Mettre à jour son CMS (Joomla, Spip, WordPress,…)

Il arrive que des failles de sécurité soient découvertes sur une version, suite à cela la « nouvelle version » du CMS est téléchargeable avec un patch de sécurité corrigeant la faille.
Il faut donc suivre les différentes évolutions des versions de son CMS et faire les mises à jours (on peut être à la version N-1 sans trop de risque), cela afin de corriger les différents points de sécurité et rendre son site plus sûr.

Mettre à jour ses composants, plugins, extensions…

Lorsque le CMS est à jour, le second point de sécurité est les « composants » ou « plugins » ou « extensions » (le nom varie en fonction du CMS). En effet la mise en place d’un plugin (permettant par exemple la mise en place d’un formulaire sur son site) peut créer une faille dans la sécurité qui permettra aux hackers de se connecter sur votre site. Il faut donc bien vérifier donc bien la compatibilité des versions entre votre plugins et votre CMS, mais aussi vérifier que vous avez bien installé la dernière version du plugin.

Vérifier les droits des fichiers et dossiers par FTP

Nous sommes maintenant au point suivant, consistant à vérifier les « droits » sur les fichiers et dossiers de votre site. Pour cela il vous faut vous connecter par FTP (avec un logiciel comme Filezilla par exemple) puis vous assurer que chaque fichier transféré sur votre site a comme « propriétaire » votre nom d’ulisateur (FTP).
Ensuite, il faut vous assurer que tous les répertoires ont des permissions « 755 » (correspondant à des permissions de lecture et d’écriture sur les fichiers et dossiers pour le propriétaire) et que tous les fichiers réguliers aient une autorisation au maximum un chmod de « 644″ (Il est conseiller d’attribuer par FTP aux fichiers les droits chmod 404 et aux dossiers les droits chmod 505).

A l’installation du CMS

Un CMS (Content Management System) est un logiciel permettant de mettre en place rapidement un site internet dynamique. Les plus connus sont WordPress, Joomla, Spip, Drupal…
La sécurité n’attend pas et commence dès le début de l’installation avec quelques précautions comme :
-Modifier le « login » administrateur (ne pas garder « admin »)
-Mettre un mot de passe efficace sur le compte admin (avec des majuscules, des minuscules, des chiffres, des caractères spéciaux,…) d’une longueur d’au moins 10 caractères
-Modifier le « préfix » des tables de la base de données

Mettre en place un filtrage par HTACCESS

Pour aller plus loin, vous pouvez protéger l’accès à certains répertoires de votre site en mettant en place une authentification à l’aide d’un fichier « .htaccess » contenant des instructions pour l’accès aux sous-dossiers (et d’un fichier « .htpasswd » qui contient le login et le mot de passe crypté).

Mettre en place des sauvegardes

La Conférence des Evêques de France possède un dispositif de sauvegarde pouvant remonter à 14 jours. Les sauvegardes sont réalisées durant la nuit. Cela ne vous empêche pas, bien entendu, de mettre en place votre propre sauvegarde des fichiers et/ou de la base de données. Certains plugins ou composants permettent de le faire facilement.

Mettre en place des outils

Vous pouvez mettre en place des outils d’analyse et de statistiques, un des plus connu étant « Google analytics » (pour les statistiques), Google propose également des outils déstinés aux webmasters (attention il faut créer un compte) :
cliquer – ici
En plus de ces outils, vous pouvez mettre en place un fichier texte « robots.txt » qui sert à indiquer aux différents moteurs de recherche d’indexer ou non la totaliter de votre site.