Salut à tous et bienvenue dans ce nouveau « point sécu » avec Julio, dans lequel on va répondre à la question suivante : jusqu’où faut-il aller pour sécuriser un site WordPress ?
Allez c’est parti !
Alors du coup c’est vrai que ça fait un certain nombre de vidéos qu’on vous fait sur la sécurité WordPress on vous parle de pas mal de choses, mais jusqu’où faut-il aller ? Est-ce qu’on doit passer ses journées à sécuriser un site ?
C’est ce à quoi on va essayer de répondre dans cette vidéo.
Alors Julio dis nous tout !
Julio : Rapidement je dirais non ! évidemment on ne peut pas passer sa journée à sécuriser un site, on pourrait y passer beaucoup de temps, on pourrait mettre en place plein de choses, revérifier tous les jours, toutes les heures que tout se passe bien parce que finalement quand le piratage arrive, c’est d’une minute à l’autre donc on pourrait être sans arrêt un petit peu “au taquet”, donc non on ne va pas faire ça.
Sommaire
Ce qu’on va mettre en place justement :
- des systèmes de surveillance,
- des planifications,
- des mises à jour automatisées,
- des backups automatisés,
- des systèmes d’alerte pour vérifier les choses sur le site, sur les fichiers, etc.
Donc ça, c’est quelque chose qui va nous faire gagner du temps finalement. Après dans le « jusqu’où faut-il aller » il y a aussi « est-ce qu’il faut installer plusieurs plugins de sécurité », alors oui et non : soit vous installez un plugin de sécurité qui fait tout donc comme SecuPress et ses concurrents, là OK !
Vous en installez un seul, si vous en mettez deux, c’est comme sur ordinateur je ne sais pas, sur votre pc, vous avez plusieurs antivirus à la fois, on sait bien que ça ne va pas du tout bien fonctionner…
Alex : ils se tirent dans les pattes à un moment ou à un autre.
Julio : il y a de fortes chances même que le second essaie de vous dire « ah non il y en a déjà un je ne peux pas »
Sur WordPress, ça ne va pas faire ça les 2, les 3, les 4 que vous pourrez installer, ça va, ils vont pouvoir s’activer, je l’ai déjà vu sur des sites où, dans le backend, une personne avait mis SecuPress,
Elle me demande du support, j’arrive et déjà deux, trois autres plugins oui, mais non voilà on fait tous « pareil » donc ça ne va pas ! Le souci c’est que, puisqu’on fait tous « pareil » dans l’écriture j’ai envie de dire, on va chacun ajouter notre morceau de code et au final ça risque peut-être de rentrer en conflit et de soit, ne jamais marcher dans le sens où « ça y est, je ne peux plus me connecter parce que j’ai trop de protection ».
Il y en a un qui croit que l’autre plugin est en train de le pirater alors que c’est faux ou inversement.
En fait les deux, ils pensent que l’autre a fait le travail et finalement il n’y a plus de blocage et tout passe, donc ça, c’est quelque chose à ne pas faire, si on est plusieurs plugins c’est parce que chaque petit plugin fait quelque chose.
Par exemple, je ne mets pas de plugins qui font tout :
- je vais mettre un plugin qui fait « move login » justement,
- je vais mettre un plugin qui limite le nombre de tentatives,
- je vais mettre un plugin qui bloque les mauvaises requêtes…
Alex : Double authentification, etc.
Julio : Un plugin un peu partout…
Alex : Par poste quoi…
Julio : Alors l’inconvénient de faire ça, c’est que du coup ça multiplie votre nombre de mises à jour. C’est-à-dire qu’aujourd’hui c’est lui, demain c’est l’autre, demain c’est l’autre, demain… et on recommence toutes les semaines voyez… donc c’est un peu plus gênant
Deuxième point négatif à faire ça : c’est que ce ne sont pas forcément les mêmes auteurs, donc ils ne se connaissent pas, leurs plugins ne savent pas forcément communiquer avec ceux des autres, ce n’est pas codé de la même manière encore une fois.
On en revient au support : est-ce qu’ils sont tous supportés de la même façon ? L’avantage de mettre un plugin qui fait tout, c’est que justement chaque module se connaît, sait se parler. S’il y a un problème dans l’un avec un autre, il suffit que l’auteur de ce même module intervienne c’est le même auteur c’est le même plugin donc ça, c’est un autre avantage.
Alex : Il n’y a qu’un seul interlocuteur pour le support.
Julio : évidemment un seul interlocuteur ça simplifie tout, parce que j’ai déjà eu le souci justement où deux plugins se tapaient dans les pattes. Moi je suis une troisième personne, je ne suis d’aucun côté et chacun renvoie la balle à l’autre : “c’est pas ma faute c’est la sienne et puis machin, c’est à lui de le faire, moi je ne veux pas y toucher” et puis finalement moi je suis coincé, je fais quoi donc je modifie le plugin moi-même…
Ben non, on ne fait pas ça, je suis un peu coincé.
Voilà pourquoi aujourd’hui je préfère mettre un plugin qui fait tout, du moment que ça reste dans une sphère unique d’un sujet unique, je ne vais pas mettre un plugin qui fait à la fois le SEO, la sécurité, gestion des contenus, etc.
J’espère que ça n’existe pas !
Alex : Mais on sait que tous les plugins existent, donc il doit exister, mais on ne le connaît pas.
Julio : Ouh là là !
Alex : Alors du coup c’est vrai que dans une précédente vidéo, on a parlé des listes de sécurité que Julio a fait avec SecuPress et qu’il ne fallait pas forcément tout mettre en place, il fallait mettre tout ce qu’on pouvait, dans la mesure de ses possibilités donc voilà, après voilà il ne faut pas non plus vouloir faire du 100 %…
Trop de sécurité peut nuire à votre confort
Julio : ça peut nuire en fait aussi aux utilisateurs. C’est-à-dire que si je vous propose sur votre porte d’entrée de chez vous de mettre 10 verrous, est-ce que vous avez vraiment toujours fermer et ouvrir ces 10 verrous, non, pourtant 10 verrous ce sera plus sécurisé.
Evidemment le jour il faut enlever la porte au pied de biche, c’est beaucoup plus compliqué, le jour il faut crocheter une serrure il faut crocheter 10 serrures donc forcément c’est plus sécurisé, maintenant c’est trop contraignant, personne ne veut mettre 10 verrous. Je veux dire que c’est simple de mettre 10 verrous, tout le monde peut le faire, pourtant personne ne le fait parce que c’est juste trop embêtant.
Du coup il faudrait réussir à trouver la bonne balance entre la sécurité et garder un confort d’utilisation donc, par exemple si vous avez beaucoup de membres ça va être très difficile de dire à tous vos membres maintenant tout le monde doit mettre la double authentification sur son compte c’est gênant beaucoup de services le proposent : Google, Facebook, Dropbox, Slack, mais ce n’est jamais obligatoire.
On vous incite à le faire, on vous invite à le faire, si vous refusez dans un mois ou deux on va vous re proposer de le faire, on va vous re proposer de faire, parce qu’ils savent que c’est important et peut être qu’ils se disent : « au bout d’un moment ils vont se rendre compte que voilà, après autant de demandes c’est bizarre, c’est important » oui c’est important de le faire, mais on peut pas le forcer.
Donc, il faut faire attention aussi aux plugins qui vont le forcer, vous risquez de faire que vos utilisateurs ne se connectent plus, alors si c’était pour gagner des commentaires, ils vont commenter de moins en moins, est-ce que vos commentaires vont vous rapporter de l’argent par rapport au nombre de visites ?
Tout ça c’est à prendre en compte, donc il y a un certain confort à garder tout en étant suffisamment sécurisé. Il y a une petite anecdote que je vais vous raconter…
Alex : Elle est bonne celle-là !
Julio : Elle est bonne ? C’est super ! ça veut dire qu’il la connaît déjà !
La fameuse anecdote des cadenas
C’est à propos des cadenas : vous connaissez les cadenas pour vélos ou les cadenas pour les casiers, où il y a des chiffres dessus donc souvent il y a trois chiffres ce qui nous fait mille possibilités.
Un jour sur un casier, j’ai vu un cadenas de cinq chiffres, j’étais assez étonné j’e n’en avais jamais vu, il était assez gros, je me suis demandé tout de suite : est-ce qu’il est plus sécurisé qu’un cadenas à 3 chiffres ?
Donc tout de suite on se dit que si un cadenas à 3 chiffres a mille possibilités, celui qui en a 4 a dix mille possibilités, celui qui en a 5 à jusqu’à cent mille possibilités, donc j’ai envie de dire : oui forcément il est plus sécure, ça va être beaucoup plus long de trouver au hasard ou en cherchant un par un cent mille possibilités plutôt que mille » et bien je vais vous dire aujourd’hui :
Non c’est moins sécurisé… pourquoi ? Parce que c’est utilisé par un humain et l’humain est fainéant, il veut garder son confort. Donc je me suis dit : je pense que la personne qui utilise ce cadenas n’a pas voulu retenir cinq chiffres et n’a pas envie de remettre à chaque fois les cinq chiffres.
Alex : Passer un quart d’heure à trouver… à mettre la bonne combinaison
Julio : Poussons le vice : imaginons un cadenas à 20 chiffres, il est super long comme ça, il y a 20 chiffres : déjà est-ce que vous voulez retenir 20 chiffres pour un cadenas ? Non !
Est-ce que vous voulez passer le temps à chaque fois que vous l’enlever à remodifier les 20 petits loquets : non.
À chaque fois que vous revenez, il faut les remettre dans l’ordre non, vous ne voulez pas le faire donc finalement c’est pas « plus il y a de chiffres » plus c’est sécurisé.
Alex : Tu as plus vite fait de prendre la pince et d’ouvrir le cadenas.
Julio : Complètement.
L’anecdote, l’anecdote…
Donc ce que j’ai fait lorsque j’ai vu ce cadenas à 5 chiffres, je me suis dit je vais juste regarder si la personne, elle a vraiment utilisé son cadenas de façon sécurisée et j’ai bougé le loquet à gauche et à droite : faire +1 -1 sur le chiffre à chaque fois comme ça – arrivé au dernier, le cadenas s’est ouvert.
C’est-à-dire que j’ai modifié un seul chiffre, donc imaginons : le code c’était 1 2 3 4 5, la personne l’avait mis sur 1 2 3 4 6, moi je l’ai modifié une fois et ça s’est ouvert ! Evidemment je l’ai refermé et je l’ai mélangé, c’était juste un test un petit défi et ça a marché instantanément en fait, en moins de cinq minutes, donc en fait je me dis qu’un cadenas à 3 ou 4 chiffres, je pense que c’est le maximum pour nous humain.
Au delà, on n’a pas envie de retenir cinq chiffres, on n’a pas envie de les modifier à chaque fois – “aller-retour” – ça devient une contrainte et si c’est une contrainte, ben en fait on va restreindre le niveau de sécurité beaucoup plus bas que c’était prévu.
Alors c’était prévu pour cent mille possibilités, je l’ai fait en 5, on va dire en 10, gauche/droite pour 5, je l’ai fait en 10 possibilités, alors qu’il était prévu de faire 100 fois plus difficile, donc comme quoi, il faut réussir à mettre le bon niveau de sécurité, donc ne foncez pas droit dans : “je mets tout en place”, parce que vous risquez même, vous-même, de vous retrouver en dehors de votre site web, portes fermées devant vous, parce que vous avez essayé d’en mettre et d’en mettre et d’en mettre…
Et au final, c’est tellement sécurisé que c’est même plus utilisable, donc il y a un moment où ce n’est pas possible, donc à vous de doser selon votre besoin la sécurité, tout n’est pas obligatoire dans tout ce qu’on donne, c’est à chaque fois des conseils de sécurité, ce qui veut dire qu’on les applique ou on ne les applique pas.
Formez-vous à WordPress en 3 mois
Apprenez à concevoir des sites WordPress sécurisés, rapides et conformes aux obligations légales avec la formation à distance la plus généreuse du marché (éligible au CPF).
Pour conclure…
Tous les conseils qui ne sont pas appliqués : vous connaissez les risques, vous savez ce que vous encourez et à partir de là, libre à vous de les faire ou pas.
Alex : Oui c’est chacun sa responsabilité, ça ne sert à rien de vouloir monter un mur devant sa porte, puis de ne plus pouvoir rentrer chez soi.
Julio : Exactement, très bonne idée ça : je la garde !
Alex : Voilà il y a pas mal de métaphores là, si vous avez envie de faire de la pédagogie avec des clients et tout ça, vous pouvez y aller, racontez l’anecdote de Julio.
Merci d’avoir écouté cette vidéo, bien sûr retrouver les check-lists, juste en dessous, pour pouvoir avoir la liste des choses à faire pour configurer votre site et bien sûr faites-le au maximum de vos possibilités et tant que ça ne gêne pas trop votre confort.
Il ne faut pas abuser tout de même, donc voilà.
N’oubliez pas aussi de vous abonner à la chaîne YouTube de WPMarmite et d’aller voir SecuPress pour sécuriser votre site, voilà tout est bon et à très bientôt : salut, ciao !