Salut Ă tous et bienvenue dans ce nouveau Point SĂ©cu avec notre ami Julio de SecuPress.
Julio : Bonjour.
Alex : Dans lequel on va voir quand convaincre ses clients d’allouer du budget Ă la sĂ©curitĂ©.
Allez c’est parti !
Alors, pourquoi on vous parle de cela aujourd’hui, eh bien tout simplement parce que rĂ©cemment on a vu une petite BD qui est sortie sur le site CommitStrip – je ne sais pas si vous connaissez, en tout cas je vous mettrais le lien juste en dessous – qui explique un petit peu que certains prestataires ont du mal Ă faire comprendre qu’il faut allouer du budget Ă la sĂ©curitĂ©.
On voit plusieurs petites vignettes, oĂą ils disent “Il faut y aller, il faut y aller…”, donc avant le projet, pendant le projet et Ă la fin du projet et puis au final le site se fait attaquer et après le commanditaire se dit “Oh pourquoi on n’a pas protĂ©gĂ© ça !”.
C’est trop tard mon petit gars, il fallait y penser avant, pourtant on n’a pas arrĂŞtĂ© de te le dire : donc Julio qu’est-ce que tu peux nous dire lĂ -dessus ?
En allouant un budget sécurité on évite les histoires !
Julio : Malheureusement c’est du vĂ©cu, je connais une personne qui est venue me voir en amont de son projet.
C’est relativement rare, je dois avouer, dans mon mĂ©tier que quelqu’un vienne me voir avant !
Elle m’a dit “j’ai commencĂ© mon projet, j’aimerais que l’on puisse auditer cela avant que ce soit en ligne” et quand on lui annonce un tarif qui Ă©tait relativement bas, elle m’annonce qu’en fait son budget est passĂ© dans les flyers.
Oui c’est bien le marketing, bien sĂ»r ! Elle s’est dit “bon c’est pas grave je ferais ça plus tard”. On sait quand c’est… plus tard !
Le site est sorti, la personne a lancĂ© sa sociĂ©tĂ©, elle a mis son mobilier dans un bureau, etc. Les affaires ont commencĂ©…
Elle aurait pu potentiellement avoir eu du budget entre temps… On n’est pas obligĂ© peut-ĂŞtre de se mettre “full mobilier”, on n’est pas forcĂ©ment obligĂ© de se prendre un bureau tout de suite, on n’est pas obligĂ© de relancer une seconde vague de marketing.
La sécurité WordPress est toujours mise de côté !
Alex : C’est sous le tapis !
Julio : C’est sous le tapis ! Tant que ça marche, ça marche : “Dis donc si j’avais payĂ© la sĂ©curitĂ©, on voit que ça ne sert Ă rien !” Oui on pourrait dire ça, c’est un peu facile …
Et ce qui devait arriver arriva malheureusement : le site se fait pirater, les donnĂ©es sont totalement perdues, il n’y avait pas de sauvegarde en cours.
La personne revient vers moi et me dit : “Qu’est-ce qu’on peut faire ?”
Malheureusement vous ne pouvez rien faire, c’Ă©tait vraiment vraiment très “sale” ! ça a Ă©tĂ© très loin parce que finalement le site a dĂ» fermer, donc le business s’est arrĂŞtĂ©, le bureau a Ă©tĂ© repris, le mobilier a Ă©tĂ© revendu, etc.
La sociĂ©tĂ© se termine et la personne est repartie travailler Ă mi-temps, alors qu’elle s’Ă©tait lancĂ©e dans une aventure excellente du freelancing qui devient une boĂ®te, donc ça fait un peu mal quand mĂŞme.
Je pense que malheureusement, c’est ce qui arrive trop souvent oĂą le client de lui-mĂŞme n’y pensera pas, c’est pour cela qu’il faut que d’autres personnes le fassent en fait.
MĂŞme un freelance qui fait part d’un projet devrait signaler au chef de projet :
- Est-ce qu’on a pensĂ© Ă la sĂ©curitĂ© ?
- Est-ce qu’il y a un budget qui y est allouĂ© en fait ?
Pareil pour les agences : les agences devraient, automatiquement, pour chaque projet, faire intervenir quelqu’un pour dire : voilĂ , ces plugins lĂ c’est OK, ce thème-lĂ c’est OK, le “dev” maison que vous avez fait, vous avez fait les bons choix, l’hĂ©bergeur… l’hĂ©bergeur on n’en parle pas assez souvent.
Je pense qu’il faut qu’on fasse une vidĂ©o lĂ -dessus d’ailleurs !
Alex : On va en parler oui !
Julio : Parce que c’est aussi un point sensible, c’est un peu la base… le site se met dans l’hĂ©bergeur et on n’y pense pas forcĂ©ment. : donc attention à ça !
Il faut que les clients aient envie de sécuriser leurs sites, mais tôt, et pas quand il est trop tard !
La majoritĂ© des interventions sĂ©curitĂ© que je fais c’est sur des sites piratĂ©s donc… dommage ! Parce qu’on peut intervenir avant et dĂ©jĂ c’est moins cher, c’est beaucoup moins cher parce qu’il ne s’est rien passĂ© ! On va d’abord sĂ©curiser, ça se passe très bien.
Alors que si on est dĂ©jĂ piratĂ©, c’est beaucoup plus compliquĂ©, beaucoup plus long, beaucoup plus coĂ»teux.
On sécurise avant le piratage
Alex : OK. Alors l’analyse en amont, c’est juste Ă voir si l’agencement de thème et de plugins que l’on a mis sur son site est “secure” tout simplement, est-ce qu’il n’y a pas des failles que peut ĂŞtre les dĂ©veloppeurs n’ont pas vues. J’imagine que tu as des outils pour tester ça.
Julio : C’est ça ! Il y a beaucoup de choses manuelles Ă©videmment. Tout ce qui peut ĂŞtre outils et scripts automatisĂ©s c’est principalement pour dĂ©couvrir du code malicieux, alors que l’humain verra du code vulnĂ©rable.
La diffĂ©rence est que le malicieux a Ă©tĂ© crĂ©Ă© dans le but de nuire et le vulnĂ©rable c’est une erreur de code qui mène Ă une faille de sĂ©curitĂ© et ça, un script a beaucoup de mal Ă le voir parce que c’est quelque chose d’humain, donc un humain peut le voir.
Quand on monte un site web avec un hĂ©bergement, des couches rĂ©seau, etc. Il y a quand mĂŞme des choses Ă mettre en place pour sĂ©curiser et il faut aussi s’assurer que ça soit fait.
En plus derrière on arrive bien sĂ»r sur le WordPress que l’on va Ă nouveau sĂ©curiser comme on vous en a parlĂ© dans le tout premier Ă©pisode, on doit tout de mĂŞme sĂ©curiser WordPress, mĂŞme si le core est dĂ©jĂ sĂ©curisĂ©.
Il y a toute une panoplie de choses Ă faire ; je pense que lĂ aussi il y a un petit truc que l’on pourrait faire ensemble.
J’ai bien envie de vous donner une liste des choses Ă faire : vous n’avez qu’Ă cocher…
Alex : Une petite check-list !
Julio : Une check-list… ça vous intĂ©resse une check-list ? Dites oui tout de suite ! J’ai entendu un “oui”, je pense qu’on peut la faire.
Alex : OK. Bon, on va faire une check-list alors ! (elle est disponible chez SecuPress)
Je pense qu’on a fait le tour du sujet. Essayez de bien convaincre vos clients pour sĂ©curiser leur site, ça pourra leur sauver la vie… en tout cas professionnellement.
Julio : Puis la vĂ´tre aussi, c’est vous qui amenez ce projet et on pourrait vous reprocher : “Vous n’avez pas pensĂ© à ça ?! Ce n’est pas mon mĂ©tier de savoir qui a besoin de sĂ©curitĂ©. J’ai entendu que WordPress Ă©tait sĂ©curisĂ© !”
Il va falloir lui expliquer que : oui il est sécurisé, mais il faut ajouter de la sécurité et donc il y a un certain budget, etc.
Alex : Après il y a aussi une question de responsabilitĂ© si le site est piratĂ©, je ne sais pas… si c’est Ă©crit dans un contrat…
Julio : ça peut arriver quand c’est effectivement dans un contrat : il faut un accès sĂ©curisĂ©, il faut telle sĂ©curitĂ©, etc., et lĂ vous devez forcĂ©ment faire intervenir quelqu’un, surtout si c’est Ă la demande du client, faites-le au plus vite, pour que le budget soit allouĂ© tout de suite.
Alex : OK.
Julio : ça vous coĂ»tera… franchement c’est la moitiĂ© du prix.
Alex : ça marche, donc la moralitĂ© de cette histoire c’est : il vaut mieux prĂ©venir que guĂ©rir !
Julio : C’est le meilleur exemple ! On vous mettra en description la petite BD CommitStrip qui nous a fait bien rire.
Alex : Merci de nous avoir Ă©coutĂ©s. Abonnez-vous Ă la chaĂ®ne YouTube de la Marmite, allez voir sur SecuPress bien sĂ»r ! Et SecuPress Pro tant qu’Ă faire.
À très bientôt pour une nouvelle vidéo. Ciao.
Julio : À plus !
Si vous avez bien tout suivi, vous ne fermerez plus votre porte-monnaie à la sécurité WP
Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20000 personnes l'ont fait, pourquoi pas vous ?
La dernière fournée d'articles
Tous les articlesComment optimiser un site WordPress pour les Core Web Vitals ?
Dans le monde du SEO et de la crĂ©ation web en gĂ©nĂ©ral, c’est un terme dont on entend presque tout le temps parler. Ah, les fameux Core Web Vitals… Le genre de truc toujours Ă la mode depuis leur sortie…
Spectra : plongée dans ce constructeur de page intégré à l’éditeur de WordPress
Sortir de l’interface native de WordPress ? Jamais de la vie. Proposer une kyrielle de widgets ? MĂŞme pas en rĂŞve. Avec lui, la star, ce sont les blocs. CrĂ©er votre prochain site WordPress sans quitter l’éditeur par dĂ©faut (Gutenberg),…
WPMarmite News fĂŞte sa 100e Ă©dition (avec un concours) !
Aujourd’hui est un jour un peu spĂ©cial pour WPMarmite. Nous fĂŞtons la 100e Ă©dition de WPMarmite News, notre newsletter de veille WordPress ! 🥳 Si vous ĂŞtes un abonnĂ© de longue date, vous vous en rappelez peut-ĂŞtre : l’aventure avait…