Salut Ă tous et bienvenue dans ce nouveau “Point SĂ©cu” avec Julio, dans lequel on va voir quelle est la liste des points Ă vĂ©rifier en termes de sĂ©curitĂ© WordPress et la question Ă laquelle on va essayer de rĂ©pondre est : est-ce qu’il faut vraiment tous les appliquer ?
Allez c’est parti !
Alex : Alors, salut Julio, bienvenue dans cette nouvelle vidĂ©o…
Julio : Salut !
Alex : Comme je le disais dans l’intro, on va voir quelle est la liste des points Ă vĂ©rifier en termes de sĂ©curitĂ© WordPress, parce que c’est une question qu’on te pose beaucoup, beaucoup, beaucoup…
Julio : Oui, c’est une question qui revient assez souvent : est-ce qu’il existe une liste, limite une liste “cases Ă cocher”, oĂą on peut vĂ©rifier si notre site est sĂ©curisĂ©.
Donc cette liste, on peut dire qu’elle existe, j’en ai fait une, mais je pense qu’elle n’est pas complète et j’ai envie de dire, va-t-elle l’ĂŞtre un jour ?
Alex : Oui elle ne sera jamais complète…
Julio : Il y a toujours des choses qui peuvent ĂŞtre rajoutĂ©es, il y a toujours des dĂ©bats sur des sujets sĂ©curitĂ©, lĂ j’en ai notĂ© quelques points, je vais vous donner quelques informations lĂ -dessus.
Je vous inviter Ă prendre cette liste, je mets deux listes en fait : deux listes de 32 points. Je vous les donne pour ceux qui aiment WPMarmite et les offres gratuites !
Julio : Les spectateurs de WPMarmite, je vous offre ces deux listes de sécurité !
Sommaire
La liste miracle des points de sécurité WordPress existe-t-elle ?
Alors pourquoi aussi est-ce qu’il ne pourrait pas y avoir simplement une liste des choses Ă faire et une fois que c’est fait, ça y est c’est sĂ©curisĂ© ? C’est parce que le web ça bouge très très vite.
Chaque annĂ©e, il y a de nouvelles failles qui sont trouvĂ©es, d’anciennes failles qui sont modifiĂ©es. MĂŞme si on met quelque chose en place, ça ne va pas aussi dire que c’est en place Ă vie, il faut aussi vĂ©rifier encore de temps en temps, il faut toujours revenir : une fois que c’est cochĂ©, ça peut se dĂ©cocher et il va falloir qu’on recoche de nouveau.
1. VĂ©rifier la liste des utilisateurs d’un site WordPress
Si je prends un exemple qui est dans cette petite liste : je pense parfois Ă vĂ©rifier la liste des utilisateurs de mon site, simplement, je vais dans les utilisateurs et je vois si les gens qui sont prĂ©sents, notamment les “admins”, sont bien ceux que j’attends.
Si je ne suis pas un site marchand avec Ă©normĂ©ment de clients bien sĂ»r, lĂ , je suis un peu perdu, mais si je sais qu’on est par exemple deux administrateurs et deux Ă©diteurs, si un jour, je vois un compte un peu bizarre, je sais qu’il y a quelque chose de pas normal.
Une fois que c’est fait est-ce que c’est terminĂ© ?
Non ! Je vais devoir revérifier, peut-être pas demain, mais de temps en temps : toutes les semaines ou tous les mois, juste jeter un œil rapidement, ça ne prend pas longtemps, mais il va falloir le faire et encore le refaire.
C’est ce genre de points que j’aimerais vous partager.
2. Laissez les inscriptions ouvertes : utile ou pas ?
Si j’en prends d’autres : Ă propos des inscriptions de votre site, si vous avez la possibilitĂ© de les dĂ©sactiver ! Ça m’est dĂ©jĂ arrivĂ© de trouver des sites web oĂą les gens l’avaient laissĂ© cochĂ©, parce que c’Ă©tait comme ça avant ou parce qu’ils l’ont cochĂ© sans faire exprès et ils l’ont laissĂ©, ce n’est pas grave : “De toute façon, on s’inscrit chez moi, mais ça sert Ă rien“
Alex : ça, c’est quelque chose qui peut amener quelques surprises !
Julio : Et si ça ne sert Ă rien, il faut l’enlever. Pour l’anecdote, je crois que c’Ă©tait au WordCamp de janvier 2013 Ă Paris, une personne me dit : “Oui, je ne comprends pas, il y a quelqu’un qui s’est inscrit sur mon site, comment est-ce qu’il a pu faire, oĂą est-ce qu’il est passĂ© ?”
Et je lui ai dit : “Mais vĂ©rifiez, la case est cochĂ©e dans vos rĂ©glages”… “Ah non, ce n’est pas possible !!” Elle fait, elle l’avait laissĂ© cochĂ©e, elle ne s’en souvenait plus.
C’est un dĂ©tail, mais Ă©viter que les gens puissent s’inscrire.
Alex : Troisième point.
3. Limiter le nombre de tentatives de connections
Julio : Troisième point : limiter le nombre de tentatives aussi. Faites en sorte que si quelqu’un essaie de se connecter Ă votre administration, ne lui laissez pas 1.000 essais : c’est peut-ĂŞtre de trop pour un humain !
Je dirais qu’une dizaine ce n’est dĂ©jĂ pas mal ! Si au bout de 10, il est bloquĂ©, il viendra vous voir, je pense que c’est suffisant.
4. Mettez en place la double authentification
Un autre point, on en a parlĂ© dans une vidĂ©o prĂ©cĂ©dente : utilisez une double authentification. Regardez de nouveau la vidĂ©o, c’est vraiment un point très simple Ă mettre en place et qui ajoute un Ă©norme niveau de sĂ©curitĂ© supplĂ©mentaire sur le site.
5. Utilisez un Captcha
Autre point : utilisez un Captcha : c’est-Ă -dire… soit ce sont de petites opĂ©rations, par exemple : combien font 3+x ou alors il faut cocher malheureusement sur des panneaux de circulation…
Alex : Oui, on a des petites miniatures oĂą on nous demande de cocher les panneaux, les maisons… il y a plein de trucs !
Julio : Les voitures… C’est bon ! Je ne l’aime pas du tout celui-ci, mais n’empĂŞche que si on n’est pas un humain, c’est assez compliquĂ© de passer outre, donc ça limite aussi le fait que des bots par exemple puissent s’inscrire, envoyer des formulaires de contact, etc. qui ne vous servent pas et qui vont vous faire perdre votre temps parce que vous avez trier, c’est toujours ça de pris.
6. DĂ©placer la page de login
DĂ©placer la page de login : on en a parlĂ© aussi dans une vidĂ©o prĂ©cĂ©dente, ça, c’est un point Ă vĂ©rifier, mais une fois ! ça normalement une fois que c’est fait il n’y a plus Ă vĂ©rifier, c’est en place, c’est en place… le jour oĂą ça saute, c’est qu’il y a un problème de fichier .htaccess par exemple… autre chose… rien Ă voir.
7. Imposer les mots de passe forts Ă vos utilisateurs
Si vous avez plusieurs utilisateurs, ce qui serait bien aussi, c’est de les forcer Ă utiliser des mots de passe “forts” justement, on a parlĂ© des mots de passe aussi prĂ©cĂ©demment.
Si eux ne le font pas et que vous, vous le faites, finalement, c’est un peu dommage, parce qu’OK, on ne peut pas se connecter sur votre compte, mais qu’en est-il des autres en fait, en s’assurant que vos utilisateurs ont des mots de passe corrects, ça sĂ©curise aussi votre site finalement, parce que si quelqu’un entre Ă cause d’un compte d’utilisateur, c’est quand mĂŞme votre site, donc c’est de votre responsabilitĂ© quelque part.
8. Modifier les rĂ´les lorsque c’est nĂ©cessaire
Qu’est-ce qu’on peut encore dire, oui… pour les rĂ´les de personnes que vous auriez pu ajouter par le passĂ©, je pense notamment Ă des rĂ´les d’administrateur : est-ce qu’aujourd’hui, tous les gens qui sont administrateurs sur votre site font du travail d’administrateur, ça m’est arrivĂ© de voir 18 administrateurs sur un site web…
Alex : Sympa !
Julio : Pour moi ce n’est pas normal.
L’anecdote d’Alex
Alex : D’ailleurs j’ai une anecdote lĂ -dessus : je travaillais dans une Asso auparavant, il y avait plusieurs administrateurs et on va dire qu’il y a eu des soucis dans la gouvernance de l’Asso.
Une des personnes, qui avait un compte administrateur, a voulu nous faire quelques petits tracas, elle s’est amusĂ©e justement avec le compte administrateur, donc voilĂ … il faut vraiment faire attention qui on nomme administrateur !
Après, pour la petite histoire, il avait supprimĂ© tous les articles, mais il n’avait pas vidĂ© la corbeille : c’est super cool ! Et puis comme il y avait des sauvegardes de configurĂ©es, ce n’Ă©tait pas vraiment un très gros problème… on perd toujours du temps Ă restaurer un site, Ă remettre tout en place, donc c’est vraiment quelque chose de très important Ă mettre en place.
Julio : On peut rajouter que le hacker ça peut ĂŞtre votre voisin. Ce n’est pas forcĂ©ment quelqu’un cachĂ©…
Alex : Dans des pays un petit peu… qui font peur…
Julio : Ă l’Est !… ça peut ĂŞtre le voisin, c’est sĂ»r, quelqu’un qui vous veut du mal tout simplement et qui a un accès justement ! Est-ce que tous ces gens ont encore besoin de cet accès qui a des permissions dans son rĂ´le assez importantes : revĂ©rifiez, rĂ©trogradez-les, s’il y a besoin, ne donnez pas un compte “admin” pour quelqu’un qui vient crĂ©er un article. Encore une fois, je vois ça… c’est assez grave !
Alex : Comme ça, ça l’empĂŞche de faire des bĂŞtises, d’aller dans les rĂ©glages…
Julio : mĂŞme si c’est involontaire…
9. Mettez à jour vos plugins et vos thèmes
Qu’est ce qu’on peut encore dire ? Ça, c’est quelque chose que vous avez entendu peut-ĂŞtre 1.000 fois… on va dire “une fois de plus” !
Mettez Ă jour les plugins s’il vous plait… Et les thèmes aussi !!
Alex : Ceci Ă©tait un message de service !
Julio : C’est ça ! Mais tenez-vous Ă jour, c’est quand mĂŞme super important !
Normalement ça ne coĂ»te rien puisque, soit vous avez payĂ© un plugin premium et il vous les offre, ou soit vous avez un plugin gratuit et “c’est gratuit !”
Donc, mettez Ă jour et inversement, si vous n’utilisez plus un plugin ou un thème, inutile de le garder, supprimez-le !
On peut aussi dire : “Oui, mais ce n’est pas grave, je l’ai dĂ©sactivĂ©, je ne m’en sers pas !”
Malheureusement, il peut arriver que des failles soient utilisables dans un plugin ou un thème dĂ©sactivĂ© : c’est possible, puisque, pensez bien que vous avez un fichier PHP sur votre serveur : si la faille est dedans, je peux y accĂ©der. Il peut y avoir une faille Ă cet endroit.
Pour votre sécurité : téléchargez les listes et trouvez l’équilibre
Je viens de vous donner Ă peu près 10-12 points lĂ [9 en fait Julio :)], je vous invite Ă tĂ©lĂ©charger les 64 points en deux listes, il y a une liste “dĂ©butants” et une liste “avancĂ©s”, n’hĂ©sitez pas Ă prendre les deux, ne vous dites pas que vous n’avez pas le niveau pour faire les autres.
Ce qu’on peut dire ensuite, c’est : est-ce qu’il faut faire les 64 points de la liste ? La rĂ©ponse est très simple : NON !
Faites-en juste un maximum, ce que vous pensez ĂŞtre accessible pour votre niveau, ce que vous pensez ĂŞtre utile et pas trop gĂŞnant. Si vous me dites, j’ai 100.000 membres, ce qui arrive, j’ai 100.000 membres, 10.000 membres, je ne veux pas mettre une double identification ça va embĂŞter tout le monde : très bien ne le faites pas ! Vous faites ce qui est le plus confortable pour vous quand mĂŞme, il faut rĂ©ussir Ă faire un petit peu la balance….
Alex : L’Ă©quilibre…
Julio : Il faut sécuriser suffisamment, mais pas non plus que ça embête le monde, parce que sinon on ne mettra pas cette sécurité en place.
Alex : Tout Ă l’heure, en “OFF”, on parlait : qu’elle est la jauge de sĂ©curitĂ© Ă mettre en place pour que ça ne soit pas trop bĂŞte et tu me racontais cette histoire avec le cadenas. Je ne sais pas si tu peux la raconter, on a un petit peu de temps.
L’anecdote de Julio
Julio : Vous connaissez tous les cadenas Ă 3 chiffres qu’on met sur les vĂ©los par exemple ou les petits cadenas pour les casiers. Un jour j’ai vu un cadenas comme ça de 5 chiffres et Ă un certain moment je me suis dit : est-ce qu’Ă 5 chiffres, il est plus sĂ©curisĂ© qu’Ă 3 chiffres ?
La première rĂ©ponse c’est OUI ! puisqu’on peut faire pour le premier 1.000 essais, pour un 4 chiffres, 10 000 essais, pour un 5 chiffres 100 000 essais donc on se dit qu’il est forcĂ©ment plus sĂ©curisĂ©.
Le point faible de ce cadenas, c’est qu’il est utilisĂ© par quelque chose de très faible qui s’appelle un humain : l’humain ne va pas vouloir retenir 5 chiffres, 3 c’est suffisant.
Je vais pousser le vice : et s’il y avait 20 chiffres : est-ce qu’il serait plus sĂ©curisĂ© ? Est-ce que vous personnellement, vous allez rĂ©gler chacun des 20 chiffres Ă chaque fois que vous utilisez votre vĂ©lo vous allez remettre les 20 chiffres ? Non, vous n’allez pas le faire, on est bien d’accord, vous ne le ferez pas.
C’est ce que je me suis dit : ce cadenas Ă 5 chiffres, je me suis dit que la personne n’aura pas les 5 chiffres. Donc j’ai pris chacun des points, j’ai tournĂ© Ă gauche et Ă droite pour voir s’il avait fait +1 ou -1 et arrivĂ© au dernier effectivement, elle n’avait changĂ© que le dernier.
Alors c’est juste un dĂ©fi, j’ai refermĂ© le cadenas, je vous rassure, mais pour le dĂ©fi, je me suis dit effectivement, l’ĂŞtre humain est suffisamment faible et paresseux pour vouloir en faire le moins possible pour sĂ©curiser quelque chose.
Il faut trouver cette balance entre un cadenas qui n’a qu’un seul chiffre et un cadenas qui aurait 20 chiffres, je pense que 3 ou 4, c’est suffisant.
Alex : Comme tu disais aussi tout Ă l’heure, on ne met pas 20 serrures sur notre porte, on ne les fermera jamais !
Julio : Non ! Si vous mettez 20 verrous sur votre porte, je peux vous assurer que vous ne les fermerez pas tous. Au dĂ©but, vous le ferez parce que c’est marrant et puis après… vous reviendrez Ă 1 ou 2 et c’est suffisant.
Formez-vous Ă WordPress en 3 mois
Apprenez à concevoir des sites WordPress sécurisés, rapides et conformes aux obligations légales avec la formation à distance la plus généreuse du marché (éligible au CPF).
Pour conclure
Alex : OK ! Donc, voilĂ , merci d’avoir Ă©coutĂ© cette vidĂ©o, bien sĂ»r, tĂ©lĂ©chargez les listes de Julio pour sĂ©curiser votre site et après, faites-le plus possible et puis après, si vous ĂŞtes joueur, vous essaierez de faire les 64 points.
Dites-nous en tout cas en commentaire ce que vous avez rĂ©ussi Ă faire ou peut-ĂŞtre ce que vous n’avez pas rĂ©ussi Ă faire ça nous permettra peut-ĂŞtre de crĂ©er des contenus, pour vous aider… pour vulgariser davantage ces diffĂ©rentes bonnes pratiques.
En attendant, abonnez-vous à la chaîne YouTube de la Marmite et allez aussi sur SecuPress aussi pour en savoir plus sur la sécurité.
Sécurisez au mieux votre site, ça évitera notamment de passer par tous les points de la liste si tu passes par SecuPress, ça simplifie un peu les choses.
OK merci beaucoup et Ă très bientĂ´t pour un prochain “Point SĂ©cu”.
Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20000 personnes l'ont fait, pourquoi pas vous ?
La dernière fournée d'articles
Tous les articlesComment optimiser un site WordPress pour les Core Web Vitals ?
Dans le monde du SEO et de la crĂ©ation web en gĂ©nĂ©ral, c’est un terme dont on entend presque tout le temps parler. Ah, les fameux Core Web Vitals… Le genre de truc toujours Ă la mode depuis leur sortie…
Spectra : plongée dans ce constructeur de page intégré à l’éditeur de WordPress
Sortir de l’interface native de WordPress ? Jamais de la vie. Proposer une kyrielle de widgets ? MĂŞme pas en rĂŞve. Avec lui, la star, ce sont les blocs. CrĂ©er votre prochain site WordPress sans quitter l’éditeur par dĂ©faut (Gutenberg),…
WPMarmite News fĂŞte sa 100e Ă©dition (avec un concours) !
Aujourd’hui est un jour un peu spĂ©cial pour WPMarmite. Nous fĂŞtons la 100e Ă©dition de WPMarmite News, notre newsletter de veille WordPress ! 🥳 Si vous ĂŞtes un abonnĂ© de longue date, vous vous en rappelez peut-ĂŞtre : l’aventure avait…