Par Alex le 13 dĂ©cembre 2017 ‱ Pas de commentaire

Salut Ă  tous et bienvenue dans ce nouveau « point sĂ©cu » avec Julio, et aujourd’hui, on va voir comment choisir un bon plugin de sĂ©curitĂ©.

Allez c’est parti !

Alors du coup Julio tu vas essayer de rĂ©pondre Ă  cette question que beaucoup de personnes se posent : quel plugin de sĂ©curitĂ© utiliser pour son site WordPress ?

Julio : On va essayer d’ĂȘtre objectif dans cette vidĂ©o… C’est forcĂ©ment un peu plus compliquĂ©.

Pour moi, quand on choisit un plugin de sĂ©curitĂ©, on pourrait dire, c’est un peu comme choisir un plugin dans un autre thĂšme, puisque justement il existe diffĂ©rents plugins un peu pour tout. Dans tous les cas, ça doit rĂ©pondre Ă  un besoin.

Qu’est-ce qu’on a besoin de sĂ©curiser et qu’est-ce qu’on souhaite faire finalement ?

Comme on en a parlĂ© rĂ©cemment, dans une liste de points de sĂ©curitĂ© Ă  faire, on ne va pas forcĂ©ment tout faire, on ne va pas pouvoir tout faire, il se peut qu’il y ait des restrictions du serveur, de la part du client, etc. On va essayer de se tenir Ă  ce que l’on a besoin de faire.

1. La traduction du plugin en français

Pour moi un point principal pour nous qui sommes en France et pour moi c’est quelque chose qui est important, j’aime bien que les plugins soient au moins traduits en français, pas forcĂ©ment un plugin français, mĂȘme si « cocorico » c’est mieux ! mais qu’il soit en français c’est mieux.

En tout cas, quand je le donne Ă  un client pour moi c’est quasiment obligatoire, je ne peux pas dire Ă  mon client qui a un site totalement français, qui me demande de faire du dĂ©veloppement en français, de lui donner un plugin supplĂ©mentaire en disant « celui-lĂ  dĂ©solĂ© c’est de l’anglais » non, ça pour moi c’est impossible.

Donc dĂ©jĂ  pour moi je dirais : l’avoir en français.

2. Le support

Ensuite, je vais vous recommander, si encore une fois c’est pour des clients, de prendre un plugin qui va ĂȘtre premium pour avoir du support, car vous n’avez pas envie de faire le support pour votre client, c’est quelque chose que vous n’avez pas du tout du tout avoir envie de faire.

D’autant plus que vous allez faire du support sur des produits qui ne vous appartiennent pas, c’est vous qui ferez le support Ă  la place de votre client, etc. donc vraiment Ă©vitez !

Si le plugin est gratuit, gardez bien en tĂȘte, que le support, il peut y en avoir, il peut aussi ne pas y en avoir, mais s’il y en a, il n’est pas assurĂ©, il n’est pas rapide, c’est pour ça que c’est gratuit ! Mais on le sait, on le sait Ă  l’avance, moi je recommanderai tout de mĂȘme vers quelque chose oĂč il y a du support.

Par chance, je pense que la majoritĂ© des plugins de sĂ©curitĂ© ont du support, parce qu’ils ont tous une version payante, parce que justement c’est quelque chose qui ne s’arrĂȘte pas en fait, on ne peut pas se dire « ça y est, il est fait mon plugin, je le balance, et terminĂ© pendant deux ans ».

Alex : Comme on expliquait… ça bouge vite… c’est le chat et la souris, il y a de nouvelles choses qui sont dĂ©couvertes, il y en a qui s’infiltre donc il faut protĂ©ger cela.

quel est le meilleur plugin de securité wordpress

3. Les utilisateurs

Julio : Exactement ! Ensuite on peut directement entrer ce que l’on a besoin de sĂ©curiser. On peut se dire : OK, mon site, c’est un site qui n’utilise aucun utilisateur, juste un admin et tout le reste, il n’y a jamais d’inscriptions possibles, on est une seule et unique personne Ă  gĂ©rer.

Donc est-ce qu’on a besoin de sĂ©curiser ses utilisateurs ?

Si vous ĂȘtre un e-commerce, je vous donne tout de suite la rĂ©ponse c’est OUI ! Vous devez sĂ©curiser vos utilisateurs, leur donner leur compte, tout cela, il faut vraiment que ce soit au plus secure ! Je ne parle pas juste de faire des backups (encore une fois il faut aussi des backups).

Donc, sĂ©curiser les utilisateurs, avez-vous besoin de ça ? Cocher quelque part : OUI j’ai besoin de sĂ©curiser les utilisateurs.

4. La mise Ă  jour des thĂšmes et plugins

Quelque chose que je vais forcĂ©ment recommander, on l’a dĂ©jĂ  dit, nous on l’a dĂ©jĂ  dit, vous l’avez dĂ©jĂ  lu, c’est Ă  la fois se tenir Ă  jour pour les plugins et les thĂšmes, mais aussi s’assurer que les plugins et les thĂšmes ne soient pas connus comme vulnĂ©rables.

Vous avez peut-ĂȘtre dĂ©jĂ  vu notamment sur Facebook et mĂȘme Twitter, il y a des listes qui tournent sur les nouveaux plugins qui ont Ă©tĂ© dĂ©couverts contenant des failles : si vous les avez, c’est un peu dommage !

Alors comment est-ce qu’on peut ĂȘtre alertĂ© de ça ? Il existe des solutions qui vous permettent d’ĂȘtre alertĂ© en temps rĂ©el du plugin « untel » que vous utilisez sur tel site, il contient une faille de sĂ©curitĂ©… ça, je pense que tout le monde en a besoin, dans le sens oĂč si vous utilisez des plugins, vous avez besoin de savoir qu’ils sont toujours sĂ©curisĂ©s.

5. Sécuriser les données sensibles avec des backups

Je vous dirais aussi de sĂ©curiser ce que j’appelle les donnĂ©es sensibles, il y a celles des utilisateurs et aussi les vĂŽtres, votre site web. Si vous avez votre site sur GitHub par exemple, vous n’avez pas envie que quelqu’un puisse trouver le contenu, si vous avez des backups, il faut que les backups soient dans un endroit sĂ©curisĂ©, si possible, vous ne les laissez pas sur site, vous les retĂ©lĂ©chargez en local.

Ou alors si vous uploadez directement, automatiquement dans un cloud : Dropbox, Amazon... C’est ce que tu fais peut-ĂȘtre ?

Alex : Oui sur Dropbox, Amazon et du coup forcĂ©ment avec Dropbox c’est automatiquement remis sur l’ordinateur, donc en fait il y a 3 points de sauvegarde.

Julio : C’est une bonne idĂ©e, parce que les laisser sur le site, ça veut dire qu’on les laisse quelque part en accĂšs Ă  une personne.

Vous allez me dire « oui, mais j’ai dĂ©jĂ  essayĂ© de les tĂ©lĂ©charger en tapant le lien et ça donne une erreur »… oui je comprends bien, mais on en revient au problĂšme dont on a dĂ©jĂ  parlĂ© avec le fichier wpconfig et le fameux « deny from all » : ça empĂȘche l’accĂšs depuis le navigateur, mais pas depuis un script PHP, donc de nouveau, la faille de RevSlider aurait pu tĂ©lĂ©charger les backups.

Donc voilà, ne pas les laisser sur le site ça me semble important.

Qu’est ce qu’on a encore besoin pour choisir un plugin de sĂ©curité ?

6. Un pare-feu

Et bien Ă©coutez, il faut qu’il propose des fonctionnalitĂ©s de type « pare-feu », c’est-Ă -dire les requĂȘtes qui viennent des mauvais bots des moteurs de recherches, il faut qu’ils soient bloquĂ©s, Ă©videmment il laisse passer Google, Bing, etc., mais dĂšs qu’il s’agit d’un bot qui est potentiellement connu pour ĂȘtre mauvais, il faut que ce soit bloquĂ©.

Si les URLS contiennent des mots clĂ©s qui lui paraissent un peu louches, qui sont d’habitude utilisĂ©s pour du hacking, ça doit ĂȘtre bloquĂ©.

On peut trùs bien se dire voilà, il y a tel, tel et tel pays, ils sont en train de faire des vagues d’attaques, je les bloque. Il faudrait que ça propose ce genre de choses qui est relativement important. Surtout encore une fois pour des sites e-commerce, parce que ça fait tomber un site marchand.

Alex : Tout le business tourne… si c’est un blog, juste un blog, ou mĂȘme un site vitrine sur lequel il n’y a pas de ventes…

Julio : C’est moins grave, mais on n’a quand mĂȘme pas envie que ça tombe longtemps dans tous les cas.

Alex : Dans tous les cas oui…

7. Un scanner de virus

Julio : AprĂšs, ce qui est pour moi aussi trĂšs important, c’est que le plugin propose un scanner de virus. C’est-Ă -dire qu’il se peut trĂšs bien que votre site soit nickel, il ne se passe rien, le backend c’est pareil, les utilisateurs vont bien, mais finalement, il y a eu quand mĂȘme Ă  un moment, un pirate qui a rĂ©ussi Ă  venir sur votre site, il a insĂ©rĂ© des fichiers malicieux et ce qu’il va faire, il va attendre trois mois environ et au bout des trois mois, il va activer son script malicieux.

Pourquoi trois mois ? Parce qu’il sait trĂšs bien que la majoritĂ© des scripts gardent trois mois de backups, c’est-Ă -dire que lĂ  il est certain…

Alex : La majoritĂ© des sites oui…

Julio : Oui c’est ça, et maintenant ce qu’il fait, c’est qu’il est certain que si vous remettez un ancien backup, vous remettez ses fichiers avec.

Alex : Pas bĂȘte !

Julio : Donc, au lieu d’attendre trois mois, grĂące Ă  un scanner de virus, vous pouvez toutes les semaines, maximum, je vous conseille toutes les semaines, c’est pas mal, de vĂ©rifier s’il n’y a pas de nouveaux fichiers qui sont arrivĂ©s, inattendus, pouvant potentiellement contenir du code malicieux, et lĂ  vous devez ĂȘtre alertĂ©, par mail minimum, pour se dire « OK, ce fichier, je ne vois pas qu’est-ce qu’il fait lĂ , je ne l’ai pas demandĂ©, je ne sais pas d’oĂč ça sort »

Si vous avez un doute, demandez Ă  un ami, demandez Ă  un dĂ©veloppeur, demandez encore une fois sur les rĂ©seaux sociaux : j’ai trouvĂ© ça qu’est ce que vous en pensez ? Vous aurez une aide assez rapidement pour vous dire que c’est propre ou pas propre, dans ces cas-lĂ  vous ĂȘtes en alerte pour vous dire : « Ouh là ! Y’a un truc pas normal, maintenant il faut que j’aille plus loin, qu’est-ce qui se passe sur mon site ».

Donc on a parlĂ© des backups, vous ne les stockez pas sur votre site. Quand vous faites des backups, ce qui serait bien aussi c’est que vous n’ayez pas Ă  les faire Ă  la main, pouvoir planifier les backups…

Alex : C’est comme les… on ne le fera pas…

Julio : On ne le fera pas.

Alex : On va le faire peut-ĂȘtre… quelques fois !

Julio : Maintenant ! Je vais essayer le plugin, je teste, j’ai mon backup… mais demain et aprĂšs-demain ? Tous les jours la base de donnĂ©es doit ĂȘtre sauvegardĂ©e, les fichiers c’est un peu moins grave, on peut toujours les rĂ©cupĂ©rer, mais la base de donnĂ©es c’est vos articles, vos commentaires, non vous n’avez pas envie de perdre tout ça tous les jours, vous ne rĂ©alisez pas devoir retaper tous vos contenus…

Alex : Tout dĂ©pend l’activitĂ© du site, si on le met Ă  jour une fois par mois, lĂ  c’est sĂ»r c’est moins grave…

Julio : Moi je prends toujours un site marchand qui fait des ventes tous les jours !

Alex : Voilà c’est ça !

Julio : Imaginez : vous perdez les identifiants des ventes, les identifiants PayPal, vos numĂ©ros de factures… OK… l’horreur ! ça, c’est grave pour un site marchand parce que mĂȘme au niveau lĂ©gal, il a besoin de ses numĂ©ros de facturation qui se suivent, trĂšs important de faire des backups au moins une fois par journĂ©e, je sais qu’il y a des sites marchands qui font un backup Ă  l’heure

Alex : Les gros sites quoi !

Julio : Oui, ils sont un peu obligĂ©s parce que ça va trĂšs trĂšs vite… Je ne sais combien en fait Amazon d’ailleurs ? Un backup Ă  la seconde tu crois que c’est possible ?

Alex : Je ne sais pas…

8. Un antispam des inscriptions et des commentaires

Julio : Si vos sites justement sont des blogs ou acceptent les commentaires, ou les inscriptions : un antispam des inscriptions, un antispam des commentaires pour que les bots ne puissent pas s’inscrire sans protection et que les bots ne puissent pas essayer de commenter. Ils sont de plus en plus forts : il y a quelques annĂ©es encore on les grillait tout de suite, mais lĂ , je dois avouer qu’ils ont des avatars, ils ont des noms diffĂ©rents, ils utilisent des adresses mail beaucoup plus correctes, ils utilisent du wording qui correspond Ă  l’article.

C’est de plus en plus pro…

Alex : C’est trùs subtil.

Julio : C’est trĂšs subtil et Ă  la fois, comme ils sont venus poser un lien, ils ne le font plus dĂšs le premier commentaire, maintenant, il y a des bots qui gratuitement balancent de vrais commentaires, une Ă  deux fois, pour que vous les acceptiez, c’est Ă©norme !

AprĂšs ils viennent insĂ©rer leur lien au troisiĂšme, parce qu’ils savent aussi que par dĂ©faut WordPress demande deux commentaires acceptĂ©s pour accepter les liens, il me semble.

De tout cela, ils sont au courant, bien sĂ»r, et ils mettent des petits subterfuges en place, dont l’antispam Ă  avoir.

9. Recevoir les journaux

Qu’est-ce qu’on pourrait encore dire ? Allez les journaux !

Les journaux c’est : qu’est-ce que s’est passĂ© sur mon site de potentiellement critique : un ami qui change un mot de passe pour moi c’est critique, est-ce que c’est normal de le faire Ă  ce moment-là ? Peut ĂȘtre que oui bien sĂ»r ! Mais c’est bien de le savoir.

Un admin qui se connecte Ă  4 heures du matin : est-ce que c’est prĂ©vu ? Est-ce que c’est normal ?

Par contre, quelqu’un qui met à jour un article : non, là je n’appelle pas cela quelque chose de critique.

L’installation d’un plugin, suppression d’un plugin, tout ça me paraĂźt potentiellement critique, surtout qu’on est censĂ© ĂȘtre en production donc on n’a pas Ă  faire ce genre de choses, ça serait bien d’avoir les logs. Tous les jours, recevoir Ă  la fin de la journĂ©e, tout ce qui s’est passĂ© sur le site, etc.

10. Un service de maintenance

Et lĂ , si on veut aller un peu plus loin que le plugin, ce serait bien si le plugin et donc les services associĂ©s Ă  ce plugin, vous offrent d’autres services par exemple de l’aide sur la sĂ©curitĂ©, ça peut ĂȘtre une configuration du plugin parfaite, parce que soit votre client la veut, soit vous n’avez pas le temps, la compĂ©tence, faites-le faire.

Et encore plus loin, si finalement vous avez un site qui est tout de mĂȘme piratĂ©, est-ce que la personne, est-ce que le plugin, l’équipe, sauraient vous aider en cas de plugin piratĂ©.

Alex : De site piratĂ©, si le site tombe est-ce que vous vous dĂ©brouillez ?

Julio : S’il est tombĂ© est-ce que vous vous dites « c’est bon lĂ  j’ai une page noire avec une tĂȘte de mort qui tourne, ce n’est pas normal ! » ben non… votre site est lĂ©gĂšrement piratĂ©, lĂ  vous devez faire appel Ă  quelqu’un : Ă  qui faire appel ?

Quels sont les meilleurs plugins de sécurité ?

Je vous ai donnĂ© pas mal de points, essayez de voir tous vos besoins. Vous pourriez potentiellement avoir besoin de tout, personnellement j’avoue que plus il y a de sĂ©curitĂ© et plus j’aime ça, du coup, je regarderai un peu tout ce donc j’ai besoin et j’essaierais de comparer un peu tous les plugins qui existent.

Si j’avais Ă  donner un top des plugins – parce qu’on va nous les demander en commentaires !

Alex : Ouais ! Au final qu’est-ce que tu recommandes Julio ?!

Julio : Est-ce qu’on attend les commentaires ?

ForcĂ©ment je vais parler du mien, je vais parler de SecuPress, parce qu’on a voulu tout de suite se mettre au niveau de la concurrence dĂšs la crĂ©ation du plugin.

Les concurrents que vous pouvez vérifier sont :

qui sont vraiment trois groupes qui font un énorme travail de sécurité.

Je sais que Wordfence et Sucuri ont vraiment des gens qui sont payĂ©s pour trouver des failles, Ă  vrai dire forcĂ©ment qui ne rapportent pas d’argent, c’est Ă©norme d’avoir rĂ©ussi Ă  faire cette veille de sĂ©curitĂ©.

AprĂšs il y en a d’autres qui sont pour moi un petit peu plus fouillis, mais bon… WebProof Security, All in One WP Security & Firewall et… un dont j’oublie toujours le nom, je ne m’en souviens plus, mais ce n’est pas grave.

Alexandre : Acunix non ?

Julio : Acunetix, Acunetix ce n’est pas encore pareil, on ne pas vraiment les comparer Ă  celui-lĂ . Il y a 6 Scan, mais 6 Scan il met une iframe et tout est basĂ© ailleurs, donc lĂ  je n’aime pas non plus. Je prĂ©fĂšre que le plugin reste interne Ă  votre installation. Si on doit toujours avoir tout le contenu sur des serveurs distants, pour moi ce n’est pas normal.

Alex : OK super ! Bon lĂ  je pense qu’on a fait le tour, on vous a mĂȘme parlĂ© d’autres plugins de sĂ©curité ! VoilĂ  maintenant c’est Ă  vous de faire votre choix en fonction de vos besoins.

Merci d’avoir Ă©coutĂ© ce nouvel Ă©pisode du « Point sĂ©cu » avec Julio.

Abonnez-vous Ă  la chaĂźne YouTube de la Marmite pour recevoir les futurs Ă©pisodes et les autres contenus que je publie sur la chaĂźne et bien sĂ»r allez jeter un Ɠil Ă  SecuPress, installez-le et lĂ , en particulier, c’est en français, contrairement Ă  d’autres plugins, donc si ça fait partie des critĂšres qui sont… je ne trouve pas mes mots !

Julio : Requis

Alex : Requis voilà ! Allez voir SecuPress.

Merci de nous avoir écoutés

Ciao, au revoir !

Dites-nous tout ! Quel plugin de sécurité avez-vous choisi ?