Ton blogue pourrait être attaqué!

Dans le cadre de ma maîtrise en technologies de l’information, j’ai entamé un cours portant sur le Web Social, incluant les blogues. J’en suis venu à me poser la question suivante : Est-ce que les blogues sont sécuritaires, d’un point de vue cybersécurité?  Bien qu’ils paraissent inoffensifs, ils peuvent devenir des vecteurs de cyberattaque.

Aujourd’hui, je t’expliquerai pourquoi ton blogue peut être ciblé et comment le protéger.

Pourquoi un pirate informatique voudrait-il attaquer un blogue?

Un blogue, ce n<est pas seulement un babillard électronique. C’est aussi une page Web, composée d’une base de données, de comptes d’utilisateurs (ainsi que les droits et permissions leurs étant associés) et peut aussi être connecté avec des applications tels que des formulaires, des infolettres un logiciel de CRM (gestion des clients), etc. Bref, plusieurs cibles intéressantes pour des attaquants.

Voici quelques exemples des raisons pour lesquelles des pirates pourraient s’en prendre à un blogue :

1. Accès aux données : vol d’informations personnelles (adresses, date de naissance, courriel, IP, etc.), information d’identifiants ou même de données collectées par des formulaires intégrés.

2. Exploitation de failles: un plugins/extensions vulnérables pourrait être utilisée pour injecter du code malveillant.

3. Diffamation : Nuire à la réputation en publiant du contenu diffamatoire.

4. Diffusion de liens malicieux : redirection vers des sites Web contenant des virus.

Concrètement, comment peux-tu protéger ton blogue? Voici quelques contrôles que tu pourrais mettre en place pour avoir l’esprit tranquille.

1. Mise à jour constantes

• Plateforme utilisée (ex. : WordPress)

• Thème

• Plugins et extensions

2. Gestion des accès et permissions

• Un seul compte administrateur, et qui devrait être sécurisé (mot de passe fort ainsi que de l’authentification multi facteurs)

• Tous les autres utilisateurs doivent avoir des rôles restreints.

• Retirer les comptes inactifs.

3. Utiliser une authentification forte

• Mot de passe long, unique (tu peux même utiliser un gestionnaire de mot de passe pour te faciliter la vie!)

• Authentification mutli-facteurs activée (et utilisée!).

4. Sécuriser l’hébergement

• Choisis un hébergeur reconnu pour la sécurité, plutôt que d’opter pour le choix économique basé au fin fond de la Russie!

• Active un pare-feu applicatif.

• Assure-toi que ton site est sécurisé. Le « S », dans httpS c’est signe que ta page a un certificat de sécurité valide.

5. Sauvegardes automatiques

• Fréquence quotidienne ou hebdomadaire selon l’activité.

• Stockage hors ligne ou dans un environnement isolé.

En cas d’attaque, une sauvegarde propre et récente te permettra de repartir rapidement sans perdre ton contenu. L’impact de l’attaque sera ainsi limité.

6. Surveillance et alertes

• Active les alertes par courriel en cas de connexion suspecte ou tentative de modification. Et assure-toi d’investiguer l’évènement.

7. Fait attention au contenu imbriqué (embedded content)

• Ne copie-colle pas du code HTML d’une source inconnue.

• Privilégie les intégrations officielles. (Valide l’éditeur d’un thème, d’un plugin ou d’une extension)

En conclusion

En cybersécurité, nous utilisons souvent le dicton suivant : « Ce n’est pas si, mais quand tu seras attaqué. » Tout actif connecté sera inévitablement la cible d’une attaque à un moment ou un autre. Les pirates informatiques sont spécialistes dans leur domaine, ils trouveront toujours une façon d’exploiter une faille et ont des outils capables d’automatiser les attaques.

Tu veux bloguer en paix? Protège ta plateforme.