccess et votre fichier wp-config, doivent avoir une autorisation de 644, tandis que vos dossiers doivent avoir une autorisation de 755. Les fichiers peuvent être ajustés à la mauvaise permission lorsque certaines actions sont effectuées dans votre panneau d'administration WordPress, il est donc important de les vérifier régulièrement.
- Assurez-vous que votre serveur crée des sauvegardes régulières auxquelles vous pouvez accéder. Ne comptez pas sur les plugins pour gérer les sauvegardes, car ils ne sont pas fiables et ne fonctionnent souvent pas avec MemberMouse.
- Effectuez des audits annuels du logiciel de votre serveur pour vous assurer que vous utilisez les dernières versions compatibles de PHP.
- Ne vous connectez jamais à votre serveur si vous pensez que votre ordinateur personnel est compromis. Vous devez utiliser un logiciel de sécurité compatible sur tout ordinateur que vous utilisez pour accéder à votre serveur et à votre site web. Il s'agit d'une méthode très courante de piratage de votre site ou de votre serveur.
Pour obtenir des conseils supplémentaires sur le choix d'un fournisseur d'hébergement ainsi que sur les exigences minimales pour l'exploitation de MemberMouse, vous pouvez consulter notre article Fournisseurs d'hébergement WordPress.
Sécurité de WordPress
Le Codex de WordPress contient un article très complet sur Durcissement de WordPress qui traite des vulnérabilités, de la définition d'autorisations sécurisées pour les fichiers, de la sécurisation de l'accès à la base de données et au panneau d'administration, et bien d'autres choses encore. Cet article est à lire absolument par tout propriétaire de site web qui souhaite en savoir plus sur la sécurité requise pour son site. La plupart des recommandations sont faciles à mettre en œuvre et peuvent sérieusement améliorer la santé et la sécurité de votre investissement.
Les mesures les plus importantes que vous pouvez prendre pour protéger votre WordPress sont les suivantes :
- Mots de passe : Exiger que tous les comptes d'administration utilisent un mot de passe protocole de mot de passe fort. Envisager d'utiliser Autorisation en 2 étapes pour empêcher l'accès à ces comptes. Un pirate qui accède à votre compte administrateur est en mesure d'installer des scripts malveillants qui peuvent potentiellement compromettre l'ensemble de votre serveur, faire en sorte que votre site web soit banni des moteurs de recherche et détruire votre site web et les données privées de ses utilisateurs.
Le compte de messagerie associé au compte d'administration doit également disposer de mots de passe forts et d'une autorisation en deux étapes, car ils peuvent être utilisés pour accéder facilement à votre installation WordPress.
- Mises à jour : 83% des sites web qui sont piratés n'ont pas été mis à jour correctement. C'est la mesure la plus importante que vous puissiez prendre pour sécuriser votre site web. Ne laissez jamais les mises à jour prendre du retard activer les mises à jour automatiques qui est une fonctionnalité intégrée à WordPress.
- L'ordre : Supprimez les plugins et les thèmes inutilisés. Vous souhaitez conserver un thème WordPress par défaut en plus de votre thème principal, mais tous les plugins inutilisés doivent être supprimés, à moins que vous ne prévoyiez de les réactiver prochainement.
Évaluez soigneusement si vous avez besoin d'un plugin. Moins il y en a, mieux c'est, et n'installez que des plugins régulièrement mis à jour et provenant d'un vendeur réputé.
Après avoir utilisé des plugins de migration, des plugins de base de données ou des plugins d'édition de fichiers, il convient de les supprimer rapidement. L'accès non autorisé à ces plugins peut s'avérer désastreux, car ils fournissent un chemin d'accès simple aux zones dont un pirate a besoin.
- Accès : Travaillez toujours sur votre site et votre serveur à partir d'un réseau de confiance. Évitez à tout prix l'internet des cafés ou le WIFI public.
Utiliser un Le plugin Limit Login permet de limiter les tentatives de connexion inhabituelles. Il est très fréquent que les identifiants de votre site web soient attaqués quotidiennement. L'utilisation d'un plugin de connexion bloquera les mauvaises tentatives de connexion et les empêchera d'essayer continuellement d'accéder à votre site.
Supprimer les comptes d'administration inutilisés dans WordPress.
Désactiver les éditeurs de thèmes et de plugins depuis le panneau d'administration de WordPress pour empêcher les modifications de fichiers en cas d'accès non autorisé à votre site.
SSL, HTTPS et conformité PCI
Tous les sites web, qu'ils acceptent des paiements ou non, devraient utiliser un SSL et être sécurisés par HTTPS. Les données de connexion, ainsi que le transfert d'informations à vos utilisateurs, doivent être sécurisés pour la protection de tous.
Les Normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble d'exigences visant à garantir que toutes les entreprises qui traitent, stockent ou transmettent des informations relatives aux cartes de crédit maintiennent un environnement sécurisé. Cela signifie non seulement que la loi vous oblige à installer correctement le protocole SSL sur votre site si vous avez un magasin ou un site d'adhésion, mais aussi que vous devez redoubler d'efforts pour sécuriser votre site web, et cet article couvre un grand nombre des mesures que vous pouvez prendre.
Si vous souhaitez apprendre comment installer un SSL sur votre site, nous avons un article détaillé ici avec les instructions sur la manière d'en installer un sur votre site.
Le simple fait de disposer d'un certificat SSL et d'utiliser le protocole HTTPS ne signifie pas nécessairement que vous serez entièrement conforme aux normes PCI. Les exigences varient en fonction du type d'entreprise, de la configuration technique et/ou du volume. Si vous avez des inquiétudes concernant la conformité PCI, il est préférable de vous adresser à votre prestataire de services de paiement ou à un expert PCI-DSS. Cet article est une bonne introduction au sujet et peut vous aider à comprendre quelles mesures supplémentaires vous devrez prendre, le cas échéant :
http://tomkconsulting.com/news049-PCI-Overview.htm
Ces guides PCI FAQ sont également succincts et utiles :
https://www.pcicomplianceguide.org/faq/#4
https://www.pcicomplianceguide.org/pci-saq-3-1-e-commerce-options-explained/
Sécurité des domaines et des DNS
La sécurisation du compte sur lequel votre domaine est listé (tel que Godaddy, Namecheap, etc.) doit être protégée par des protocoles de mots de passe forts et, lorsque cela est possible, par une connexion en deux étapes. En cas d'accès non autorisé aux paramètres DNS de votre domaine, un site web peut être modifié ou détourné, voire le domaine peut être volé. Un audit annuel du compte de votre domaine pour s'assurer que toutes les informations de contact associées au domaine sont à jour et exactes constitue une bonne protection et peut contribuer au maintien de la propriété.
La sécurité des DNS est moins souvent prise en compte, mais des conséquences graves peuvent survenir si votre DNS est détourné. Ces attaques peuvent rediriger le trafic entrant d'un site web vers une fausse copie du site, collectant des informations sensibles sur les utilisateurs et exposant les entreprises à une responsabilité majeure. L'un des moyens les plus connus pour La meilleure façon de se protéger contre les menaces DNS est d'adopter le protocole DNSSEC.
De nombreuses options sont disponibles pour la protection du DNS, mais Cloudflare est une excellente option car il ne protège pas seulement vos DNS, mais il peut protéger votre site contre les bots et permettre à toutes les ressources de votre serveur d'être utilisées par de vrais utilisateurs au lieu d'attaquer des bots. La grande variété d'options qu'ils offrent est excellente pour protéger votre site web et ils ont une variété de plans de prix, y compris gratuit.
En conclusion
Les mots de passe et les mises à jour sont la base de la sécurité et sont si souvent négligés ou leur importance ignorée. Souvent, les gens pensent que leur mot de passe est fort alors qu'en réalité, il a probablement été divulgué des centaines de fois sur le dark web et n'a aucune sécurité. Essayez de prendre l'habitude de mettre régulièrement à jour vos mots de passe partout et d'utiliser un gestionnaire de mots de passe fiable.
Suivez les mises à jour des logiciels du site web le plus rapidement possible. Non seulement cela vous aidera à assurer votre sécurité, mais cela résoudra souvent les problèmes que vous pouvez rencontrer avec votre logiciel ou vos plugins.
Si vous êtes malheureusement victime d'un piratage, faites appel à un professionnel fiable pour résoudre le problème et ne comptez jamais sur un simple plugin pour vous protéger ou "résoudre" le problème. Outre la suppression des logiciels malveillants et la prévention de leur réapparition, de nombreuses mesures peuvent être prises pour remédier à ces situations, notamment la nécessité de documenter la résolution du problème afin de supprimer l'inscription sur les listes noires des moteurs de recherche et des fournisseurs de courrier électronique.
Vous pouvez également être légalement tenu d'informer les membres de votre site de la violation et l'aide d'un professionnel pour mener à bien le projet fastidieux de notification à votre base de membres, le jargon requis et ce qui a été violé s'avérera inestimable.
Le simple fait de s'informer sur l'importance de la sécurité est également un excellent point de départ. Vous trouverez ci-dessous des références aux données utilisées dans cet article, ainsi que d'autres ressources intéressantes pour en savoir plus sur la sécurité.
- Comment les sites web sont-ils piratés ?
- Comment améliorer la sécurité de WordPress [Infographie]
- Durcissement de WordPress
- Authentification en deux étapes
- Configuration des mises à jour automatiques en arrière-plan
- Meilleures pratiques en matière de mots de passe
- WordPress Repository - Plugins étiquetés sécurité