La façon surprenante dont les pirates compromettent les sites Web en 2021

1 astuce gratuite et facile pour les arrêter

Comment faire en 5 minutes

Pour sécuriser votre site web, il suffit de 2 fonctions importantes.

Cory Marsh
Cory Marsh
Share:
Cory Marsh has over 20 years Internet security experience. He is a lead developer on the BitFire project and regularly releases PHP security and programming videos on BitFire's you tube channel.
security can be complex
Il peut être difficile de savoir si un outil de sécurité fonctionnera réellement...

1 Ne pas avoir de failles de sécurité.

Votre site ne peut être piraté que s'il comporte des failles de sécurité connues ou identifiables. Très peu de gens créent des sites Web ou installent des plugins en sachant qu'ils vont provoquer un piratage du site. Très peu de développeurs créent sciemment des failles de sécurité, alors comment les failles de sécurité apparaissent-elles sur nos sites Web ?

La sécurité est un jeu de chat et de souris. Des millions de développeurs de logiciels créent du nouveau code chaque jour. Une partie de ce code présente des failles de sécurité, et une autre partie se retrouve sur des serveurs de production. Finalement, quelqu'un découvre une faille. La course commence entre votre site qui est ciblé au hasard et un correctif qui est développé et installé sur votre serveur.

Avec plus de 350 millions de sites web actifs, il serait impossible pour quiconque de trouver tous les sites vulnérables à pirater. La plupart des sites sont bien trop petits pour être ciblés. C'est pourquoi les pirates écrivent des programmes pour le faire à leur place. Un seul serveur peut analyser 350 millions de sites en deux mois environ. Et il est si simple de faire tourner 60 serveurs dans le nuage que n'importe quel pirate qui le souhaite pourrait parcourir tout l'internet et compromettre tous les systèmes vulnérables en une seule journée.

Le rafistolage est un jeu perdu d'avance.

Pour exploiter une vulnérabilité connue sur votre site web, un pirate n'a qu'à gagner cette course une seule fois. Pour assurer la sécurité de votre site, vous devez gagner cette course à chaque fois. À terme, même les sites Web qui appliquent des correctifs automatiques perdront cette course, car les pirates exploitent des vulnérabilités inconnues et non signalées.

  • Il faut du temps aux sociétés de pare-feu pour remarquer la faille activement exploitée, rechercher la vulnérabilité et élaborer une règle de pare-feu.

  • Votre site web est vulnérable jusqu'à ce que de nouvelles règles soient élaborées, puis téléchargées sur votre site.

  • La plupart des pare-feu PHP retarderont encore les nouvelles règles d'au moins 30 jours pour leurs clients gratuits, leur donnant ainsi un faux sentiment de sécurité.

2 Identifiez les tentatives de piratage et bloquez-les.

Les logiciels de sécurité des sites Web tentent d'identifier les tentatives de piratage. C'est difficile car de nombreuses attaques, comme le téléchargement de fichiers malveillants, utilisent des fonctionnalités web légitimes - mais par des utilisateurs non autorisés. Il peut être presque impossible pour les pare-feu de faire la différence. Les pare-feu de sites Web créent donc des signatures pour chaque nouvelle faille de sécurité identifiée. Cela nous place dans la même course contre la montre que les correctifs.

Il est presque impossible d'identifier tout le "mauvais" trafic web possible. C'est pourquoi un si grand nombre de sites Web dotés d'un logiciel de sécurité continuent de souffrir de piratages de sites et d'attaques par redirection dévastateurs.

Itentify good traffic, block the rest
Protection contre les robots


Solution - Identifier le bon trafic

99% de tous les piratages de sites Web utilisent des outils automatisés ciblant des sites aléatoires sur Internet. En identifiant correctement les demandes automatisées, il est possible d'arrêter presque tous les piratages de sites Web.

Il y a 2 types de trafic que nous devons autoriser. Les navigateurs Web (visiteurs utilisant chrome, firefox, safari, etc.) et les robots d'exploration du Web comme Google-bot, Bing-bot, SEO-Moz et autres robots utiles. Chaque requête a un User-Agent unique qui l'identifie. Cet agent utilisateur peut être facilement défini sur n'importe quoi et n'est jamais défini sur "robot pirate".

Nous avons besoin d'un moyen de vérifier l'agent utilisateur. Des outils comme BitFire BitFire peut le faire pour vous. BitFire envoie un code JavaScript compliqué que seul un vrai navigateur peut exécuter pour vérifier les vrais navigateurs Web. BitFire vérifie également les robots Web par leur réseau source, par ex, GoogleBot de google.com, BingBot, de microsoft.com, etc...

Ces deux protections permettent à tous nos clients mobiles et de bureau ainsi qu'aux bons robots d'accéder à notre site. En autorisant uniquement les clients vérifiés, nous empêchons tout outil de piratage d'accéder au site.

Security Guide

Find out the best tricks and tips to secure your website.

Cory Marsh
Cory Marsh
Share:
Cory Marsh has over 20 years Internet security experience. He is a lead developer on the BitFire project and regularly releases PHP security and programming videos on BitFire's you tube channel.

Get WebSite Security Notifications

From us to your inbox weekly.