Accueil » Le Point Sécu » 🛡 Point SECU #15 : Suivez-vous ces bonnes pratiques de sécurité WordPress

Vidéo : 🛡 Point SECU #15 : Suivez-vous ces bonnes pratiques de sécurité WordPress



Bonjour à tous et bienvenue dans ce nouveau « Point Sécurité » avec Alex.

Salut !

Alex va nous parler de ce qu’il ne faut pas faire avec son site au niveau de la sécurité, il ne faut pas faire n’importe quoi.

Allez c’est parti !

Alex : Alors du coup, ce « Point Sécu » un petit peu spécial, je vais un petit peu passer au tableau pour essayer de voir si j’ai bien appris mes leçons avec toutes ces vidéos.

En tout cas je n’ai pas encore eu de site hacké, donc ça, c’est cool.

1. Faire les mises à jour de son thème et de ses plugins

Alors, du coup, le premier point à voir, pour ne pas faire n’importe quoi, en fait c’est l’absence de mises à jour de son site, de ses plugins, etc.

En fait, ne rien faire, c’est faire n’importe quoi, c’est un petit peu bizarre, mais du coup, c’est vrai qu’on en parle… je pense qu’en fait là, on se répète peut être pour certains, mais c’est volontaire parce qu’il faut rabâcher, rabâcher pour que ça rentre, c’est ce qu’on fait…

Faire les mises à jour parce qu’il y a des failles de sécurité qui sont corrigées, il y a des améliorations, voilà, l’idée c’est d’arriver d’être toujours au top des dernières tendances quoi, c’est ça ?

Julio : Je valide !

Alex : Tu valides ! OK ! Super !

2. Sauvegarder régulièrement son site

La deuxième chose que je peux recommander, c’est aussi de faire ses sauvegardes, on ne le répètera jamais assez : faire ses sauvegardes et surtout essayer de les étaler le plus longtemps possible c’est ça ? Au-delà de trois mois…

Qu’est-ce que tu conseilles comme durée ? 6 mois ?

Julio : Franchement le plus longtemps possible. Après, si c’est votre propre solution ça va dépendre de la place que vous avez, donc moi je sais que sur DropBox j’avais 1 To je ne me limitais pas, je ne supprimais rien.

Certains hébergeurs vous limiteront par rapport à la place que vous avez, mais si vous pouvez mettre six mois, c’est quand même mieux c’est sûr.

Alex : Six mois d’historique, après ça dépend aussi de la taille de votre site. Si vous avez des sauvegardes de 3 go tous les jours ça peut vite commencer à faire un peu lourd.

3. Ne pas attribuer des rôles n’importe comment

Troisième chose qu’il ne faut pas faire, pour faire n’importe quoi, c’est d’attribuer des rôles un petit peu comme ça à la va-vite : ah vas-y j’te colle un compte, j’te mets administrateur, pas de soucis…

Par contre, le truc auquel on ne pense pas, même si la personne ne fait pas de bêtises elle-même, elle peut se faire dérober son mot de passe, donc ça, ce n’est vraiment pas bon au niveau sécurité, surtout si elle n’a même pas besoin de toucher aux réglages, au thème, aux extensions, aux outils et à l’apparence, donc au thème, tout ça on le retire et on met le rôle qui est nécessaire.

Si c’est un contributeur, on met « contributeur » ou si on a besoin de faire des choses un petit peu plus évoluées, parce que par exemple, le rôle « contributeur » ne permet pas d’envoyer des images par défaut, donc on peut créer un rôle, il y a des extensions pour ça, l’extension « Members » si je ne me trompe pas.

plugin wp pour choisir les rôles

Vous la trouverez ici : https://fr.wordpress.org/plugins/members/

On peut créer un rôle en affinant tout ce qu’on veut lui donner en termes de possibilités, donc là on a comme ça quelque chose d’hyper carré et la personne ne fera pas de bêtises et de deux, si elle se fait dérober son compte, il n’y aura pas plus de bêtises non plus.

4. Ne pas partager ses mots de passe

Autre chose, quatrième chose, c’est le partage de mots de passe.

Ça peut paraître bête, mais on ne partage jamais ses mots de passe, même avec sa copine !

Julio : C’est comme la brosse à dents !

Alex : Voilà c’est ça, c’est comme la brosse à dents ! Je pense qu’on devrait faire un petit poster : « le mot de passe c’est comme la brosse à dents… »

mot de passe et brosse à dents ne se partagent pas

Julio : Un goodi « brosse à dents »

Alex : Donc voilà ça ne se partage pas. Tout ce qu’il y a à faire c’est de tout simplement créer un compte, on en a parlé à l’instant. On crée un compte à l’utilisateur et puis c’est tout ! Il retient son mot passe, ou après il a un gestionnaire de mots de passe qui s’en souvient pour lui.

5. Ne pas bidouiller sa base de données

Et enfin la dernière chose qu’il ne faut absolument pas faire sur son site, c’est d’aller bidouiller dans sa base de données quand on ne se pas vraiment ce que l’on fait, en tout cas sur un site en production.

Si vous êtes en local ou sur un site de test, vous pouvez vous amuser, vous faites ce que vous voulez, mais le problème est que si vous touchez à quelque chose qui est assez sensible, vous pouvez déjà :

  • un : exploser des données et puis
  • deux : casser votre site et le rendre inaccessible, ce qui n’est vraiment pas top du tout.

Qu’est ce que tu as envie de dire là-dessus ?

Julio : On ne touche pas à ça non, ce que WordPress met en base, parfois c’est des contenus qui sont filtrés, rien ne vous empêche d’aller directement taper en base pour mettre des contenus non filtrés.

On évite vraiment d’aller y toucher, j’ai envie de dire il n’y a pas de raison dans tous les cas en production de le faire. Ça m’arrive souvent d’aller vérifier des choses en base, mais j’évite d’y toucher.

Alex : Et par « filtré » tu veux dire que c’est enregistré d’une certaine manière, donc, si on modifie, par exemple, une chaîne de caractères qui fait peut être 6 caractères et qu’on remplace par quelque chose de 7 ou 8 caractères, ça va beuguer, ça va pas bien s’enregistrer.

Julio : Tout à fait, dans les contenus « sérialisés », changer la longueur d’une chaîne, ça casse toute la donnée, elle ne peut plus être remplacée parce qu’elle était au début : un objet ou un tableau, donc ça peut carrément faire beuguer un plugin qui fait beuguer le site complet, ce n’est pas top.

Alex : Voilà pour cette petite vidéo qui essaye justement de vous dire qu’il ne faut pas faire n’importe quoi, il y a des choses à respecter, des bonnes pratiques et donc tu vois peut-être d’autres choses à rajouter là-dessus ?

Julio : Eh bien écoutes je dirais qu’il faut s’en tenir un maximum aux tutos de sécurité que vous trouverez sur la Marmite, SecuPress et ailleurs.

Si vous pensez que vous avez un besoin qui vous paraît un peu bizarre, renseignez-vous d’abord si c’est normal de ça, si vous êtes sur le bon chemin en fait, sinon, voilà, on s’en tient à faire ce que l’on fait habituellement, on ne recrée pas la roue là-dessus, on est sûr de ne pas trop faire de bêtises voilà.

Alex : OK ça marche.

En tout cas merci d’avoir suivi cette vidéo, abonnez-vous pour recevoir les suivantes et bien sûr aller faire un tour sur SecuPress.me pour en savoir plus sur la sécurité de votre site, en tout cas pour l’améliorer.

Salut à tous, ciao !

Vous savez maintenant ce qu’il ne faut absolument faire pour la sécurité de votre site et si vous souhaitez aller plus loin, vous pouvez regarder (si ce n’est pas déjà fait) cette vidéo plus complète sur la sécurité.



Si vous avez apprécié cet article, inscrivez-vous à la newsletter

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20 000 personnes l'ont fait, pourquoi pas vous ?

C'est parti, je m'inscris !

venenatis facilisis luctus Praesent consectetur ut leo. Donec ipsum nunc
Partagez
Tweetez
Partagez