Sécuriser WordPress sans WordPress : l’idée vous semble bizarre ?
Pourtant, il y a plein d’autres éléments, en dehors de WordPress, qui nécessitent d’être appliqués pour bien sécuriser son site ! Connexions WiFi, antivirus, emails…
Avec Julio, on fait cette semaine le tour des bonnes pratiques sécurité WordPress SANS WordPress.
##
⏩ La vidéo du YouTubeur Micode sur le hacking des connexions WiFi gratuites : https://www.youtube.com/watch?v=cUrmG335e7o
##
Les conseils supplémentaires de Julio :
⏩ Supprimez tous les dossiers et fichiers non WP inutiles, ainsi que les plugins et thèmes non utilisés.
⏩ Déplacez les backups hors du /www/, soit en local sur votre machine, soit à la racine de votre site ou supprimez les après download.
⏩ Mettez à jour WordPress, les plugins et thèmes dès que possible.
⏩ Créez vous un compte “Editeur” pour créer vos articles, réservez le compte “Administrateur” pour administrer.
⏩ Modifiez de temps en temps vos mots de passe utilisateurs (tous les membres de tous les sites !), mot de passe FTP, mot de passe SQL et aussi le préfixe. Ne pas mettre “wp_” ni “wordpress_“,
⏩ Attention à votre boite mail, aux spams et autres demandes de mot de passe : comme partout, personne ne vous demandera votre mot de passe WordPress.
⏩ Ne prêtez jamais votre compte à une personne dont vous n’êtes pas sûr de l’identité.
⏩ Ne créez pas des compte “admin”, ni en rôle “administrateur” à tout le monde, d’autres rôles plus ciblés existent.
⏩ Utilisez des mots de passes forts, la longueur prime sur la complexité,
⏩ Utilisez sFTP au lieu de FTP si possible,
⏩ Passez l’administration au SSL si possible ou protégez-la derrière un .htaccess/.htpsswd
##
Abonnez-vous pour recevoir les prochains points Sécu, on en publie un tous les 15 jours :
https://www.youtube.com/subscription_center?add_user=WPMarmite
Et avant de partir, n’oubliez pas de jeter un oeil à SecuPress pour dormir sur vos deux oreilles :
https://secupress.me/fr/
Source du tuto
4 Commentaires. En écrire un nouveau
Une autre astuce je crois serait de ne pas enregistrer dans filezila nos mdp et login car ceux ci serait stocker en clair sur le pc
les pritaes peuvent aussi mettre un cadenas non?
J'apporte quelques précisions pour ceux qui passent par là 😛
– Premier point, ne pas partager son mot de passe, bien sûr c'est une règle élémentaire. Mais dans certains cas (pour ma part mes clients, étant dév. web), on a besoin de donner un accès total, pour cela, créez un accès dédié à cette personne, puis supprimez l'accès une fois qu'il n'y en a plus besoin. Restreindre les droits par rapport aux besoins.
– Pour le wifi gratuit, même si il y a https, ne pas se connecter ! Utilisez plutôt votre téléphone en 4G, les abonnements sont pas chers et là où il y a wifi gratuit, il y a généralement un bon réseau 4G.
Un pirate peut tout à fait décrypter des requêtes SSL.
– La faille dont vous parlez juste après, c'est une simple faille XSS. Cependant, si vous avez une XSS sur votre site, c'est qu'il y a un gros souci, ce n'est pas normal du tout.
Donc, première chose, toujours màj les modules et thèmes, et bien sûr wordpress en lui même. Ensuite, si il y a une XSS, il faut utiliser les fonctions "sanitize" de wordpress, la règle de base étant de ne pas faire confiance à l'utilisateur 🙂
Et enfin, lorsque la XSS est effective et que le "hacker" vous envoie un lien, il récupère vos cookies de session pour se connecter à votre BO !
– Concernant la boite mail, à la limite on s'en fiche de la sécuriser, l'important est d'activer l'authentification en deux étapes, avec votre téléphone, c'est le plus sécurisé. Faites-le aussi pour votre carte bancaire si vous payez par internet 😉
Par contre, cadenas ou pas cadenas, peu importe, tout le monde peux installer let's encrypt. Non, la bonne façon de faire quand on reçois un email du genre, c'est d'aller directement sur le site en question sans passer par le lien dans l'email. Si vraiment c'est nécessaire, vérifiez bien les infos du site en cliquant sur le cadenas, après avoir bien vérifié l'url (attention l'url peux être usurpée dans de très rares cas ! voir : https://blog.barkly.com/punycode-phishing-exploit-protection ).
– Enfin, concernant les antivirus, personnellement je n'en ai pas, il suffit de savoir ce que l'on télécharge (sites officiels toujours), de savoir où on met les pieds (exit les sites X ou streaming bizarres hein ^^), d'avoir toujours java, flash, acrobat reader, word et cie à jour, ne jamais ouvrir un .pdf, .doc, etc… inconnu, utiliser adblock, etc… etc… les règles de bases quoi.
Que ce soit un mac, un linux, un android, un windows, etc… Chaque OS est potentiellement vulnérable (si ça exécute du code, ça peux exécuter du code malveillant).
Passez régulièrement un coup de malwarebyte (surtout pas de CCLEANER !), un petit adwcleaner pour les adwares, et c'est bon.
L'antivirus n'est qu'une protection de votre conscience, car un virus peux être indétectable par tous les AVs pendant des mois (j'ai déjà vu certains virus tenir pendant des années !).
A propos de moi : Je ne suis pas expert en sécurité mais j'ai de bonnes compétences dans le domaine, qui me permettent de développer des sites les plus sécurisés possible 🙂
Ps: Je pense que je peux le dire sur chacune de vos vidéos, mais c'est vraiment hyper important je pense : utilisez WPSCAN sous linux pour tester votre site wordpress !
super merci