Julio : Bonjour à tous et bienvenue dans ce nouveau « Point Sécurité » avec Alex.
Alex va nous parler de ce qu’il ne faut pas faire avec son site au niveau de la sécurité, il ne faut pas faire n’importe quoi.
Allez c’est parti !
Alex : Alors du coup, ce « Point Sécu » un petit peu spécial, je vais un peu passer au tableau pour essayer de voir si j’ai bien appris mes leçons avec toutes ces vidéos.
En tout cas je n’ai pas encore eu de site hacké, donc ça, c’est cool.
Sommaire
1. Faire les mises à jour de son thème et de ses plugins
Le premier point à voir, pour ne pas faire n’importe quoi, en fait c’est l’absence de mises à jour de son site, de ses plugins, etc.
En fait, ne rien faire, c’est faire n’importe quoi, c’est un petit peu bizarre, mais du coup, c’est vrai qu’on en parle… je pense qu’en fait là, on se répète peut être pour certains, mais c’est volontaire parce qu’il faut rabâcher, rabâcher pour que ça rentre, c’est ce qu’on fait…
Faire les mises à jour parce qu’il y a des failles de sécurité qui sont corrigées, il y a des améliorations, voilà, l’idée c’est d’arriver d’être toujours au top des dernières tendances quoi, c’est ça ?
Julio : Je valide !
Alex : Tu valides ! OK ! Super !
2. Sauvegarder régulièrement son site
La deuxième chose que je peux recommander, c’est de faire ses sauvegardes. On ne le répétera jamais assez : faire ses sauvegardes et surtout essayer de les étaler le plus longtemps possible, au-delà de trois mois…
Qu’est-ce que tu conseilles comme durée ? 6 mois ?
Julio : Franchement le plus longtemps possible. Après, si c’est votre propre solution ça va dépendre de la place que vous avez, donc moi je sais que sur DropBox j’avais 1 To je ne me limitais pas, je ne supprimais rien.
Certains hébergeurs vous limiteront par rapport à la place que vous avez, mais si vous pouvez mettre six mois, c’est quand même mieux.
Alex : Six mois d’historique, après ça dépend aussi de la taille de votre site. Si vous avez des sauvegardes de 3 go tous les jours ça peut vite commencer à faire un peu lourd.
3. Ne pas attribuer des rôles n’importe comment
Troisième chose qu’il ne faut pas faire, pour faire n’importe quoi, c’est d’attribuer des rôles un petit peu comme ça à la va-vite : ah vas-y j’te colle un compte, j’te mets administrateur, pas de soucis…
Par contre, le truc auquel on ne pense pas, même si la personne ne fait pas de bêtises elle-même, elle peut se faire dérober son mot de passe, donc ça, ce n’est vraiment pas bon au niveau sécurité, surtout si elle n’a même pas besoin de toucher aux réglages, au thème, aux extensions, aux outils et à l’apparence, donc au thème, tout ça on le retire et on met le rôle qui est nécessaire.
Si c’est un contributeur, on met « contributeur » ou si on a besoin de faire des choses un petit peu plus évoluées, parce que par exemple, le rôle « contributeur » ne permet pas d’envoyer des images par défaut, donc on peut créer un rôle, il y a des extensions pour ça, l’extension « Members » si je ne me trompe pas.
Vous la trouverez ici : https://fr.wordpress.org/plugins/members/
On peut créer un rôle en affinant tout ce qu’on veut lui donner en termes de possibilités, donc là on a comme ça quelque chose d’hyper carré et la personne ne fera pas de bêtises et de deux, si elle se fait dérober son compte, il n’y aura pas plus de bêtises non plus.
4. Ne pas partager ses mots de passe
Autre chose, quatrième chose, c’est le partage de mots de passe.
Ça peut paraître bête, mais on ne partage jamais ses mots de passe, même avec sa copine !
Julio : C’est comme la brosse à dents !
Alex : Voilà c’est ça, c’est comme la brosse à dents ! Je pense qu’on devrait faire un petit poster : « le mot de passe c’est comme la brosse à dents… »
Julio : Un goodi « brosse à dents »
Alex : Donc voilà ça ne se partage pas. Tout ce qu’il y a à faire c’est de tout simplement créer un compte, on en a parlé à l’instant. On crée un compte à l’utilisateur et puis c’est tout ! Il retient son mot passe, ou après il a un gestionnaire de mots de passe qui s’en souvient pour lui.
5. Ne pas bidouiller sa base de données
Et enfin la dernière chose qu’il ne faut absolument pas faire sur son site, c’est d’aller bidouiller dans sa base de données quand on ne se pas vraiment ce que l’on fait, en tout cas sur un site en production.
Si vous êtes en local ou sur un site de test, vous pouvez vous amuser, vous faites ce que vous voulez, mais le problème est que si vous touchez à quelque chose qui est assez sensible, vous pouvez déjà :
- un : exploser des données et puis
- deux : casser votre site et le rendre inaccessible, ce qui n’est vraiment pas top du tout.
Qu’est ce que tu as envie de dire là-dessus ?
Julio : On ne touche pas à ça non, ce que WordPress met en base, parfois c’est des contenus qui sont filtrés, rien ne vous empêche d’aller directement taper en base pour mettre des contenus non filtrés.
On évite vraiment d’aller y toucher, j’ai envie de dire il n’y a pas de raison dans tous les cas en production de le faire. Ça m’arrive souvent d’aller vérifier des choses en base, mais j’évite d’y toucher.
Alex : Et par « filtré » tu veux dire que c’est enregistré d’une certaine manière, donc, si on modifie, par exemple, une chaîne de caractères qui fait peut être 6 caractères et qu’on remplace par quelque chose de 7 ou 8 caractères, ça va beuguer, ça va pas bien s’enregistrer.
Julio : Tout à fait, dans les contenus “sérialisés”, changer la longueur d’une chaîne, ça casse toute la donnée, elle ne peut plus être remplacée parce qu’elle était au début : un objet ou un tableau, donc ça peut carrément faire beuguer un plugin qui fait beuguer le site complet, ce n’est pas top.
Hébergez votre site chez o2switch
Faites comme WPMarmite, choisissez o2switch. Non seulement les performances sont au rendez-vous mais le support est exceptionnel.
Conclusion
Alex : Voilà pour cette petite vidéo qui essaye justement de vous dire qu’il ne faut pas faire n’importe quoi, il y a des choses à respecter, des bonnes pratiques et donc tu vois peut-être d’autres choses à rajouter là-dessus ?
Julio : Eh bien écoutes je dirais qu’il faut s’en tenir un maximum aux tutos de sécurité que vous trouverez sur la Marmite, SecuPress et ailleurs.
Si vous pensez que vous avez un besoin qui vous paraît un peu bizarre, renseignez-vous d’abord si c’est normal de ça, si vous êtes sur le bon chemin en fait, sinon, voilà, on s’en tient à faire ce que l’on fait habituellement, on ne recrée pas la roue là-dessus, on est sûr de ne pas trop faire de bêtises voilà.
Alex : OK ça marche.
En tout cas merci d’avoir suivi cette vidéo, abonnez-vous pour recevoir les suivantes et bien sûr aller faire un tour sur SecuPress.me pour en savoir plus sur la sécurité de votre site, en tout cas pour l’améliorer.
Salut à tous, ciao !
Vous savez maintenant ce qu’il ne faut absolument faire pour la sécurité de votre site et si vous souhaitez aller plus loin, vous pouvez regarder (si ce n’est pas déjà fait) cette vidéo plus complète sur la sécurité.
Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20000 personnes l'ont fait, pourquoi pas vous ?
La dernière fournée d'articles
Tous les articlesComment optimiser un site WordPress pour les Core Web Vitals ?
Dans le monde du SEO et de la création web en général, c’est un terme dont on entend presque tout le temps parler. Ah, les fameux Core Web Vitals… Le genre de truc toujours à la mode depuis leur sortie…
Spectra : plongée dans ce constructeur de page intégré à l’éditeur de WordPress
Sortir de l’interface native de WordPress ? Jamais de la vie. Proposer une kyrielle de widgets ? Même pas en rêve. Avec lui, la star, ce sont les blocs. Créer votre prochain site WordPress sans quitter l’éditeur par défaut (Gutenberg),…
WPMarmite News fête sa 100e édition (avec un concours) !
Aujourd’hui est un jour un peu spécial pour WPMarmite. Nous fêtons la 100e édition de WPMarmite News, notre newsletter de veille WordPress ! 🥳 Si vous êtes un abonné de longue date, vous vous en rappelez peut-être : l’aventure avait…