Salut à tous et bienvenue dans cette nouvelle série de vidéos dans laquelle on va parler de sécurité WordPress.

Pour vous parlez de ça, ce n’est pas moi qui vais vous en parler principalement, car je ne suis pas assez calé sur le sujet et donc, je suis actuellement dans la caverne de quelqu’un que vous connaissez peut être – enfin dans le bureau – c’est notre ami Julio.

Julio : Bonjour

Julio Potier de SecuPress

Je suis très content de faire cette nouvelle série de vidéos avec Alex de WPMarmite, parce que c’est un sujet qui est assez récurrent, il y a beaucoup de questions qui reviennent, je ne veux pas dire de plus en plus, parce que c’est de toute façon toujours la même chose…. il y a des vagues de questions de sécurité.

On avait pour idée de répondre à certaines questions.

Alex : C’est ça

Julio : On va aussi vous écouter dans les commentaires, vous avez peut-être d’autres questions auxquelles nous n’avons pas pensé, on sera ravi d’y répondre.

Alex : Donc voilà, pour ce premier épisode, on va essayer de répondre à une question que vous vous posez peut être parce qu’on entend dire partout que WordPress est sécurisé, nous on le dit aussi, mais du coup, pourquoi faut’il s’occuper de la sécurité ?

Allez c’est parti !

wordpress est sécurisé

Julio : C’est vrai que l’on dit toujours que WordPress est sécurisé, c’est pour moi le CMS le plus sécurisé, néanmoins, il faut quand même s’occuper de la sécurité, ça peut être un petit peu paradoxal.

Je vais expliquer rapidement pourquoi.

1. Le core de WordPress est sécurisé

Le core de WordPress aujourd’hui, il est sécurisé. C’est-à-dire qu’on ne connait pas de failles.

Si jamais une faille venait à être connue, elle serait corrigée, puis un patch serait publié, et alors au moment où vous avez connaissance de la faille, en fait elle est déjà corrigée.

Donc pour moi ça veut dire que c’est sécurisé, c’est-à-dire qu’il n’y a pas eu de faille dans la nature qui puisse être exploitée par un pirate et ça c’est une force c’est super important.

Alex : OK

Julio : Voilà pourquoi pour moi c’est le plus sécurisé, il y a une communauté qui s’occupe de la sécurité tout le temps.

Alex : Donc le core en fait c’est le CMS en lui-même.

Julio : C’est ça

Alex : Ce n’est pas tout ce qui gravite autour, c’est juste la base de WordPress que l’on installe sur son site au tout début.

Julio : C’est ça, le simple « zip » c’est le core, ça, c’est WordPress, le CMS tout seul.

2. Qu’en est-il des plugins et des thèmes ?

Vous par contre vous allez ajouter votre thème et des plugins et c’est normal.

Mais un thème et un plugin finalement ça reste un script PHP et il est codé par tout le monde, n’importe qui. Donc on va mettre un script PHP dans notre site et là arrive un danger, donc il va falloir faire attention à ce que l’on fait.

Alex : ça peut être le loup dans la bergerie !

Julio : C’est ça et c’est nous qui le faisons entrer. On ouvre la porte, on dit « vient y’a pas de soucis »

Alex : viens, viens…

Julio : Il faut faire attention : les sources des plugins, savoir d’où ça vient, allez principalement sur le repository, le dépôt de WordPress, pour les plugins gratuits, les plugins premium parfois dépendent du repository, du dépôt.

Après il y a des plugins qui sont de toute façon connus pour être très bons, ils sont mis à jour souvent, ils ont de bonnes notes, ils sont bien utilisés, ils sont dans les TOP 3, TOP 5, ça, c’est cool !

Pareil pour les thèmes, c’est la même chose : vérifier les sources, etc.

3. Le danger est partout !

Après, malgré cela, il y a quand même le fait que ça reste un site sur Internet et comme tout site, WordPress ou non, il va subir des attaques, c’est-à-dire qu’il y a des gens qui vont essayer de se connecter en administrateur, qui vont essayer de voler des données, accéder à des fichiers qu’ils ne devraient pas.

Tout simplement essayer de faire tomber votre site, pourquoi pas, juste comme ça. Il y a des gens qui ont des motivations un petit peu étranges.

Alex : Des passions étranges !

Julio : Et là, c’est un peu de ce côté là qu’il va falloir s’en occuper, essayer d'empêcher que des personnes mal intentionnées puissent voler des comptes, se connecter à votre place, s’il y a des requêtes qui sont un petit peu louches, et bien écouter, il va falloir les bloquer ces gens-là, toutes les adresses IP qui potentiellement, je ne sais pas…

Vous vous apercevez que, grâce à un outil, il y a une vague venant d’un pays spécifique qui vous attaque tous les jours à la même heure, à un moment il faut s’arrêter, on dit « OK, ce pays pour l’instant je le mets de côté, ce n’est pas ma clientèle, ce ne sont pas mes lecteurs », pourquoi pas, essayer de comprendre un peu ce qui se passe.

Et c’est ça en fait la sécurité autour de WordPress et le fait que WordPress soit sécurisé, ne peut pas bloquer ce genre de choses.

Alex : C’est à part !

Julio : C’est ça, c’est à part du core, ça n’a rien à voir. Le travail de WordPress vous permet de faire des sites web, de rentrer des contenus etc.

Il sécurise ce qui en sort, mais il ne peut pas bloquer ce qui rentre.Click to Tweet

Alex : OK, c’est un peu comme si on avait un noyau et puis, déjà on greffe des plugins et des thèmes, mais en plus, on a tout l’environnement qu’il faut protéger.

Julio : Exactement !

Alex : Et je crois qu’on en reparlera dans une future vidéo sur l’hébergeur et…

Julio : On parlera de l’hébergement

Alex : … et des choses spécifiques à savoir là-dessus. Donc voilà, il faut travailler sur d’autres choses pour sécuriser un site, c’est un tout.

Julio : Exactement

4. Pour conclure

Alex : OK. Bon, tu vois d’autres choses à ajouter sur la question.

Julio : Eh bien, écoutez, continuez à utiliser WordPress, n’hésitez pas à dire autour de vous que vraiment WordPress est un outil très précieux qui est sécurisé, qu’il y a une communauté qui l’utilise tous les jours pour l’améliorer.

La sécurité est un point vraiment qui est mis en avant au niveau des développeurs. Pour moi il n’y a aucune hésitation à avoir, malgré le fait qu’évidemment on retrouvera des failles dedans, mais ce n’est pas grave, elles seront déjà corrigées.

Alex : C’est ça. OK ! Merci d’avoir suivi ce premier épisode. Surtout, n’oubliez pas de vous abonner et puis allez faire un tour sur SecuPress pour protéger votre site et puis on en parlera tout au long de cette série de vidéos.

Voilà, salut à tous et ciao !

Julio : Bye !

Voilà pour  le premier épisode de notre série de vidéos sur la sécurité WordPress.
N’hésitez pas à vous poser les bonnes questions et à nous interroger pour plus de sécurité.