Sécurité des sites d'affiliation : comment assurer la sécurité de votre site

La sécurité de votre site web est de la plus haute importance pour deux raisons principales : l'investissement que vous avez fait dans votre site et la protection de la vie privée des personnes qui l'utilisent. Tous les sites sur l'internet sont exposés à des risques et nécessitent des mesures spécifiques pour assurer leur sécurité et leur conformité. C'est particulièrement vrai pour les sites web qui hébergent données de l'utilisateur comme les sites d'adhésion ou de commerce électronique.

Si votre site web est piraté, toutes les données de vos utilisateurs sont en danger. Il vous incombe de protéger ces données et vous pouvez engager votre responsabilité à l'égard de ces utilisateurs. Le site piraté pourrait être utilisé pour endommager les ordinateurs des visiteurs ou pour envoyer des messages non sollicités en masse. Cela porterait directement préjudice à vos utilisateurs et ternirait la réputation de votre entreprise. Le pire, peut-être, est que le non-respect des règles (ou le piratage) peut entraîner la désindexation de votre site des moteurs de recherche du web et la perte de la réputation de votre entreprise. sur liste noire pour l'envoi de courriels.

C'est à craindre. Essayons d'éviter cela, d'accord ?

Bien qu'il soit pratiquement impossible de rendre votre site 100% sûr, nous ferons de notre mieux pour vous montrer quelques-uns des éléments essentiels pour sécuriser votre site et répondre aux exigences modernes de conformité. La gestion de la sécurité et de la conformité est une partie importante de la construction d'un site. Si vous ou votre équipe n'êtes pas en mesure de répondre aux besoins de sécurité, vous devriez envisager de faire appel à un professionnel pour vous aider à assurer la conformité et la sécurité de votre site.

Présentation des principales fonctions de sécurité de MemberMouse

MemberMouse utilise les normes et les protocoles de sécurité les plus récents pour les mots de passe, les licences et les transactions de paiement. Nous nous efforçons également d'intégrer les nouvelles versions des fonctions de sécurité améliorées. Ni votre site Web MemberMouse, ni nos serveurs ne stockeront jamais les informations de paiement de vos clients. Ces informations sont stockées sur les serveurs de votre organisme de paiement.

Dès sa sortie de l'emballage, MemberMouse propose plusieurs options pour renforcer la sécurité de votre site Web :

Comment MemberMouse gère la sécurité

Protection contre le partage de compte vous permet de limiter le nombre d'adresses IP pouvant accéder à un compte sur une période de 24 heures.

Éléments de rayures l'intégration : Les dernières nouveautés en matière de Sécurité de la caisse 3D Secure de Stripe. Cette technologie offre le plus haut niveau de conformité PCI et est Prêt pour le SCA. Le paiement 3D Secure est obligatoire pour les clients de l'Espace économique européen (EEE) afin d'être conforme. Les informations relatives aux cartes de crédit et à la facturation sont envoyées directement à Stripe et n'entrent jamais en contact avec vos serveurs.

Authorize.net CIM intégration : Cela permettra d'activer le gestionnaire d'informations client qui stocke les détails du client sur les serveurs d'Authorize.net. En outre, l'échange de jetons Accept.js a été incorporé dans notre intégration CIM Authorize.net, de sorte que les informations relatives aux cartes de crédit et à la facturation sont envoyées directement à Authorize.net et n'entrent jamais en contact avec vos serveurs.

Braintree l'intégration : Cela inclut le processus de paiement 3D Secure utilisant Hosted Fields / 3D Secure 2.0. et offre le plus haut niveau de conformité PCI et est prêt pour SCA. Le paiement 3D Secure est obligatoire pour les clients de l'Espace économique européen (EEE) afin d'être conforme. Les informations relatives aux cartes de crédit et à la facturation sont envoyées directement à Braintree et n'entrent jamais en contact avec vos serveurs.

Limiter les tentatives de connexion l'intégration du plugin : Par défaut, WordPress autorise un nombre illimité de tentatives de connexion. Nous avons mis en place une intégration avec le plugin Limit Login Attempts qui vous permettra de configurer votre site de manière à ce qu'une adresse internet ne puisse plus faire de tentatives après qu'une limite spécifiée de tentatives ait été atteinte, rendant ainsi une attaque par force brute difficile, voire impossible.

Un pas de plus vers la profondeur

Lors de la création d'un utilisateur ou de la réinitialisation d'un mot de passe, MemberMouse impose un mot de passe d'une force minimale de 8 caractères. MemberMouse prend également en charge l'ajout d'un filtre personnalisé qui permet d'évaluer le mot de passe en fonction d'exigences personnalisées que vous pouvez définir.

La caisse peut être configurée pour utiliser V3 de Google ReCaptcha qui est la dernière version d'un système invisible qui réduit au minimum les inscriptions de robots et d'escrocs.

MemberMouse.com ne stocke pas et n'a pas accès aux données de vos utilisateurs ni aux informations relatives aux cartes de crédit.

Notre plateforme est conforme au GDPR et a des fonctionnalités pour gérer les demandes relatives au GDPR.

MemberMouse utilise la fonctionnalité de mot de passe standard de WordPress, ce qui vous permet de savoir que vous disposerez toujours des fonctionnalités les plus récentes et les plus performantes en matière de stockage et de gestion des mots de passe.

MemberMouse est régulièrement mis à jour et est compatible avec les dernières versions de PHP.

L'ABC de la sécurité de l'hébergement web

La plupart des hébergements modernes disposent des éléments de base nécessaires pour assurer la sécurité de votre serveur grâce à des outils tels que Modsecurity ou (WAF) pare-feu d'application web. Ceci étant dit, vous ne devriez jamais utiliser un hébergement bon marché - ou un hébergement de revendeur de bas niveau - parce qu'ils peuvent ne pas avoir de protocoles en place pour garder votre serveur sécurisé, ou la capacité de répondre aux demandes d'urgence que vous pourriez avoir.

Étant donné que votre hébergeur devrait déjà disposer de protocoles et de modules communs pour assurer la sécurité de votre serveur, c'est à vous qu'incombe une grande partie des responsabilités en matière de sécurité de votre serveur. Malheureusement, il est courant que de nombreux propriétaires de sites ne prennent pas en compte les dangers potentiels liés à la mise en place de leur pack d'hébergement. Pour mettre les choses en perspective, une mauvaise gestion de l'hébergement est à l'origine de 41% de la plupart des piratages. Afin de garantir la sécurité de votre serveur, voici quelques mesures qui sont souvent négligées et que vous pouvez prendre pour rester en sécurité :

Comment assurer la sécurité de votre site

Utiliser un protocole de mot de passe fort pour vous connecter à votre plan d'hébergement avec un mélange de lettres, de chiffres et de caractères. N'utilisez jamais de mots qui se trouvent dans le dictionnaire.

Supprimez tous les comptes FTP lorsqu'ils ne sont pas utilisés. De nombreux hôtes permettent de fermer les comptes FTP lorsqu'ils ne sont pas utilisés. Là encore, utilisez des protocoles de mots de passe forts lors de la mise en place de cette procédure.

Tous les comptes de courrier électronique associés au site web ou se trouvant sur le serveur doivent être dotés de protocoles de mots de passe robustes. Si ces comptes sont piratés, ils peuvent être utilisés pour accéder au site et causer des dommages, ainsi que pour envoyer des courriels non sollicités.

Vérifiez régulièrement que votre gestionnaire de fichiers ne présente pas d'irrégularités. Souvent, les sauvegardes ou les fichiers de base de données sont situés dans le répertoire public_html, ce qui les rend accessibles au public. Ces sauvegardes peuvent être téléchargées facilement et toutes les informations sécurisées de votre site s'y trouvent, y compris l'accès à la base de données et les mots de passe des administrateurs. Gardez votre système de fichiers en ordre et ne stockez que les fichiers nécessaires au fonctionnement de votre site.

Conseils supplémentaires

Vérifiez souvent que les droits d'accès aux fichiers et aux dossiers sont correctement définis. Les fichiers, y compris votre fichier .htaccess et votre fichier wp-config, doivent avoir une autorisation de 644, tandis que vos dossiers doivent avoir une autorisation de 755. Les fichiers peuvent être ajustés à la mauvaise permission lorsque certaines actions sont effectuées dans votre panneau d'administration WordPress, il est donc important de les vérifier régulièrement.

Assurez-vous que votre serveur crée des sauvegardes régulières auxquelles vous pouvez accéder. Ne comptez pas sur les plugins pour gérer les sauvegardes, car ils ne sont pas fiables et ne fonctionnent souvent pas avec MemberMouse.

Effectuez des audits annuels du logiciel de votre serveur pour vous assurer que vous utilisez les dernières versions compatibles de PHP.

Ne vous connectez jamais à votre serveur si vous pensez que votre ordinateur personnel est compromis. Vous devez utiliser un logiciel de sécurité compatible sur tout ordinateur que vous utilisez pour accéder à votre serveur et à votre site web. Il s'agit d'une méthode très courante de piratage de votre site ou de votre serveur.

Pour obtenir des conseils supplémentaires sur le choix d'un fournisseur d'hébergement ainsi que sur les exigences minimales pour l'exploitation de MemberMouse, vous pouvez consulter notre article intitulé Fournisseurs d'hébergement WordPress.

Quelques points à connaître sur la sécurité de WordPress

Le Codex de WordPress contient un article très complet sur Durcissement de WordPress qui traite des vulnérabilités, de la définition d'autorisations sécurisées pour les fichiers, de la sécurisation de l'accès à la base de données et au panneau d'administration, et bien d'autres choses encore. Cet article est à lire absolument par tout propriétaire de site web qui souhaite en savoir plus sur la sécurité requise pour son site. La plupart des recommandations sont faciles à mettre en œuvre et peuvent sérieusement améliorer la santé et la sécurité de votre investissement.

Les mesures les plus importantes que vous pouvez prendre pour protéger votre WordPress sont les suivantes :

Mots de passe : Exiger que tous les comptes d'administration utilisent un mot de passe protocole de mot de passe fort. Envisager d'utiliser Autorisation en 2 étapes pour empêcher l'accès à ces comptes. Un pirate qui accède à votre compte administrateur est en mesure d'installer des scripts malveillants qui peuvent potentiellement compromettre l'ensemble de votre serveur, faire en sorte que votre site web soit banni des moteurs de recherche et détruire votre site web et les données privées de ses utilisateurs.

Le compte de messagerie associé au compte d'administration doit également disposer de mots de passe forts et d'une autorisation en deux étapes, car ils peuvent être utilisés pour accéder facilement à votre installation WordPress.

Mises à jour : 83% des sites web piratés ne sont pas correctement mis à jour. C'est la mesure la plus importante que vous puissiez prendre pour sécuriser votre site web. Ne laissez jamais les mises à jour prendre du retard en activant Mises à jour automatiques qui est une fonctionnalité intégrée à WordPress.

Rangement : Supprimez les plugins et les thèmes inutilisés. Vous souhaitez conserver un thème WordPress par défaut en plus de votre thème principal, mais tous les plugins inutilisés doivent être supprimés, à moins que vous ne prévoyiez de les réactiver prochainement.

Note de bas de page

Évaluez soigneusement si vous avez besoin d'un plugin. Moins il y en a, mieux c'est, et n'installez que des plugins régulièrement mis à jour et provenant d'un vendeur réputé.

Après avoir utilisé des plugins de migration, des plugins de base de données ou des plugins d'édition de fichiers, il convient de les supprimer rapidement. L'accès non autorisé à ces plugins peut s'avérer désastreux, car ils fournissent un chemin d'accès simple aux zones dont un pirate a besoin.

Accès : Travaillez toujours sur votre site et votre serveur à partir d'un réseau de confiance. Évitez à tout prix l'internet des cafés ou le WIFI public.

Utiliser un Limit Login plugin pour limiter les tentatives de connexion inhabituelles. Il est très fréquent que la connexion à votre site web soit attaquée quotidiennement, parfois des milliers de fois par jour. L'utilisation d'un plugin de connexion bloquera les mauvaises tentatives de connexion et les empêchera d'essayer continuellement d'accéder à votre site.

Supprimer les comptes d'administration inutilisés dans WordPress.

Désactiver les éditeurs de thèmes et de plugins depuis le panneau d'administration de WordPress pour empêcher les modifications de fichiers en cas d'accès non autorisé à votre site.

Tout sur les acronymes : SSL, HTTPS et conformité PCI

Tous les sites web, qu'ils acceptent des paiements ou non, devraient utiliser un SSL et être sécurisés par HTTPS. Les données de connexion, ainsi que le transfert d'informations à vos utilisateurs, doivent être sécurisés pour la protection de tous.

Les Normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble d'exigences visant à garantir que toutes les entreprises qui traitent, stockent ou transmettent des informations relatives aux cartes de crédit maintiennent un environnement sécurisé. Cela signifie non seulement que la loi vous oblige à installer correctement le protocole SSL sur votre site si vous avez un magasin ou un site d'adhésion, mais aussi que vous devez redoubler d'efforts pour sécuriser votre site web, et cet article couvre un grand nombre des mesures que vous pouvez prendre.

Si vous souhaitez apprendre comment installer un SSL sur votre site, nous avons un article détaillé ici avec des instructions sur la manière d'en installer un sur votre site.

Le simple fait de disposer d'un certificat SSL et d'utiliser le protocole HTTPS ne signifie pas nécessairement que vous serez entièrement conforme aux normes PCI. Les exigences varient en fonction du type d'entreprise, de la configuration technique et/ou du volume. Si vous avez des inquiétudes concernant la conformité PCI, il est préférable de vous adresser à votre prestataire de services de paiement ou à un expert PCI-DSS. Cet article est un bon point de départ sur le sujet et peut vous aider à comprendre quelles sont, le cas échéant, les mesures supplémentaires que vous devrez prendre.

Ces guides PCI FAQ sont également succincts et utiles :

Quels sont les "niveaux" de conformité PCI et comment sont-ils déterminés ?

PCI SAQ 3.1 : Les options de commerce électronique expliquées

N'oubliez pas la sécurité des domaines et des DNS

La sécurisation du compte sur lequel votre domaine est listé (tel que Godaddy, Namecheap, etc.) doit être protégée par des protocoles de mots de passe forts et, lorsque cela est possible, par une connexion en deux étapes. En cas d'accès non autorisé aux paramètres DNS de votre domaine, un site web peut être modifié ou détourné, voire le domaine peut être volé. Un audit annuel du compte de votre domaine pour s'assurer que toutes les informations de contact associées au domaine sont à jour et exactes constitue une bonne protection et peut contribuer au maintien de la propriété.

La sécurité des DNS est moins souvent prise en compte, mais des conséquences graves peuvent survenir si votre DNS est détourné. Ces attaques peuvent rediriger le trafic entrant d'un site web vers une fausse copie du site, collectant des informations sensibles sur les utilisateurs et exposant les entreprises à une responsabilité majeure. L'un des moyens les plus connus pour La protection contre les menaces DNS passe par l'adoption du protocole DNSSEC.

De nombreuses options sont disponibles pour la protection du DNS, mais Cloudflare est une excellente option car il ne protège pas seulement vos DNS, mais il peut protéger votre site contre les bots et permettre à toutes les ressources de votre serveur d'être utilisées par de vrais utilisateurs au lieu d'attaquer des bots. La grande variété d'options qu'ils offrent est excellente pour protéger votre site web et ils ont une variété de plans de prix, y compris gratuit.

Conclusion

Les mots de passe et les mises à jour sont la base de la sécurité et sont si souvent négligés ou leur importance ignorée. Souvent, les gens pensent que leur mot de passe est fort alors qu'en réalité, il a probablement été divulgué des centaines de fois sur le dark web et n'a aucune sécurité. Essayez de prendre l'habitude de mettre régulièrement à jour vos mots de passe partout et d'utiliser un gestionnaire de mots de passe fiable.

Suivez les mises à jour des logiciels du site web le plus rapidement possible. Non seulement cela vous aidera à assurer votre sécurité, mais cela résoudra souvent les problèmes que vous pouvez rencontrer avec votre logiciel ou vos plugins.

Si vous êtes malheureusement victime d'un piratage, faites appel à un professionnel fiable pour résoudre le problème et ne comptez jamais sur un simple plugin pour vous protéger ou "résoudre" le problème. Outre la suppression des logiciels malveillants et la prévention de leur réapparition, de nombreuses mesures peuvent être prises pour remédier à ces situations, notamment la nécessité de documenter la résolution du problème afin de supprimer l'inscription sur les listes noires des moteurs de recherche et des fournisseurs de courrier électronique.

Vous pouvez également être légalement tenu d'informer les membres de votre site de la violation et l'aide d'un professionnel pour mener à bien le projet fastidieux de notification à votre base de membres, le jargon requis et ce qui a été violé s'avérera inestimable.

Le simple fait de s'informer sur l'importance de la sécurité est également un excellent point de départ. Vous trouverez ci-dessous les références des données utilisées dans cet article, ainsi que d'autres ressources intéressantes pour en savoir plus sur la sécurité.

Ressources complémentaires :

Comment les sites web sont-ils piratés ?
Comment améliorer la sécurité de WordPress [Infographie]
Durcissement de WordPress
Authentification en deux étapes
Configuration des mises à jour automatiques en arrière-plan
Meilleures pratiques en matière de mots de passe
WordPress Repository - Plugins étiquetés sécurité

---

Contenu connexe

---

• Partager