PubliĂ© par le 27 dĂ©cembre 2017 ‱ 0 Commentaires

Salut Ă  tous et bienvenue dans ce nouveau Point SĂ©cu avec Julio.

Alors aujourd’hui, on va voir comment on sait que son site est sĂ©curisĂ©.

Allez c’est parti !

lors du coup, salut Julio.

Salut !

Bienvenue Ă  vous dans ce nouveau Point SĂ©cu et on va voir comment savoir qu’un site est bien sĂ©curisĂ©. On a dĂ©jĂ  vu comment savoir si un site se fait pirater, et maintenant on va savoir s’il est vraiment sĂ©curisĂ©.

Alors, qu’est-ce que l’on peut regarder Julio pour tout ça ?

Julio : C’est un peu plus complexe que savoir si son site est performant, s’il est rapide. Vous connaissez peut ĂȘtre les outils de Page Speed ou des GT Metrics : vous mettez votre URL, il fait ses tests et Ă  la fin il vous dit « voilĂ , il y x % de choses qui peuvent ĂȘtre amĂ©liorĂ©es, vous avez telle note, telle note », ça, c’est quelque chose qui est mesurable.

Maintenant, mesurer la sĂ©curitĂ© d’un site, c’est bien plus compliquĂ©, il faut savoir une chose, on va le dire tout de suite : le 100 % secure n’existe pas, ce n’est pas possible, et il n’existe aucun outil comme des Page Speed et GT Metrics, depuis une URL, vous dire que votre site est sĂ©curisĂ© ou non.

DĂ©jĂ  la plupart du temps, chaque site, chaque service de ce genre, vous trouvera quelque chose parce que c’est vrai qu’il y a toujours un petit dĂ©tail qui peut ĂȘtre amĂ©liorĂ©, vu de l’extĂ©rieur !

Encore une fois, il est vu de l’extĂ©rieur, c’est-Ă -dire que si le service n’est pas dans votre FTP en tant que plugin, il y a plein de choses qui lui sont invisibles : par exemple, il ne va pas pouvoir scanner vos fichiers sur le serveur, heureusement d’ailleurs !

Donc forcément, il va y avoir un énorme manque.

Si un de ces services vous dit « je n’ai rien trouvé », ça ne veut pas dire que c’est secure, ça veut dire « je n’ai rien trouvé », c’est-Ă -dire que lui ne sait pas, mais il y a peut-ĂȘtre des choses quand mĂȘme.

votre site est il sécurisé

Mon site est-il sécurisé ?

Donc, pour savoir si son site est secure, j’ai envie de vous renvoyer sur une ancienne vidĂ©o dans laquelle je vous donne les listes des points Ă  vĂ©rifier.

Déjà  dans cette liste : plus vous ferez des points et plus vous sécurisez votre site, maintenant je vais vous rajouter des petites choses à vérifier qui ne sont pas vraiment des choses à cocher.

1. La sécurité par les mots de passe forts

Si par exemple je vous dis : « assurez-vous que votre compte utilise des mots de passe forts et que les utilisateurs aussi utilisent des mots de passe forts », vous savez qu’à ce niveau-lĂ , votre site sera sĂ©curisĂ© au niveau des mots de passe.

Je ne peux pas vous dire que c’est 100 % encore une fois, mais je peux vous assurer que ce sera beaucoup plus compliquĂ© Ă  trouver.

Aussi, si ces mots de passe vous les renouvelez rĂ©guliĂšrement, c’est encore mieux. Imaginons : on fait tourner un script qui va forcer les tentatives de connexion Ă  votre site, on imagine que vous n’avez pas mis de double authentification, etc.

Peut-ĂȘtre que le script va prendre 2 mois Ă  trouver votre mot de passe ! Parce que s’il va trop vite il se fait bloquer, etc. Tout doucement, 1 fois par minute, il envoie un mot de passe et qu’au bout de 2 mois il le trouve, sauf si vous changez votre mot de passe tous les mois, Ă  chaque fois, potentiellement il est censĂ© recommencer puisque vous avez changĂ©.

Donc le renouveler c’est une bonne idĂ©e aussi.

2. La sécurité et les backups

Les backups sont quelque chose de trĂšs important

Alex : On ne le répÚte jamais assez.

Julio : On ne le rĂ©pĂšte jamais assez, parce que… je ne veux pas que les gens attendent de se faire pirater pour se dire : « j’aurais dĂ» faire un backup, c’est maintenant qu’il m’en fallait un » ! Non ! ça, c’est vraiment, vraiment dommage !

Donc on l’a dĂ©jĂ  dit prĂ©cĂ©demment, il y a certains pirates un peu filous qui arrivent Ă  s’infiltrer dans votre site et pendant trois mois, infiltrent vos backups, donc lĂ  c’est dommage, bien Ă©videmment…

Si vous avez des backups, ça veut tout de mĂȘme dire qu’il faut les faire vĂ©rifier un minimum, que ce soit la base de donnĂ©es ou les fichiers, avant de les remettre tout de suite en ligne en se disant c’est bon, c’est de nouveau propre. Assurez-vous quand mĂȘme un petit peu de ça.

De toute façon, si vous avez des backups, ça veut dire que dans tous les cas, votre site est un peu plus sĂ©curisĂ© que celui qui n’en a pas.

On va faire le cas trùs simple : site A a un backup, site B n’a pas de backup :

  • le site A se fait pirater, il fait vĂ©rifier ses backups, il est reparti dans la journĂ©e,
  • le site B se fait pirater, il recommence Ă  zĂ©ro, il ne repart pas dans la journĂ©e.

Si vous ĂȘtes un site marchand, il y a une Ă©norme diffĂ©rence, si vous ĂȘtes un blog, vous avez perdu tous vos contenus, au pire vous allez retourner sur Wayback Machine pour essayer de retrouver vos contenus, faire des copier-coller, c’est une horreur.

Alex : Perte de temps !

Julio : Franchement, la plupart des gens abandonnent, surtout pour des blogs qui ne rapportent pas forcĂ©ment si on fait pour le plaisir de donner ce qu’on sait, on n’a pas envie de reperdre tout notre temps.

Alex : Tu sais des fois, lĂ  ça arrive plus, mais que tu Ă©cris un article et que tu veux sauvegarder et que ça foire ! Quand tu Ă©cris 1 500 mots, mĂȘme 500 mots, c’est horrible de refaire quelque chose une seconde fois.

Julio : C’est vrai, j’ai changĂ© ma mĂ©thode, je ne l’écris plus dans WordPress.

Alex : ça ne le fait plus !

Julio : Moi ça me l’a fait, je tape mon contenu, je tape mon contenu…

Alex : Plus de connexion…

Julio : Je reviendrai plus tard lĂ  dessus, le jeton de sĂ©curitĂ© est invalide, je vais pour publier, et il me dit « alors on triche ! » et lĂ  j’ai peur de faire « retour » et lĂ  c’est Ă©cran blanc… NON ! ça, c’est horrible !

Alex : Imaginez si vous perdez tout votre contenu, alors lĂ …

Julio : DĂ©jĂ  un contenu c’est gĂȘnant, mais le site, ce doit ĂȘtre complĂštement horrible.

3. Les alertes de sécurité

On peut aussi ĂȘtre alertĂ© de ce qui se passe sur le site. Ce n’est pas de la prĂ©vention, mais vous ĂȘtes plus sĂ©curisĂ©, car dĂšs qu’il y a quelque chose qui arrive de bizarre sur votre site, si vous ĂȘtes alertĂ© par mail, par exemple tous les 1/4 d’heure, un petit mail pour vous dire : « il s’est passĂ© ça » – s’il ne se passe rien bien sĂ»r pas de mail.

« Il s’est passĂ© ça… il s’est passĂ© ça » : si vous n’ĂȘtes pas alertĂ©, ce sera un visiteur qui va venir vous le dire, un client qui n’arrive plus Ă  acheter, vous, parce que vous allez voir votre site de temps en temps, c’est bien aussi d’aller vĂ©rifier de temps en temps que le site fonctionne.

Si vous attendez ce moment-lĂ , ça peut ĂȘtre trĂšs trĂšs long et en attendant le piratage continue et continue et continue… parfois ça va jusqu’à Google et la page rouge ! et les gens se disent « tiens je suis piraté ».

Ecran rouge de Google Chrome

Alex : Et lĂ  il y a beaucoup de temps qui s’est passé !

Julio : Beaucoup trop, beaucoup trop. Moi on m’a dĂ©jĂ  contactĂ© plein de fois en me disant : « voilĂ  notre site s’est fait pirater, on est en page rouge » « Ah bon ! ça ne date pas d’hier ? » « Non ça fait 3 mois qu’on galĂšre Ă  le remettre sur pieds »

Ils ont tellement attendu, ils n’ont pas rĂ©ussi et ils arrivent Ă  la page rouge ! Donc maintenant ça va ĂȘtre beaucoup plus difficile, beaucoup plus long parce qu’une page rouge, un consultant ne va pas pouvoir l’enlever, c’est Google qui dĂ©cide de l’enlever ou non, donc ça peut prendre du temps, parce que c’est aussi vĂ©rifiĂ© par un humain de leur cĂŽtĂ© et c’est « gratuit », on demande ça Ă  Google, c’est dans son service, donc forcĂ©ment, ça prend beaucoup de temps.

Et je reviens au site marchand, c’est impossible, il ne peut pas se permettre ça ! On ne peut pas se permettre de perdre une semaine de chiffre d’affaires parce qu’on a voulu le faire nous-mĂȘmes et gagner de l’argent soi-disant, non, non…

Donc, soyez alertĂ©, mettez en place un systĂšme d’alerte. LiĂ© Ă  ce systĂšme d’alerte, surveillez votre site aussi.

4. La surveillance de votre site : formulaire de contact, systĂšme de paiement, fichiers, etc…

C’est-Ă -dire que bien Ă©videmment on y va moins souvent que les visiteurs, mais je vous conseille de temps en temps, d’aller vĂ©rifier sur votre site, vous-mĂȘme, que votre formulaire de contact fonctionne.

Parce que si votre formulaire ne fonctionne plus, ça veut dire que quelque part, votre service de mail est dĂ©sactivĂ©, et s’il est dĂ©sactivĂ©, c’est possible que vous hĂ©bergeur l’ait bloquĂ©, parce qu’il a vu du spam sortir.

Donc, si vous ne recevez plus les mails du contact, si vous ne pouvez plus envoyer de mails à un client par exemple, alors que d’habitude vous le faites depuis votre site via je ne sais quels service ou plugin, depuis votre site, votre nom de domaine, il y a quelque chose de pas normal.

Surveillez votre site Ă  ce niveau-lĂ  c’est assez important. Si vous ĂȘtes un site de e-commerce, pendant une journĂ©e vous ne faites pas de vente, ce n’est pas normal, il y a un Ă©norme problĂšme, ça veut dire que les passerelles de paiement sont dĂ©sactivĂ©es ou simplement vous ĂȘtes bannis, votre IP, etc.

Ce n’est pas normal, si vous avez votre moyenne de ventes habituelle et hop, vous avez un creux aujourd’hui, il y a un gros problĂšme, il faut tout de suite vĂ©rifier ! ça c’est de la surveillance de site web.

Au niveau surveillance aussi, surveiller vos fichiers, regardez s’il n’y a pas de nouveaux fichiers…

Alex : Oui, on en a dĂ©jĂ  parlé !

Julio : On n’en a dĂ©jĂ  parlĂ©… Regardez si les fichiers qui existent dĂ©jĂ  n’ont pas Ă©tĂ© modifiĂ©s aussi, ça arrive. Il n’y a pas de nouveautĂ©s, mais il y a des fichiers modifiĂ©s.

Pourquoi pas des fichiers du core qui sont modifiĂ©s ? Alors lĂ  c’est encore pire ! Vous vous dites : « c’est bon, c’est WordPress je n’y touche pas », or il a Ă©tĂ© modifiĂ©, donc ayez un scanner de fichiers qui vous dit : « voilĂ , ça, c’est le fichier du core, il n’est pas comme il devrait ĂȘtre, vu sa version de WordPress, il ne contient pas ça normalement, il faut rĂ©parer ça tout de suite, il faut ĂȘtre alertĂ© d’ailleurs de ça…

Alex : C’est pour cela qu’il faut avoir un outil, on ne peut pas aller fouiller et se permettre, on n’a pas le temps d’aller voir ce que se passe.

Julio : Non on ne peut pas, c’est inhumain, c’est inhumain. Un site, je ne sais pas combien il a de fichiers, minimum 1 500 jusqu’à… et je ne parle pas des uploads. Je ne sais pas, il y a au moins 1 500 fichiers minimum, c’est impossible et comment tu veux faire, tu l’ouvres et comment tu compares, Ă  la main ? C’est impossible ! Il faut absolument le faire.

Prenez ce genre d’outil ! Dans Secupress, j’ai inclus, dans le scanner de malwares, ce genre de scan, donc ça scanne mĂȘme si juste si le fichier du core a Ă©tĂ© modifiĂ©, donc si un dĂ©veloppeur l’a modifiĂ© parce que c’était plus simple pour lui, ce n’est pas une bonne pratique, le plugin le verra en un simple clic vous pourrez cocher quels sont les fichiers qui viennent du core et qui ont Ă©tĂ© modifiĂ©s, vous faites “rĂ©cupĂ©rer” et automatiquement les fichiers sont remplacĂ©s dans le core, etc.

Alex : OK !

Julio : Rien à faire : une coche, un clic et terminé.

Alex : Donc qu’est ce qu’on peut voir d’autres aussi encore pour voir si c’est sĂ©curisé ?

Julio : Parmi les points que je vous ai donnés dans les listes précédentes, SecuPress est capable de vérifier lui en interne une trentaine et à la fin de ses scans et de ses autocorrections, il va vous donner un grade, un peut justement comme GT Metrics le fait en externe.

Donc lui en interne SecuPress vous attribue un grade de A Ă  G je crois, pour vous indiquer un petit peu oĂč vous en ĂȘtes sur votre site et qu’est ce que vous pouvez encore faire pour amĂ©liorer, il va vous rester tout ce qui est “non rĂ©parĂ©â€, Ă  vous de le faire soit manuellement parce qu’il n’a pas les droits, ou parce que par exemple “PHP” : on ne peut pas modifier une version PHP en un clic Ă©videmment, il faut contacter son hĂ©bergeur ou son administrateur, c’est beaucoup de travail en amont. Vous avez un peu cette note.

Sachez que si vous avez A ou B, c’est trĂšs bien, en dessous de B, ça commence Ă  ĂȘtre un peu dommage.

Alex : OK. C’est bon ? On a fini notre petite liste ?

Julio : C’est un dĂ©but de liste… Je pense qu’on va encore donner un article qui va approfondir le cas et pareil si vous avez d’autres idĂ©es, si vous avez eu ce genre de cas, n’hĂ©sitez pas Ă  commenter pour qu’on amĂ©liore tout cela ensemble.

Alex : OK super ! Merci d’avoir regardĂ© cette vidĂ©o jusqu’au bout, et tant que vous ĂȘtes lĂ , abonnez-vous pour recevoir la suite et puis allez voir SecuPress si vous ne l’avez pas encore installĂ©, depuis le temps que vous regardez nos vidĂ©os, ça commence un petit peu Ă  faire…

En tout cas merci d’avoir regardĂ© cette vidĂ©o jusqu’au bout et Ă  trĂšs bientĂŽt, ciao !

Votre site a t’il dĂ©jĂ  Ă©tĂ© piratĂ© ?