Accueil / Audit technique du site / Sécurité du Site

Sécurité du Site

Ce rapport contient des indicateurs qui affectent la sécurité et que les moteurs de recherche prennent en compte lors du classement d'un site sur Google.

Sécurité du Site

Lorsque vous cliquez sur le lien "Description", une infobulle avec des informations sur ces paramètres s'ouvrira et expliquera leur signification.

Sécurité du Site

Éléments du rapport de sécurité

Voici quelques-uns des éléments que nous allons examiner dans notre rapport de sécurité :

Certificat SSL

SSL (Secure Sockets Layer) est la technologie de sécurité standard pour établir un lien crypté entre un serveur web et un navigateur. Google utilise désormais HTTPS comme signal de classement. Les sites qui utilisent HTTPS bénéficieront d'un léger avantage de classement si HTTPS est activé.

Valide jusqu'à

Si le certificat SSL a expiré, un avertissement tel que : "Risque de sécurité potentiel en vue" sera affiché. Si une personne visite une URL de site "non sécurisé", elle sera accueillie par un message indiquant que le site n'est pas sécurisé via le navigateur et qu'elle devrait quitter le site pour rester en sécurité. Les certificats expirés peuvent entraîner de nombreuses conséquences négatives pour le propriétaire du site : de nombreux clients potentiels quitteront probablement le site à cause de ces messages, ce qui entraînera une perte d'affaires au profit de leurs concurrents. Si trop de visiteurs quittent votre site, ce qui est probable dans ce cas, Google déclassera inévitablement votre site dans les résultats de recherche en raison de faibles taux de rebond et de la satisfaction de l'intention de recherche.

Certificat auto-signé

Vous avez besoin d'un certificat SSL signé par une autorité de certification (CA) de confiance pour obtenir le cadenas vert et le signe "sécurisé" sur Google Chrome. Vous en avez également besoin pour bénéficier d'un petit coup de pouce dans le classement Google en utilisant HTTPS. Un certificat auto-signé peut être généré directement sur n'importe quel serveur web, il n'a donc aucune valeur pour les moteurs de recherche et les navigateurs afficheront une erreur. Les certificats auto-signés ne sont pas acceptables ni utiles pour les sites publics, car chaque utilisateur qui accède au site verra un avis indiquant que le certificat est invalide en raison de son auto-signature.

Comment résoudre le problème ?

Ces certificats ne sont pas acceptés par les moteurs de recherche, ce qui signifie que lorsqu'un utilisateur entre sur votre site, il verra une notification indiquant que le site peut être dangereux. Cela peut également nuire à vos efforts en SEO :

  • Les utilisateurs quitteront des pages potentiellement dangereuses.
  • Les moteurs de recherche déclasseront les pages qui ne sont pas sécurisées. Les certificats auto-signés ne devraient être utilisés que pendant la phase de développement d'un site.

Pour résoudre le problème, vous avez besoin d'un certificat SSL signé par une autorité de certification fiable. Cela vous donnera alors le cadenas vert et le signe sécurisé sur Google, ainsi que la possibilité d'utiliser HTTPS. Il existe plusieurs entreprises en ligne qui proposent des certificats signés par une CA.

Le domaine est listé dans le certificat

Les certificats SSL sont pour un domaine spécifique. Ils ne peuvent pas être utilisés pour d'autres domaines. Le navigateur avertira les visiteurs s'ils sont utilisés sur plusieurs sites et informera l'utilisateur que ledit site est dangereux. Cela augmentera le taux de rebond du site. Les moteurs de recherche vérifieront également le certificat, et s'ils remarquent qu'un certificat SSL est utilisé sans le nom de domaine listé, ils sont susceptibles de déclasser le site jusqu'à ce que le problème soit résolu.

Comment résoudre le problème ?

Un certificat SSL ne peut être utilisé que pour un domaine spécifique, il est donc important d'avoir le domaine listé dans le certificat SSL, sinon votre site peut être classé comme 'dangereux', affectant le classement, les taux de rebond, etc.

Pour résoudre ce problème, il suffit d'entrer le nom de domaine dans le certificat SSL. Que ce soit en contactant le développeur ou l'entreprise qui s'en est occupé pour vous, ou en le faisant vous-même. Si vous utilisez une entreprise tierce comme GoDaddy, elle vous fournira généralement des étapes sur la façon de procéder via son tableau de bord.

Certificat de confiance

Si un certificat SSL n'est pas confirmé par le centre d'enregistrement, le navigateur affichera un avertissement indiquant que le site peut être dangereux, ce qui risque d'effrayer les utilisateurs. Les moteurs de recherche vérifient également le certificat, et si un problème survient, le site perdra rapidement sa position dans les résultats de recherche, car il sera considéré comme « non fiable ».

Comment résoudre le problème ?

Si un certificat SSL n'est pas de confiance, cela signifie généralement qu'il n'a pas été validé par le centre d'enregistrement, ou que vous n'avez pas utilisé une autorité de certification (CA) de confiance. Cela affectera également le classement de votre site, car le signe de « danger » apparaîtra, entraînant des rebonds des utilisateurs et une dégradation dans les classements.

Pour corriger cela :

  • Assurez-vous d'utiliser une autorité de certification de confiance.
  • Si l'installation n'a pas été correctement effectuée, refaites-la ou demandez à l'entreprise qui l'a faite de la refaire.
  • Assurez-vous que le certificat n'a pas expiré. Si c'est le cas, vous devrez acheter un nouveau certificat SSL.

Redirection 301 de HTTP vers HTTPS

Il n'y a aucun intérêt à payer pour un SSL si les moteurs de recherche et les utilisateurs visitent toujours le site via HTTP. Vous devez rediriger tout votre trafic via une redirection 301 dans le fichier .htaccess de la version HTTP de votre site (non protégé et non crypté) vers la version HTTPS de votre site (protégé et crypté).

Affichage du port 443 dans l'URL

Si votre serveur est mal configuré, le port 443 peut apparaître dans l'URL. Cela ne donne pas une bonne impression aux utilisateurs et peut les confondre concernant le nom de votre marque et la manière d'accéder à votre site. Par exemple, https://example.com:443 est déroutant et ne semble pas aussi « propre » que https://example.com.

Comment résoudre le problème ?

Si le port 443 s'affiche dans votre URL, cela indique que votre serveur a été mal configuré, ce qui entraîne l'affichage d'une URL incorrecte. Par exemple, au lieu de example.com, nous voyons example.com:443. Cela peut être déroutant pour les utilisateurs et les amener à croire que ce code d'erreur fait partie de votre URL.

Pour corriger cela :

http {
        ... proxy_redirect ~^http://([^:]+):443(/.+)$ https://$1$2;
        ...
    }

Ajoutez ce code dans la section HTTP de votre fichier nginx.conf. Cela remplacera toute requête d'en-tête de localisation qui correspond à l'expression régulière sur le port 443, avec le schéma correct. Assurez-vous de redémarrer nginx pour voir les changements.

Votre adresse IP a été blacklistée

Les bases de données RBL / DNSBL sont des listes noires d'adresses IP couramment utilisées pour des tactiques de spam. Un site peut être blacklisté après avoir reçu plusieurs plaintes pour spam. Si vous utilisez un hébergement partagé avec une adresse IP partagée, votre adresse IP pourrait également être blacklistée à cause d'autres spammeurs malveillants utilisant cette adresse IP. Les adresses IP blacklistées sont considérées comme non fiables aux yeux des moteurs de recherche, et les serveurs de messagerie peuvent marquer les e-mails entrants de votre domaine comme "spam" ou même les bloquer entièrement. Vous ne voulez pas que votre IP soit blacklistée, et si c'est le cas, vous devez demander une nouvelle adresse IP dédiée à votre fournisseur d'hébergement.

Comment résoudre le problème ?

Si vous partagez une adresse IP sur un hébergement partagé avec un autre site qui utilise des tactiques de spam, il y a un risque que votre site soit également blacklisté. Les RBL/DNSBL sont des bases de données qui contiennent des adresses IP blacklistées. Être blacklisté affectera votre capacité à apparaître dans les classements. Pour résoudre ce problème, vous devrez demander une nouvelle adresse IP dédiée à votre fournisseur d'hébergement.

Pages avec <frame>/<iframe>

L'élément HTML <iframe> représente un contexte de navigation imbriqué, intégrant une autre page HTML dans la page actuelle. L'élément <iframe> peut présenter un risque de sécurité si un site hostile s'y intègre également. Si un site compromis est intégré dans un iframe sur votre site, cela peut compromettre l'intégrité de votre site. Un hacker malveillant peut utiliser un iframe pour exploiter un site vulnérable via CSRF. De plus, les iframes peuvent être utilisées par des attaquants dans une "attaque de redressement de l'interface utilisateur". Par conséquent, vous devez faire attention lorsque vous ajoutez un iframe provenant d'un site non fiable.