Comment une mauvaise sécurité de site Web affecte négativement les classements SEO

« Sécurité du site Web » – soyons honnêtes ici : à quand remonte la dernière fois que vous y avez sérieusement pensé ? À quand remonte la dernière fois que vous ou votre équipe de référencement avez passé deux secondes sur les dernières tendances en matière de sécurité des sites Web?

Les entreprises pourraient dépenser des milliards de dollars en référencement en ce moment, mais un pourcentage important d’entreprises ayant des sites Web ne pensent même pas à la sécurité du site.

Pourquoi la sécurité Web est importante

En tant que propriétaire d'entreprise, vous avez probablement dépensé des centaines, voire des milliers de dollars au fil des ans en marketing et en référencement, mais le maillon le plus faible de la chaîne de marketing numérique est clairement la sécurité du site Web:

  • Une récente enquête Google montre que les Américains en savent moins qu’ils ne le pensent sur la sécurité des sites Web: 55% des Américains de plus de 16 ans se donnent un A ou un B en termes de sécurité en ligne, mais 70% d’entre eux ont mal identifié à quoi ressemble un site Web sécurisé.
  • Un sondage Harris Poll de mars 2019 montre que 97% des milléniaux participants se sont trompés sur au moins une des six questions de sécurité du site Web.
  • Les attaques de rançongiciels (un type de logiciel malveillant conçu pour bloquer l’accès à un système informatique jusqu’à ce qu’une somme d’argent soit payée) ont augmenté de 195% sur les petites et moyennes entreprises à partir du premier trimestre de 2019.

La triste vérité est que personne ne se soucie vraiment de la sécurité des sites Web jusqu’à ce qu’ils soient confrontés à une menace réelle d’attaques de logiciels malveillants ou de ransomwares.Bien que les gens aient plusieurs moyens simples et pratiques de rester en sécurité sur le Web, les petites et grandes entreprises voient cela comme un coût qu’elles ne veulent pas payer et un processus complexe qu’elles ne veulent pas apprendre, elles ne sont donc pas disposées à être proactives.

Avec cette menace qui plane sur chaque site d’entreprise et de service, il devient de plus en plus important chaque jour d’investir du temps et de l’argent dans la sécurité des sites Web.Parce que si votre site Web est compromis, toute l’entreprise est compromise.

Plongez plus profondément :

Premier pas vers un site web sécurisé

Les bases de la sécurité de site Web commencent avec SSL / TLS sur votre HTTP existant.

  • SSL signifie Secure Sockets Layer et, en bref, est la technologie standard pour sécuriser une connexion Internet et protéger toutes les données sensibles envoyées entre deux systèmes, empêchant les criminels de lire et de modifier les informations transférées, y compris les détails personnels potentiels.
  • TLS signifie Transport Layer Security et n’est qu’une version mise à jour et plus sécurisée de SSL.Nous appelons toujours nos certificats de sécurité SSL parce que c’est un terme plus couramment utilisé, mais lorsque vous achetez SSL auprès de Symantec, vous achetez en fait les certificats TLS les plus récents.

SSL / TLS

Quelle est la différence entre HTTP et HTTPS ?Selon SEOPressor:

  • HTTP signifie Hypertext Transfer Protocol (protocole de transfert hypertexte).Tout au plus, il permet la communication entre différents systèmes.Il est couramment utilisé pour transférer des données d’un serveur Web vers un navigateur afin de permettre aux utilisateurs d’afficher des pages Web.C’est le protocole utilisé pour pratiquement tous les premiers sites Web.
  • HTTPS signifie Hypertext Transfer Protocol Secure.Le problème avec le protocole HTTP normal est que les informations circulant du serveur au navigateur ne sont pas cryptées, ce qui signifie qu’elles peuvent être facilement volées.Les protocoles HTTPS résolvent ce problème en utilisant un certificat SSL, qui permet de créer une connexion cryptée sécurisée entre le serveur et le navigateur, protégeant ainsi les informations potentiellement sensibles contre le vol lorsqu’elles sont transférées entre le serveur et le navigateur :

HTTPS contre HTTP

Passer de HTTP à HTTPS n’est ni compliqué ni long (voir « Comment ajouter HTTPS à votre site Web » ci-dessous).Avec HTTPS, les serveurs et les clients peuvent continuer à converser de la même manière, mais avec un cryptage complet de leurs demandes et réponses (c’est-à-dire des données) :Cependant, tout n’est pas sécurisé avec cette couche supplémentaire de cryptage.HTTPS (EN)

La certification SSL ne garantit pas une sécurité complète.Les sites HTTPS font également face à leur juste part d’attaques de phishing.

C’est pourquoi vous devez prendre les mesures appropriées pour sécuriser votre site et ne pas compter uniquement sur HTTPS pour une sécurité complète du site.

Approfondissez : comment concevoir l’UX d’un site Web ou d’une application pour augmenter les conversions

Le HTTPS est-il un signal de classement ?

Passer de HTTP à HTTPS est une étape simple qui peut faire progresser votre entreprise sur les SERP de Google, car Google signale chaque site comme « non sécurisé » à moins qu’il ne dispose d’une certification HTTPS.

Au début, HTTPS était un signal de classement léger, puis, au fil du temps, Google a donné plus de poids à HTTPS en tant que signal de classement.En août 2014, Google a annoncé que HTTPS est un signal de classement:

Le HTTPS de Google comme signal de classement

Aujourd’hui, HTTPS est l’enfant de la confiance et de la sécurité, affectant directement l’UX et le référencement d’un site.En fait, à partir de juillet 2018, tous les visiteurs du site sans certificat TLS reçoivent une notification « non sécurisée » de Google:

image1 1

Ces notifications ont conduit à des sites Web sans la couche SSL supplémentaire qui voient un trafic et des taux de conversion réduits.Maintenant, il est prudent de dire que c’est devenu un aspect important du référencement technique.

Cliquez ici pour le télécharger gratuitement dès maintenant!

Plongez plus profondément :

Comment ajouter HTTPS à votre site Web

Voici quelques étapes simples que vous pouvez suivre pour passer de HTTP à HTTPS :

Acheter un certificat SSL

L’achat d’un certificat SSL n’est pas si difficile.Tout d’abord, vérifiez auprès de votre société d’hébergement Web.Votre plan d’hébergement inclut-il un certificat?Si le prix et le type de certificat sont conformes à vos besoins, parlez-leur de l’ajout à votre service.

Vous pouvez également rechercher des autorités de certification.Recherchez des prix préférentiels et des types de certificats.Ensuite, achetez et vérifiez votre certificat.Les certificats SSL peuvent être de différents types, y compris DV, OV, EV, Multi-site Web et jokers.

CertWizard de Digicert peut vous guider à travers le type de certificat SSL dont vous avez besoin :

CertWizard de Digicert

Vérifier et installer le certificat

Une fois que vous avez acheté le certificat SSL qui répond à vos exigences, il est temps de le vérifier.La vérification peut prendre de quelques minutes à quelques jours, selon le type de certificat.

Après avoir reçu les informations de l’autorité de certification, téléchargez les fichiers.

Le processus d’installation dépendra de la source du certificat.Les services d’hébergement Web prennent généralement en charge l’installation et simplifient les étapes pour le webmaster.

Voici comment installer votre certificat acheté en dehors du service d’hébergement Web :

  • Connectez-vous à votre compte de gestionnaire d’hébergement Web.
  • Accédez à l’option « Installer le certificat SSL ».
  • Entrez le certificat SSL, le nom du domaine qui requiert SSL et la clé (l’autorité de certification doit fournir la clé SSL et le certificat).
  • Cliquez sur « Installer ».

Valider le certificat SSL

L’étape suivante est la validation, et pour cela, vous devez vous déconnecter de votre gestionnaire d’hébergement Web et de l’interface de l’éditeur de site Web.Alors, vérifiez la barre d’adresse – affiche-t-elle la balise HTTPS?Outre l’adresse HTTPS, vous devez voir les éléments suivants :

  • Un cadenas vert dans la barre d’adresse
  • Le nom de votre entreprise (certificats EV)
  • Une barre d’adresse verte (certifiée EV)

Cadenas SSL vert barre verte

  • Le sceau de sécurité ou le badge de confiance sur site (selon le type de certificat et d’autorité de certification) :

Badge de confiance

Vous devez utiliser un vérificateur SSL au cas où vous assureriez l’état de sécurité de votre site Web.

Mettre à jour les liens de votre site Web

L’installation du certificat SSL via le panneau de configuration devrait basculer de manière transparente vers votre site HTTP sur HTTPS.En plus des pages principales du site, vous devez vérifier d’autres contenus contenant des liens vers votre site :

  • Publications sur les réseaux sociaux et biographies
  • Le blog d’hébergement de contenu de votre site
  • Profils de marketing Web et de vente
  • Profils de forum en ligne
  • Sites Web partenaires qui renvoient directement au logo de votre site

Remarque: Gardez à l’esprit que vos anciens médias sociaux, articles de blog et liens intégrés peuvent toujours générer du trafic vers la version HTTP du site, vous devez donc corriger manuellement les messages précédents hors site pour corriger ces anciens liens.

Plongez plus profondément: Comment résoudre 15 problèmes techniques courants de référencement sur site

Mettre à jour votre sitemap

La génération d’un nouveau sitemap XML n’est pas un défi.Vous pouvez le faire à partir de votre compte Google Analytics.Vérifiez l'URL par défaut de votre site Web sous « Paramètres de propriété » sous l'option « Propriétés » de votre compte administrateur.

Mettez à jour http:// pour https:// et enregistrez la modification.

Pour mettre à jour votre sitemap, consultez les Outils pour les webmasters :

  • Accéder à la Search Console
  • Cliquez sur Paramètres : l’icône d’engrenage en haut à droite
  • Sélectionnez « changement d’adresse »

Google vous guidera à travers les prochaines étapes de la mise à jour de votre sitemap, y compris la sélection de votre nouveau site et la confirmation des redirections 301.Appuyez sur « Envoyer » lorsque vous avez terminé l’édition.

L’acquisition et l’installation d’un certificat HTTPS sont assez simples pour tous les utilisateurs du site Web.Les étapes que nous avons décrites ci-dessus sont pertinentes pour toutes les versions de WordPress et de certaines autres plates-formes CMS.

Si vous avez un fournisseur d’hébergement Web réputé, vous devriez leur parler pour une installation rapide et une migration transparente de votre site de HTTP à HTTPS en modifiant votre plan d’hébergement.

Cliquez ici pour le télécharger gratuitement dès maintenant!

Qu'y a-t-il au-delà de HTTPS dans le domaine de la cybersécurité ?

Bien que HTTPS soit essentiel, ce n’est pas tout ce qui est nécessaire pour la sécurité du site Web.Les sites Web sont confrontés à de nombreux types de menaces de cybersécurité lors de leur exécution, telles que:

1) Injections SQL

Une injection SQL est une technique d’injection de code et une technique de référencement négatif néfaste qu’un pirate informatique criminel (ou votre concurrent) peut mettre en œuvre pour faire tomber votre site.L’attaquant accède au serveur principal de la base de données en injectant du code dans le contenu vulnérable ou endommagé de la base de données via une entrée de page Web (par exemple, un utilisateur entrant son « nom d’utilisateur » avec une instruction SQL).C’est toujours l’une des menaces les plus courantes car elle est très efficace.

Cela peut affecter n’importe quel site Web qui utilise des serveurs MySQL, Oracle et SQL.

Comment vérifier si votre site Web est sous une attaque par injection SQL

Pour prévenir les attaques par injection SQL, des analyses de vulnérabilité peuvent être effectuées à l’aide de logiciels antivirus réputés.Découvrez si votre site Web est attaqué à l’aide d’un outil tel que SQL Injection Test Online.

Suivez ces règles pour empêcher les attaques par injection SQL :

  • Vous ne devez jamais inclure l’entrée directement, mais désinfecter toutes les entrées.
  • Fournissez uniquement les droits d’accès nécessaires aux comptes utilisés pour se connecter à la base de données.
  • N’affichez pas les instructions SQL dans les messages d’erreur ; Utilisez plutôt un message générique.

2) Mauvaises configurations de sécurité

Les erreurs de configuration de sécurité peuvent inclure l’absence d’un certificat SSL, mais elles incluent généralement plusieurs facteurs.Ils couvrent presque tous les types de vulnérabilités résultant du manque de maintenance et de mise à jour des applications du site Web.

Une configuration de sécurité incorrecte peut résulter de plug-ins obsolètes ou tiers, de modules complémentaires non autorisés à un site Web.Ils peuvent fournir aux attaquants une fenêtre pour exploiter des informations sensibles dans une base de données Web.En outre, la sécurité des bases de données peut être compromise par un abus des privilèges utilisateur, une authentification faible ou de mauvaises pratiques de sauvegarde des données.En plus de provoquer des attaques de ransomware réussies, cela peut également entraîner la fermeture complète du site Web.

Comment renforcer la sécurité du site Web

La sécurité du site Web commence par HTTPS.Cependant, vous devez vous plonger dans l’état des plugins, mettre à jour le moteur CMS et installer un logiciel de sécurité sur le site.La configuration sécurisée doit être implémentée au niveau de l’application, du serveur d’applications, de l’infrastructure, du serveur de base de données, du serveur Web et de la plate-forme.

Ce sont les vulnérabilités les plus courantes qui peuvent affecter n’importe quel site Web aujourd’hui.La mise à niveau de votre site vers HTTPS peut ne pas être suffisante pour arrêter ces attaques, vous devez donc penser au-delà des certificats SSL pour protéger la base de données et les utilisateurs de votre site Web.

3) Cross-Site Scripting (XSS)

XSS comprend l’injection de scripts malveillants dans les sites Web et constitue une autre tactique de référencement négatif.L’attaquant exploite une application Web pour envoyer du code malveillant à l’utilisateur sous la forme de scripts de navigateur.

L'utilisateur qui ne connaît pas le site de confiance est susceptible de cliquer sur le code, ce qui permet au code d'accéder aux cookies de l'utilisateur, aux informations sensibles côté navigateur et aux jetons de session.Les scripts XSS peuvent également réécrire le contenu des pages HTML du site Web.

Comment vérifier si votre site Web est sous une attaque XSS Utilisez un outil tel que XSS Scanner :Test XSSQue fairepour empêcher les attaques XSS Un codage de sortie contextuel est nécessaire pour empêcher toute sécurité XSS.

La plupart des sites Web modernes contiennent un filtre XSS.Cependant, ils nécessitent l’application correcte de l’encodage d’URL.

Les webmasters ne doivent autoriser que les liens avec des protocoles autorisés tels que https://s ou aucun script avec des schémas d’URL tels que javascript:// reste bloqué.

4) Falsification demandée sur plusieurs sites

CSRF vous oblige à prendre des mesures que vous n’aviez peut-être pas l’intention de faire.Il s’agit d’une attaque malveillante qui cible les demandes de changement d’état en place.

L'exploitation de l'ingénierie sociale permet au pirate criminel d'inciter l'utilisateur final à effectuer des actions de l'offre de l'attaquant.Cela peut inclure le transfert de fonds, la fourniture de mots de passe ou la modification de leur adresse e-mail.Si la victime est l'administrateur d'un site Web, une attaque CSRF peut compromettre les fonctions de l'ensemble du site Web de l'entreprise.

Et si vous pensez que vous êtes trop intelligent pour être trompé, détrompez-vous.Découvrez ces 6 types courants d’attaques d’ingénierie sociale de Norton :

  • Pâturages
  • Hameçonnage / Spear phishing
  • Piratage de logiciels e-mails et contacts spammeurs
  • Faux-semblant
  • Quelque chose pour quelque chose
  • Vishing

Comment savoir si votre site Web fait l’objet d’une demande de falsification intersite ?Voici les lignes directrices de l’OWASP pour identifier un CSRF.

Comment arrêter les attaques CSRP

HTTPS n’est pas suffisant pour arrêter les attaques CSRF.L’administrateur du site doit ajouter un hachage aux formulaires, nonce par demande aux formulaires et à l’URL, et vérifier l’en-tête de référence dans la requête HTTP du client.D’autres étapes incluent l’ajout d’un identificateur de session aux scripts ViewState for.NET.

Comment un piratage peut-il affecter le trafic organique et le référencement d’un site Web?

Les attaquants ne font pas de distinction entre les sites en termes de taille et de trafic pour les attaques.Voici comment cela peut affecter à la fois votre trafic et votre référencement:

Liste noire

La liste noire – lorsque votre site Web est supprimé de l’index des moteurs de recherche est l’une des conséquences les plus graves des attaques de logiciels malveillants.Étant donné que la plupart des sites Web ne reçoivent aucune notification, ils peuvent être ciblés à plusieurs reprises sur les attaques de rançongiciels et de logiciels malveillants.De nombreux sites Web présentent des vulnérabilités persistantes qui les rendent vulnérables aux injections SQL, XSS, CSRF et aux attaques de phishing.

Ne pas recevoir de notification peut signifier une perte continue d’argent, de réputation et de visiteurs lorsque Google détecte le comportement anormal et met le site sur liste noire.Être sur liste noire est la fin de tout trafic et référencement pour tout site Web.Cependant, c’est une façon de commencer à partir de la case départ avec un site propre.

Erreurs d’analyse

Les robots scrapers analysent les sites pour gratter du contenu, bloquer les robots des moteurs de recherche et se livrer au vol de données.Vos classements SERP peuvent également faire sensation lorsque des robots racleurs créent du contenu dupliqué dans un autre endroit.Ils peuvent créer des erreurs 404 et 503 dans votre Google Search Console.Ils sont responsables de la création de cycles sans fin gourmands en ressources.

Lorsque vous trouvez du contenu dupliqué, déposez une plainte DMCA auprès de Google.L’analyse de routine des fichiers journaux avec des outils premium peut produire une liste exhaustive des robots qui explorent votre site.Identifiez leur source pour séparer les bons robots des mauvais.

Plongez plus profondément: Google cesse de prendre en charge les robots.txt Noindex: ce que cela signifie pour vous

SEO Spam

Les pirates criminels peuvent obtenir du spam SEO via des injections SQL, ce qui peut entraîner une mise sur liste noire de votre site Web ou une modification complète de la façon dont votre site apparaît dans les SERP de Google.Ils peuvent également réduire la vitesse de votre site Web, qui est l’un des signaux les mieux classés.

Vous avez besoin de plugins de sécurité et d’outils de référencement capables de détecter les activités malveillantes en temps réel sur votre site.Il est absolument essentiel de corriger les vulnérabilités.Découvrez les plates-formes payantes qui offrent un suivi complet des sites Web, telles que Sucuri, le leader de l’industrie de la sécurité WordPress (c’est un service payant, mais ils offrent une analyse WordPress limitée gratuitement).

Cliquez ici pour le télécharger gratuitement dès maintenant!

Pensées finales

En fin de compte, vous n’avez pas besoin de faire de Google votre antivirus.Google signale les sites non fiables et met sur liste noire ceux qui constituent une menace pour les utilisateurs, mais s’appuyer sur les mises à jour de Google n’est pas un moyen proactif de prendre soin de la sécurité et du référencement de votre site.

Si vous souhaitez améliorer votre référencement et améliorer le trafic de votre site Web, commencez toujours par HTTPS.Alors, pensez à investir dans un système de surveillance de site Web qui surveille au-delà de la certification SSL de votre site.

Open

info.ibdi.it@gmail.com

Close