Salut à tous et bienvenue dans ce nouveau « point sécu » avec Julio, dans lequel on va répondre à la question suivante : jusqu’où faut-il aller pour sécuriser un site WordPress ?
Allez c’est parti !
Alors du coup c’est vrai que ça fait un certain nombre de vidéos qu’on vous fait sur la sécurité WordPress on vous parle de pas mal de choses, mais jusqu’où faut-il aller ? Est-ce qu’on doit passer ses journées à sécuriser un site ?
C’est ce à quoi on va essayer de répondre dans cette vidéo.
Alors Julio dis nous tout !
Julio : Rapidement je dirais non ! Ă©videmment on ne peut pas passer sa journĂ©e Ă sĂ©curiser un site, on pourrait y passer beaucoup de temps, on pourrait mettre en place plein de choses, revĂ©rifier tous les jours, toutes les heures que tout se passe bien parce que finalement quand le piratage arrive, c’est d’une minute Ă l’autre donc on pourrait ĂŞtre sans arrĂŞt un petit peu “au taquet”, donc non on ne va pas faire ça.
Sommaire
Ce qu’on va mettre en place justement :
- des systèmes de surveillance,
- des planifications,
- des mises à jour automatisées,
- des backups automatisés,
- des systèmes d’alerte pour vérifier les choses sur le site, sur les fichiers, etc.
Donc ça, c’est quelque chose qui va nous faire gagner du temps finalement. Après dans le « jusqu’où faut-il aller » il y a aussi « est-ce qu’il faut installer plusieurs plugins de sécurité », alors oui et non : soit vous installez un plugin de sécurité qui fait tout donc comme SecuPress et ses concurrents, là OK !
Vous en installez un seul, si vous en mettez deux, c’est comme sur ordinateur je ne sais pas, sur votre pc, vous avez plusieurs antivirus Ă la fois, on sait bien que ça ne va pas du tout bien fonctionner…
Alex : ils se tirent dans les pattes Ă un moment ou Ă un autre.
Julio : il y a de fortes chances même que le second essaie de vous dire « ah non il y en a déjà un je ne peux pas »
Sur WordPress, ça ne va pas faire ça les 2, les 3, les 4 que vous pourrez installer, ça va, ils vont pouvoir s’activer, je l’ai déjà vu sur des sites où, dans le backend, une personne avait mis SecuPress,
Elle me demande du support, j’arrive et dĂ©jĂ deux, trois autres plugins oui, mais non voilĂ on fait tous « pareil » donc ça ne va pas ! Le souci c’est que, puisqu’on fait tous « pareil » dans l’Ă©criture j’ai envie de dire, on va chacun ajouter notre morceau de code et au final ça risque peut-ĂŞtre de rentrer en conflit et de soit, ne jamais marcher dans le sens oĂą « ça y est, je ne peux plus me connecter parce que j’ai trop de protection ».
Il y en a un qui croit que l’autre plugin est en train de le pirater alors que c’est faux ou inversement.
En fait les deux, ils pensent que l’autre a fait le travail et finalement il n’y a plus de blocage et tout passe, donc ça, c’est quelque chose à ne pas faire, si on est plusieurs plugins c’est parce que chaque petit plugin fait quelque chose.
Par exemple, je ne mets pas de plugins qui font tout :
- je vais mettre un plugin qui fait « move login » justement,
- je vais mettre un plugin qui limite le nombre de tentatives,
- je vais mettre un plugin qui bloque les mauvaises requĂŞtes…
Alex : Double authentification, etc.
Julio : Un plugin un peu partout…
Alex : Par poste quoi…
Julio : Alors l’inconvĂ©nient de faire ça, c’est que du coup ça multiplie votre nombre de mises Ă jour. C’est-Ă -dire qu’aujourd’hui c’est lui, demain c’est l’autre, demain c’est l’autre, demain… et on recommence toutes les semaines voyez… donc c’est un peu plus gĂŞnant
Deuxième point négatif à faire ça : c’est que ce ne sont pas forcément les mêmes auteurs, donc ils ne se connaissent pas, leurs plugins ne savent pas forcément communiquer avec ceux des autres, ce n’est pas codé de la même manière encore une fois.
On en revient au support : est-ce qu’ils sont tous supportés de la même façon ? L’avantage de mettre un plugin qui fait tout, c’est que justement chaque module se connaît, sait se parler. S’il y a un problème dans l’un avec un autre, il suffit que l’auteur de ce même module intervienne c’est le même auteur c’est le même plugin donc ça, c’est un autre avantage.
Alex : Il n’y a qu’un seul interlocuteur pour le support.
Julio : Ă©videmment un seul interlocuteur ça simplifie tout, parce que j’ai dĂ©jĂ eu le souci justement oĂą deux plugins se tapaient dans les pattes. Moi je suis une troisième personne, je ne suis d’aucun cĂ´tĂ© et chacun renvoie la balle Ă l’autre : “c’est pas ma faute c’est la sienne et puis machin, c’est Ă lui de le faire, moi je ne veux pas y toucher” et puis finalement moi je suis coincĂ©, je fais quoi donc je modifie le plugin moi-mĂŞme…
Ben non, on ne fait pas ça, je suis un peu coincé.
Voilà pourquoi aujourd’hui je préfère mettre un plugin qui fait tout, du moment que ça reste dans une sphère unique d’un sujet unique, je ne vais pas mettre un plugin qui fait à la fois le SEO, la sécurité, gestion des contenus, etc.
J’espère que ça n’existe pas !
Alex : Mais on sait que tous les plugins existent, donc il doit exister, mais on ne le connaît pas.
Julio : Ouh là là  !
Alex : Alors du coup c’est vrai que dans une prĂ©cĂ©dente vidĂ©o, on a parlĂ© des listes de sĂ©curitĂ© que Julio a fait avec SecuPress et qu’il ne fallait pas forcĂ©ment tout mettre en place, il fallait mettre tout ce qu’on pouvait, dans la mesure de ses possibilitĂ©s donc voilĂ , après voilĂ il ne faut pas non plus vouloir faire du 100 %…
Trop de sécurité peut nuire à votre confort
Julio : ça peut nuire en fait aussi aux utilisateurs. C’est-à -dire que si je vous propose sur votre porte d’entrée de chez vous de mettre 10 verrous, est-ce que vous avez vraiment toujours fermer et ouvrir ces 10 verrous, non, pourtant 10 verrous ce sera plus sécurisé.
Evidemment le jour il faut enlever la porte au pied de biche, c’est beaucoup plus compliqué, le jour il faut crocheter une serrure il faut crocheter 10 serrures donc forcément c’est plus sécurisé, maintenant c’est trop contraignant, personne ne veut mettre 10 verrous. Je veux dire que c’est simple de mettre 10 verrous, tout le monde peut le faire, pourtant personne ne le fait parce que c’est juste trop embêtant.
Du coup il faudrait réussir à trouver la bonne balance entre la sécurité et garder un confort d’utilisation donc, par exemple si vous avez beaucoup de membres ça va être très difficile de dire à tous vos membres maintenant tout le monde doit mettre la double authentification sur son compte c’est gênant beaucoup de services le proposent : Google, Facebook, Dropbox, Slack, mais ce n’est jamais obligatoire.
On vous incite à le faire, on vous invite à le faire, si vous refusez dans un mois ou deux on va vous re proposer de le faire, on va vous re proposer de faire, parce qu’ils savent que c’est important et peut être qu’ils se disent : « au bout d’un moment ils vont se rendre compte que voilà , après autant de demandes c’est bizarre, c’est important » oui c’est important de le faire, mais on peut pas le forcer.
Donc, il faut faire attention aussi aux plugins qui vont le forcer, vous risquez de faire que vos utilisateurs ne se connectent plus, alors si c’était pour gagner des commentaires, ils vont commenter de moins en moins, est-ce que vos commentaires vont vous rapporter de l’argent par rapport au nombre de visites ?
Tout ça c’est Ă prendre en compte, donc il y a un certain confort Ă garder tout en Ă©tant suffisamment sĂ©curisĂ©. Il y a une petite anecdote que je vais vous raconter…
Alex : Elle est bonne celle-là  !
Julio : Elle est bonne ? C’est super ! ça veut dire qu’il la connaît déjà  !
La fameuse anecdote des cadenas
C’est à propos des cadenas : vous connaissez les cadenas pour vélos ou les cadenas pour les casiers, où il y a des chiffres dessus donc souvent il y a trois chiffres ce qui nous fait mille possibilités.
Un jour sur un casier, j’ai vu un cadenas de cinq chiffres, j’étais assez Ă©tonnĂ© j’e n’en avais jamais vu, il Ă©tait assez gros, je me suis demandĂ© tout de suite : est-ce qu’il est plus sĂ©curisĂ© qu’un cadenas Ă 3 chiffres ?
Donc tout de suite on se dit que si un cadenas à 3 chiffres a mille possibilités, celui qui en a 4 a dix mille possibilités, celui qui en a 5 à jusqu’à cent mille possibilités, donc j’ai envie de dire : oui forcément il est plus sécure, ça va être beaucoup plus long de trouver au hasard ou en cherchant un par un cent mille possibilités plutôt que mille » et bien je vais vous dire aujourd’hui :
Non c’est moins sĂ©curisĂ©… pourquoi ? Parce que c’est utilisĂ© par un humain et l’humain est fainĂ©ant, il veut garder son confort. Donc je me suis dit : je pense que la personne qui utilise ce cadenas n’a pas voulu retenir cinq chiffres et n’a pas envie de remettre Ă chaque fois les cinq chiffres.
Alex : Passer un quart d’heure Ă trouver… Ă mettre la bonne combinaison
Julio : Poussons le vice : imaginons un cadenas à 20 chiffres, il est super long comme ça, il y a 20 chiffres : déjà est-ce que vous voulez retenir 20 chiffres pour un cadenas ? Non !
Est-ce que vous voulez passer le temps à chaque fois que vous l’enlever à remodifier les 20 petits loquets : non.
À chaque fois que vous revenez, il faut les remettre dans l’ordre non, vous ne voulez pas le faire donc finalement c’est pas « plus il y a de chiffres » plus c’est sécurisé.
Alex : Tu as plus vite fait de prendre la pince et d’ouvrir le cadenas.
Julio : Complètement.
L’anecdote, l’anecdote…
Donc ce que j’ai fait lorsque j’ai vu ce cadenas Ă 5 chiffres, je me suis dit je vais juste regarder si la personne, elle a vraiment utilisĂ© son cadenas de façon sĂ©curisĂ©e et j’ai bougĂ© le loquet Ă gauche et Ă droite : faire +1 -1 sur le chiffre Ă chaque fois comme ça – arrivĂ© au dernier, le cadenas s’est ouvert.
C’est-Ă -dire que j’ai modifiĂ© un seul chiffre, donc imaginons : le code c’était 1 2 3 4 5, la personne l’avait mis sur 1 2 3 4 6, moi je l’ai modifiĂ© une fois et ça s’est ouvert ! Evidemment je l’ai refermĂ© et je l’ai mĂ©langĂ©, c’était juste un test un petit dĂ©fi et ça a marchĂ© instantanĂ©ment en fait, en moins de cinq minutes, donc en fait je me dis qu’un cadenas Ă 3 ou 4 chiffres, je pense que c’est le maximum pour nous humain.
Au delĂ , on n’a pas envie de retenir cinq chiffres, on n’a pas envie de les modifier Ă chaque fois – “aller-retour” – ça devient une contrainte et si c’est une contrainte, ben en fait on va restreindre le niveau de sĂ©curitĂ© beaucoup plus bas que c’était prĂ©vu.
Alors c’était prĂ©vu pour cent mille possibilitĂ©s, je l’ai fait en 5, on va dire en 10, gauche/droite pour 5, je l’ai fait en 10 possibilitĂ©s, alors qu’il Ă©tait prĂ©vu de faire 100 fois plus difficile, donc comme quoi, il faut rĂ©ussir Ă mettre le bon niveau de sĂ©curitĂ©, donc ne foncez pas droit dans : “je mets tout en place”, parce que vous risquez mĂŞme, vous-mĂŞme, de vous retrouver en dehors de votre site web, portes fermĂ©es devant vous, parce que vous avez essayĂ© d’en mettre et d’en mettre et d’en mettre…
Et au final, c’est tellement sécurisé que c’est même plus utilisable, donc il y a un moment où ce n’est pas possible, donc à vous de doser selon votre besoin la sécurité, tout n’est pas obligatoire dans tout ce qu’on donne, c’est à chaque fois des conseils de sécurité, ce qui veut dire qu’on les applique ou on ne les applique pas.
Formez-vous Ă WordPress en 3 mois
Apprenez à concevoir des sites WordPress sécurisés, rapides et conformes aux obligations légales avec la formation à distance la plus généreuse du marché (éligible au CPF).
Pour conclure…
Tous les conseils qui ne sont pas appliqués : vous connaissez les risques, vous savez ce que vous encourez et à partir de là , libre à vous de les faire ou pas.
Alex : Oui c’est chacun sa responsabilité, ça ne sert à rien de vouloir monter un mur devant sa porte, puis de ne plus pouvoir rentrer chez soi.
Julio : Exactement, très bonne idée ça : je la garde !
Alex : Voilà il y a pas mal de métaphores là , si vous avez envie de faire de la pédagogie avec des clients et tout ça, vous pouvez y aller, racontez l’anecdote de Julio.
Merci d’avoir écouté cette vidéo, bien sûr retrouver les check-lists, juste en dessous, pour pouvoir avoir la liste des choses à faire pour configurer votre site et bien sûr faites-le au maximum de vos possibilités et tant que ça ne gêne pas trop votre confort.
Il ne faut pas abuser tout de mĂŞme, donc voilĂ .
N’oubliez pas aussi de vous abonner à la chaîne YouTube de WPMarmite et d’aller voir SecuPress pour sécuriser votre site, voilà tout est bon et à très bientôt : salut, ciao !
Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20000 personnes l'ont fait, pourquoi pas vous ?
La dernière fournée d'articles
Tous les articlesComment optimiser un site WordPress pour les Core Web Vitals ?
Dans le monde du SEO et de la crĂ©ation web en gĂ©nĂ©ral, c’est un terme dont on entend presque tout le temps parler. Ah, les fameux Core Web Vitals… Le genre de truc toujours Ă la mode depuis leur sortie…
Spectra : plongée dans ce constructeur de page intégré à l’éditeur de WordPress
Sortir de l’interface native de WordPress ? Jamais de la vie. Proposer une kyrielle de widgets ? MĂŞme pas en rĂŞve. Avec lui, la star, ce sont les blocs. CrĂ©er votre prochain site WordPress sans quitter l’éditeur par dĂ©faut (Gutenberg),…
WPMarmite News fĂŞte sa 100e Ă©dition (avec un concours) !
Aujourd’hui est un jour un peu spĂ©cial pour WPMarmite. Nous fĂŞtons la 100e Ă©dition de WPMarmite News, notre newsletter de veille WordPress ! 🥳 Si vous ĂŞtes un abonnĂ© de longue date, vous vous en rappelez peut-ĂŞtre : l’aventure avait…