Alors que 84 % des webmasters qui demandent un réexamen (procédure qui consiste à demander à Google de réexaminer son site suite à la résolution des problèmes signalés par une notification d'action manuelle) ont été en mesure de nettoyer leurs sites, Google indique n’avoir jamais alerté 61 % des webmasters qui avaient été piratés en 2016. La principale raison est que, pour plus de la moitié des webmasters piratés, leurs sites n'ont pas été vérifiés dans la Google Search Console, que l'entreprise utilise pour communiquer des informations sur les sites Web.
Pour améliorer la protection, il est important de savoir comment ces attaques sont lancées. Aussi, dans un document séparé, Google a partagé avec les webmasters des vulnérabilités dans la sécurité de leurs sites qui peuvent entraîner leur compromission :
Les mots de passe compromis
Même si cela semble évident, Google rappelle que les attaquants peuvent utiliser des techniques de détection de mot de passe en essayant des mots de passe différents jusqu'à ce qu'ils devinent le bon. Les tentatives de saisie de mot de passe peuvent être effectuées à l'aide de diverses méthodes telles que piocher dans une liste des mots de passe les plus utilisés, ou tenter différents mots de passe à l’aide de combinaisons aléatoires.
Quoi qu’il en soit, l’entreprise rappelle l’importance d’avoir un mot de passe fort, mais aussi de passer la sécurité un cran au-dessus par exemple en déployant une authentification à deux facteurs.
Ne pas appliquer les mises à jour de sécurité
Les anciennes versions de logiciels peuvent être affectées par des vulnérabilités de sécurité à haut risque qui permettent aux attaquants de compromettre un site tout entier. Les attaquants cherchent activement ces logiciels avec des vulnérabilités connues et peuvent s’appuyer par exemple sur des kits d’exploit pour en tirer parti. Ignorer une vulnérabilité sur votre site augmente les chances qu’il soit attaqué avec succès.
Google précise qu’il est essentiel de vérifier régulièrement les mises à jour logicielles de votre site afin de corriger les vulnérabilités. Mieux encore, mettre en place des mises à jour automatiques pour votre logiciel lorsque c'est possible et prendre la peine de s’inscrire à des listes d'annonces de sécurité pour l'un des logiciels que vous utilisez comme des logiciels de serveur Web, des systèmes de gestion de contenu ou tous les plug-ins dont vous vous servez.
Les thèmes et plug-ins non sécurisés
Bien que les plug-ins et les thèmes sur un CMS ajoutent des fonctionnalités enrichies, il s’avère que s’ils sont obsolètes par exemple, ils peuvent constituer une source majeure de vulnérabilités sur un site Web. Aussi, si vous utilisez des thèmes ou des plug-ins sur votre site, assurez-vous de les mettre régulièrement à jour. Supprimez les thèmes ou les plug-ins qui ne sont plus gérés par leurs développeurs.
Google recommande l’extrême prudence pour ce qui concerne les plug-ins ou les thèmes gratuits provenant de sites non approuvés : « c'est une tactique courante pour les attaquants d'ajouter du code malveillant aux versions gratuites des plug-ins ou des thèmes payants ». Lorsque vous supprimez un plug-in, assurez-vous de supprimer tous ses fichiers de votre serveur plutôt que de simplement le désactiver.
Ingénierie sociale
Qui consiste à exploiter la nature humaine pour contourner les infrastructures sophistiquées de sécurité. Ces types d'attaques trompent les utilisateurs autorisés afin qu’ils fournissent des informations confidentielles telles que des mots de passe. Par exemple, une forme commune d'ingénierie sociale est l’hameçonnage. Lors d'une tentative d’hameçonnage, un attaquant enverra un courriel qui va sembler émaner d’une organisation légitime avec des raisons valables pour demander à l’utilisateur d’entrer des informations confidentielles.
Selon une étude de Google sur l'ingénierie sociale, certaines des campagnes de phishing les plus efficaces ont un taux de réussite de 45 %.
Les failles dans la politique de sécurité
Si vous êtes un administrateur système, n'oubliez pas que les mauvaises politiques de sécurité peuvent permettre aux attaquants de compromettre votre site. Voici quelques exemples :
- permettre aux utilisateurs de créer des mots de passe faibles ;
- accès administrateur aux utilisateurs qui n'en ont pas besoin ;
- ne pas activer HTTPS sur votre site et permettre aux utilisateurs de se connecter en utilisant HTTP ;
- autoriser les téléchargements de fichiers à partir d'utilisateurs non authentifiés ou sans vérification de type.
Voici quelques conseils de base pour protéger votre site :
- assurez-vous que votre site Web est configuré avec des contrôles de sécurité élevés en désactivant les services inutiles ;
- test des contrôles d'accès et des privilèges d'utilisateur ;
- utiliser le chiffrement pour les pages qui gèrent des informations sensibles, comme les pages de connexion ;
- vérification régulière de vos journaux pour toute activité suspecte.
Fuite des données
Des fuites de données peuvent se produire lorsque des données confidentielles sont téléchargées et qu’une mauvaise configuration rend ces informations confidentielles accessibles au public. Par exemple, la gestion des erreurs et la messagerie dans une application Web peuvent potentiellement laisser fuiter des informations de configuration dans un message d'erreur non géré. En utilisant une méthode connue sous le nom de « dorking », les acteurs malveillants peuvent exploiter la fonctionnalité du moteur de recherche pour trouver ces données.
Assurez-vous que votre site ne révèle pas d'informations sensibles à des utilisateurs non autorisés en effectuant des vérifications périodiques et en restreignant les données confidentielles à des entités fiables par le biais de stratégies de sécurité. Si vous découvrez des informations sensibles affichées sur votre site qui doivent être supprimées des résultats de recherche Google, vous pouvez utiliser l'outil de suppression d'URL pour supprimer les URL individuelles de la recherche Google.
Source : Google