Maxime Jobin

Entrepreneur

Je suis un entrepreneur, un programmeur, un stratège technologique, un chargé de cours, un passionné de WordPress et un amateur de hockey.
  • Accueil
  • Formation et Conférence
  • WordPress et Moi
  • À propos
  • Outils
  • Contact
  • Google
  • Linkedin
  • Twitter

WCMTL : Sécurité, ne soyez pas une cible!

24 juillet par Maxime Jobin 8 commentaires

J’ai décidé de faire une présentation sur la sécurité au WordCamp Montréal 2016.  Les attaques sont de plus en plus fréquentes et les quantité de sites web infectés ne cesse d’augmenter.  Est-ce que WordPres est un logiciel sécuritaire ? De quels types d’attaques parle-t-on ?  Qui en est victime ? Comment peut-on être infecté ?

Bref, je répondrai à toutes ces questions de sécurité avec votre site web utilisant WordPress.  Mieux encore, j’ai donné de nombreuses pistes de solutions pour éviter les problèmes!

Voici les informations supplémentaires concernant ma présentation!

WordCamp Montréal 2016… me voici!

Sans plus tarder, voici la présentation telle que présentée au WordCamp!

Notez que j’ai participé à la compétition « Kitty Count » qui consiste à ajouter le plus de photos de chats dans notre présentation.  Ce n’est pas parce que le sujet est sérieux qu’on ne peut provoquer des sourires!

Tout d’abord, un merci spécial à Jean-François Arseneault pour sa contribution à tromper l’audience en se faisant passer pour moi.  Une attaque bien en règle pour débuter une présentation sur la sécurité en mettant en scène l’usurpation d’identité!

 

Les types d’attaques

  • Cross-site Request Forgery
  • Hameçonnage
  • Cross-site scripting (XSS)
  • Attaque par force brute
  • Injection de SQL
  • Ingénierie sociale

Comment peut-on être infecté ?

Les sources d’infections peuvent être multiples.  La majorité des infections sont liées à un ou plusieurs des points suivants:

  • WordPress contient une faille de sécurité (plutôt rare);
  • Un de vos thèmes contient une faille de sécurité;
  • Une de vos extensions contient une faille de sécurité;
  • Votre hébergeur est infecté;
  • Vos mots de passe ne sont pas sécuritaires;
  • Une autre application hébergée dans votre compte contient une faille de sécurité.

Vous avez l’impression ou on vous a dit que WordPress n’était pas sécuritaire ? Que vous a-t-on dit d’autre concernant WordPress ? Lisez mon article sur les Mythes et Réalités de WordPress pour en apprendre davantage.

 

Comment éviter les problèmes de sécurité ?

Ahhhh… les fameuses solutions!  Sans plus tarder, les voici:

  1. Faites vos mises à jour;
    • WordPress
    • Thèmes
    • Extensions
  2. Choisissez des mots de passes différents et complexes pour tous vos services;
    • 1Password
    • LastPass
  3. Réduisez au maximum le nombre d’administrateurs sur le site;
  4. Utilisez un certificat SSL pour encrypter l’échange de données sur le site;
    • www.letsencrypt.org
  5. Désactivez et supprimez les thèmes et extensions non utilisées;
  6. Faites des copies de sauvegarde et testez-les;
    • BackWPup
    • Backup Buddy
    • VaultPress
  7. Désactivez l’éditeur de code des thèmes et extensions;
  8. Ajustez les droits sur le fichiers de votre site;
    • Fichiers: 644
    • Répertoires: 755
  9. Utilisez uniquement des sources fiables pour vos thèmes et extensions
  10. Installez une extension de sécurité… et configurez-la adéquatement;
    • iThemes Security
    • WordFence
    • Sucuri Scanner
  11. Utilisez une authentification double;
    • Google Authentificator
  12. Inscrivez-vous à un service de monitoring
    • Pingdom
    • Site 24×7
    • UpTrends
    • UptimeRobot
  13. Utilisez un firewall
    • CloudFlare
    • Fail2ban
  14. Utilisez un antivirus
  15. Recherchez un hébergeur fiable
    • SiteGround
    • Digital Ocean
    • Amazon Web services (AWS)
  16. Utilisez du code populaire

Rappelez-vous que la sécurité n’est pas un aspect qu’on traite une fois et qu’on oublie ensuite.  Cela demande un effort constant et permanent!

Catégorie(s) : WordPress Étiqueté : Sécurité, wcmtl, WordCamp, WordPress

Vous avez trouvé ce contenu pertinent ? Inscrivez votre courriel pour recevoir les prochaines publications.

Commentaires

  1. Dan a écrit

    24 juillet 2016 à 11 h 50 min

    Pour répondre à une question durant la présentation de si PC ou MAC est le plus sécuritaire : http://www.gfi.com/blog/2015s-mvps-the-most-vulnerable-players/

    Répondre
    • Maxime Jobin a écrit

      25 juillet 2016 à 8 h 45 min

      Merci pour la référence.

      J’en profite pour réitérer ce que j’avais répondu à ce moment: peu importe Mac ou PC, le problème majeur est souvent situé à 13 pouces de l’écran!

      Répondre
  2. Marie-Philippe a écrit

    26 juillet 2016 à 8 h 44 min

    Bonjour! J’avais une question et j’ai oublié de la poser. Oups!

    J’ai un ami qui a mis un QueryString à son /wp-admin/. Donc la seule façon d’accéder au /wp-admin/ est en connaissant le querystring à ajouter. Conseilles-tu cette pratique ? Trouves-tu que ça ajoute vraiment une sécurité supplémentaire qui peut être bénéfique ?

    Je dois avouer que c’est plutôt agaçant que le bon vieux /wp-admin/ ne fonctionne plus et je me demande si on a un réel gain de sécurité.

    Merci !

    Répondre
    • Maxime Jobin a écrit

      26 juillet 2016 à 8 h 53 min

      J’utilise cette technique via mon plugin de sécurité. Ainsi, si tu essaies d’accéder à mon /wp-admin, tu seras bannie du site. De mon côté, quand je tappe (supposons) /admin, ça agit comme si j’étais sur /wp-admin. Une fois connecté, je suis redirigé vers /wp-admin sans être banni.

      C’est une façon supplémentaire de réduire les risques! Je la recommande.

      Répondre
  3. Catherine Cyr Wright a écrit

    27 juillet 2016 à 10 h 00 min

    Allô!

    J’avais aussi une question que j’avais oublié de poser. Si je désactive et supprime toutes les extensions inutilisées, mais qui sont intégrées au thème (ex: WooCommerce dont je n’ai pas besoin sur ce site), est-ce que ça peut nuire au bon fonctionnement du thème?

    Merci pour le partage des diapos, c’est une excellente référence et les photos de chats sont trop nices. 🙂

    Merci encore!

    Catherine

    Répondre
    • Maxime Jobin a écrit

      27 juillet 2016 à 16 h 53 min

      En fait, ça dépend comment ton thème est fait. S’il est bien fait, il devrait détecter que WooCommerce n’est pas installé et ne pas tenter d’aller chercher, par exemple, le nombre d’items dans ton panier d’achat. Par contre, si c’est moins bien fait, le thème affichera une erreur.

      Tu peux soit:
      1) Tester le tout et voir par toi-même;
      2) Contacter les créateurs du thème et leur demander.

      Merci pour les bons mots!

      Répondre
  4. Marie-Philippe a écrit

    2 août 2016 à 22 h 24 min

    Par curiosité, as-tu déjà utilisé UpdraftPlus ? Si oui, as-tu une opinion sur ce plugin? 🙂

    Merci

    Répondre
    • Maxime Jobin a écrit

      3 août 2016 à 9 h 31 min

      Je fais mes backups sur Amazon S3 via BackWPup. Je pense qu’UpdraftPlus offre cette option de manière payante. Comme je suis satisfait de BackWPup, je ne vois pas de raison de changer.

      Répondre

Laisser un commentaire Annuler la réponse.

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *