Comment savoir si son site WordPress est sécurisé ?

Bienvenue à vous dans ce nouveau Point Sécu et on va voir comment savoir qu’un site est bien sécurisé. On a déjà vu comment savoir si un site se fait pirater, et maintenant on va savoir s’il est vraiment sécurisé.

Alors, qu’est-ce que l’on peut regarder Julio pour tout ça ?

Julio : C’est un peu plus complexe que savoir si son site est performant, s’il est rapide. Vous connaissez peut être les outils de Page Speed ou des GT Metrics : vous mettez votre URL, il fait ses tests et à la fin il vous dit « voilà, il y x % de choses qui peuvent être améliorées, vous avez telle note, telle note », ça, c’est quelque chose qui est mesurable.

Maintenant, mesurer la sécurité d’un site, c’est bien plus compliqué, il faut savoir une chose, on va le dire tout de suite : le 100 % secure n’existe pas, ce n’est pas possible, et il n’existe aucun outil comme des Page Speed et GT Metrics, depuis une URL, vous dire que votre site est sécurisé ou non.

Déjà la plupart du temps, chaque site, chaque service de ce genre, vous trouvera quelque chose parce que c’est vrai qu’il y a toujours un petit détail qui peut être amélioré, vu de l’extérieur !

Encore une fois, il est vu de l’extérieur, c’est-à-dire que si le service n’est pas dans votre FTP en tant que plugin, il y a plein de choses qui lui sont invisibles : par exemple, il ne va pas pouvoir scanner vos fichiers sur le serveur, heureusement d’ailleurs !

Donc forcément, il va y avoir un énorme manque.

Si un de ces services vous dit « je n’ai rien trouvé », ça ne veut pas dire que c’est secure, ça veut dire « je n’ai rien trouvé », c’est-à-dire que lui ne sait pas, mais il y a peut-être des choses quand même.

Mon site est-il sécurisé ?

Donc, pour savoir si son site est secure, j’ai envie de vous renvoyer sur une ancienne vidéo dans laquelle je vous donne les listes des points à vérifier.

Déjà dans cette liste : plus vous ferez des points et plus vous sécurisez votre site, maintenant je vais vous rajouter des petites choses à vérifier qui ne sont pas vraiment des choses à cocher.

1. La sécurité par les mots de passe forts

Si par exemple je vous dis : « assurez-vous que votre compte utilise des mots de passe forts et que les utilisateurs aussi utilisent des mots de passe forts », vous savez qu’à ce niveau-là, votre site sera sécurisé au niveau des mots de passe.

Je ne peux pas vous dire que c’est 100 % encore une fois, mais je peux vous assurer que ce sera beaucoup plus compliqué à trouver.

Aussi, si ces mots de passe vous les renouvelez régulièrement, c’est encore mieux. Imaginons : on fait tourner un script qui va forcer les tentatives de connexion à votre site, on imagine que vous n’avez pas mis de double authentification, etc.

Peut-être que le script va prendre 2 mois à trouver votre mot de passe ! Parce que s’il va trop vite il se fait bloquer, etc. Tout doucement, 1 fois par minute, il envoie un mot de passe et qu’au bout de 2 mois il le trouve, sauf si vous changez votre mot de passe tous les mois, à chaque fois, potentiellement il est censé recommencer puisque vous avez changé.

Donc le renouveler c’est une bonne idée aussi.

2. La sécurité et les backups

Les backups sont quelque chose de très important…

Alex : On ne le répète jamais assez.

Julio : On ne le répète jamais assez, parce que… je ne veux pas que les gens attendent de se faire pirater pour se dire : « j’aurais dû faire un backup, c’est maintenant qu’il m’en fallait un » ! Non ! Ça, c’est vraiment, vraiment dommage !

Donc on l’a déjà dit précédemment, il y a certains pirates un peu filous qui arrivent à s’infiltrer dans votre site et pendant trois mois, infiltrent vos backups, donc là c’est dommage, bien évidemment…

Si vous avez des backups, ça veut tout de même dire qu’il faut les faire vérifier un minimum, que ce soit la base de données ou les fichiers, avant de les remettre tout de suite en ligne en se disant c’est bon, c’est de nouveau propre. Assurez-vous quand même un petit peu de ça.

De toute façon, si vous avez des backups, ça veut dire que dans tous les cas, votre site est un peu plus sécurisé que celui qui n’en a pas.

On va faire le cas très simple : site A a un backup, site B n’a pas de backup :

le site A se fait pirater, il fait vérifier ses backups, il est reparti dans la journée,

le site B se fait pirater, il recommence à zéro, il ne repart pas dans la journée.

Si vous êtes un site marchand, il y a une énorme différence, si vous êtes un blog, vous avez perdu tous vos contenus, au pire vous allez retourner sur Wayback Machine pour essayer de retrouver vos contenus, faire des copier-coller, c’est une horreur.

Alex : Perte de temps !

Julio : Franchement, la plupart des gens abandonnent, surtout pour des blogs qui ne rapportent pas forcément si on fait pour le plaisir de donner ce qu’on sait, on n’a pas envie de reperdre tout notre temps.

Alex : Tu sais des fois, là ça arrive plus, mais que tu écris un article et que tu veux sauvegarder et que ça foire ! Quand tu écris 1 500 mots, même 500 mots, c’est horrible de refaire quelque chose une seconde fois.

Julio : C’est vrai, j’ai changé ma méthode, je ne l’écris plus dans WordPress.

Alex : ça ne le fait plus !

Julio : Moi ça me l’a fait, je tape mon contenu, je tape mon contenu…

Alex : Plus de connexion…

Julio : Je reviendrai plus tard là-dessus, le jeton de sécurité est invalide, je vais pour publier, et il me dit « alors on triche ! » et là j’ai peur de faire « retour » et là c’est écran blanc… NON ! Ça, c’est horrible !

Alex : Imaginez si vous perdez tout votre contenu, alors là…

Julio : Déjà un contenu c’est gênant, mais le site, ce doit être complètement horrible.

3. Les alertes de sécurité

On peut aussi être alerté de ce qui se passe sur le site. Ce n’est pas de la prévention, mais vous êtes plus sécurisé, car dès qu’il y a quelque chose qui arrive de bizarre sur votre site, si vous êtes alerté par mail, par exemple tous les 1/4 d’heure, un petit mail pour vous dire : « il s’est passé ça » – s’il ne se passe rien bien sûr pas de mail.

« Il s’est passé ça… il s’est passé ça » : si vous n’êtes pas alerté, ce sera un visiteur qui va venir vous le dire, un client qui n’arrive plus à acheter, vous, parce que vous allez voir votre site de temps en temps, c’est bien aussi d’aller vérifier de temps en temps que le site fonctionne.

Si vous attendez ce moment-là, ça peut être très très long et en attendant le piratage continue et continue et continue… parfois ça va jusqu’à Google et la page rouge ! Et les gens se disent « tiens je suis piraté ».

Alex : Et là il y a beaucoup de temps qui s’est passé !

Julio : Beaucoup trop, beaucoup trop. Moi on m’a déjà contacté plein de fois en me disant : « voilà notre site s’est fait pirater, on est en page rouge » « Ah bon ! ça ne date pas d’hier ? » « Non ça fait 3 mois qu’on galère à le remettre sur pieds »

Ils ont tellement attendu, ils n’ont pas réussi et ils arrivent à la page rouge ! Donc maintenant ça va être beaucoup plus difficile, beaucoup plus long parce qu’une page rouge, un consultant ne va pas pouvoir l’enlever, c’est Google qui décide de l’enlever ou non, donc ça peut prendre du temps, parce que c’est aussi vérifié par un humain de leur côté et c’est « gratuit », on demande ça à Google, c’est dans son service, donc forcément, ça prend beaucoup de temps.

Et je reviens au site marchand, c’est impossible, il ne peut pas se permettre ça ! On ne peut pas se permettre de perdre une semaine de chiffre d’affaires parce qu’on a voulu le faire nous-mêmes et gagner de l’argent soi-disant, non, non…

Donc, soyez alerté, mettez en place un système d’alerte. Lié à ce système d’alerte, surveillez votre site aussi.

4. La surveillance de votre site : formulaire de contact, système de paiement, fichiers, etc…

C’est-à-dire que bien évidemment on y va moins souvent que les visiteurs, mais je vous conseille de temps en temps, d’aller vérifier sur votre site, vous-même, que votre formulaire de contact fonctionne.

Parce que si votre formulaire ne fonctionne plus, ça veut dire que quelque part, votre service de mail est désactivé, et s’il est désactivé, c’est possible que vous hébergeur l’ait bloqué, parce qu’il a vu du spam sortir.

Donc, si vous ne recevez plus les mails du contact, si vous ne pouvez plus envoyer de mails à un client par exemple, alors que d’habitude vous le faites depuis votre site via je ne sais quels service ou plugin, depuis votre site, votre nom de domaine, il y a quelque chose de pas normal.

Surveillez votre site à ce niveau-là c’est assez important. Si vous êtes un site de e-commerce, pendant une journée vous ne faites pas de vente, ce n’est pas normal, il y a un énorme problème, ça veut dire que les passerelles de paiement sont désactivées ou simplement vous êtes bannis, votre IP, etc.

Ce n’est pas normal, si vous avez votre moyenne de ventes habituelle et hop, vous avez un creux aujourd’hui, il y a un gros problème, il faut tout de suite vérifier ! Ça c’est de la surveillance de site web.

Au niveau surveillance aussi, surveiller vos fichiers, regardez s’il n’y a pas de nouveaux fichiers…

Alex : Oui, on en a déjà parlé !

Julio : On n’en a déjà parlé… Regardez si les fichiers qui existent déjà n’ont pas été modifiés aussi, ça arrive. Il n’y a pas de nouveautés, mais il y a des fichiers modifiés.

Pourquoi pas des fichiers du core qui sont modifiés ? Alors là c’est encore pire ! Vous vous dites : « c’est bon, c’est WordPress je n’y touche pas », or il a été modifié, donc ayez un scanner de fichiers qui vous dit : « voilà, ça, c’est le fichier du core, il n’est pas comme il devrait être, vu sa version de WordPress, il ne contient pas ça normalement, il faut réparer ça tout de suite, il faut être alerté d’ailleurs de ça…

Alex : C’est pour cela qu’il faut avoir un outil, on ne peut pas aller fouiller et se permettre, on n’a pas le temps d’aller voir ce que se passe.

Julio : Non on ne peut pas, c’est inhumain, c’est inhumain. Un site, je ne sais pas combien il a de fichiers, minimum 1 500 jusqu’à… et je ne parle pas des uploads. Je ne sais pas, il y a au moins 1 500 fichiers minimum, c’est impossible et comment tu veux faire, tu l’ouvres et comment tu compares, à la main ? C’est impossible ! Il faut absolument le faire.

Prenez ce genre d’outil ! Dans Secupress, j’ai inclus, dans le scanner de malwares, ce genre de scan, donc ça scanne même si juste si le fichier du core a été modifié, donc si un développeur l’a modifié parce que c’était plus simple pour lui, ce n’est pas une bonne pratique, le plugin le verra en un simple clic vous pourrez cocher quels sont les fichiers qui viennent du core et qui ont été modifiés, vous faites “récupérer” et automatiquement les fichiers sont remplacés dans le core, etc.

Alex : OK !

Julio : Rien à faire : une coche, un clic et terminé.

Alex : Donc qu’est-ce qu’on peut voir d’autres aussi encore pour voir si c’est sécurisé ?

Julio : Parmi les points que je vous ai donnés dans les listes précédentes, SecuPress est capable de vérifier lui en interne une trentaine et à la fin de ses scans et de ses autocorrections, il va vous donner un grade, un peu justement comme GT Metrics le fait en externe.

Donc lui en interne SecuPress vous attribue un grade de A à G je crois, pour vous indiquer un petit peu où vous en êtes sur votre site et qu’est-ce que vous pouvez encore faire pour améliorer, il va vous rester tout ce qui est “non réparé”, à vous de le faire soit manuellement parce qu’il n’a pas les droits, ou parce que par exemple “PHP” : on ne peut pas modifier une version PHP en un clic évidemment, il faut contacter son hébergeur ou son administrateur, c’est beaucoup de travail en amont. Vous avez un peu cette note.

Sachez que si vous avez A ou B, c’est très bien, en dessous de B, ça commence à être un peu dommage.

Alex : OK. C’est bon ? On a fini notre petite liste ?

Julio : C’est un début de liste… Je pense qu’on va encore donner un article qui va approfondir le cas et pareil si vous avez d’autres idées, si vous avez eu ce genre de cas, n’hésitez pas à commenter pour qu’on améliore tout cela ensemble.

Alex : OK super ! Merci d’avoir regardé cette vidéo jusqu’au bout, et tant que vous êtes là, abonnez-vous pour recevoir la suite et puis allez voir SecuPress si vous ne l’avez pas encore installé, depuis le temps que vous regardez nos vidéos, ça commence un petit peu à faire…

Julio Potier & Alex de WP Marmite

