Vous ĂȘtes ici : Accueil | Le Point SĂ©cu | 🛡 Point SECU #10 : 64 points Ă  vĂ©rifier pour sĂ©curiser WordPress

VidĂ©o : 🛡 Point SECU #10 : 64 points Ă  vĂ©rifier pour sĂ©curiser WordPress



Salut Ă  tous et bienvenue dans ce nouveau « Point SĂ©cu » avec Julio, dans lequel on va voir quelle est la liste des points Ă  vĂ©rifier en termes de sĂ©curitĂ© WordPress et la question Ă  laquelle on va essayer de rĂ©pondre est : est-ce qu’il faut vraiment tous les appliquer ?

Allez c’est parti !

Alex : Alors, salut Julio, bienvenue dans cette nouvelle vidĂ©o…

Julio : Salut !

Alex : Comme je le disais dans l’intro, on va voir quelle est la liste des points Ă  vĂ©rifier en termes de sĂ©curitĂ© WordPress, parce que c’est une question qu’on te pose beaucoup, beaucoup, beaucoup…

Julio : Oui, c’est une question qui revient assez souvent : est-ce qu’il existe une liste, limite une liste « cases Ă  cocher », oĂč on peut vĂ©rifier si notre site est sĂ©curisĂ©.

Donc cette liste, on peut dire qu’elle existe, j’en ai fait une, mais je pense qu’elle n’est pas complĂšte et j’ai envie de dire, va-t-elle l’ĂȘtre un jour ?

Alex : Oui elle ne sera jamais complĂšte…

Julio : Il y a toujours des choses qui peuvent ĂȘtre rajoutĂ©es, il y a toujours des dĂ©bats sur des sujets sĂ©curitĂ©, lĂ  j’en ai notĂ© quelques points, je vais vous donner quelques informations lĂ -dessus.

Dans la description, je vais vous inviter Ă  prendre cette liste, je mets deux listes en fait : deux listes de 32 points. Je vous les donne pour ceux qui aiment la Marmite et les offres gratuites !

2 listes en cadeau pour la sécurité de votre wordpress

Alex : Les spectateurs…

Julio : Les spectateurs de la Marmite, je vous offre ces deux listes de sécurité !

La liste miracle des points de sécurité WordPress existe-t-elle ?

Alors pourquoi aussi est-ce qu’il ne pourrait pas y avoir simplement une liste des choses Ă  faire et une fois que c’est fait, ça y est s’est sĂ©curisĂ© ? C’est parce que le web ça bouge trĂšs trĂšs vite.

Chaque annĂ©e, il y a de nouvelles failles qui sont trouvĂ©es, d’anciennes failles qui sont modifiĂ©es. MĂȘme si on met quelque chose en place, ça ne va pas aussi dire que c’est en place Ă  vie, il faut aussi vĂ©rifier de temps et encore de temps en temps, il faut toujours revenir : une fois que c’est cochĂ©, ça peut se dĂ©cocher et il va falloir qu’on recoche de nouveau.

1. VĂ©rifier la liste des utilisateurs d’un site WordPress

Si je prends un exemple qui est dans cette petite liste : je pense parfois Ă  vĂ©rifier la liste des utilisateurs de mon site, simplement, je vais dans les utilisateurs et je vois si les gens qui sont prĂ©sents, notamment les « admis », sont bien ceux que j’attends.

Si je ne suis pas un site marchand avec Ă©normĂ©ment de clients bien sĂ»r, lĂ , je suis un peu perdu, mais si je sais qu’on est par exemple deux administrateurs et deux Ă©diteurs, si un jour, je vois un compte un peu bizarre, je sais qu’il y a quelque chose de pas normal.

Une fois que c’est fait est-ce que c’est terminĂ© ?

Non ! Je vais devoir revĂ©rifier, peut-ĂȘtre pas demain, mais de temps en temps : toutes les semaines ou tous les mois, juste jeter un Ɠil rapidement, ça ne prend pas longtemps, mais il va falloir le faire et encore le refaire.

C’est ce genre de points que j’aimerais vous partager.

2. Laissez les inscriptions ouvertes : utile ou pas ?

Si j’en prends d’autres : Ă  propos des inscriptions de votre site, si vous avez la possibilitĂ© de les dĂ©sactiver ! Ça m’est dĂ©jĂ  arrivĂ© de trouver des sites web oĂč les gens l’avaient laissĂ© cochĂ©, parce que c’Ă©tait comme ça avant ou parce qu’ils l’ont cochĂ© sans faire exprĂšs et ils l’ont laissĂ©, ce n’est pas grave : « De toute façon, on s’inscrit chez moi, mais ça sert Ă  rien »

Alex : ça, c’est quelque chose qui… ça peut amener quelques surprises !

Julio : Et si ça ne sert Ă  rien, il faut l’enlever. Pour l’anecdote, je crois que c’Ă©tait au WordCamp de janvier 2013 Ă  Paris, une personne me dit : « Oui, je ne comprends pas, il y a quelqu’un qui s’est inscrit sur mon site, comment est-ce qu’il a pu faire, oĂč est-ce qu’il est passĂ© ? » 

Et je lui ai dit : « Mais vĂ©rifier, la case est cochĂ©e dans vos rĂ©glages »… « Ah non, ce n’est pas possible !! » Elle fait, elle l’avait laissĂ© cochĂ©e, elle ne s’en souvenait plus.

C’est un dĂ©tail, mais Ă©viter que les gens puissent s’inscrire.

Alex : TroisiĂšme point.

3. Limiter le nombre de tentatives de connections

Julio : TroisiĂšme point : limiter le nombre de tentatives aussi. Faites en sorte que si quelqu’un essaie de se connecter Ă  votre administration, ne lui laissez pas 1.000 essais : c’est peut-ĂȘtre de trop pour un humain !

Je dirais qu’une dizaine ce n’est dĂ©jĂ  pas mal ! Si au bout de 10, il est bloquĂ©, il viendra vous voir, je pense que c’est suffisant.

4. Mettez en place la double authentification

Un autre point, on en a parlĂ© dans une vidĂ©o prĂ©cĂ©dente : utilisez une double authentification. Regardez de nouveau la vidĂ©o, c’est vraiment un point trĂšs simple Ă  mettre en place et qui ajoute un Ă©norme niveau de sĂ©curitĂ© supplĂ©mentaire sur le site.

5. Utilisez un Captcha

Autre point : utilisez un Captcha : c’est-Ă -dire… soit ce sont de petites opĂ©rations, par exemple : combien font 3+x ou alors il faut cocher malheureusement sur des panneaux de circulation…

Alex : Oui, on a des petites miniatures oĂč on nous demande de cocher les panneaux, les maisons… il y a plein de trucs !

Julio : Les voitures… C’est bon ! Je ne l’aime pas du tout celui-ci, mais n’empĂȘche que si on n’est pas un humain, c’est assez compliquĂ© de passer outre, donc ça limite aussi le fait que des bots par exemple puissent s’inscrire, envoyer des formulaires de contact, etc. qui ne vous servent pas et qui vont vous faire perdre votre temps parce que vous avez trier, c’est toujours ça de pris.

6. DĂ©placer la page de login

DĂ©placer la page de login : on en a parlĂ© aussi dans une vidĂ©o prĂ©cĂ©dente, ça, c’est un point Ă  vĂ©rifier, mais une fois ! ça normalement une fois que c’est fait il n’y a plus Ă  vĂ©rifier, c’est en place, c’est en place… le jour oĂč ça saute, c’est qu’il y a un problĂšme de fichier htaccess par exemple… autre chose… rien Ă  voir.

7. Imposer les mots de passe forts Ă  vos utilisateurs

Si vous avez plusieurs utilisateurs, ce qui serait bien aussi, c’est de les forcer Ă  utiliser des mots de passe « forts » justement, on a parlĂ© des mots de passe aussi prĂ©cĂ©demment.

Si eux ne le font pas et que vous, vous le faites, finalement, c’est un peu dommage, parce qu’OK, on ne peut pas se connecter sur votre compte, mais qu’en est-il des autres en fait, en s’assurant que vos utilisateurs ont des mots de passe corrects, ça sĂ©curise aussi votre site finalement, parce que si quelqu’un entre Ă  cause d’un compte d’utilisateur, c’est quand mĂȘme votre site, donc c’est de votre responsabilitĂ© quelque part.

8. Modifier les rĂŽles lorsque c’est nĂ©cessaire

Qu’est-ce qu’on peut encore dire, oui… pour les rĂŽles de personnes que vous auriez pu ajouter par le passĂ©, je pense notamment Ă  des rĂŽles d’administrateur : est-ce qu’aujourd’hui, tous les gens qui sont administrateurs sur votre site font du travail d’administrateur, ça m’est arrivĂ© de voir 18 administrateurs sur un site web…

Alex : Sympa !

Julio : Pour moi ce n’est pas normal.

L’anecdote d’Alex

Alex : D’ailleurs j’ai une anecdote lĂ -dessus : je travaillais dans une Asso auparavant, il y avait plusieurs administrateurs et on va dire qu’il y a eu des soucis, on va dire dans la gouvernance de l’Asso.

Une des personnes, qui avait un compte administrateur, a voulu nous faire quelques petits tracas, elle s’est amusĂ©e justement avec le compte administrateur, donc voilĂ … il faut vraiment faire attention qui on nomme administrateur !

AprĂšs, pour la petite histoire, il avait supprimĂ© tous les articles, mais il n’avait pas vidĂ© la corbeille : c’est super cool ! Et puis comme il y avait des sauvegardes de configurĂ©es, ce n’Ă©tait pas vraiment un trĂšs gros problĂšme… on perd toujours du temps Ă  restaurer un site, Ă  remettre tout en place, donc c’est vraiment quelque chose de trĂšs important Ă  mettre en place.

Julio : On peut rajouter que le hacker ça peut ĂȘtre votre voisin. Ce n’est pas forcĂ©ment quelqu’un cachĂ©…

Alex : Dans des pays un petit peu… qui font peur…

Julio : Ă  l’Est !… ça peut ĂȘtre le voisin, c’est sĂ»r, quelqu’un qui vous veut du mal tout simplement et qui a un accĂšs justement ! Est-ce que tous ces gens ont encore besoin de cet accĂšs qui a des permissions dans son rĂŽle assez importantes : revĂ©rifiez, rĂ©trogradez-les, s’il y a besoin, ne donnez pas un compte « admin » pour quelqu’un qui vient crĂ©er un article. Encore une fois, je vois ça… c’est assez grave !

Alex : Comme ça, ça l’empĂȘche de faire des bĂȘtises, d’aller dans les rĂ©glages…

Julio : mĂȘme si c’est involontaire…

9. Mettez Ă  jour vos plugins et vos thĂšmes

Qu’est ce qu’on peut encore dire ? Ça, c’est quelque chose que vous avez entendu peut-ĂȘtre 1.000 fois… on va dire « une fois de plus » !

Mettez Ă  jour les plugins s’il vous plait… Et les thĂšmes aussi !!

Alex : Ceci Ă©tait un message de service !

Julio : C’est ça ! Mais tenez-vous Ă  jour, c’est quand mĂȘme super important !

Normalement ça ne coĂ»te rien puisque, soit vous avez payĂ© un plugin premium et il vous les offre, ou soit vous avez un plugin gratuit et « c’est gratuit ! »

Donc, mettez Ă  jour et inversement, si vous n’utilisez plus un plugin ou un thĂšme, inutile de le garder, supprimez-le !

On peut aussi dire : « Oui, mais ce n’est pas grave, je l’ai dĂ©sactivĂ©, je ne m’en sers pas ! »

Malheureusement, il peut arriver que des failles soient utilisables dans un plugin ou un thĂšme dĂ©sactivĂ© : c’est possible, puisque, pensez bien que vous avez un fichier PHP sur votre serveur : si la faille est dedans, je peux y accĂ©der. Il peut y avoir une faille Ă  cet endroit.

liste de 64 points de securité

Pour votre sĂ©curité : tĂ©lĂ©chargez les listes et trouver l’équilibre

Je viens de vous donner Ă  peu prĂšs 10-12 points lĂ  [9 en fait Julio :)], je vous invite Ă  tĂ©lĂ©charger les 64 points en deux listes, il y a une liste « dĂ©butants » et une liste « avancĂ©s », n’hĂ©sitez pas Ă  prendre les deux, ne vous dites pas que vous n’avez pas le niveau pour faire les autres.

Ce qu’on peut dire ensuite, c’est : est-ce qu’il faut faire les 64 points de la liste ? La rĂ©ponse est trĂšs simple : NON !

Faites-en juste un maximum, ce que vous pensez ĂȘtre accessible pour votre niveau, ce que vous pensez ĂȘtre utile et pas trop gĂȘnant. Si vous me dites, j’ai 100.000 membres, ce qui arrive, j’ai 100.000 membres, 10.000 membres, je ne veux pas mettre une double identification ça va embĂȘter tout le monde : trĂšs bien ne le faites pas ! Vous faites ce qui est le plus confortable pour vous quand mĂȘme, il faut rĂ©ussir Ă  faire un petit peu la balance….

Alex : L’Ă©quilibre…

Julio : Il faut sĂ©curiser suffisamment, mais pas non plus que ça embĂȘte le monde, parce que sinon on ne mettra pas cette sĂ©curitĂ© en place.

Alex : Tout Ă  l’heure, en « OFF », on parlait : qu’elle est la jauge de sĂ©curitĂ© Ă  mettre en place pour que ça ne soit pas trop bĂȘte et tu me racontais cette histoire avec le cadenas. Je ne sais pas si tu peux la raconter, on a un petit peu de temps.

un cadenas pour votre sécurité

L’anecdote de Julio

Julio : Vous connaissez tous les cadenas Ă  3 chiffres qu’on met sur les vĂ©los par exemple ou les petits cadenas pour les casiers. Un jour j’ai vu un cadenas comme ça de 5 chiffres et Ă  un certain moment je me suis dit : est-ce qu’Ă  5 chiffres, il est plus sĂ©curisĂ© qu’Ă  3 chiffres ?

La premiĂšre rĂ©ponse c’est OUI ! puisqu’on peut faire pour le premier 1.000 essais, pour un 4 chiffres, 10 000 essais, pour un 5 chiffres 100 000 essais donc on se dit qu’il est forcĂ©ment plus sĂ©curisĂ©.

Le point faible de ce cadenas, c’est qu’il est utilisĂ© par quelque chose de trĂšs faible qui s’appelle un humain : l’humain ne va pas vouloir retenir 5 chiffres, 3 c’est suffisant.

Je vais pousser le vice : et s’il y avait 20 chiffres : est-ce qu’il serait plus sĂ©curisĂ© ? Est-ce que vous personnellement, vous allez rĂ©gler chacun des 20 chiffres Ă  chaque fois que vous utilisez votre vĂ©lo vous allez remettre les 20 chiffres ? Non, vous n’allez pas le faire, on est bien d’accord, vous ne le ferez pas.

C’est ce que je me suis dit : ce cadenas Ă  5 chiffres, je me suis dit que la personne n’aura pas les 5 chiffres. Donc j’ai pris chacun des points, j’ai tournĂ© Ă  gauche et Ă  droite pour voir s’il avait fait +1 ou -1 et arrivĂ© au dernier effectivement, elle n’avait changĂ© que le dernier.

Alors c’est juste un dĂ©fi, j’ai refermĂ© le cadenas, je vous rassure, mais pour le dĂ©fi, je me suis dit effectivement, l’ĂȘtre humain est suffisamment faible et paresseux pour vouloir en faire le moins possible pour sĂ©curiser quelque chose.

Il faut trouver cette balance entre un cadenas qui n’a qu’un seul chiffre et un cadenas qui aurait 20 chiffres, je pense que 3 ou 4, c’est suffisant.

Alex : Comme tu disais aussi tout Ă  l’heure, on ne met pas 20 serrures sur notre porte, on ne les fermera jamais !

Julio : Non ! Si vous mettez 20 verrous sur votre porte, je peux vous assurer que vous ne les fermerez pas tous. Au dĂ©but, vous le ferez parce que c’est marrant et puis aprĂšs… vous reviendrez Ă  1 ou 2 et c’est suffisant.

Nous vous remercions

Alex : OK ! Donc, voilĂ , merci d’avoir Ă©coutĂ© cette vidĂ©o, bien sĂ»r, tĂ©lĂ©chargez les listes de Julio pour sĂ©curiser votre site et aprĂšs, faites-le plus possible et puis aprĂšs, si vous ĂȘtes joueur, vous essaierez de faire les 64 points.

Dites-nous en tout cas en commentaire ce que vous avez rĂ©ussi Ă  faire ou peut-ĂȘtre ce que vous n’avez pas rĂ©ussi Ă  faire ça nous permettra peut-ĂȘtre de crĂ©er des contenus, pour vous aider… pour vulgariser davantage ces diffĂ©rentes bonnes pratiques.

En attendant, abonnez-vous à la chaßne YouTube de la Marmite et allez aussi sur SecuPress aussi pour en savoir plus sur la sécurité.

Sécurisez au mieux votre site, ça évitera notamment de passer par tous les points de la liste si tu passes par SecuPress, ça simplifie un peu les choses.

OK merci beaucoup et à trÚs bientÎt pour un prochain « Point Sécu ».



Si vous avez apprécié cet article, inscrivez-vous à la newsletter

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 10000 personnes l'ont fait, pourquoi pas vous ?

C'est parti, je m'inscris !

fa14d9764a50e3893e4d2c4341b73d3bAAAAAAAAAAAAA
Partagez
Tweetez
Partagez