VidĂ©o : đĄ Point SECU #13 : Comment savoir si son site WordPress est sĂ©curisĂ© ?
Salut à tous et bienvenue dans ce nouveau Point Sécu avec Julio.
Alors aujourdâhui, on va voir comment on sait que son site est sĂ©curisĂ©.
Allez câest partiâ!
lors du coup, salut Julio.
Salutâ!
Bienvenue Ă vous dans ce nouveau Point SĂ©cu et on va voir comment savoir quâun site est bien sĂ©curisĂ©. On a dĂ©jĂ vu comment savoir si un site se fait pirater, et maintenant on va savoir sâil est vraiment sĂ©curisĂ©.
Alors, quâest-ce que lâon peut regarder Julio pour tout çaâ?
Julio : Câest un peu plus complexe que savoir si son site est performant, sâil est rapide. Vous connaissez peut ĂȘtre les outils de Page Speed ou des GT Metrics : vous mettez votre URL, il fait ses tests et Ă la fin il vous dit «âvoilĂ , il y x % de choses qui peuvent ĂȘtre amĂ©liorĂ©es, vous avez telle note, telle noteâ», ça, câest quelque chose qui est mesurable.
Maintenant, mesurer la sĂ©curitĂ© dâun site, câest bien plus compliquĂ©, il faut savoir une chose, on va le dire tout de suite : le 100 % secure nâexiste pas, ce nâest pas possible, et il nâexiste aucun outil comme des Page Speed et GT Metrics, depuis une URL, vous dire que votre site est sĂ©curisĂ© ou non.
DĂ©jĂ la plupart du temps, chaque site, chaque service de ce genre, vous trouvera quelque chose parce que câest vrai quâil y a toujours un petit dĂ©tail qui peut ĂȘtre amĂ©liorĂ©, vu de lâextĂ©rieurâ!
Encore une fois, il est vu de lâextĂ©rieur, câest-Ă -dire que si le service nâest pas dans votre FTP en tant que plugin, il y a plein de choses qui lui sont invisibles : par exemple, il ne va pas pouvoir scanner vos fichiers sur le serveur, heureusement dâailleursâ!
Donc forcément, il va y avoir un énorme manque.
Si un de ces services vous dit «âje nâai rien trouvĂ©â», ça ne veut pas dire que câest secure, ça veut dire «âje nâai rien trouvĂ©â», câest-Ă -dire que lui ne sait pas, mais il y a peut-ĂȘtre des choses quand mĂȘme.
Mon site est-il sécurisé ?
Donc, pour savoir si son site est secure, jâai envie de vous renvoyer sur une ancienne vidĂ©o dans laquelle je vous donne les listes des points Ă vĂ©rifier.
Déjà  dans cette liste : plus vous ferez des points et plus vous sécurisez votre site, maintenant je vais vous rajouter des petites choses à vérifier qui ne sont pas vraiment des choses à cocher.
1. La sécurité par les mots de passe forts
Si par exemple je vous dis : «âassurez-vous que votre compte utilise des mots de passe forts et que les utilisateurs aussi utilisent des mots de passe fortsâ», vous savez quâĂ ce niveau-lĂ , votre site sera sĂ©curisĂ© au niveau des mots de passe.
Je ne peux pas vous dire que câest 100 % encore une fois, mais je peux vous assurer que ce sera beaucoup plus compliquĂ© Ă trouver.
Aussi, si ces mots de passe vous les renouvelez rĂ©guliĂšrement, câest encore mieux. Imaginons : on fait tourner un script qui va forcer les tentatives de connexion Ă votre site, on imagine que vous nâavez pas mis de double authentification, etc.
Peut-ĂȘtre que le script va prendre 2 mois Ă trouver votre mot de passeâ! Parce que sâil va trop vite il se fait bloquer, etc. Tout doucement, 1 fois par minute, il envoie un mot de passe et quâau bout de 2 mois il le trouve, sauf si vous changez votre mot de passe tous les mois, Ă chaque fois, potentiellement il est censĂ© recommencer puisque vous avez changĂ©.
Donc le renouveler câest une bonne idĂ©e aussi.
2. La sécurité et les backups
Les backups sont quelque chose de trĂšs important…
Alex : On ne le répÚte jamais assez.
Julio : On ne le rĂ©pĂšte jamais assez, parce que… je ne veux pas que les gens attendent de se faire pirater pour se dire : «âjâaurais dĂ» faire un backup, câest maintenant quâil mâen fallait unâ»â! Nonâ! ça, câest vraiment, vraiment dommageâ!
Donc on lâa dĂ©jĂ dit prĂ©cĂ©demment, il y a certains pirates un peu filous qui arrivent Ă sâinfiltrer dans votre site et pendant trois mois, infiltrent vos backups, donc lĂ câest dommage, bien Ă©videmment…
Si vous avez des backups, ça veut tout de mĂȘme dire quâil faut les faire vĂ©rifier un minimum, que ce soit la base de donnĂ©es ou les fichiers, avant de les remettre tout de suite en ligne en se disant câest bon, câest de nouveau propre. Assurez-vous quand mĂȘme un petit peu de ça.
De toute façon, si vous avez des backups, ça veut dire que dans tous les cas, votre site est un peu plus sĂ©curisĂ© que celui qui nâen a pas.
On va faire le cas trĂšs simple :Â site A a un backup, site B nâa pas de backup :
- le site A se fait pirater, il fait vérifier ses backups, il est reparti dans la journée,
- le site B se fait pirater, il recommence à zéro, il ne repart pas dans la journée.
Si vous ĂȘtes un site marchand, il y a une Ă©norme diffĂ©rence, si vous ĂȘtes un blog, vous avez perdu tous vos contenus, au pire vous allez retourner sur Wayback Machine pour essayer de retrouver vos contenus, faire des copier-coller, câest une horreur.
Alex : Perte de tempsâ!
Julio : Franchement, la plupart des gens abandonnent, surtout pour des blogs qui ne rapportent pas forcĂ©ment si on fait pour le plaisir de donner ce quâon sait, on nâa pas envie de reperdre tout notre temps.
Alex : Tu sais des fois, là ça arrive plus, mais que tu Ă©cris un article et que tu veux sauvegarder et que ça foireâ! Quand tu Ă©cris 1 500 mots, mĂȘme 500 mots, câest horrible de refaire quelque chose une seconde fois.
Julio : Câest vrai, jâai changĂ© ma mĂ©thode, je ne lâĂ©cris plus dans WordPress.
Alex : ça ne le fait plusâ!
Julio : Moi ça me lâa fait, je tape mon contenu, je tape mon contenu…
Alex : Plus de connexion…
Julio : Je reviendrai plus tard lĂ dessus, le jeton de sĂ©curitĂ© est invalide, je vais pour publier, et il me dit «âalors on tricheâ!â» et lĂ jâai peur de faire «âretourâ» et lĂ câest Ă©cran blanc… NONâ! ça, câest horribleâ!
Alex : Imaginez si vous perdez tout votre contenu, alors lĂ …
Julio : DĂ©jĂ un contenu câest gĂȘnant, mais le site, ce doit ĂȘtre complĂštement horrible.
3. Les alertes de sécurité
On peut aussi ĂȘtre alertĂ© de ce qui se passe sur le site. Ce nâest pas de la prĂ©vention, mais vous ĂȘtes plus sĂ©curisĂ©, car dĂšs quâil y a quelque chose qui arrive de bizarre sur votre site, si vous ĂȘtes alertĂ© par mail, par exemple tous les 1/4 dâheure, un petit mail pour vous dire : «âil sâest passĂ© çaâ» – sâil ne se passe rien bien sĂ»r pas de mail.
«âIl sâest passĂ© ça… il sâest passĂ© çaâ» : si vous nâĂȘtes pas alertĂ©, ce sera un visiteur qui va venir vous le dire, un client qui nâarrive plus Ă acheter, vous, parce que vous allez voir votre site de temps en temps, câest bien aussi dâaller vĂ©rifier de temps en temps que le site fonctionne.
Si vous attendez ce moment-lĂ , ça peut ĂȘtre trĂšs trĂšs long et en attendant le piratage continue et continue et continue… parfois ça va jusquâĂ Google et la page rougeâ! et les gens se disent «âtiens je suis piratĂ©â».
Alex : Et lĂ il y a beaucoup de temps qui sâest passĂ©â!
Julio : Beaucoup trop, beaucoup trop. Moi on mâa dĂ©jĂ contactĂ© plein de fois en me disant : «âvoilĂ notre site sâest fait pirater, on est en page rougeâ» «âAh bonâ! ça ne date pas dâhierâ?â» «âNon ça fait 3 mois quâon galĂšre Ă le remettre sur piedsâ»
Ils ont tellement attendu, ils nâont pas rĂ©ussi et ils arrivent Ă la page rougeâ! Donc maintenant ça va ĂȘtre beaucoup plus difficile, beaucoup plus long parce quâune page rouge, un consultant ne va pas pouvoir lâenlever, câest Google qui dĂ©cide de lâenlever ou non, donc ça peut prendre du temps, parce que câest aussi vĂ©rifiĂ© par un humain de leur cĂŽtĂ© et câest «âgratuitâ», on demande ça Ă Google, câest dans son service, donc forcĂ©ment, ça prend beaucoup de temps.
Et je reviens au site marchand, câest impossible, il ne peut pas se permettre çaâ! On ne peut pas se permettre de perdre une semaine de chiffre dâaffaires parce quâon a voulu le faire nous-mĂȘmes et gagner de lâargent soi-disant, non, non…
Donc, soyez alertĂ©, mettez en place un systĂšme dâalerte. LiĂ© Ă ce systĂšme dâalerte, surveillez votre site aussi.
4. La surveillance de votre site : formulaire de contact, systĂšme de paiement, fichiers, etc…
Câest-Ă -dire que bien Ă©videmment on y va moins souvent que les visiteurs, mais je vous conseille de temps en temps, dâaller vĂ©rifier sur votre site, vous-mĂȘme, que votre formulaire de contact fonctionne.
Parce que si votre formulaire ne fonctionne plus, ça veut dire que quelque part, votre service de mail est dĂ©sactivĂ©, et sâil est dĂ©sactivĂ©, câest possible que vous hĂ©bergeur lâait bloquĂ©, parce quâil a vu du spam sortir.
Donc, si vous ne recevez plus les mails du contact, si vous ne pouvez plus envoyer de mails Ă un client par exemple, alors que dâhabitude vous le faites depuis votre site via je ne sais quels service ou plugin, depuis votre site, votre nom de domaine, il y a quelque chose de pas normal.
Surveillez votre site Ă ce niveau-lĂ câest assez important. Si vous ĂȘtes un site de e-commerce, pendant une journĂ©e vous ne faites pas de vente, ce nâest pas normal, il y a un Ă©norme problĂšme, ça veut dire que les passerelles de paiement sont dĂ©sactivĂ©es ou simplement vous ĂȘtes bannis, votre IP, etc.
Ce nâest pas normal, si vous avez votre moyenne de ventes habituelle et hop, vous avez un creux aujourdâhui, il y a un gros problĂšme, il faut tout de suite vĂ©rifierâ! ça câest de la surveillance de site web.
Au niveau surveillance aussi, surveiller vos fichiers, regardez s’il n’y a pas de nouveaux fichiers…
Alex : Oui, on en a dĂ©jĂ parlĂ©â!
Julio : On nâen a dĂ©jĂ parlĂ©… Regardez si les fichiers qui existent dĂ©jĂ nâont pas Ă©tĂ© modifiĂ©s aussi, ça arrive. Il nây a pas de nouveautĂ©s, mais il y a des fichiers modifiĂ©s.
Pourquoi pas des fichiers du core qui sont modifiĂ©sâ? Alors lĂ câest encore pireâ! Vous vous dites : «âcâest bon, câest WordPress je nây touche pasâ», or il a Ă©tĂ© modifiĂ©, donc ayez un scanner de fichiers qui vous dit : «âvoilĂ , ça, câest le fichier du core, il nâest pas comme il devrait ĂȘtre, vu sa version de WordPress, il ne contient pas ça normalement, il faut rĂ©parer ça tout de suite, il faut ĂȘtre alertĂ© dâailleurs de ça…
Alex : Câest pour cela quâil faut avoir un outil, on ne peut pas aller fouiller et se permettre, on nâa pas le temps dâaller voir ce que se passe.
Julio : Non on ne peut pas, câest inhumain, câest inhumain. Un site, je ne sais pas combien il a de fichiers, minimum 1 500 jusquâĂ … et je ne parle pas des uploads. Je ne sais pas, il y a au moins 1 500 fichiers minimum, câest impossible et comment tu veux faire, tu lâouvres et comment tu compares, Ă la mainâ? Câest impossibleâ! Il faut absolument le faire.
Prenez ce genre dâoutilâ! Dans Secupress, jâai inclus, dans le scanner de malwares, ce genre de scan, donc ça scanne mĂȘme si juste si le fichier du core a Ă©tĂ© modifiĂ©, donc si un dĂ©veloppeur lâa modifiĂ© parce que câĂ©tait plus simple pour lui, ce nâest pas une bonne pratique, le plugin le verra en un simple clic vous pourrez cocher quels sont les fichiers qui viennent du core et qui ont Ă©tĂ© modifiĂ©s, vous faites ârĂ©cupĂ©rerâ et automatiquement les fichiers sont remplacĂ©s dans le core, etc.
Alex : OKâ!
Julio : Rien à faire : une coche, un clic et terminé.
Alex : Donc quâest ce quâon peut voir dâautres aussi encore pour voir si câest sĂ©curisĂ©â?
Julio : Parmi les points que je vous ai donnés dans les listes précédentes, SecuPress est capable de vérifier lui en interne une trentaine et à la fin de ses scans et de ses autocorrections, il va vous donner un grade, un peut justement comme GT Metrics le fait en externe.
Donc lui en interne SecuPress vous attribue un grade de A Ă G je crois, pour vous indiquer un petit peu oĂč vous en ĂȘtes sur votre site et quâest ce que vous pouvez encore faire pour amĂ©liorer, il va vous rester tout ce qui est ânon rĂ©parĂ©â, Ă vous de le faire soit manuellement parce quâil nâa pas les droits, ou parce que par exemple âPHPâ : on ne peut pas modifier une version PHP en un clic Ă©videmment, il faut contacter son hĂ©bergeur ou son administrateur, câest beaucoup de travail en amont. Vous avez un peu cette note.
Sachez que si vous avez A ou B, câest trĂšs bien, en dessous de B, ça commence Ă ĂȘtre un peu dommage.
Alex : OK. Câest bonâ? On a fini notre petite listeâ?
Julio : Câest un dĂ©but de liste… Je pense quâon va encore donner un article qui va approfondir le cas et pareil si vous avez dâautres idĂ©es, si vous avez eu ce genre de cas, nâhĂ©sitez pas Ă commenter pour quâon amĂ©liore tout cela ensemble.
Alex : OK superâ! Merci dâavoir regardĂ© cette vidĂ©o jusquâau bout, et tant que vous ĂȘtes lĂ , abonnez-vous pour recevoir la suite et puis allez voir SecuPress si vous ne lâavez pas encore installĂ©, depuis le temps que vous regardez nos vidĂ©os, ça commence un petit peu Ă faire…
En tout cas merci dâavoir regardĂ© cette vidĂ©o jusquâau bout et Ă trĂšs bientĂŽt, ciaoâ!
Votre site a t’il dĂ©jĂ Ă©tĂ© piratĂ© ?
Si vous avez apprécié cet article, inscrivez-vous à la newsletter
Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20 000 personnes l'ont fait, pourquoi pas vous ?