J’ai décidé de faire une présentation sur la sécurité au WordCamp Montréal 2016. Les attaques sont de plus en plus fréquentes et les quantité de sites web infectés ne cesse d’augmenter. Est-ce que WordPres est un logiciel sécuritaire ? De quels types d’attaques parle-t-on ? Qui en est victime ? Comment peut-on être infecté ?
Bref, je répondrai à toutes ces questions de sécurité avec votre site web utilisant WordPress. Mieux encore, j’ai donné de nombreuses pistes de solutions pour éviter les problèmes!
Voici les informations supplémentaires concernant ma présentation!
WordCamp Montréal 2016… me voici!
Sans plus tarder, voici la présentation telle que présentée au WordCamp!
Notez que j’ai participé à la compétition “Kitty Count” qui consiste à ajouter le plus de photos de chats dans notre présentation. Ce n’est pas parce que le sujet est sérieux qu’on ne peut provoquer des sourires!
Tout d’abord, un merci spécial à Jean-François Arseneault pour sa contribution à tromper l’audience en se faisant passer pour moi. Une attaque bien en règle pour débuter une présentation sur la sécurité en mettant en scène l’usurpation d’identité!
Les types d’attaques
- Cross-site Request Forgery
- Hameçonnage
- Cross-site scripting (XSS)
- Attaque par force brute
- Injection de SQL
- Ingénierie sociale
Comment peut-on être infecté ?
Les sources d’infections peuvent être multiples. La majorité des infections sont liées à un ou plusieurs des points suivants:
- WordPress contient une faille de sécurité (plutôt rare);
- Un de vos thèmes contient une faille de sécurité;
- Une de vos extensions contient une faille de sécurité;
- Votre hébergeur est infecté;
- Vos mots de passe ne sont pas sécuritaires;
- Une autre application hébergée dans votre compte contient une faille de sécurité.
Vous avez l’impression ou on vous a dit que WordPress n’était pas sécuritaire ? Que vous a-t-on dit d’autre concernant WordPress ? Lisez mon article sur les Mythes et Réalités de WordPress pour en apprendre davantage.
Comment éviter les problèmes de sécurité ?
Ahhhh… les fameuses solutions! Sans plus tarder, les voici:
- Faites vos mises à jour;
- WordPress
- Thèmes
- Extensions
- Choisissez des mots de passes différents et complexes pour tous vos services;
- Réduisez au maximum le nombre d’administrateurs sur le site;
- Utilisez un certificat SSL pour encrypter l’échange de données sur le site;
- Désactivez et supprimez les thèmes et extensions non utilisées;
- Faites des copies de sauvegarde et testez-les;
- Désactivez l’éditeur de code des thèmes et extensions;
- Ajustez les droits sur le fichiers de votre site;
- Fichiers: 644
- Répertoires: 755
- Utilisez uniquement des sources fiables pour vos thèmes et extensions
- Installez une extension de sécurité… et configurez-la adéquatement;
- Utilisez une authentification double;
- Inscrivez-vous à un service de monitoring
- Utilisez un firewall
- Utilisez un antivirus
- Recherchez un hébergeur fiable
- Utilisez du code populaire
Rappelez-vous que la sécurité n’est pas un aspect qu’on traite une fois et qu’on oublie ensuite. Cela demande un effort constant et permanent!
Pour répondre à une question durant la présentation de si PC ou MAC est le plus sécuritaire : http://www.gfi.com/blog/2015s-mvps-the-most-vulnerable-players/
Merci pour la référence.
J’en profite pour réitérer ce que j’avais répondu à ce moment: peu importe Mac ou PC, le problème majeur est souvent situé à 13 pouces de l’écran!
Bonjour! J’avais une question et j’ai oublié de la poser. Oups!
J’ai un ami qui a mis un QueryString à son /wp-admin/. Donc la seule façon d’accéder au /wp-admin/ est en connaissant le querystring à ajouter. Conseilles-tu cette pratique ? Trouves-tu que ça ajoute vraiment une sécurité supplémentaire qui peut être bénéfique ?
Je dois avouer que c’est plutôt agaçant que le bon vieux /wp-admin/ ne fonctionne plus et je me demande si on a un réel gain de sécurité.
Merci !
J’utilise cette technique via mon plugin de sécurité. Ainsi, si tu essaies d’accéder à mon /wp-admin, tu seras bannie du site. De mon côté, quand je tappe (supposons) /admin, ça agit comme si j’étais sur /wp-admin. Une fois connecté, je suis redirigé vers /wp-admin sans être banni.
C’est une façon supplémentaire de réduire les risques! Je la recommande.
Allô!
J’avais aussi une question que j’avais oublié de poser. Si je désactive et supprime toutes les extensions inutilisées, mais qui sont intégrées au thème (ex: WooCommerce dont je n’ai pas besoin sur ce site), est-ce que ça peut nuire au bon fonctionnement du thème?
Merci pour le partage des diapos, c’est une excellente référence et les photos de chats sont trop nices. 🙂
Merci encore!
Catherine
En fait, ça dépend comment ton thème est fait. S’il est bien fait, il devrait détecter que WooCommerce n’est pas installé et ne pas tenter d’aller chercher, par exemple, le nombre d’items dans ton panier d’achat. Par contre, si c’est moins bien fait, le thème affichera une erreur.
Tu peux soit:
1) Tester le tout et voir par toi-même;
2) Contacter les créateurs du thème et leur demander.
Merci pour les bons mots!
Par curiosité, as-tu déjà utilisé UpdraftPlus ? Si oui, as-tu une opinion sur ce plugin? 🙂
Merci
Je fais mes backups sur Amazon S3 via BackWPup. Je pense qu’UpdraftPlus offre cette option de manière payante. Comme je suis satisfait de BackWPup, je ne vois pas de raison de changer.