Salut à tous et bienvenue dans ce nouveau “Point Sécu” avec Julio, dans lequel on va voir quelle est la liste des points à vérifier en termes de sécurité WordPress et la question à laquelle on va essayer de répondre est : est-ce qu’il faut vraiment tous les appliquer ?

Allez c’est parti !

Alex : Alors, salut Julio, bienvenue dans cette nouvelle vidéo…

Julio : Salut !

Alex : Comme je le disais dans l’intro, on va voir quelle est la liste des points à vérifier en termes de sécurité WordPress, parce que c’est une question qu’on te pose beaucoup, beaucoup, beaucoup…

Julio : Oui, c’est une question qui revient assez souvent : est-ce qu’il existe une liste, limite une liste “cases à cocher”, où on peut vérifier si notre site est sécurisé.

Donc cette liste, on peut dire qu’elle existe, j’en ai fait une, mais je pense qu’elle n’est pas complète et j’ai envie de dire, va-t-elle l’être un jour ?

Alex : Oui elle ne sera jamais complète…

Julio : Il y a toujours des choses qui peuvent être rajoutées, il y a toujours des débats sur des sujets sécurité, là j’en ai noté quelques points, je vais vous donner quelques informations là-dessus.

Je vous inviter à prendre cette liste, je mets deux listes en fait : deux listes de 32 points. Je vous les donne pour ceux qui aiment WPMarmite et les offres gratuites !

2 listes en cadeau pour la sécurité de votre WordPress

Julio : Les spectateurs de WPMarmite, je vous offre ces deux listes de sécurité !

La liste miracle des points de sécurité WordPress existe-t-elle ?

Alors pourquoi aussi est-ce qu’il ne pourrait pas y avoir simplement une liste des choses à faire et une fois que c’est fait, ça y est c’est sécurisé ? C’est parce que le web ça bouge très très vite.

Chaque année, il y a de nouvelles failles qui sont trouvées, d’anciennes failles qui sont modifiées. Même si on met quelque chose en place, ça ne va pas aussi dire que c’est en place à vie, il faut aussi vérifier encore de temps en temps, il faut toujours revenir : une fois que c’est coché, ça peut se décocher et il va falloir qu’on recoche de nouveau.

1. Vérifier la liste des utilisateurs d’un site WordPress

Si je prends un exemple qui est dans cette petite liste : je pense parfois à vérifier la liste des utilisateurs de mon site, simplement, je vais dans les utilisateurs et je vois si les gens qui sont présents, notamment les “admins”, sont bien ceux que j’attends.

Si je ne suis pas un site marchand avec énormément de clients bien sûr, là, je suis un peu perdu, mais si je sais qu’on est par exemple deux administrateurs et deux éditeurs, si un jour, je vois un compte un peu bizarre, je sais qu’il y a quelque chose de pas normal.

Une fois que c’est fait est-ce que c’est terminé ?

Non ! Je vais devoir revérifier, peut-être pas demain, mais de temps en temps : toutes les semaines ou tous les mois, juste jeter un œil rapidement, ça ne prend pas longtemps, mais il va falloir le faire et encore le refaire.

C’est ce genre de points que j’aimerais vous partager.

2. Laissez les inscriptions ouvertes : utile ou pas ?

Si j’en prends d’autres : à propos des inscriptions de votre site, si vous avez la possibilité de les désactiver ! Ça m’est déjà arrivé de trouver des sites web où les gens l’avaient laissé coché, parce que c’était comme ça avant ou parce qu’ils l’ont coché sans faire exprès et ils l’ont laissé, ce n’est pas grave : “De toute façon, on s’inscrit chez moi, mais ça sert à rien

Alex : ça, c’est quelque chose qui peut amener quelques surprises !

Julio : Et si ça ne sert à rien, il faut l’enlever. Pour l’anecdote, je crois que c’était au WordCamp de janvier 2013 à Paris, une personne me dit : “Oui, je ne comprends pas, il y a quelqu’un qui s’est inscrit sur mon site, comment est-ce qu’il a pu faire, où est-ce qu’il est passé ?” 

Et je lui ai dit : “Mais vérifiez, la case est cochée dans vos réglages”… “Ah non, ce n’est pas possible !!” Elle fait, elle l’avait laissé cochée, elle ne s’en souvenait plus.

C’est un détail, mais éviter que les gens puissent s’inscrire.

Alex : Troisième point.

3. Limiter le nombre de tentatives de connections

Julio : Troisième point : limiter le nombre de tentatives aussi. Faites en sorte que si quelqu’un essaie de se connecter à votre administration, ne lui laissez pas 1.000 essais : c’est peut-être de trop pour un humain !

Je dirais qu’une dizaine ce n’est déjà pas mal ! Si au bout de 10, il est bloqué, il viendra vous voir, je pense que c’est suffisant.

4. Mettez en place la double authentification

Un autre point, on en a parlé dans une vidéo précédente : utilisez une double authentification. Regardez de nouveau la vidéo, c’est vraiment un point très simple à mettre en place et qui ajoute un énorme niveau de sécurité supplémentaire sur le site.

5. Utilisez un Captcha

Autre point : utilisez un Captcha : c’est-à-dire… soit ce sont de petites opérations, par exemple : combien font 3+x ou alors il faut cocher malheureusement sur des panneaux de circulation…

Alex : Oui, on a des petites miniatures où on nous demande de cocher les panneaux, les maisons… il y a plein de trucs !

Julio : Les voitures… C’est bon ! Je ne l’aime pas du tout celui-ci, mais n’empêche que si on n’est pas un humain, c’est assez compliqué de passer outre, donc ça limite aussi le fait que des bots par exemple puissent s’inscrire, envoyer des formulaires de contact, etc. qui ne vous servent pas et qui vont vous faire perdre votre temps parce que vous avez trier, c’est toujours ça de pris.

6. Déplacer la page de login

Déplacer la page de login : on en a parlé aussi dans une vidéo précédente, ça, c’est un point à vérifier, mais une fois ! ça normalement une fois que c’est fait il n’y a plus à vérifier, c’est en place, c’est en place… le jour où ça saute, c’est qu’il y a un problème de fichier .htaccess par exemple… autre chose… rien à voir.

7. Imposer les mots de passe forts à vos utilisateurs

Si vous avez plusieurs utilisateurs, ce qui serait bien aussi, c’est de les forcer à utiliser des mots de passe “forts” justement, on a parlé des mots de passe aussi précédemment.

Si eux ne le font pas et que vous, vous le faites, finalement, c’est un peu dommage, parce qu’OK, on ne peut pas se connecter sur votre compte, mais qu’en est-il des autres en fait, en s’assurant que vos utilisateurs ont des mots de passe corrects, ça sécurise aussi votre site finalement, parce que si quelqu’un entre à cause d’un compte d’utilisateur, c’est quand même votre site, donc c’est de votre responsabilité quelque part.

8. Modifier les rôles lorsque c’est nécessaire

Qu’est-ce qu’on peut encore dire, oui… pour les rôles de personnes que vous auriez pu ajouter par le passé, je pense notamment à des rôles d’administrateur : est-ce qu’aujourd’hui, tous les gens qui sont administrateurs sur votre site font du travail d’administrateur, ça m’est arrivé de voir 18 administrateurs sur un site web…

Alex : Sympa !

Julio : Pour moi ce n’est pas normal.

L’anecdote d’Alex

Alex : D’ailleurs j’ai une anecdote là-dessus : je travaillais dans une Asso auparavant, il y avait plusieurs administrateurs et on va dire qu’il y a eu des soucis dans la gouvernance de l’Asso.

Une des personnes, qui avait un compte administrateur, a voulu nous faire quelques petits tracas, elle s’est amusée justement avec le compte administrateur, donc voilà… il faut vraiment faire attention qui on nomme administrateur !

Après, pour la petite histoire, il avait supprimé tous les articles, mais il n’avait pas vidé la corbeille : c’est super cool ! Et puis comme il y avait des sauvegardes de configurées, ce n’était pas vraiment un très gros problème… on perd toujours du temps à restaurer un site, à remettre tout en place, donc c’est vraiment quelque chose de très important à mettre en place.

Julio : On peut rajouter que le hacker ça peut être votre voisin. Ce n’est pas forcément quelqu’un caché…

Alex : Dans des pays un petit peu… qui font peur…

Julio : à l’Est !… ça peut être le voisin, c’est sûr, quelqu’un qui vous veut du mal tout simplement et qui a un accès justement ! Est-ce que tous ces gens ont encore besoin de cet accès qui a des permissions dans son rôle assez importantes : revérifiez, rétrogradez-les, s’il y a besoin, ne donnez pas un compte “admin” pour quelqu’un qui vient créer un article. Encore une fois, je vois ça… c’est assez grave !

Alex : Comme ça, ça l’empêche de faire des bêtises, d’aller dans les réglages…

Julio : même si c’est involontaire…

9. Mettez à jour vos plugins et vos thèmes

Qu’est ce qu’on peut encore dire ? Ça, c’est quelque chose que vous avez entendu peut-être 1.000 fois… on va dire “une fois de plus” !

Mettez à jour les plugins s’il vous plait… Et les thèmes aussi !!

Alex : Ceci était un message de service !

Julio : C’est ça ! Mais tenez-vous à jour, c’est quand même super important !

Normalement ça ne coûte rien puisque, soit vous avez payé un plugin premium et il vous les offre, ou soit vous avez un plugin gratuit et “c’est gratuit !”

Donc, mettez à jour et inversement, si vous n’utilisez plus un plugin ou un thème, inutile de le garder, supprimez-le !

On peut aussi dire : “Oui, mais ce n’est pas grave, je l’ai désactivé, je ne m’en sers pas !”

Malheureusement, il peut arriver que des failles soient utilisables dans un plugin ou un thème désactivé : c’est possible, puisque, pensez bien que vous avez un fichier PHP sur votre serveur : si la faille est dedans, je peux y accéder. Il peut y avoir une faille à cet endroit.

liste de 64 points de securité

Pour votre sécurité : téléchargez les listes et trouvez l’équilibre

Je viens de vous donner à peu près 10-12 points là [9 en fait Julio :)], je vous invite à télécharger les 64 points en deux listes, il y a une liste “débutants” et une liste “avancés”, n’hésitez pas à prendre les deux, ne vous dites pas que vous n’avez pas le niveau pour faire les autres.

Ce qu’on peut dire ensuite, c’est : est-ce qu’il faut faire les 64 points de la liste ? La réponse est très simple : NON !

Faites-en juste un maximum, ce que vous pensez être accessible pour votre niveau, ce que vous pensez être utile et pas trop gênant. Si vous me dites, j’ai 100.000 membres, ce qui arrive, j’ai 100.000 membres, 10.000 membres, je ne veux pas mettre une double identification ça va embêter tout le monde : très bien ne le faites pas ! Vous faites ce qui est le plus confortable pour vous quand même, il faut réussir à faire un petit peu la balance….

Alex : L’équilibre…

Julio : Il faut sécuriser suffisamment, mais pas non plus que ça embête le monde, parce que sinon on ne mettra pas cette sécurité en place.

Alex : Tout à l’heure, en “OFF”, on parlait : qu’elle est la jauge de sécurité à mettre en place pour que ça ne soit pas trop bête et tu me racontais cette histoire avec le cadenas. Je ne sais pas si tu peux la raconter, on a un petit peu de temps.

un cadenas pour votre sécurité

L’anecdote de Julio

Julio : Vous connaissez tous les cadenas à 3 chiffres qu’on met sur les vélos par exemple ou les petits cadenas pour les casiers. Un jour j’ai vu un cadenas comme ça de 5 chiffres et à un certain moment je me suis dit : est-ce qu’à 5 chiffres, il est plus sécurisé qu’à 3 chiffres ?

La première réponse c’est OUI ! puisqu’on peut faire pour le premier 1.000 essais, pour un 4 chiffres, 10 000 essais, pour un 5 chiffres 100 000 essais donc on se dit qu’il est forcément plus sécurisé.

Le point faible de ce cadenas, c’est qu’il est utilisé par quelque chose de très faible qui s’appelle un humain : l’humain ne va pas vouloir retenir 5 chiffres, 3 c’est suffisant.

Je vais pousser le vice : et s’il y avait 20 chiffres : est-ce qu’il serait plus sécurisé ? Est-ce que vous personnellement, vous allez régler chacun des 20 chiffres à chaque fois que vous utilisez votre vélo vous allez remettre les 20 chiffres ? Non, vous n’allez pas le faire, on est bien d’accord, vous ne le ferez pas.

C’est ce que je me suis dit : ce cadenas à 5 chiffres, je me suis dit que la personne n’aura pas les 5 chiffres. Donc j’ai pris chacun des points, j’ai tourné à gauche et à droite pour voir s’il avait fait +1 ou -1 et arrivé au dernier effectivement, elle n’avait changé que le dernier.

Alors c’est juste un défi, j’ai refermé le cadenas, je vous rassure, mais pour le défi, je me suis dit effectivement, l’être humain est suffisamment faible et paresseux pour vouloir en faire le moins possible pour sécuriser quelque chose.

Il faut trouver cette balance entre un cadenas qui n’a qu’un seul chiffre et un cadenas qui aurait 20 chiffres, je pense que 3 ou 4, c’est suffisant.

Alex : Comme tu disais aussi tout à l’heure, on ne met pas 20 serrures sur notre porte, on ne les fermera jamais !

Julio : Non ! Si vous mettez 20 verrous sur votre porte, je peux vous assurer que vous ne les fermerez pas tous. Au début, vous le ferez parce que c’est marrant et puis après… vous reviendrez à 1 ou 2 et c’est suffisant.

Formez-vous à WordPress en 3 mois

Apprenez à concevoir des sites WordPress sécurisés, rapides et conformes aux obligations légales avec la formation à distance la plus généreuse du marché (éligible au CPF).

WPChef, la formation WordPress de référence

Pour conclure

Alex : OK ! Donc, voilà, merci d’avoir écouté cette vidéo, bien sûr, téléchargez les listes de Julio pour sécuriser votre site et après, faites-le plus possible et puis après, si vous êtes joueur, vous essaierez de faire les 64 points.

Dites-nous en tout cas en commentaire ce que vous avez réussi à faire ou peut-être ce que vous n’avez pas réussi à faire ça nous permettra peut-être de créer des contenus, pour vous aider… pour vulgariser davantage ces différentes bonnes pratiques.

En attendant, abonnez-vous à la chaîne YouTube de la Marmite et allez aussi sur SecuPress aussi pour en savoir plus sur la sécurité.

Sécurisez au mieux votre site, ça évitera notamment de passer par tous les points de la liste si tu passes par SecuPress, ça simplifie un peu les choses.

OK merci beaucoup et à très bientôt pour un prochain “Point Sécu”.