Accueil » Le Point SĂ©cu » 🛡 Point SECU #21 : Comment sĂ©curiser WordPress sans WordPress

VidĂ©o : 🛡 Point SECU #21 : Comment sĂ©curiser WordPress sans WordPress



Salut à tous et bienvenue pour ce nouveau « PointSécu » avec Julio.

Aujourd’hui, on va voir comment sĂ©curiser WordPress sans WordPress

Allez c’est parti !

Alors, dis-nous tout Julio, comment on peut vraiment sécuriser WordPress sans WordPress ? ça semble un petit peu bizarre.

Julio : ça semble bizarre et en fait, quand on cherche Ă  sĂ©curiser son site web, on reste parfois un peu trop orientĂ© sur le web, sur son HTTP, sur son FTP et finalement, il y a d’autres choses qu’on peut faire.

1. Aucun mot de passe tu ne partageras

Je vais prendre un exemple donc on a dĂ©jĂ  parlĂ© dans d’autres vidĂ©os : ne pas partager son mot de passe : c’est une sĂ©curisation sans WordPress.

Il suffit que je ne partage pas mon mot de passe et pour ça, je n’ai pas besoin du web pour ne pas le partager.

Donc ça dĂ©jĂ  c’est une sorte de sĂ©curisation de WordPress sans WordPress.

Vous avez vu, j’ai mon carnet, c’est-Ă -dire que j’ai une liste de choses, je ne vais pas pouvoir tout dire parce que la liste est longue, je vous mettrais les liens dans la description pour d’autres…

2. Le WIFI gratuit tu n’utiliseras pas

Je vais prendre un point dont on a parlé la fois précédente, je reviens sur le WIFI.

Quand vous vous connectez Ă  votre administration WordPress sur une connexion WIFI, si c’est la vĂŽtre, chez vous, avec votre clĂ© de sĂ©curitĂ©, OK, j’ai envie de dire il n’y a pas de soucis, c’est la vĂŽtre.

Si vous allez dans des WIFI gratuits, dans les fast foods ou Ă  la SNCF par exemple, lĂ  j’ai envie de dire : ATTENTION.

Est-ce que vraiment, vous avez un besoin de vous connecter Ă  l’administration de votre site ?

Si vous ĂȘtes en HTTP sur un WIFI gratuit, c’est la plus mauvaise des idĂ©es, car lĂ  je suis quasiment certain qu’i y a quelqu’un qui s’amuse Ă  « sniffer » le rĂ©seau.

C’est-Ă -dire quelqu’un qui se met justement entre la demande de requĂȘte et la rĂ©ception pour se trouver au milieu et Ă©couter toutes ces requĂȘtes,

Et lĂ  c’est super grave, on ne se rend pas compte, nous on est sur l’ordinateur, on s’est connectĂ© « oh c’est cool c’est gratuit, c’est une bonne connexion ! »

Finalement, sans le savoir, on vient de donner des informations Ă  ce pirate.

Donc, ne vous connectez pas sur le WIFI gratuit.

Alex : oui, il y avait une vidĂ©o d’un Youtubeur qui s’appelle Micode qui avait prĂ©sentĂ© ça, il est allĂ© Ă  un Mc Do, je crois, et il a montrĂ© comment on peut rĂ©cupĂ©rer des infos.

Je la mettrai en description, ça pourra vous aider aussi à creuser la question si vous voulez en savoir plus.

Faites gaffe au WIFI gratuit !

En HTTPS, c’est moins dangereux comme c’est cryptĂ©…

Julio : VoilĂ  exactement, si on est en HTTPS, ça fonctionne, puisque lĂ , mĂȘme si quelqu’un arrive Ă  regarder, tout ce qu’il va voir c’est du contenu totalement illisible humainement.

Alors que de l’autre cĂŽtĂ©, c’est vraiment humainement lisible. C’est juste en clair, il suffit de lire du texte.

Pour moi c’est le point le plus important pour sĂ©curiser WordPress sans WordPress.

Alex : Alors, vas-y un autre…

sécuriser wordpress sans wordpress

3. De ton administration WP tu te déconnecteras

Julio : Un autre… il est presque liĂ© Ă  WordPress, c’est : dĂ©connectez-vous de votre administration et maintenant vous ĂȘtes sorti de WordPress.

En faisant ça, vous Ă©vitez que par le malheur d’un clic bĂȘte : quelqu’un vous dit : « oh regarde sur cette photo t’es gĂ©nial » « comment ça cette photo de moi ? »

Vous cliquez sur le lien et en fait c’est un lien qui pointe chez vous, vers une URL spĂ©ciale qui exploite par exemple une faille dans votre administration.

Si vous ĂȘtes connectĂ©, la faille se lance.

Si vous ĂȘtes dĂ©connectĂ©, ça vous demandera de vous connecter et lĂ  OK, vous venez de vous protĂ©ger.

Alex : LĂ  c’est pas une image !

Julio : Effectivement c’est pas une image, c’est un lien vers mon site, vers wp-admin, etc. Qu’est ce que c’est… OK lĂ  c’est bon !

Deux solutions :

  • quand vous avez besoin d’administrer votre site, vous ouvrez un onglet privĂ©, vous vous connectez, vous faites votre travail, vous fermez l’onglet, donc vous ĂȘtes automatiquement dĂ©connectĂ©, la fenĂȘtre privĂ©e Ă©tant fermĂ©e.
  • ou alors, vous n’oubliez pas de vous dĂ©connecter.

Une troisiĂšme possible solution :

et, je pense, qui est trĂšs bonne aussi :

  • vous avez un compte pour administrer
  • et vous avez un compte pour crĂ©er des articles.

Comme les droits ne sont pas les mĂȘmes et que souvent les failles ont besoin des droits « administrateur »

Je dis bien souvent pas toujours !

À la limite, si vous n’ĂȘtes pas connectĂ© sur un compte admin, ça pourrait passer, mais je vous conseille tout de mĂȘme de vous dĂ©connecter totalement. Finalement on est plus vraiment dans WordPress.

Encore une ?

Alex : Allez…

4. Ta boßte mail tu sécuriseras

Julio : Allez… il y a autre chose Ă  sĂ©curiser que votre mot de passe WordPress et c’est un mot de passe qui est encore plus important que celui de WordPress, c’est votre boĂźte mail.

Vous imaginez que tous les mails que vous recevez ne sont pas Ă  lire par n’importe qui et que la pire des choses c’est qu’on peut faire la rĂ©cupĂ©ration du mot de passe sur tous les rĂ©seaux, les sites, les services et ça, c’est super dangereux.

Donc en fait, en sĂ©curisant bien votre boĂźte mails, c’est-Ă -dire :

  • Vous n’ouvrez pas mails de gens que vous ne connaissez pas
  • Vous n’ouvrez pas les piĂšces jointes des mails qui vous paraissent louches,
  • Vous Ă©vitez de cliquer sur les liens dans les emails

C’est Ă  dire que si on vous donne un lien avec une page : copier/coller ; parfois, le texte est diffĂ©rent du rĂ©el lien qui est derriĂšre et ça c’est un danger.

VĂ©rifiez bien aussi que les URL sont bien celles attendues. Par exemple si vous devez aller sur Paypal pour faire je ne sais quoi, vĂ©rifiez bien que c’est Paypal.fr ou Paypal.com et non pas par exemple Paypal.com.quelquechose.quelquechose.C’est pas les deux premiers mots qui comptent, c’est les deux derniers avant le slash, c’est Ă  dire le nom de domaine avec son extension, ça, c’est vraiment important de regarder.

Si vous attendez aussi d’ĂȘtre sur des sites oĂč il y a une histoire de paiement, etc. parce qu’on vous demande de l’argent, ou alors on vous doit de l’argent Ă©videmment, les pirates vous attaquent un petit peu en vous disant « hĂ© on te doit de l’argent finalement viens donner tes infos »

Il y a bien un petit cadenas ou pas ? Si c’est un site oĂč il y a de l’argent, il y a un cadenas, sinon c’est pas le vrai site.

Vérifiez bien ça aussi.

Donc la boĂźte mails, important de la sĂ©curiser, de bien faire attention Ă  ce qu’on clique, les mails Ă  vĂ©rifier, personne, aucun service, ne va vous demander votre mot de passe par exemple, que ce soit Facebook ou Google lui-mĂȘme, ils ne vont jamais vous dire : « attendez j’ai besoin de votre mot de passe pour vous aider« , non non, ça, c’est impossible.

Là tout de suite il y a « alerte », il ne faut pas donner ça.

Alex : Pour les emails, on a tous reçu des mails « oui j’ai hĂ©ritĂ© de ma tante… » de je ne sais plus quel pays, il faut que tu donnes dix mille euros parce que voilĂ  pour la procĂ©dure on va partager.

Julio : ça peut paraĂźtre Ă©norme, mais malheureusement il y a des gens qui foncent dedans…

Alex : mĂȘme plus que dix mille dĂšs fois : vingt mille, trente mille… ça passe

Julio : ça n’arrĂȘte jamais, il suffit de 500 euros pour dĂ©bloquer 100 000 euros donc, est-ce que vous en voulez, les gens ne sont pas Ă  500 prĂšs et puis finalement, ah mince, en fait il manque 1 000\. Bon j’ai dĂ©jĂ  mis 500 je peux mettre 1 000, il y a 100 000 derriĂšre et ont met les 1 000, en fait voilĂ , l’engrenage est lancĂ© et on se dit que si on s’arrĂȘte on a perdu trop d’argent donc on va jusqu’au bout.

Alex : C’est ça, et tu finis Ă  poil !

Julio : ComplĂštement, complĂštement… mais ça on ne le fera pas en vidĂ©o.

Encore une…

Alex : Une derniĂšre et aprĂšs on vous laisse parce lĂ  qu’il faut qu’on aille manger

5. Un antivirus tu utiliseras

Julio : Utilisez un anti virus, parce que sans anti virus vous prenez le risque que justement les informations sur votre ordinateur puissent ĂȘtre envoyĂ©es Ă  un pirate, donc ça n’a aucun rapport avec WordPress, pourtant si sur votre ordinateur vous avez des informations relatives Ă  votre site, potentiellement on peut se les faire dĂ©rober.

On en a parlĂ© pour le FTP, si vous avez un logiciel FTP dans lequel vous enregistrez les mots de passe, les virus peuvent aller prendre ces fichiers de configuration de FTP et se les faire envoyer en les attaquant : ça, c’est pas bon du tout !

Alex : et mĂȘme sur Mac ?

Julio : j’avoue que je n’ai pas eu ce retour sur Mac, mais aprĂšs, pourquoi pas, aprĂšs pourquoi pas, mĂȘme dans les navigateurs il y a des extensions qui pourraient potentiellement voler des informations.

Attention Ă  ce que l’on installe, attention aux sources toujours.

Alex : c’est comme attention Ă  l’installation de plugins, ben attention Ă  ce qu’on installe sur son ordi, OK !

Julio : le reste on mettra en dessous.

Alex : ça marche !

Julio : on peut lire, on peut pas lire !

Alex : ça marche, c’est secret ! non non c’est pas secret, c’est juste en dessous de la vidĂ©o et donc merci de nous avoir Ă©coutĂ©s, prenez tout cela en compte bien sĂ»r comme d’habitude.

Abonnez-vous Ă  la chaĂźne YouTube de la Marmite et le pouce bleu pour montrer que vous avez aimĂ© et aussi allez voir sur Secupress.me pour avoir plus d’infos sur la sĂ©curitĂ© WP.

Merci de nous avoir écoutés et à bientÎt.

Salut, Ciao

Un autre point important Ă  partager ?



Si vous avez apprécié cet article, inscrivez-vous à la newsletter

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20 000 personnes l'ont fait, pourquoi pas vous ?

C'est parti, je m'inscris !

elit. id, justo mattis ut Donec vulputate, pulvinar
Partagez
Tweetez
Partagez