Le guide de sécurité Web que chaque SEO doit lire

La sécurité Web est un casse-tête majeur qui empêche les hommes d'affaires de dormir la nuit. Imaginez que vous vous réveillez avec la réalité du piratage du site Web de votre client. Non seulement cela signifie que votre entreprise en tant qu'expert en référencement disparaît, mais aussi que remettre le site Web sur les rails sera une tâche onéreuse.

Traditionnellement, la sécurité des sites Web a été séparée du référencement, à l'exception de quelques responsabilités de base de la part des experts en services de référencement (comme ne pas établir de liens vers et depuis des sites Web malveillants). Étant donné que les lignes séparant les différents aspects du World Wide Web et des affaires diminuent, aucun expert en référencement ne peut plus ignorer la sécurité des sites Web. Ce guide est une tentative pour effleurer la surface de cette discussion et faire ressortir quelques idées précieuses dans le processus.

Pourquoi s'embêter?

Eh bien, imaginez que votre site Web ou celui de votre client soit accompagné d'un avertissement peu recommandable de Google, à côté du résultat de la recherche.

Cela se produit généralement lorsque les robots de Google pensent que votre site Web pourrait contenir un code nuisible qui pourrait, par exemple, installer des logiciels malveillants sur les ordinateurs des visiteurs. Les raisons pourraient cependant être plus profondes. Vous trouverez également une notification équivalente dans votre compte Google Search Console.

Ce n'est qu'un des avertissements potentiels liés à la sécurité que Google pourrait publier à côté de vos résultats de recherche. Le portail d'assistance de Google contient une longue liste d'autres messages ; voici une illustration.

Je ne risquerais jamais la sécurité de mon ordinateur en visitant un site Web aussi signalé ; vas-tu? Personne ne le fera, et cela réduira tout votre travail de référencement en profondeur ! Au lieu de cela, prenez le contrôle complet de chacun des aspects de la sécurité du site étroitement liés au référencement.

Avoir un site Web sécurisé via HTTPS

Il est clair que Google considère les sites Web HTTPS comme beaucoup plus sécurisés que les autres. C'est ainsi que le protocole HTTPS rend l'échange d'informations Web plus sûr.

Depuis 2016, le navigateur Chrome marque explicitement le Web non-HTTPS

sites comme non sécurisés. C'est une raison suffisante pour que chaque expert SEO pousse ses clients à faire tout le nécessaire pour passer immédiatement à l'écosystème HTTPS.

Maintenant, le site Web de votre client est-il sécurisé ? Voici une vérification en 2 étapes :

i) Assurez-vous que le certificat SSL est correctement installé sur le serveur

Tapez https://www.[votrenomdesite].com et appuyez sur Entrée. Si vous voyez une icône de verrouillage apparaître dans la barre des tâches, cela signifie que le SSL est reconnu. Sinon, vous verrez un message d'erreur tel que celui-ci :

ii) Assurez-vous que l'URL du site Web est poussée vers leurs versions HTTPS

Tapez http://www.[votrenomdesite].com et appuyez sur Entrée. Si la configuration de votre serveur en termes de règles de redirection est correctement configurée, la page sera automatiquement redirigée vers https://www.[nomdevotresite].com. Si ce n'est pas le cas, il y a un problème qui doit être résolu immédiatement.

Remarque : bien que WordPress soit considéré comme très sécurisé, un nombre exceptionnellement élevé de sites Web basés sur la plate-forme ont été piratés dans un passé récent. Assurer l'activation du protocole HTTPS pour vos sites Web WordPress ne peut donc plus attendre. En utilisant des plugins tels que Really Simple SSL, le processus en 2 étapes ci-dessus devient encore plus facile à gérer pour WP, comme expliqué dans ce tutoriel très descriptif sur la façon d'utiliser HTTPS sur WordPress .

Politique de sécurité du contenu

Les webmasters sont confrontés à de nombreux problèmes en termes de sécurisation du site Web contre d'éventuelles attaques, en particulier lorsque le contenu est mis à jour fréquemment, comme dans le cas de la réorientation du contenu. ou ajout régulier de nouveaux produits comme dans les sites e-commerce. Deux des formes d'attaques les plus courantes qui peuvent se produire sont les attaques par injection de données et les attaques de type Cross Site Scripting. Toute couche de sécurité supplémentaire qui peut aider à atténuer ou à signaler une telle attaque en vaut la peine. La politique de sécurité du contenu (CSP) est précisément cette couche. Il peut efficacement bloquer les scripts externes ainsi que les scripts en ligne provenant de sources non fiables.

En tant qu'expert SEO, vous pouvez facilement vérifier si CSP est en place pour le site Web de votre client. CSP est implémenté via un en-tête HTTP contenant des règles pour tous les types d'actifs de données. Par exemple, un en-tête HTTP pour autoriser les CSS et les scripts uniquement à partir de la source par défaut (Self) ressemblera à (autoriser le script Google Analytics comme exception) :

Content-Security-Policy : default-src 'self' ; script-src 'self' https://www.google-analytics.com ;

Comment empêcher un site d'être piraté ?

Ne blâmez pas vos clients s'ils veulent votre aide pour éloigner les pirates, même si ce n'est pas la responsabilité principale d'un SEO. Considérez-le comme une opportunité ; vous investissez 5 % supplémentaires et, par conséquent, améliorez considérablement l'immunité des sites Web du client contre les pirates, ce qui finit par continuer à vous attirer.

Voici une liste rapide des meilleures pratiques de sécurité du site qui vous aident à protéger le site Web de vos clients contre les pirates.

• Vérifiez si le logiciel CMS ou le code de création de site Web est mis à niveau vers la dernière version.
• Éduquez votre client/les administrateurs de son site Web sur le spam, les attaques par force brute, les scripts intersites, les injections SQL, etc.
• Changez souvent les mots de passe.
• Ne pas utiliser d'outils tiers non sécurisés ou non ^éprouvés pour créer un lien vers le site Web du client à des fins d'analyse, etc.
• Ne publiez pas d'informations techniques au niveau du serveur dans les pages d'erreur ; les pages d'erreur doivent indiquer quelque chose comme "page introuvable".
• Activez la validation des entrées côté navigateur ainsi que côté serveur, pour vous assurer que les codes malveillants n'infectent pas le serveur.
• Si votre site Web client permet aux utilisateurs de télécharger des fichiers, recommandez des contrôles de sécurité pour vous assurer qu'aucun script n'est téléchargé à côté.
• Utilisez une combinaison d'outils de sécurité Web pour protéger les sites Web de vos clients ; plus à ce sujet plus loin dans le guide.

Que faire si votre site client est piraté ?

Très bien; le pire est arrivé, et maintenant ? Votre réponse dépendra de la nature de la faille de sécurité, qui pourrait bien être indiquée par le message d'avertissement que Google ajoute au résultat de recherche de votre site Web.

Pour vérifier les détails, connectez-vous à la Search Console, accédez à la section Problèmes de sécurité et vérifiez les détails des URL qui semblent être compromises, ainsi que les spécificités du type de faille de sécurité pour chaque URL.

Ici, vous devrez communiquer clairement avec vos clients afin qu'ils sachent qu'ils doivent faire appel à des développeurs et des programmeurs Web pour s'occuper des problèmes de sécurité du site Web. Recommandez-leur également de contacter également le fournisseur d'hébergement Web, qui peut offrir des informations et des contacts précieux, basés sur la connaissance d'autres sites Web qui pourraient avoir rencontré des problèmes similaires.

Google, dans sa vidéo d'aide officielle pour les webmasters dont le site Web a peut-être été piraté, leur recommande de rechercher une expertise technique pour résoudre les problèmes techniques. Le temps nécessaire pour surmonter le piratage dépendra de :

• Le niveau d'expertise technique de l'équipe de votre client
• Quantité de contenu affecté (le spam à l'échelle du site, par exemple, nécessite plus de temps pour être supprimé)
• Étendue des dégâts/complexité du piratage

Comment protéger votre classement si votre site client est piraté ?

Actions rapides et complètes - c'est la règle d'or à retenir pour s'assurer que le piratage ne cause pas un cauchemar SEO pour le site Web.

Remarque : Si tout le site a été piraté, mettez-le hors ligne en demandant à votre hébergeur de le configurer afin qu'une page d'erreur 503 soit renvoyée pour les accès effectués en dehors du répertoire infecté. N'allez pas pour robots.txt interdire , car cela ne bloquera pas le site Web pour les utilisateurs qui visitent à l'aide de votre URL (arrête uniquement les robots d'exploration Web).

Si vous connaissez les URL compromises, la tâche est plus simple :

• Tout d'abord, supprimez les URL infectées de l'index à l'aide de l'option Supprimer les URL de la Search Console.
• Ensuite, effectuez une analyse rapide des erreurs d'exploration et soumettez à nouveau le plan du site de votre site Web.
• Une fois que l'administrateur du site Web et l'équipe de sécurité ont supprimé le logiciel malveillant et agi sur les problèmes mis en évidence dans la Search Console, je vous recommande de soumettre votre site Web au rapport sur les problèmes de sécurité de la Search Console pour examen.
• Un examen réussi serait indiqué par un tel message dans votre console de recherche :

De plus, selon la nature de la faille de sécurité, vous devrez restaurer votre site Web WordPress vers une version plus ancienne, ou même envisager de déplacer le site Web vers un fournisseur d'hébergement plus sécurisé.

Principaux outils pour renforcer la sécurité Web

Les outils peuvent automatiser la surveillance de la sécurité des sites Web de vos clients et aider à éviter les failles de sécurité majeures. Voici quelques outils que je recommande :

Incapsule : une firme de sécurité et d'optimisation de réseau qui offre une suite d'outils comme un CDN (Content Delivery Network) , un pare-feu d'application Web (WAF) et des outils de protection avancés contre les menaces persistantes (APT) qui aident à protéger votre site Web contre les vols de mots de passe, les attaques DDoS et le piratage.

Montre Comodo : Pour une surveillance de site Web 24 heures sur 24, 7 jours sur 7, une analyse conforme à la norme PCI et une détection et une suppression fiables des logiciels malveillants.

Agrippeur : Une alternative open source si vous ne voulez rien dépenser ; il détecte et signale les scripts intersites et les injections SQL, en plus d'offrir une analyse du code source JS et des vérifications des fichiers de sauvegarde.

Proxy d'attaque Zed (ZAP) : Un outil de test d'intrusion qui vous permet de simuler de manière proactive des activités de type "piratage" sur un site Web, d'exposer ses failles de sécurité et de prendre des mesures correctives proactives.

Remarques finales

Les experts en référencement dépendent de la subsistance et de la croissance des sites Web des clients pour se développer, ce qui fait de la sécurité un intérêt direct pour tous les référenceurs. Aucune sécurité ne va bientôt dégénérer en une baisse de trafic, ce qui posera des questions sur votre efficacité en tant qu'expert SEO. Une meilleure sécurité du site signifie plus de trafic pour les sites Web de vos clients, ce qui signifie plus d'affaires pour vous.