Parlons sécurité

Le jeudi 27 aout, un article de PCinpact attire mon attention : les sites internet chinois auraient été victime d’attaque massive par injection SQL.

Ces attaques montrent bien une chose, la sécurité d’un site internet est vitale. Qu’il soit personnel ou professionnel, votre site regorge de données qu’il convient de protéger correctement.

Malheureusement, certains développeurs (méritent-ils ce nom ?) font volontiers l’impasse sur certaines règles de sécurité, portant basique, faisant prendre un certain nombre de risques à leurs clients.
Ainsi, un simple petit bout code inséré dans un formulaire mal protégé peut effacer complètement votre base de données.
Pire , toujours avec un simple bout de code (quelques mots à la place d’une adresse e-mail dans un formulaire par exemple), un « hacker » peut avoir accès au compte de vos clients, leurs adresses e-mail (essentiel pour les spammeurs), leurs mots de passe et avoir accès également aux paramètres de connexion entre le site (PHP) et la base de données (SQL). Bref, l’« hacker » prend totalement le contrôle de votre site.
En règle générale, quand on s’en aperçoit, il est trop tard.

Mais soyons honnête, il est impossible de sécuriser à 100 % son site (même avec de gros moyens financiers). Cependant, ce type d’attaque massive qui a été vécue en Chine peut être évité.

C’est pourquoi, demandez à vos concepteurs de site :
Qu’elle est leur stratégie de sécurité !
Sous quelle version de PHP le site va-t-il être développé ?
Le serveur est-il à jour ?


Prévoyez également dans votre budget un contrat de maintenance qui prévoit au moins, la sauvegarde incrémentale de votre base de données et les mises à jour du serveur. En effet, la version actuelle de PHP (la 5) est plus sécurisée que le 4 mais moins que la future (la 6, à paraître dans quelques mois/années).

Pour conclure, en tant que responsable du développement chez Weexicom, toutes nos solutions incluent un niveau minimum de sécurité et certaines vont encore plus loin. Parlons-en !