Se prémunir contre les logiciels malveillants

Pour ne plus subir les attaques des logiciels malveillants, une vigilance de tous les instants est nécessaire. Cet article contient des conseils et des indications pour se prémunir contre les logiciels malveillants. Il n'est toutefois pas exhaustif. Nous encourageons donc les propriétaires de sites à effectuer des recherches plus approfondies de leur côté.

Contrôler l'état de votre site

De nombreuses fonctionnalités présentes dans la Search Console peuvent vous aider à identifier les problèmes potentiels. Par exemple :

  • Effectuez une recherche sur Google avec l'opérateur de recherche site: pour consulter les pages de votre site que Google a identifiées. Nous vous conseillons de réaliser cette recherche régulièrement pour vous assurer que personne n'ajoute de pages ou de contenus inattendus sur votre site. Si vous trouvez des pages ou des sujets qui ne devraient pas y être, il se peut qu'il ait été piraté. Si vous ne maîtrisez pas encore l'opérateur de recherche site:, sachez qu'il permet de limiter votre recherche à un site précis. Par exemple, la recherche site:developers.google.com n'affiche que les résultats provenant du site Google Developers.
  • Le rapport sur les problèmes de sécurité indique les pages piratées que Google a identifiées sur votre site et vous fournit des instructions afin de résoudre les problèmes identifiés.
  • Si Google détecte un logiciel malveillant sur votre site, une notification s'affiche dans le panneau des messages de la Search Console. Si vous souhaitez être averti rapidement, vous pouvez activer le transfert des messages du Centre de messagerie vers votre messagerie électronique.

Checklist de sécurité

En plus du contrôle régulier de votre site, nous vous invitons à suivre ces quelques recommandations :

Tous les propriétaires de sites Web

  • Choisissez des mots de passe sécurisés. Consultez les consignes relatives à la création d'un compte Google pour en savoir plus.
  • Choisissez vos fournisseurs de contenu tiers avec soin. Assurez-vous que les applications et annonces tierces présentes sur votre site proviennent de sources fiables et légitimes, lesquelles fournissent généralement les coordonnées de leur site Web ou un moyen quelconque de les contacter.
  • Contactez votre hébergeur ou plate-forme de publication pour obtenir de l'aide. La plupart des entreprises proposent des pages de sécurité ou des groupes d'aide réactifs et utiles. Si un site ou une page de sécurité contient un flux RSS, abonnez-vous pour vous tenir au courant des évolutions.
  • Sécurisez l'ensemble de vos ordinateurs. Lorsque vous créez un site Web, assurez-vous que le poste de travail local que vous utilisez est équipé de logiciels à jour, qu'il ne contient pas de virus, de chevaux de Troie ni d'autres logiciels malveillants, et qu'un antivirus à jour est installé.

Propriétaires de sites Web qui ont accès au serveur

  • Vérifiez la configuration de votre serveur. Le site d'Apache propose quelques conseils de sécurité en matière de configuration (en anglais). Microsoft, pour sa part, met à disposition des ressources techniques pour IIS sur son site Web. Certains de ces conseils traitent des autorisations de répertoire, des commandes SSI, de l'authentification et du chiffrement.
  • Créez une copie de sauvegarde de votre fichier .htaccess, ou de tout autre mécanisme de contrôle d'accès, selon la plate-forme que vous utilisez pour votre site Web. Utilisez cette copie pour récupérer vos données si la procédure suivante ne fonctionne pas. N'oubliez pas de supprimer le fichier de sauvegarde lorsque vous avez terminé.
  • Veillez à installer les dernières versions des logiciels et les correctifs les plus récents. Il existe de nombreux outils qui permettent de concevoir un site facilement, mais chacun d'eux augmente les risques de piratage. Les propriétaires de sites Web tombent souvent dans le même piège : ils créent un forum ou un blog sur leur site Web et ne s'en occupent pas par la suite. Comme pour la révision d'une voiture, vous devez vous assurer que vous disposez des dernières versions des logiciels que vous utilisez. Dressez la liste de l'ensemble des logiciels et des plug-ins utilisés sur votre site Web, et gardez une trace des numéros de version et des mises à jour. Même si vous restez prudent et si vous mettez régulièrement à jour les éléments de votre site Web, celui-ci peut rester vulnérable si votre hébergeur Web n'a pas installé les derniers correctifs du système d'exploitation. Les sites de petite taille ne sont pas les seuls concernés. Des alertes se sont déjà produites sur des sites Web de banques, d'équipes sportives, d'entreprises et d'administrations.
  • Consultez régulièrement vos fichiers journaux. Si vous prenez cette habitude, vous en tirerez de nombreux avantages, dont une sécurité renforcée. Par exemple, des paramètres d'URL inhabituels (comme =http: ou =//) ou encore des pointes de trafic sur les URL de redirection de votre site peuvent indiquer qu'un pirate informatique exploite vos redirections ouvertes. De même, n'oubliez pas que les pirates informatiques tentent souvent de modifier les fichiers journaux. Par conséquent, vous devez prendre des mesures pour protéger ces fichiers. Vous pouvez, par exemple, les déplacer dans un répertoire autre que celui par défaut, afin que les pirates aient plus de difficultés à les retrouver.
  • Recherchez les failles courantes qui peuvent être présentes sur votre site. Évitez d'utiliser des répertoires accessibles à tous. En effet, cela reviendrait à laisser la porte de votre domicile grande ouverte.

    Vérifiez également qu'aucune faille de type XSS (script intersites) ou injection SQL n'est présente.

  • Utilisez des protocoles sécurisés. Google recommande d'utiliser les protocoles SSH et SFTP pour le transfert des données, plutôt que les protocoles utilisant du texte brut comme telnet ou FTP. Les protocoles SSH et SFTP utilisent un système de chiffrement et sont beaucoup plus sûrs.
  • Tenez-vous au courant des dernières nouveautés en matière de sécurité. Notre blog sur la sécurité en ligne contient des informations utiles à ce sujet, ainsi que des liens vers d'autres sources d'information. Le site du gouvernement américain US-CERT (United States Computer Emergency Readiness Team) propose également des avertissements et des conseils techniques en matière de sécurité.

Si vous utilisez la Search Console et que vous rencontrez des problèmes de sécurité permanents ou impossibles à résoudre sur votre site, vous pouvez nous le signaler.

Signaler un problème de sécurité