🛡 Point SECU #21 : Comment sécuriser WordPress sans WordPress

Salut à tous et bienvenue pour ce nouveau “Point Sécu” avec Julio.

Aujourd’hui, on va voir comment sécuriser WordPress sans WordPress.

Allez c’est parti !

Alors, dis-nous tout Julio, comment on peut vraiment sécuriser WordPress sans WordPress ? ça semble un petit peu bizarre.

Julio : ça semble bizarre et en fait, quand on cherche à sécuriser son site web, on reste parfois un peu trop orienté sur le web, sur son HTTP, sur son FTP et finalement, il y a d’autres choses qu’on peut faire.

Aucun mot de passe tu ne partageras

Je vais prendre un exemple donc on a déjà parlé dans d’autres vidéos : ne pas partager son mot de passe : c’est une sécurisation sans WordPress.

Il suffit que je ne partage pas mon mot de passe et pour ça, je n’ai pas besoin du web pour ne pas le partager.

Donc ça déjà c’est une sorte de sécurisation de WordPress sans WordPress.

Vous avez vu, j’ai mon carnet, c’est-à-dire que j’ai une liste de choses, je ne vais pas pouvoir tout dire parce que la liste est longue, je vous mettrais les liens dans la description pour d’autres…

Le WIFI gratuit tu n’utiliseras pas

Je vais prendre un point dont on a parlé la fois précédente, je reviens sur le WIFI.

Quand vous vous connectez à votre administration WordPress sur une connexion WIFI, si c’est la vôtre, chez vous, avec votre clé de sécurité, OK, j’ai envie de dire il n’y a pas de soucis, c’est la vôtre.

Si vous allez dans des WIFI gratuits, dans les fast foods ou à la SNCF par exemple, là j’ai envie de dire : ATTENTION.

Est-ce que vraiment, vous avez un besoin de vous connecter à l’administration de votre site ?

Si vous êtes en HTTP sur un WIFI gratuit, c’est la plus mauvaise des idées, car là je suis quasiment certain qu’i y a quelqu’un qui s’amuse à “sniffer” le réseau.

C’est-à-dire quelqu’un qui se met justement entre la demande de requête et la réception pour se trouver au milieu et écouter toutes ces requêtes,

Et là c’est super grave, on ne se rend pas compte, nous on est sur l’ordinateur, on s’est connecté “oh c’est cool c’est gratuit, c’est une bonne connexion !”

Finalement, sans le savoir, on vient de donner des informations à ce pirate.

Donc, ne vous connectez pas sur le WIFI gratuit.

Alex : oui, il y avait une vidéo d’un Youtubeur qui s’appelle Micode qui avait présenté ça, il est allé à un Mc Do, je crois, et il a montré comment on peut récupérer des infos.

Vous la trouverez ici, ça pourra vous aider aussi à creuser la question si vous voulez en savoir plus.

Faites gaffe au WIFI gratuit !

En HTTPS, c’est moins dangereux comme c’est crypté…

Julio : Voilà exactement, si on est en HTTPS, ça fonctionne, puisque là, même si quelqu’un arrive à regarder, tout ce qu’il va voir c’est du contenu totalement illisible humainement.

Alors que de l’autre côté, c’est vraiment humainement lisible. C’est juste en clair, il suffit de lire du texte.

Pour moi c’est le point le plus important pour sécuriser WordPress sans WordPress.

Alex : Alors, vas-y un autre…

De ton administration WP tu te déconnecteras

Julio : Un autre… il est presque lié à WordPress, c’est : déconnectez-vous de votre administration et maintenant vous êtes sorti de WordPress.

En faisant ça, vous évitez que par le malheur d’un clic bête : quelqu’un vous dit : “oh regarde sur cette photo t’es génial” “comment ça cette photo de moi ?”

Vous cliquez sur le lien et en fait c’est un lien qui pointe chez vous, vers une URL spéciale qui exploite par exemple une faille dans votre administration.

Si vous êtes connecté, la faille se lance.

Si vous êtes déconnecté, ça vous demandera de vous connecter et là OK, vous venez de vous protéger.

Alex : Là c’est pas une image !

Julio : Effectivement c’est pas une image, c’est un lien vers mon site, vers wp-admin, etc. Qu’est ce que c’est… OK là c’est bon !

Deux solutions :

• quand vous avez besoin d’administrer votre site, vous ouvrez un onglet privé, vous vous connectez, vous faites votre travail, vous fermez l’onglet, donc vous êtes automatiquement déconnecté, la fenêtre privée étant fermée.
• ou alors, vous n’oubliez pas de vous déconnecter.

Une troisième possible solution :

et, je pense, qui est très bonne aussi :

• vous avez un compte pour administrer
• et vous avez un compte pour créer des articles.

Comme les droits ne sont pas les mêmes et que souvent les failles ont besoin des droits “administrateur”

Je dis bien souvent pas toujours !

À la limite, si vous n’êtes pas connecté sur un compte admin, ça pourrait passer, mais je vous conseille tout de même de vous déconnecter totalement. Finalement on est plus vraiment dans WordPress.

Encore une ?

Alex : Allez…

Ta boîte mail tu sécuriseras

Julio : Allez… il y a autre chose à sécuriser que votre mot de passe WordPress et c’est un mot de passe qui est encore plus important que celui de WordPress, c’est votre boîte mail.

Vous imaginez que tous les mails que vous recevez ne sont pas à lire par n’importe qui et que la pire des choses c’est qu’on peut faire la récupération du mot de passe sur tous les réseaux, les sites, les services et ça, c’est super dangereux.

Donc en fait, en sécurisant bien votre boîte mails, c’est-à-dire :

• Vous n’ouvrez pas mails de gens que vous ne connaissez pas
• Vous n’ouvrez pas les pièces jointes des mails qui vous paraissent louches,
• Vous évitez de cliquer sur les liens dans les emails

C’est à dire que si on vous donne un lien avec une page : copier/coller ; parfois, le texte est différent du réel lien qui est derrière et ça c’est un danger.

Vérifiez bien aussi que les URL sont bien celles attendues. Par exemple si vous devez aller sur Paypal pour faire je ne sais quoi, vérifiez bien que c’est Paypal.fr ou Paypal.com et non pas par exemple Paypal.com.quelquechose.quelquechose. C’est pas les deux premiers mots qui comptent, c’est les deux derniers avant le slash, c’est à dire le nom de domaine avec son extension, ça, c’est vraiment important de regarder.

Si vous attendez aussi d’être sur des sites où il y a une histoire de paiement, etc. parce qu’on vous demande de l’argent, ou alors on vous doit de l’argent évidemment, les pirates vous attaquent un petit peu en vous disant “hé on te doit de l’argent finalement viens donner tes infos”

Il y a bien un petit cadenas ou pas ? Si c’est un site où il y a de l’argent, il y a un cadenas, sinon c’est pas le vrai site.

Vérifiez bien ça aussi.

Donc la boîte mail, important de la sécuriser, de bien faire attention à ce qu’on clique, les mails à vérifier, personne, aucun service, ne va vous demander votre mot de passe par exemple, que ce soit Facebook ou Google lui-même, ils ne vont jamais vous dire : “attendez j’ai besoin de votre mot de passe pour vous aider“, non non, ça, c’est impossible.

Là tout de suite il y a “alerte”, il ne faut pas donner ça.

Alex : Pour les emails, on a tous reçu des mails “oui j’ai hérité de ma tante…” de je ne sais plus quel pays, il faut que tu donnes dix mille euros parce que voilà pour la procédure on va partager.

Julio : ça peut paraître énorme, mais malheureusement il y a des gens qui foncent dedans…

Alex : même plus que dix mille des fois : vingt mille, trente mille… ça passe

Julio : ça n’arrête jamais, il suffit de 500 euros pour débloquer 100 000 euros donc, est-ce que vous en voulez, les gens ne sont pas à 500 près et puis finalement, ah mince, en fait il manque 1 000\. Bon j’ai déjà mis 500 je peux mettre 1 000, il y a 100 000 derrière et ont met les 1 000, en fait voilà, l’engrenage est lancé et on se dit que si on s’arrête on a perdu trop d’argent donc on va jusqu’au bout.

Alex : C’est ça, et tu finis à poil !

Julio : Complètement, complètement… mais ça on ne le fera pas en vidéo.

Encore une…

Alex : Une dernière et après on vous laisse parce là qu’il faut qu’on aille manger

Un antivirus tu utiliseras

Julio : Utilisez un antivirus, parce que sans antivirus vous prenez le risque que justement les informations sur votre ordinateur puissent être envoyées à un pirate, donc ça n’a aucun rapport avec WordPress, pourtant si sur votre ordinateur vous avez des informations relatives à votre site, potentiellement on peut se les faire dérober.

On en a parlé pour le FTP, si vous avez un logiciel FTP dans lequel vous enregistrez les mots de passe, les virus peuvent aller prendre ces fichiers de configuration de FTP et se les faire envoyer en les attaquant : ça, c’est pas bon du tout !

Alex : et même sur Mac ?

Julio : j’avoue que je n’ai pas eu ce retour sur Mac, mais après, pourquoi pas, après pourquoi pas, même dans les navigateurs il y a des extensions qui pourraient potentiellement voler des informations.

Attention à ce que l’on installe, attention aux sources toujours.

Alex : c’est comme attention à l’installation de plugins, ben attention à ce qu’on installe sur son ordi, OK !

Formez-vous à WordPress en 2 mois

Et livrez des sites professionnels à vos clients ! Suivez le programme de référence pour apprendre WordPress, obtenir une certification reconnue et en faire votre métier. (éligible au CPF)

Découvrir le programme

Conclusion

Julio : le reste on mettra en dessous.

Alex : ça marche !

Julio : on peut lire, on peut pas lire !

Alex : ça marche, c’est secret ! non non c’est pas secret, c’est juste en dessous de la vidéo et donc merci de nous avoir écoutés, prenez tout cela en compte bien sûr comme d’habitude.

Abonnez-vous à la chaîne YouTube de WPMarmite et le pouce bleu pour montrer que vous avez aimé et aussi allez voir sur Secupress.me pour avoir plus d’infos sur la sécurité WP.

Merci de nous avoir écoutés et à bientôt.

Salut, Ciao

Un autre point important à partager ?

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20000 personnes l'ont fait, pourquoi pas vous ?

Je m'inscris

À propos de l'auteur

Alex Borto

Créateur de WPMarmite et co-fondateur de WPChef, il a à coeur de vous proposer des ressources de qualité pour vous aider à créer, personnaliser et promouvoir des sites avec WordPress.