On nous dit tout le temps de sécuriser nos sites mais jusqu’où devons-nous aller ?
Parce qu’à un moment, la sécurisation devient tellement envahissante que nos sites deviennent quasiment inutilisables !
On fait le point avec Julio pour savoir ce qu’il en retourne 🙂
##
Abonnez-vous pour recevoir les prochains points Sécu, on en publie un tous les 15 jours :
https://www.youtube.com/subscription_center?add_user=WPMarmite
Et avant de partir, n’oubliez pas de jeter un oeil à SecuPress pour dormir sur vos deux oreilles :
https://secupress.me/fr/
Source du tuto
9 Commentaires. En écrire un nouveau
Très bonne vidéo clair et intéressante ! 🙂
Je vais installer de ce pas Sécupress !
Bonjour Alex & Julio je vous suis depuis le début et j'ai beaucoup appris grâce à vous. J'ai un blog qui est attaqué une centaine de fois par jour. (Je me demande d'ailleurs pourquoi) Pour 90% des attaques se sont des ip russes. J'ai mis en place la combinaison des plugins Loganizer et WP Cerber qui empêche ces intrusions. Mais j'ai envie de tester Secupress. Qu'en pensez-vous ?
Salut,
Tout d'abord, il faut savoir qu'un site, n'importe lequel, n'est jamais totalement invulnérable, un hacker déterminé trouvera toujours une faille quelque part au bout d'un certain temps plus ou moins long.
La principale cause de vulnérabilité pour un wordpress réside dans l'utilisation de plugins et/ou thèmes vulnérables, ça paraît logique dit comme ça, mais combien de revslider je voit sur la toile ? Alors que ce dernier a connu des dizaines et des dizaines de failles critiques de sécurité. Et c'est le cas pour des centaines d'autres plugins et thèmes.
Le core de wordpress en lui-même et les thèmes/plugins livrés avec sont sécurisés, la moindre faille est très rapidement corrigée, et maintenant, ça se fait automatiquement avec les maj. automatiques. (notez juste que certaines attaques comme le ddos, c'est à vous de sécuriser votre pour ce type d'attaque, voir : https://hackerone.com/wordpress ).
Ajouter un module de sécurité, c'est comme confier la sécurité de chez soi à quelqu'un dont on ne connait pas les méthodes de travail et qui applique simplement ce qu'il connait (métaphore quand tu nous tiens 😀 ).
Donc, pour moi, la réelle façon de bien sécuriser un site (n'importe lequel), est de connaître les différentes failles de son site, ça ne sert à rien d'ajouter un plugin anti-ddos si son hébergeur propose déjà cette protection, ça ne sert à rien d'ajouter un module anti-injections sql si votre site n'as pas de failles de ce type, etc…
De plus, le module de sécurité ne peux pas tout protéger, et peut lui-même comporter des failles (on a pu voir cela avec "All In One WP Security & Firewall" et ses failles XSS) pour ne citer que ce module, mais il y en a d'autres.
Il y aurait tellement à dire à ce sujet que mon commentaire ferais au moins 10.000 mots xD Alors je vais m'arrêter là et vous donner juste les meilleurs conseils que je puisse vous donner :
– Mettez à jour votre site régulièrement.
– Mettez en place des backups automatiques (1/jour ou plus), en cas d'attaque, vous pourrez remettre le site en place et le corriger en local.
– Scannez votre site régulièrement avec wpscan, pour voir si une faille connue se trouve sur votre site.
– Inscrivez-vous à la notification par email sur wpvulndb.com, vous serez informé de toutes les nouvelles failles trouvées par les professionnels en sécurité wp, et vous pourrez rapidement agir si votre site est concerné par les dernières failles de sécurité. (wordpress proposant un programme de bugbounty, ça motive ces personnes à bosser dur pour trouver de nouvelles failles ^^).
Pour les développeurs, le meilleur conseil qu'on ne puisse jamais vous donner :
Ne jamais croire les informations des utilisateurs !
Enfin, si vous ne souhaitez pas perdre de temps avec tout ça, envoyez-moi un mp sur ma chaîne youtube, je suis développeur web (je pourrait même dire expert wordpress) et j'ai de bonnes compétences en sécurité wordpress 😉
Merci pour votre éclairage !
merci
Bonjour Alex. Tous mes remerciements et encouragements. Je vous suis souvent. Et j'avoue vous m'avez permis aujourd'hui de comprendre facilement comment créer un site internet. Je suis journaliste de profession. Au fait, parait qu'aprés avoir crée un site et qu'on se retrouve par la suite avec une nombre important de visiteurs sur le site, il faut opérer des réglages. Est-ce avéré????
Bonjour
Merci pour vos vidéos, vous m'avez aidé pour gérer mon site, il me reste pas mal de chose encore à apprendre 🙂 en vous suivant
Bonne continuation 🙂
Bonjour Alex, merci pour cette vidéo. Vous m'avez convaincu à sécuriser mon site. Et aussi à installer un thème enfant. J'ai voulu utiliser le générateur de code. Quand j'entre mon URL, rien ne se passe. Je suis hébergée chez O2switch, je suis bien chez WordPress, et mon site est en ligne. Pouvez vous m'aider je ne sais pas quoi faire. Merci
SUPER VIDEO !
J'AI UNE ID pour la prochaine : la mémoire cache !
Personne n'en parle et de plus j'installe des plugins sans même savoir comment les utiliser !!
MERCI