🛡Point SECU #8 : Hébergement et Sécurité pour WordPress

Salut c’est Alex et bienvenue dans un nouveau “point sécu” WordPress avec Julio, et aujourd’hui on va parler hébergement et sécurité.

Allez c’est parti !

Dans les précédentes vidéos, on a abordé plusieurs fois le sujet de l’hébergement et donc aujourd’hui on va creuser davantage cette problématique, pourquoi c’est important de choisir un bon hébergeur pour la sécurité de son site.

Alors qu’est-ce que tu peux nous dire là-dessus Julio ?

L’hébergement, première étape

Julio : L’hébergement c’est parfois quelque chose qui vient trop tard, c’est-à-dire qu’on a pris un hébergeur pas cher, on a mis son site dessus, on a monté tout son projet et par la suite, on va se dire : “Au fait, est-ce que j’ai pris le bon hébergeur en fait, est-ce qu’il va faire l’affaire ?”.

On pense notamment à la performance : est-ce que ça supporte la charge ? est-ce que les connexions SQL vont bien se faire – on n’a pas envie de voir le message “too many connections” –

On oublie parfois aussi, quand même, que c’est la base de notre site web, c’est chez l’hébergeur qu’on va poser notre projet complet, donc je pense que c’est relativement important de se pencher là-dessus en amont.

Choisir un hébergeur pour les performances c’est bien, mais renseignez-vous aussi niveau sécurité.

Regardez un peu ce qui a pu se passer pour lui au niveau sécurité, ce que les gens en pensent autour de vous, si vous êtes sur un réseau Facebook, Twitter, le Slack : n’hésitez pas à poser la question sur l’hébergeur que vous avez.

Quel hébergeur tu utilises toi, par exemple ?

Alex : Moi je suis chez o2switch.

Julio : o2switch, c’est un hébergeur français…

Alex : Oui c’est ça, à Clermont-Ferrand !

Julio : À Clermont-Ferrand exactement ! J’utilise aussi o2switch pour le site NordPress.fr : le site du Meetup du Nord. Ce sont des personnes très très professionnelles, j’ai encore parlé avec eux récemment.

Niveau technique, ils sont vraiment au top, avec une veille excellente. Donc si vous avez o2switch : très bon choix.

Est-ce que tu en utilises d’autres ?

Alex : Non que o2switch !

Julio : J’avais moi personnellement eu une fois, je me souviens un jour, un hébergeur qui proposait un hébergement “spéciale sécurité” : pas du tout connu, je ne me suis pas en plus renseigné : mon site s’est fait hacké dessus !

Alex : SYMPA !

Julio : J’étais un petit peu déçu ! C’était un site qui n’existe plus aujourd’hui, peu importe, mais c’est quand même dommage.

L’hébergement annonce “spéciale sécurité”, de tête je pense que c’était 400 € à l’année, ce qui n’est pas rien, et puis en fait, c’est l’hébergeur qui s’est fait pirater, donc vous avez pu mettre toutes les sécurités sur votre site, ça n’avait rien à voir !

Ce qui se passe, c’est que l’hébergeur se fait attaquer et les pirates retombent sur tous les sites de l’hébergeur et l’hébergeur ne peut que “pleurer un petit peu” parce qu’il va falloir qu’il retienne ses clients : moi je suis parti !

Alex : C’était un hébergeur français ?

Julio : C’était un hébergeur français qui basait son hébergement sur des locations de serveurs OVH et après c’est à lui de sécuriser !

OVH peut très bien louer des serveurs très basiques, du coup ce n’est pas cher, à lui de faire du travail dessus et revendre… Donc là il a juste revendu !

Alex : Il a oublié de mettre la sécurité ! Ce n’est pas parce que c’est écrit “hébergement sécurisé” que c’est réellement sécurisé. Si je mets une étiquette sur un truc, ce n’est pas forcément vrai.

Julio : C’est ça ! Et là justement il n’était pas connu. J’ai même oublié le nom, ça date de 2012, j’ai oublié le nom.

Inversement, j’utilise pour boiteaweb.fr : WP Serveur qui est fait par Fabrice Ducarme qui est de Nice, je crois… (non pas de Nice mais de Nîmes !)

Là par contre il annonce effectivement que c’est sécurisé et là pour tout vous dire, j’ai déjà un petit peu le tour de la sécurité de WP Serveur, je n’ai rien trouvé de spécifiquement important, j’ai été dans la console : pareil, il n’y a rien de flagrant.

Il y a vraiment un travail qui est fait derrière. Je parle aussi souvent avec Benoît de WP Serveur et on parle ensemble sécurité aussi, il se tient beaucoup à jour, tout ça c’est sous nginx : c’est un service de création de serveurs, comme Apache, etc.

Hébergez votre site chez o2switch

Faites comme WPMarmite, choisissez o2switch. Non seulement les performances sont au rendez-vous mais le support est exceptionnel.

ESSAYEZ O2SWITCH

Les critères à respecter pour un bon hébergement

Alex : Quels critères les gens peuvent regarder sur le site pour leur donner des indices sur le niveau de sécurité ?

Julio : C’est complexe parce que finalement je pense que tout hébergeur a envie de dire “je suis sécurisé” : tout comme le mien le disait, donc c’est un peu dommage.

Je pense vraiment que ça va être par sa réputation et aussi son – comment on appelle ça – son “uptime”… C’est à dire : combien de temps le site est accessible.

Parce que quand les serveurs sont attaqués, ils tombent, ce n’est pas grave, parce que normalement l’hébergeur a un autre serveur qui prend le relais dans les secondes ou minutes qui suivent, donc souvent ils annoncent 99,9 % ou 99,99 % de présence “online” de votre site web.

En fait ça par contre, c’est vérifiable, c’est une donnée que vous pouvez vérifier. Je sais que OVH a une page publique qui donne en live le pourcentage pour chaque serveur, puisqu’ils ont différents serveurs, quels sont les pourcentages d’uptime et c’est vrai que ça dépasse toujours 99 %.

99 % ce n’est pas assez ! il faut 99,99 ! si vous faites le calcul, je crois que 99,9, ça permet à votre site de tomber une demi-journée par mois ce qui est dans un business énorme ! 99,99 ce serait le mieux.

Après, encore une fois on n’est pas à l’abri, après il peut y avoir des dédommagements, etc., mais on a n’a pas envie d’être dédommagé, on a envie de bien choisir tout de suite le bon hébergeur.

Je connais encore un autre hébergeur, tiens, si vous êtes en Angleterre ou pour un client anglais, il y a TIMPANI qui d’ailleurs était sponsor au WordCamp Londres et au WordCamp Europe 2017.

TIMPANI qui sont des hébergeurs qui font ce métier depuis une vingtaine d’années. Ils se sont spécialisés sur WordPress il y a quelques années. Donc là c’est quelqu’un en qui je pense, on peut avoir confiance.

Et aussi, dans les pays de l’Est, il y a SiteGround – j’ai oublié le pays, je ne suis pas très bon en géographie – je suis meilleur en sécurité !

Alex : C’est mieux !

Julio : Donc voilà, ça c’est un peu les 4 qu’on peut vous recommander :

• o2switch et WP Serveur pour la France,
• SiteGround pour les pays de l’Est
• et TIMPANI pour l’Angleterre.

Si vous avez d’autres hébergeurs, n’hésitez pas à nous les demander, niveau sécurité dans les commentaires, ce qu’on en pense, si on les a déjà utilisés.

Il y en a plein qui me viennent à l’esprit, mais je ne peux pas vous en parler niveau sécurité, je ne connais pas spécialement : GoDaddy, WP Engine, Blue Host, Hostgator : tout ça, c’est américain !

Alex : Et est-ce que OVH tu as des retours ?

Julio : Alors OVH… le problème c’est que OVH c’est large, on peut très bien avoir du OVH très peu cher ou des gros serveurs dédiés, parfois la sécurité c’est à nous de le faire, parfois non ; donc pour OVH, il faudrait vraiment qu’on ne cible qu’une offre en particulier.

Alex : Peut-être l’offre de base ou la perso ou la pro, qu’un freelance pourrait prendre pour ses clients.

Julio : Effectivement c’est vrai que l’offre qui tourne elle n’est vraiment pas très chère, je l’ai déjà utilisée, il faut savoir qu’il y a beaucoup de fonctions effectivement PHP qui sont bloquées, qui peuvent parfois poser problème dans certains développements.

Inversement, là ça joue pour la sécurité, ce qui leur fait du support en moins et si votre site est victime de fishing : c’est-à-dire qu’il est pris pour base dans votre mail de spam aussi, ils vont vous couper en fait les mails, ils vont vous envoyer un courrier en disant “voilà, on a dû couper, si ça continue on coupe le site”.

C’est assez radical, mais ils n’ont pas envie de support, ce n’est pas cher. Donc soit vous faites bien, soit vous surveillez votre site, soit vous le sécurisez, soit on vous coupe en fait, on vous coupe l’accès et quand vous l’aurez résolu, vous reviendrez vers nous.

Inversement, un gros serveur dédié, c’est à vous de faire le travail, vous devez faire intervenir un professionnel qui va s’occuper du serveur, de sa sécurité, etc. ensuite ce sera à vous de mettre les couches WordPress et là venir sécuriser comme on en a parlé dans une précédente vidéo.

Pour conclure…

Alex : OK super ! Je pense que là c’est bon, vous en savez un petit peu plus sur la problématique de l’hébergement en ce qui concerne la sécurité.

Choisissez bien votre hébergeur, c’est vraiment la première étape…

Julio : ça devrait être la première étape !

Alex : étape zéro même pour sécuriser un site. Donc avant de faire toutes les petites techniques qu’on peut apprendre ici et là et dans les vidéos qu’on fait, passez déjà au niveau de l’hébergeur.

Voilà, abonnez-vous à la chaîne YouTube de la Marmite pour recevoir les futurs points sécu avec Julio et puis allez voir sur SecuPress.me pour plus d’infos sur la sécurité, pour sécuriser votre site, une fois que vous aurez choisi un bon hébergeur.

Voilà, allez à très bientôt pour une prochaine vidéo ! Ciao !

Si vous vous sentez en sécurité, vous aurez plaisir à travailler sur votre site WordPress. Non ?

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20000 personnes l'ont fait, pourquoi pas vous ?

Je m'inscris

À propos de l'auteur

Alex

Créateur de WPMarmite et co-fondateur de WPChef, il a à coeur de vous proposer des ressources de qualité pour vous aider à créer, personnaliser et promouvoir des sites avec WordPress.