Vincent Breton

Comment j’ai blindé le site – et pourquoi vous devriez le faire aussi !

·

Vincent Breton
Avatar de Vincent Breton
stéthoscope
6–9 minutes
, , ,

C’est en voyant un malotru venir hier soir secouer le site que je me suis dit en mon for intérieur, tabarnak ! Qu’en est-il de la sécurité ? Non pas qu’aucune précaution n’ait été prise, mais où en étais-je ? Diagnostic, mesures drastiques mais néanmoins sans perdre l’existant, voici comment j’ai blindé le site – et pourquoi vous devriez le faire aussi !

La sécurisation côté visiteuses et visiteurs

Depuis juillet le site est sans cookie. Servi avec un système de cache spécifique (Varnish), les pages vous sont présentées comme un site statique, sans aller faire des requêtes… Je vous passe les détails.

Pas de statistiques autres que celles au niveau de l’hébergeur, pas d’applications tierces, pas de liens toxiques avec les réseaux des géants du Web. La seule « fenêtre ouverte » est celle de l’instance Peertube qui permet de diffuser quelques vidéos.

Les intrus

Les robots de « l’intelligence artificielle », je les vois butiner. Je les laisse faire, de toutes façons ils contournent les règles et je me dis que si mon approche « woke » ou mes poèmes instillent subrepticement le gloubi-boulga collectif, ce n’est pas bien grave… au contraire…

D’autres robots passent avides. Ils aident malgré tout au référencement…

Mais de temps en temps, au moment où le site prend un peu d’ampleur, différents idiots tentent de le pénétrer : il y a le risque de voir des pages effacées, transformées, des liens corrompus se substituer aux miens etc.

J’ai toujours le souvenir d’un site d’école qui s’était gentiment fait pirater et affichait de splendides publicités pornographiques à la Une ! Très apprécié des parents d’élèves ! D’autres usages malins existent… Je ne vais peut-être pas les exposer pour donner des idées…

Il y a le risque aussi de saturer un site jusqu’à le mettre dans les choux.

Donc, les risques ne sont pas nuls et malgré les sauvegardes, il est inutile de rajouter des problèmes et des accidents à ceux que je suis capable de provoquer tout seul !

Un bon hébergeur ça compte !

02switch – publicité gratuite – est situé en France et a établi une politique assez sévère de sécurité pour ses serveurs. Incontestablement ça aide, il y a très peu d’incidents et ça roule bien.

Le CMS WordPress s’il est sécurisé, comporte des failles dont certaines sont liées à nos usages.

On pourrait imaginer des dispositifs qui sécurisent tout en amont, une bonne fois pour toute et pour chaque site… sauf que chaque configuration est quasiment unique.

Si vous êtes chez 02switch, il existe en quelque sorte 3 leviers sur lesquels agir :

a) dans CPANEL vous connaissez surement WPTiger

Wptiger

Dans cette application, se trouve un onglet sécurité. En fonction de vos besoins, vous pourrez choisir d’imposer un certain nombre de règles de sécurité (il convient de vérifier qu’elles ne s’opposent pas au bon fonctionnement de votre site).

Securite

b) avec Tiger Protect

L’hébergeur a également prévu un module spécifique. TigerProtect.

Capture d’écran du 2025 09 20 19 50 15

Cela permet d’agir en intégrant le mode de sécurisation de base de l’hébergeur, puis des règles sur divers fichiers sensibles de WordPress, une régulation des robots, d’adresses IP ayant mauvaise réputation ou de mettre en place un pare-feu.

Je suppose que d’autres hébergeurs ont des dispositifs du même ordre.

c) sur le fichier .htaccess

Je reviendrai également sur la possibilité d’agir en modifiant le fichier .htaccess au niveau du gestionnaire… mais là cela demande un peu de prudence et certains préfèreront passer par un plugin spécifique.

Testons-nous dans la joie.

Je peux faire mon fier. Le site passe pas mal (pour ne pas dire parfaitement) les tests de performance et est même plutôt écoresponsable. La question n’est pas de se comparer ou d’entrer en compétition (même si parfois j’aurais envie de rabattre le caquet de certains donneurs de leçon dont le propre site affiche des scores pas toujours glorieux…) mais de faire attention à ce que le site soit rapide, facile d’accès, fluide sans trop « consommer » de CO2 notamment… Donc oui, je teste avec l’EcoIndex, Lighthouse, GtMetrix ou PageSpeed Insigths…

Ils peuvent alerter relativement aux bonnes pratiques ou si l’accessibilité n’est pas correcte.

Je n’avais pas vraiment l’habitude d’aller tester notamment le fameux fichier .htaccess qui verrouille plus ou moins la porte en imposant des règles du jeu.

Les tests que j’ai pu faire

Ils sont tous gratuits sauf si vous voulez en faire chaque matin ou des très développés.

Voici ceux que j’ai utilisés, il y en a certainement d’autres.

Pour tester vos certificats SSL

SSL Labs : https://www.ssllabs.com/ssltest/

  • normalement vous devez déjà voir un cadenas à gauche de votre adresse
  • le test analyse la prise en compte des certificats selon les différents navigateurs.
  • il vous rappelle également la date de péremption du certificat, il faudra agir avant son expiration (en principe l’hébergeur envoie des messages)
  • On ne devrait plus avoir de site en http en 2025 : ce sont des passoires !

SSL Shopper : https://www.sslshopper.com/ssl-checker.html

  • fait un diagnostic rapide des certificats
  • détecte les erreurs d’installation

Pour vérifier vos headers de sécurité

Security Headers : https://securityheaders.com/

  • Test le plus populaire
  • Explications claires des manques
  • Une note est donnée avec des pistes de correction

Mozilla Observatory : https://observatory.mozilla.org/

  • Développé par Mozilla
  • Il est plus « méchant » si on peut dire et exigeant en matière de sécurité

DomSignal : https://domsignal.com/secure-header-test

  • Basé sur les recommandations OWASP
  • Si vous ne comprenez pas tout demandez conseil à votre hébergeur

Pour une analyse complète

SSL Trust Security Check : https://www.ssltrust.com/ssl-tools/website-security-check

  • Scanne les malwares et spams
  • S’appuie sur plus de 60 bases de données consultées
  • Permet de savoir si le site est « sûr »

Que faire de ces tests ?

Si c’est un certificat à installer ou mettre à jour, votre hébergeur saura vous dire comment (mais en principe on fait ça à l’installation du domaine).

Certaines corrections se feront en suivant les conseils donnés par chaque site de test.

Votre hébergeur peut également vous aiguiller en examinant votre fichier .htaccess et en vous proposant dans certains cas de réaliser pour vous des modifications.

Je vais énerver certains, mais voilà un usage pertinent de l’intelligence artificielle qui est possible. Préférez plutôt Claude AI plus précis que les concurrents mais certains hébergeurs proposent une assistance via AI c’est le cas d’O2switch : en soumettant les résultats à l’IA et en croisant avec votre fichier .htaccess actuel, vous allez pouvoir modifier ce fichier et pour certains problèmes passer aisément d’une note F à A. L’IA est capable d’aider à réécrire rapidement mais ne vérifiera pas à votre place les erreurs sur le site.

Ainsi, j’ai dû tester et me rendre compte que certaines règles fonctionnaient pour tout sauf avec Firefox sur ordinateur… En principe c’est corrigé, nous verrons si des erreurs persistent, c’est la poésie du code, il est fragile !

Le principe c’est d’avoir des cadenas solides mais pas au point de vous empêcher de rentrer chez vous ! Il y a donc parfois des compromis nécessaires. Attention à certaines extensions qui demandent d’abaisser la sécurité pour entrer…

J’ai fait progresser la sécurité du site

Les premiers résultats n’étaient pas bon. Pas dramatiques mais pas excellents. Certaines modifications faites au fil du temps avaient abaissé la sécurité.

À présent j’ai obtenu ce 20 septembre 2025 (on dirait un élève)

  • SSL/TLS : A+ (note maximale)
  • Headers de sécurité : A
  • Sécurité globale : B+
  • Malware/Spam : 0 détection sur 65 tests

Il parait que ces résultats placent le site dans le top 5% des sites les plus sécurisés du web.

J’ai dû traiter notamment quelques problèmes pour parvenir à ce résultat :

  • avoir des headers de sécurité bien configurés
  • disposer d’une CSP précise pour l’ instance PeerTube spécifique (car ça coinçait bizarrement avec Firefox sur ordinateur)
  • supprimer des doublons dans le .htaccess écrits au fil du temps et c’est un fichier qu’on ne va jamais regarder
  • avoir un cache optimisé pour les ressources statiques
  • être attentif à la configuration o2switch

Un site c’est « vivant »

Ou en tout cas peut évoluer en fonction de mises à jour, de changements divers. C’est à dire que la sécurité d’un site se vérifie de temps à autre exactement comme le plan d’évacuation des locaux, l’état des extincteurs et les procédures en cas d’alarme…

Nul doute que si j’avais disposé de ces mesures, le vilain qui a tenté d’entrer hier soir aurait été débouté beaucoup plus vite.

Et pour votre site ou blog, comment procédez-vous ?

Au passage, vous aurez noté qu’en matière de sécurisation d’un site, même si c’est assez transparent, certains détails ne s’affichent pas publiquement. Vous avez pensé à cacher votre accès admin ? Je fais ça avec un gentil plugin pour le coup : WPS Hide Login qui permet de protéger votre site Web en changeant l’URL de connexion et en empêchant l’accès à la page wp-login.php et au répertoire wp-admin aux personnes non-connectées.

Comment ça vous n’avez-rien compris ?

Non, non, je n’ai pas pris de cours… Je ne suis qu’un autodidacte.

PS : si vous êtes un spécialiste, donnez votre avis sans dézinguer mon travail de recherche ! Je ne vous demande pas non plus de prouver que vous pouvez hacker le site, c’est certainement possible mais ça serait pas très gentil !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous souhaitez citer cet article sur votre site ? Indiquez simplement votre lien ici.

Autres publications

Vincent Breton

Écriveur & poète

©Vincent Breton — Vivons heureux en poésie !

Écoresponsable – sans cookie, sans traçage, sans IA. Présent sur le Fédiverse