Sécurité

Protéger son site web : les bases que tout le monde oublie

2025-10-13 · Datacampus

La majorité des sites piratés ne le sont pas par des hackers sophistiqués. Ils le sont par des bots qui exploitent des failles connues, des mots de passe faibles ou des logiciels pas à jour. Les bases de la sécurité web sont simples, mais elles sont souvent négligées.

1. HTTPS partout, tout le temps

En 2025, un site sans HTTPS est signalé comme « non sécurisé » par tous les navigateurs. Mais au-delà du cadenas, HTTPS garantit que les données échangées entre le visiteur et le serveur ne peuvent pas être interceptées ou modifiées en transit.

  • Certificat SSL/TLS — Let's Encrypt est gratuit et automatisé. Il n'y a plus aucune excuse.
  • Redirection HTTP → HTTPS — forcer toutes les requêtes HTTP vers HTTPS via le serveur web.
  • HSTS — le header Strict-Transport-Security indique au navigateur de ne plus jamais se connecter en HTTP à votre site.

2. Les headers HTTP de sécurité

Quelques lignes dans la configuration du serveur web ajoutent des couches de protection importantes.

# Apache (.htaccess ou vhost)
Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "SAMEORIGIN"
Header set Referrer-Policy "strict-origin-when-cross-origin"
Header set Permissions-Policy "camera=(), microphone=()"
Header set Content-Security-Policy "default-src 'self'"
  • X-Content-Type-Options — empêche le navigateur de deviner le type MIME d'un fichier (prévient certaines attaques XSS).
  • X-Frame-Options — empêche l'intégration de votre site dans une iframe (prévient le clickjacking).
  • Content-Security-Policy — contrôle les sources de scripts, styles et médias autorisées. Le header le plus puissant contre les XSS.
  • Referrer-Policy — contrôle quelles informations sont envoyées dans le header Referer lors de la navigation vers un autre site.
  • Permissions-Policy — désactive les API du navigateur inutilisées (caméra, micro, géolocalisation).

3. Mises à jour : la base absolue

La cause numéro 1 de piratage des sites web est l'exploitation de failles connues dans des logiciels non mis à jour. WordPress, ses plugins, PHP, le système d'exploitation : chaque composant est un vecteur d'attaque potentiel.

  • CMS et plugins — activer les mises à jour automatiques quand c'est possible, ou vérifier au minimum chaque semaine.
  • PHP — utiliser une version supportée (PHP 8.1+ en 2025). Les anciennes versions ne reçoivent plus de correctifs de sécurité.
  • Système d'exploitationapt update && apt upgrade régulièrement, ou mieux, automatiser avec unattended-upgrades.
  • Supprimer l'inutile — chaque plugin, thème ou extension non utilisée est une surface d'attaque gratuite. Supprimer tout ce qui n'est pas nécessaire.

4. Mots de passe et accès

  • Mots de passe forts — ou mieux, des phrases de passe. 16 caractères minimum, uniques pour chaque service. Utiliser un gestionnaire de mots de passe.
  • Pas de admin comme login — les bots testent admin, administrator, root en premier. Utiliser un identifiant non devinable.
  • Authentification à deux facteurs — activer le 2FA sur tous les accès d'administration (CMS, hébergement, registrar DNS).
  • Clés SSH — désactiver l'authentification par mot de passe SSH. Utiliser uniquement des clés.
  • Moindre privilège — chaque compte a uniquement les droits nécessaires à sa fonction. Pas de compte root pour tout le monde.

5. Sauvegardes : le filet de sécurité

Même avec toutes les protections en place, une sauvegarde récente et testée est la dernière ligne de défense. Un site piraté peut être restauré en quelques minutes si la sauvegarde est disponible et fonctionnelle.

  • Sauvegarde quotidienne des fichiers et de la base de données
  • Rétention de 30 jours minimum (pour couvrir les compromissions silencieuses)
  • Stockage sur un système séparé du serveur web
  • Test de restauration régulier

Checklist rapide

  • ☑ HTTPS avec redirection HTTP → HTTPS
  • ☑ Header HSTS activé
  • ☑ Headers de sécurité (CSP, X-Frame-Options, etc.)
  • ☑ CMS, plugins et PHP à jour
  • ☑ Plugins/thèmes inutilisés supprimés
  • ☑ Login admin non devinable + mot de passe fort
  • ☑ 2FA activé sur les accès d'administration
  • ☑ SSH par clé uniquement, port non standard
  • ☑ Sauvegardes automatisées et testées
  • ☑ Fichiers sensibles non accessibles (.env, .git, wp-config.php)

Chez Datacampus : tous nos hébergements incluent HTTPS automatique (Let's Encrypt), firewall configuré, mises à jour système automatisées et sauvegardes quotidiennes. Les headers de sécurité sont configurés par défaut sur les hébergements managés.

La sécurité web n'est pas une destination, c'est un processus. Mais les fondamentaux ci-dessus couvrent l'immense majorité des risques. Commencez par là.

— Datacampus

Hébergement souverain, éco-responsable et infogéré

Serveurs en France, énergie renouvelable, support humain. Découvrez ce que Datacampus peut faire pour vous.

Découvrir nos solutions Nous contacter

Articles sur le même sujet

← Retour au blog