PubliĂ© par le 15 mars 2018 ‱ 0 Commentaires

Salut Ă  tous et bienvenue dans ce nouveau « point sĂ©cu » avec Julio, dans lequel on va rĂ©pondre Ă  la question suivante : jusqu’oĂč faut-il aller pour sĂ©curiser un site wordpress ?

Allez c’est parti !

Alors du coup c’est vrai que ça fait un certain nombre de vidĂ©os qu’on vous fait sur la sĂ©curitĂ© wordpress on vous parle

de pas mal de choses, mais jusqu’oĂč faut-il aller ? Est-ce qu’on doit passer ses journĂ©es Ă  sĂ©curiser un site ?

C’est ce Ă  quoi  on va essayer de rĂ©pondre dans cette vidĂ©o.

Alors Julio dis nous tout !

Julio : Rapidement je dirais non ! Ă©videmment on ne peut pas passer sa journĂ©e Ă  sĂ©curiser un site, on pourrait y passer beaucoup de temps, on pourrait mettre en place plein de choses, revĂ©rifier tous les jours, toutes les heures que tout se passe bien parce que finalement quand le piratage arrive, c’est d’une minute Ă  l’autre donc on pourrait ĂȘtre sans arrĂȘt un petit peu « au taquet », donc non on ne va pas faire ça.

Ce qu’on va mettre en place justement :

  • des systĂšmes de surveillance,
  • des planifications,
  • des mises à jour automatisĂ©es,
  • des backups automatisĂ©s,
  • des systĂšmes d’alerte pour vĂ©rifier les choses sur le site, sur les fichiers, etc.

Donc ça, c’est quelque chose qui va nous faire gagner du temps finalement. AprĂšs dans le « jusqu’oĂč faut-il aller » il y a aussi « est-ce qu’il faut installer plusieurs plugins de sĂ©curité », alors oui et non : soit vous installez un plugin de sĂ©curitĂ© qui fait tout donc comme SecuPress et ses concurrents, lĂ  OK !

Vous en installez un seul, si vous en mettez deux, c’est comme sur ordinateur je ne sais pas, sur votre pc, vous avez plusieurs antivirus à la fois, on sait bien que ça ne va pas du tout bien fonctionner…

Alex : ils se tirent dans les pattes à un moment ou à un autre.

Julio : il y a de fortes chances mĂȘme que le second essaie de vous dire « ah non il y en a dĂ©jĂ  un je ne peux pas »

Sur WordPress, ça ne va pas faire ça les 2, les 3, les 4 que vous pourrez installer, ça va, ils vont pouvoir s’activer, je l’ai dĂ©jĂ  vu sur des sites oĂč, dans le backend, une personne avait mis SecuPress,

Elle me demande du support, j’arrive et dĂ©jĂ  deux, trois autres plugins oui, mais non voilĂ  on fait tous « pareil » donc ça ne va pas ! Le souci c’est que, puisqu’on fait tous « pareil » dans l’Ă©criture j’ai envie de dire, on va chacun ajouter notre morceau de code et au final ça risque peut-ĂȘtre de rentrer en conflit et de soit, ne jamais marcher dans le sens oĂč « ça y est, je ne peux plus me connecter parce que j’ai trop de protection ».

Il y en a un qui croit que l’autre plugin est en train de le pirater alors que c’est faux ou inversement.

En fait les deux, ils pensent que l’autre a fait le travail et finalement il n’y a plus de blocage et tout passe, donc ça, c’est quelque chose à ne pas faire, si on est plusieurs plugins c’est parce que chaque petit plugin fait quelque chose.

Par exemple, je ne mets pas de plugins qui font tout :

  • je vais mettre un plugin qui fait « move login » justement,
  • je vais mettre un plugin qui limite le nombre de tentatives,
  • je vais mettre un plugin qui bloque les mauvaises requĂȘtes…

Alex : Double authentification, etc.

Julio : Un plugin un peu partout…

Alex : Par poste quoi…

Julio : Alors l’inconvĂ©nient de faire ça, c’est que du coup ça multiplie votre nombre de mises Ă  jour. C’est-Ă -dire qu’aujourd’hui c’est lui, demain c’est l’autre, demain c’est l’autre,  demain… et on recommence toutes les semaines voyez… donc c’est un peu plus gĂȘnant

DeuxiĂšme point nĂ©gatif Ă  faire ça : c’est que ce ne sont pas forcĂ©ment les mĂȘmes auteurs, donc ils ne se connaissent pas, leurs plugins ne savent pas forcĂ©ment communiquer avec ceux des autres, ce n’est pas codĂ© de la mĂȘme maniĂšre encore une fois.

On en revient au support : est-ce qu’ils sont tous supportĂ©s de la mĂȘme façon ? L’avantage de mettre un plugin qui fait tout, c’est que justement chaque module se connaĂźt, sait se parler. S’il y a un problĂšme dans l’un avec un autre, il suffit que l’auteur de ce mĂȘme module intervienne c’est le mĂȘme auteur c’est le mĂȘme plugin donc ça, c’est un autre avantage.

Alex : Il n’y a qu’un seul interlocuteur pour le support.

Julio : Ă©videmment un seul interlocuteur ça simplifie tout, parce que j’ai dĂ©jà eu le souci justement oĂč deux plugins se tapaient dans les pattes. Moi je suis une troisiĂšme personne, je ne suis d’aucun cĂŽtĂ© et chacun renvoie la balle Ă  l’autre : « c’est pas ma faute c’est la sienne et puis machin, c’est Ă  lui de le faire, moi je ne veux pas y toucher » et puis finalement moi je suis coincĂ©, je fais quoi donc je modifie le plugin moi-mĂȘme…

Ben non, on ne fait pas ça, je suis un peu coincé.

VoilĂ  pourquoi aujourd’hui je prĂ©fĂšre mettre un plugin qui fait tout, du moment que ça reste dans une sphĂšre unique d’un sujet unique, je ne vais pas mettre un plugin qui fait Ă  la fois le SEO, la sĂ©curitĂ©, gestion des contenus, etc.

J’espùre que ça n’existe pas !

Alex : Mais on sait que tous les plugins existent, donc il doit exister, mais on ne le connaßt pas.

Julio : Ouh là là !

Alex : Alors du coup c’est vrai que dans une prĂ©cĂ©dente vidĂ©o, on a parlĂ© des listes de sĂ©curitĂ© que Julio a fait avec SecuPress et qu’il ne fallait pas forcĂ©ment tout mettre en place, il fallait mettre tout ce qu’on pouvait, dans la mesure de ses possibilitĂ©s donc voilĂ , aprĂšs voilĂ  il ne faut pas non plus vouloir faire du 100 %…

sécurité trop ou pas assez pour son site worpress

Trop de sécurité peut nuire à votre confort

Julio : ça peut nuire en fait aussi aux utilisateurs. C’est Ă  dire que si je vous propose sur votre porte d’entrĂ©e de chez vous de mettre 10 verrous, est-ce que vous avez vraiment toujours fermer et ouvrir ces 10 verrous, non, pourtant 10 verrous ce sera plus sĂ©curisĂ©.

Evidemment le jour il faut enlever la porte au pied de biche, c’est beaucoup plus compliquĂ©, le jour il faut crocheter une serrure il faut crocheter 10 serrures donc forcĂ©ment c’est plus sĂ©curisĂ©, maintenant c’est trop contraignant, personne ne veut mettre 10 verrous. Je veux dire que c’est simple de mettre 10 verrous, tout le monde peut le faire, pourtant personne ne le fait parce que c’est juste trop embĂȘtant.

Du coup il faudrait rĂ©ussir Ă  trouver la bonne balance entre la sĂ©curitĂ© et garder un confort d’utilisation donc, par exemple si vous avez beaucoup de membres ça va ĂȘtre trĂšs difficile de dire à tous vos membres maintenant tout le monde doit mettre la double authentification sur son compte c’est gĂȘnant beaucoup de services le proposent : Google, Facebook, Dropbox, Slack, mais ce n’est jamais obligatoire.

On vous incite Ă  le faire, on vous invite Ă  le faire, si vous refusez dans un mois ou deux on va vous re proposer de le faire, on va vous re proposer de faire, parce qu’ils savent que c’est important et peut ĂȘtre qu’ils se disent : « au bout d’un moment ils vont se rendre compte que voilĂ , aprĂšs autant de demandes c’est bizarre, c’est important » oui c’est important de le faire, mais on peut pas le forcer.

Donc, il faut faire attention aussi aux plugins qui vont le forcer, vous risquez de faire que vos utilisateurs ne se connectent plus, alors si c’était pour gagner des commentaires, ils vont commenter de moins en moins, est-ce que vos commentaires vont vous rapporter de l’argent par rapport au nombre de visites ?

Tout ça c’est Ă  prendre en compte, donc il y a un certain confort Ă  garder tout en Ă©tant suffisamment sĂ©curisĂ©. Il y a une petite anecdote que je vais vous raconter…

Alex : Elle est bonne celle-là !

Julio : Elle est bonne ? C’est super ! ça veut dire qu’il la connaĂźt dĂ©jà !

La fameuse anecdote des cadenas

C’est Ă  propos des cadenas : vous connaissez les cadenas pour vĂ©los ou les cadenas pour les casiers, oĂč il y a des chiffres dessus donc souvent il y a trois chiffres ce qui nous fait mille possibilitĂ©s.

Un jour sur un casier, j’ai vu un cadenas de cinq chiffres, j’étais assez Ă©tonnĂ© j’e n’en avais jamais vu, il Ă©tait assez gros, je me suis demandĂ© tout de suite : est-ce qu’il est plus sĂ©curisĂ© qu’un cadenas Ă  3 chiffres ?

Donc tout de suite on se dit que si un cadenas Ă  3 chiffres a mille possibilitĂ©s, celui qui en a 4 a dix mille possibilitĂ©s, celui qui en a 5 Ă  jusqu’à cent mille possibilitĂ©s, donc j’ai envie de dire : oui forcĂ©ment il est plus sĂ©cure, ça va ĂȘtre beaucoup plus long de trouver au hasard ou en cherchant un par un cent mille possibilitĂ©s plutĂŽt que mille » et bien je vais vous dire aujourd’hui :

Non c’est moins sĂ©curisĂ©… pourquoi ? Parce que c’est utilisĂ© par un humain et l’humain est fainĂ©ant, il veut garder son confort. Donc je me suis dit : je pense que la personne qui utilise ce cadenas n’a pas voulu retenir cinq chiffres et n’a pas envie de remettre à chaque fois les cinq chiffres.

Alex : Passer un quart d’heure Ă  trouver… Ă  mettre la bonne combinaison

Julio : Poussons le vice : imaginons un cadenas Ă  20 chiffres, il est super long comme ça, il y a 20 chiffres : dĂ©jà est-ce que vous voulez retenir 20 chiffres pour un cadenas ? Non !

Est-ce que vous voulez passer le temps à chaque fois que vous l’enlever à remodifier les 20 petits loquets : non.

À chaque fois que vous revenez, il faut les remettre dans l’ordre non, vous ne voulez pas le faire donc finalement c’est pas « plus il y a de chiffres » plus c’est sĂ©curisĂ©.

Alex : Tu as plus vite fait de prendre la pince et d’ouvrir le cadenas.

Julio : ComplÚtement.

anecdote des cadenas par Julio Potier

L’anecdote, l’anecdote…

Donc ce que j’ai fait lorsque j’ai vu ce cadenas Ă  5 chiffres, je me suis dit je vais juste regarder si la personne, elle a vraiment utilisĂ© son cadenas de façon sĂ©curisĂ©e et j’ai bougĂ© le loquet Ă  gauche et Ă  droite : faire +1 -1 sur le chiffre à chaque fois comme ça – arrivĂ© au dernier, le cadenas s’est ouvert.

C’est-Ă -dire que j’ai modifiĂ© un seul chiffre, donc imaginons : le code c’était 1 2 3 4 5, la personne l’avait mis sur 1 2 3 4 6, moi je l’ai modifiĂ© une fois et ça s’est ouvert ! Evidemment je l’ai refermĂ© et je l’ai mĂ©langĂ©, c’était juste un test un petit dĂ©fi et ça a marchĂ© instantanĂ©ment en fait, en moins de cinq minutes, donc en fait je me dis qu’un cadenas Ă  3 ou 4 chiffres, je pense que c’est le maximum pour nous humain.

Au delĂ , on n’a pas envie de retenir cinq chiffres, on n’a pas envie de les modifier Ă  chaque fois – « aller-retour » – ça devient une contrainte et si c’est une contrainte, ben en fait on va restreindre le niveau de sĂ©curitĂ© beaucoup plus bas que c’était prĂ©vu.

Alors c’était prĂ©vu pour cent mille possibilitĂ©s, je l’ai fait en 5, on va dire en 10, gauche/droite pour 5, je l’ai fait en 10 possibilitĂ©s, alors qu’il Ă©tait prĂ©vu de faire 100 fois plus difficile, donc comme quoi, il faut rĂ©ussir Ă  mettre le bon niveau de sĂ©curitĂ©, donc ne foncez pas droit dans : « je mets tout en place », parce que vous risquez mĂȘme, vous-mĂȘme, de vous retrouver en dehors de votre site web, portes fermĂ©es devant vous, parce que vous avez essayĂ© d’en mettre et d’en mettre et d’en mettre…

Et au final, c’est tellement sĂ©curisĂ© et que c’est mĂȘme plus utilisable, donc il y a un moment oĂč ce n’est pas possible, donc Ă  vous de doser selon votre besoin la sĂ©curitĂ©, tout n’est pas obligatoire dans tout ce qu’on donne, c’est à chaque fois des conseils de sĂ©curitĂ©, ce qui veut dire qu’on les applique ou on ne les applique pas.

Tous les conseils qui ne sont pas appliqués : vous connaissez les risques, vous savez ce que vous encourez et à partir de là, libre à vous de les faire ou pas.

Alex : Oui c’est chacun sa responsabilitĂ©, ça ne sert Ă  rien de vouloir monter un mur devant sa porte, puis de ne plus pouvoir rentrer chez soi.

protection et sécurité peuvent nuire à notre confort

Julio : Exactement, trĂšs bonne idĂ©e ça : je la garde !

 Alex : VoilĂ  il y a pas mal de mĂ©taphores lĂ , si vous avez envie de faire de la pĂ©dagogie avec des clients et tout ça, vous pouvez y aller, racontez l’anecdote de Julio.

Merci d’avoir Ă©coutĂ© cette vidĂ©o, bien sĂ»r retrouver les check-lists, juste en dessous, pour pouvoir avoir la liste des choses Ă  faire pour configurer votre site et bien sĂ»r faites-le au maximum de vos possibilitĂ©s et tant que ça ne gĂȘne pas trop votre confort.

Il ne faut pas abuser tout de mĂȘme, donc voilĂ .

N’oubliez pas aussi de vous abonner Ă  la chaĂźne YouTube de la Marmite et d’aller voir SecuPress pour sĂ©curiser votre site, voilà tout est bon et Ă  trĂšs bientĂŽt : salut, ciao !