🛡 Point SECU #12 : Comment choisir un bon plugin de sécurité
Articles Blog

🛡 Point SECU #12 : Comment choisir un bon plugin de sécurité

August 29, 2019


Salut à tous et bienvenue dans ce nouveau
« point sécu » avec Julio, et aujourd’hui, on va voir comment choisir un bon plugin de
sécurité. Allez c’est parti ! [intro musicale] Alors du coup Julio tu vas essayer de répondre
à cette question que beaucoup de personnes se posent : quel plugin de sécurité utiliser
pour son site WordPress ?>>Julio : On va essayer d’être objectif
dans cette vidéo… C’est forcément un peu plus compliqué. Pour moi, quand on choisit un plugin de sécurité,
on pourrait dire, c’est un peu comme choisir un plugin dans un autre thème, puisque justement
il existe différents plugins un peu pour tout. Dans tous les cas, ça doit répondre
à un besoin. Qu’est-ce qu’on a besoin de sécuriser
et qu’est-ce qu’on souhaite faire finalement ? Comme on en a parlé récemment, dans une
liste de points de sécurité à faire, on ne va pas forcément tout faire, on ne va
pas pouvoir tout faire, il se peut qu’il y ait des restrictions du serveur, de la part
du client, etc. On va essayer de se tenir à ce que l’on a besoin de faire. Pour moi un point principal pour nous qui
sommes en France et pour moi c’est quelque chose qui est important, j’aime bien que
les plugins soient au moins traduits en français, pas forcément un plugin français, même
si « cocorico » c’est mieux ! mais qu’il soit en français c’est mieux. En tout cas, quand je le donne à un client
pour moi c’est quasiment obligatoire, je ne peux pas dire à mon client qui a un site
totalement français, qui me demande de faire du développement en français, de lui donner
un plugin supplémentaire en disant « celui-là désolé c’est de l’anglais » non,
ça pour moi c’est impossible. Donc déjà pour moi je dirais : l’avoir
en français. Ensuite, je vais vous recommander, si encore
une fois c’est pour des clients, de prendre un plugin qui va être premium pour avoir
du support, car vous n’avez pas envie de faire le support pour votre client, c’est
quelque chose que vous n’avez pas du tout du tout avoir envie de faire. D’autant plus que vous allez faire du support
sur des produits qui ne vous appartiennent pas, c’est vous qui ferez le support à
la place de votre client, etc. donc vraiment évitez ! Si le plugin est gratuit, gardez bien en tête,
que le support, il peut y en avoir, il peut aussi ne pas y en avoir, mais s’il y en
a, il n’est pas assuré, il n’est pas rapide, c’est pour ça que c’est gratuit !
Mais on le sait, on le sait à l’avance, moi je recommanderai tout de même vers quelque
chose où il y a du support. Par chance, je pense que la majorité des
plugins de sécurité ont du support, parce qu’ils ont tous une version payante, parce
que justement c’est quelque chose qui ne s’arrête pas en fait, on ne peut pas se
dire « ça y est, il est fait mon plugin, je le balance, et terminé pendant deux ans ».>>Alex : Comme on expliquait… ça bouge
vite… c’est le chat et la souris, il y a de nouvelles choses qui sont découvertes,
il y en a qui s’infiltre donc il faut protéger cela.>>Julio : Exactement ! Ensuite on peut
directement entrer ce que l’on a besoin de sécuriser. On peut se dire : « OK,
mon site, c’est un site qui n’utilise aucun utilisateur, juste un admin et tout
le reste, il n’y a jamais d’inscriptions possibles, on est une seule et unique personne
à gérer. Donc est-ce qu’on a besoin de sécuriser
ses utilisateurs ? Si vous être un e-commerce, je vous donne tout de suite la réponse c’est
OUI ! Vous devez sécuriser vos utilisateurs, leur donner leur compte, tout cela, il faut
vraiment que ce soit au plus secure ! Je ne parle pas juste de faire des backups (encore
une fois il faut aussi des backups). Donc, sécuriser les utilisateurs, avez-vous
besoin de ça ? Cocher quelque part : OUI j’ai besoin de sécuriser les utilisateurs. Quelque chose que je vais forcément recommander,
on l’a déjà dit, nous on l’a déjà dit, vous l’avez déjà lu, c’est à la
fois se tenir à jour pour les plugins et les thèmes, mais aussi s’assurer que les
plugins et les thèmes ne soient pas connus comme vulnérables. Vous avez peut-être déjà vu notamment sur
Facebook et même Twitter, il y a des listes qui tournent sur les nouveaux plugins qui
ont été découverts contenant des failles : si vous les avez, c’est un peu dommage ! Alors comment est-ce qu’on peut être alerté
de ça ? Il existe des solutions qui vous permettent d’être alerté en temps réel
du plugin « untel » que vous utilisez sur tel site, il contient une faille de sécurité…
ça, je pense que tout le monde en a besoin, dans le sens où si vous utilisez des plugins,
vous avez besoin de savoir qu’ils sont toujours sécurisés. Je vous dirais aussi de sécuriser ce que
j’appelle les données sensibles, il y a celles des utilisateurs et aussi les vôtres,
votre site web. Si vous avez votre site sur GitHub par exemple, vous n’avez pas envie
que quelqu’un puisse trouver le contenu, si vous avez des backups, il faut que les
backups soient dans un endroit sécurisé, si possible, vous ne les laissez pas sur site,
vous les retéléchargez en local. Ou alors si vous uploadez directement, automatiquement
dans un cloud : Dropbox, Amazon… C’est ce que tu fais peut-être ?>>Alex : Oui sur Dropbox, Amazon et du coup
forcément avec Dropbox c’est automatiquement remis sur l’ordinateur, donc en fait il
y a 3 points de sauvegarde.>>Julio : C’est une bonne idée, parce
que les laisser sur le site, ça veut dire qu’on les laisse quelque part en accès
à une personne. Vous allez me dire « oui, mais j’ai déjà
essayé de les télécharger en tapant le lien et ça donne une erreur »… oui je
comprends bien, mais on en revient au problème dont on a déjà parlé avec le fichier wpconfig
et le fameux « deny from all » : ça empêche l’accès depuis le navigateur,
mais pas depuis un script PHP, donc de nouveau, la faille de RevSlider aurait pu télécharger
les backups. Donc voilà, ne pas les laisser sur le site
ça me semble important. Qu’est ce qu’on a encore besoin pour choisir
un plugin de sécurité ? Et bien écoutez, il faut qu’il propose
des fonctionnalités de type « pare-feu », c’est-à-dire les requêtes qui viennent
des mauvais bots des moteurs de recherches, il faut qu’ils soient bloqués, évidemment
il laisse passer Google, Bing, etc., mais dès qu’il s’agit d’un bot qui est potentiellement
connu pour être mauvais, il faut que ce soit bloqué. Si les URLS contiennent des mots clés qui
lui paraissent un peu louches, qui sont d’habitude utilisés pour du hacking, ça doit être
bloqué. On peut très bien se dire voilà, il y a
tel, tel et tel pays, ils sont en train de faire des vagues d’attaques, je les bloque.
Il faudrait que ça propose ce genre de choses qui est relativement important. Surtout encore
une fois pour des sites e-commerce, parce que ça fait tomber un site marchand.>>Alex : Tout le business tourne… si c’est
un blog, juste un blog, ou même un site vitrine sur lequel il n’y a pas de ventes…>>Julio : C’est moins grave, mais on n’a
quand même pas envie que ça tombe longtemps dans tous les cas.>>Alex : Dans tous les cas oui…>>Julio : Après, ce qui est pour moi aussi
très important, c’est que le plugin propose un scanner de virus. C’est-à-dire qu’il
se peut très bien que votre site soit nickel, il ne se passe rien, le backend c’est pareil,
les utilisateurs vont bien, mais finalement, il y a eu quand même à un moment, un pirate
qui a réussi à venir sur votre site, il a inséré des fichiers malicieux et ce qu’il
va faire, il va attendre trois mois environ et au bout des trois mois, il va activer son
script malicieux. Pourquoi trois mois ? Parce qu’il sait
très bien que la majorité des scripts gardent trois mois de backups, c’est — à-dire
que là il est certain…>>Alex : La majorité des sites oui…>>Julio : Oui c’est ça, et maintenant
ce qu’il fait, c’est qu’il est certain que si vous remettez un ancien backup, vous
remettez ses fichiers avec.>>Alex : Pas bête !>>Julio : Donc, au lieu d’attendre trois
mois, grâce à un scanner de virus, vous pouvez toutes les semaines, maximum, je vous
conseille toutes les semaines, c’est pas mal, de vérifier s’il n’y a pas de nouveaux
fichiers qui sont arrivés, inattendus, pouvant potentiellement contenir du code malicieux,
et là vous devez être alerté, par mail minimum, pour se dire « OK, ce fichier,
je ne vois pas qu’est-ce qu’il fait là, je ne l’ai pas demandé, je ne sais pas
d’où ça sort » Si vous avez un doute, demandez à un ami,
demandez à un développeur, demandez encore une fois sur les réseaux sociaux : j’ai
trouvé ça qu’est ce que vous en pensez ? Vous aurez une aide assez rapidement pour
vous dire que c’est propre ou pas propre, dans ces cas-là vous êtes en alerte pour
vous dire : « Ouh là ! Y’a un truc pas normal, maintenant il faut que j’aille
plus loin, qu’est-ce qui se passe sur mon site ». Donc on a parlé des backups, vous ne les
stockez pas sur votre site. Quand vous faites des backups, ce qui serait bien aussi c’est
que vous n’ayez pas à les faire à la main, pouvoir planifier les backups…>>Alex : C’est comme les… on ne le fera
pas…>>Julio : On ne le fera pas.>>Alex : On va le faire peut-être… quelques
fois !>>Julio : Maintenant ! Je vais essayer
le plugin, je teste, j’ai mon backup… mais demain et après-demain ? Tous les
jours la base de données doit être sauvegardée, les fichiers c’est un peu moins grave, on
peut toujours les récupérer, mais la base de données c’est vos articles, vos commentaires,
non vous n’avez pas envie de perdre tout ça tous les jours, vous ne réalisez pas
devoir retaper tous vos contenus…>>Alex : Tout dépend l’activité du site,
si on le met à jour une fois par mois, là c’est sûr c’est moins grave…>>Julio : Moi je prends toujours un site
marchand qui fait des ventes tous les jours !>>Alex : Voilà c’est ça !>>Julio : Imaginez : vous perdez les identifiants
des ventes, les identifiants PayPal, vos numéros de factures… OK… l’horreur ! ça,
c’est grave pour un site marchand parce que même au niveau légal, il a besoin de
ses numéros de facturation qui se suivent, très important de faire des backups au moins
une fois par journée, je sais qu’il y a des sites marchands qui font un backup à
l’heure>>Alex : Les gros sites quoi !>>Julio : Oui, ils sont un peu obligés parce
que ça va très très vite… Je ne sais combien en fait Amazon d’ailleurs ? Un
backup à la seconde tu crois que c’est possible ?>>Alex : Je ne sais pas…>>Julio : Si vos sites justement sont des
blogs ou acceptent les commentaires, ou les inscriptions : un antispam des inscriptions,
un antispam des commentaires pour que les bots ne puissent pas s’inscrire sans protection
et que les bots ne puissent pas essayer de commenter. Ils sont de plus en plus forts :
il y a quelques années encore on les grillait tout de suite, mais là, je dois avouer qu’ils
ont des avatars, ils ont des noms différents, ils utilisent des adresses mail beaucoup plus
correctes, ils utilisent du wording qui correspond à l’article. C’est de plus en plus pro…>>Alex : C’est très subtil.>>Julio : C’est très subtil et à la fois,
comme ils sont venus poser un lien, ils ne le font plus dès le premier commentaire,
maintenant, il y a des bots qui gratuitement balancent de vrais commentaires, une à deux
fois, pour que vous les acceptiez, c’est énorme ! Après ils viennent insérer leur lien au
troisième, parce qu’ils savent aussi que par défaut WordPress demande deux commentaires
acceptés pour accepter les liens, il me semble. De tout cela, ils sont au courant, bien sûr,
et ils mettent des petits subterfuges en place, dont l’antispam à avoir. Qu’est-ce qu’on pourrait encore dire ?
Allez les journaux ! Les journaux c’est : qu’est-ce que s’est
passé sur mon site de potentiellement critique : un ami qui change un mot de passe pour moi
c’est critique, est-ce que c’est normal de le faire à ce moment-là ? Peut être
que oui bien sûr ! Mais c’est bien de le savoir. Un admin qui se connecte à 4 heures du matin :
est-ce que c’est prévu ? Est-ce que c’est normal ? Par contre, quelqu’un qui met à jour un
article : non, là je n’appelle pas cela quelque chose de critique. L’installation d’un plugin, suppression
d’un plugin, tout ça me paraît potentiellement critique, surtout qu’on est censé être
en production donc on n’a pas à faire ce genre de choses, ça serait bien d’avoir
les logs. Tous les jours, recevoir à la fin de la journée, tout ce qui s’est passé
sur le site, etc. Et là, si on veut aller un peu plus loin
que le plugin, ce serait bien si le plugin et donc les services associés à ce plugin,
vous offrent d’autres services par exemple de l’aide sur la sécurité, ça peut être
une configuration du plugin parfaite, parce que soit votre client la veut, soit vous n’avez
pas le temps, la compétence, faites-le faire. Et encore plus loin, si finalement vous avez
un site qui est tout de même piraté, est-ce que la personne, est-ce que le plugin, l’équipe,
sauraient vous aider en cas de plugin piraté.>>Alex : De site piraté, si le site tombe
est-ce que vous vous débrouillez ?>>Julio : S’il est tombé est-ce que vous
vous dites « c’est bon là j’ai une page noire avec une tête de mort qui tourne,
ce n’est pas normal ! » ben non… votre site est légèrement piraté, là vous
devez faire appel à quelqu’un : à qui faire appel ? Je vous ai donné pas mal de points, essayez
de voir tous vos besoins. Vous pourriez potentiellement avoir besoin de tout, personnellement j’avoue
que plus il y a de sécurité et plus j’aime ça, du coup, je regarderai un peu tout ce
donc j’ai besoin et j’essaierais de comparer un peu tous les plugins qui existent. Si j’avais à donner un top des plugins
– parce qu’on va nous les demander en commentaires !>>Alex : Ouais ! Au final qu’est-ce que
tu recommandes Julio ?!>>Julio : Est-ce qu’on attend les commentaires ? Forcément je vais parler du mien, je vais
parler de SecuPress, parce qu’on a voulu tout de suite se mettre au niveau de la concurrence
dès la création du plugin. Les concurrents que vous pouvez vérifier
sont Wordfence, iThemes Security, Sucuri, qui sont vraiment trois groupes qui font un
énorme travail de sécurité. Je sais que Wordfence et Sucuri ont vraiment
des gens qui sont payés pour trouver des failles, à vrai dire forcément qui ne rapportent
pas d’argent, c’est énorme d’avoir réussi à faire cette veille de sécurité. Après il y en a d’autres qui sont pour
moi un petit peu plus fouillis, mais bon… WebProof Security, All in One WP Security
& Firewall et… un dont j’oublie toujours le nom, je ne m’en souviens plus, mais ce
n’est pas grave.>>Alexandre : Acunix non ?>>Julio : Acunetix, Acunetix ce n’est pas
encore pareil, on ne pas vraiment les comparer à celui-là. Il y a 6 Scan, mais 6 Scan
il met une iframe et tout est basé ailleurs, donc là je n’aime pas non plus. Je préfère
que le plugin reste interne à votre installation. Si on doit toujours avoir tout le contenu
sur des serveurs distants, pour moi ce n’est pas normal.>>Alex : OK super ! Bon là je pense qu’on
a fait le tour, on vous a même parlé d’autres plugins de sécurité ! Voilà maintenant
c’est à vous de faire votre choix en fonction de vos besoins. Merci d’avoir écouté ce nouvel épisode
du « Point sécu » avec Julio. Abonnez-vous à la chaîne YouTube de la Marmite
pour recevoir les futurs épisodes et les autres contenus que je publie sur la chaîne
et bien sûr allez jeter un œil à SecuPress, installez-le et là, en particulier, c’est
en français, contrairement à d’autres plugins, donc si ça fait partie des critères
qui sont… je ne trouve pas mes mots !>>Julio : Requis>>Alex : Requis voilà ! Allez voir SecuPress. Merci de nous avoir écoutés Ciao, au revoir !

Only registered users can comment.

  1. Bonjour ! Merci pour cette vidéo ! J'avais une question par rapport à la sécurité de mon site. J'ai installé SSL avec Let's Encrypt pour avoir mon site en https. Quand j'accède à mon nom de domaine, le certificat est correctement interprété par le navigateur mais quand j'essaie d'accéder au site par son adresse IP public, le certificat saute et mon site n'est plus en https ! Avez-vous une idée du pourquoi du comment ? Merci d'avance ! Et continuer comme ça !!!

  2. Salut Alex, salut Julio

    Je fais appel à vos savoirs les gars,
    J'aimerai bien montrer le site d'un client à distance, le site en question est sur ma bécanne en local dans mon server WAMP 3.0.6. J'utilise Apache 2.4.23 – PHP 7.0.10 – MySQL 5.7.14.
    J'ai découvert un outil qui se nomme Ngrok, et qui permet de créer un tunnel pour rendre mon localhost publique! L’intérêt pour moi est de faire une démo à mon client sans avoir à me déplacer, et sans avoir à déployer le projet en ligne avant d'avoir le feu vert.
    Dans mon dossier www, j'ai plusieurs sites en création, dont notamment le site et dossier pizzeria que j'aimerai montrer à mon client.
    Mon problème c'est que je n'arrive pas à pointer ailleurs que l’accueil de wampserver grâce au tunnel ngrok créé.
    Tu ne trouves pas que c'est un beau défi pour toi? Et surtout une bien belle idée de vidéo?! On pourrait mettre à contribution Julio aussi !?
    C'est vraiment très important pour moi.
    Merci pour toutes ces informations utiles que tu partages, et longue vie à wpmarmite !!!
    Fred.

Leave a Reply

Your email address will not be published. Required fields are marked *