Sécurité: Ne soyez pas à risque

309 views

Published on

Ma présentation sur la sécurité avec WordPress faite au WordCamp Montréal 2016

Published in: Internet
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
309
On SlideShare
0
From Embeds
0
Number of Embeds
219
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Back WP Up, VaultPress, BackupBuddy, …
  • Funio n’est pas fiable
    Est-ce que la configuration est à jour ? Délai de réponse, reviews
  • Éviter de simplement ramener un backup
  • Sécurité: Ne soyez pas à risque

    1. 1. Maxime Jobin WordCamp Montréal 2016
    2. 2. Maxime Jobin www.maximejobin.com m@ximejobin.com @maximejobin Contributeur The WP Crowd www.thewpcrowd.com Utilisateur, Administrateur, Développeur et Formateur .
    3. 3. WordPress et la sécurité WordPress est le CMS le plus piraté au monde!
    4. 4. Oui mais… Un peu normal… il est également le plus utilisé. WordPress est utilisé sur environ 25% des sites web. 10 fois plus que son plus proche compétiteur, Joomla.
    5. 5. Le réseau électrique causant le plus de pannes au Québec! Photo : La Presse
    6. 6. Qui peut être une cible ? Après tout, je ne suis qu’une PME…
    7. 7. De quels types d’attaques parle-t-on ? Le savoir, c’est le pouvoir!
    8. 8. Les types d’attaques • Cross-site Request Forgery • Hameçonnage • Cross-site scripting (XSS) • Attaque par force brute • Injection de SQL • Ingénierie sociale
    9. 9. Comment peut-on être infecté ? • WordPress contient une faille de sécurité (plutôt rare) • Un de vos thèmes contient une faille de sécurité • Une de vos extensions contient une faille de sécurité • Votre hébergeur est infecté • Vos mots de passe ne sont pas sécuritaires • Une autre application hébergée dans votre compte contient une faille de sécurité
    10. 10. Comment éviter les problèmes ? L’ ABC d’un site web sécuritaire en 2 étapes faciles!
    11. 11. 1. Faites vos mises à jour WordPress doit être à jour en tout temps. Vos thèmes doivent être à jour en tout temps. Vos extensions doivent être à jour en tout temps.
    12. 12. 2. Mots de passe Assurez-vous que vos mots de passe sont différents et complexes: • Hébergeur • WordPress • Courriel • Ordinateur • Registraire Utilisez un gestionnaire de mots de passe!
    13. 13. 3. Utilisateurs Réduisez le nombre d’administrateurs sur votre site au maximum. Évitez d’utiliser l’utilisateur « admin ». Si vous l’utilisez, changez-le ou supprimez-le.
    14. 14. 4. Utilisez un certificat SSL Un certificat SSL encryptera les données transmises entre votre ordinateur et votre site web. Au minimum: forcez l’utilisation SSL pour les connexions et la section d’administration: define('FORCE_SSL_ADMIN', true);
    15. 15. letsencrypt.org : certificats SSL G-R-A-T-U-I-T-S
    16. 16. 5. Éléments non utilisés Désactivez et supprimez les thèmes et les extensions non utilisées. Le seul fait d’être présent peut suffire à vous infecter.
    17. 17. 6. Copies de sauvegarde Faites des copies de sauvegardes automatiques via une extension: fichiers et base de données. Testez vos copies de sauvegarde! Et si elles ne fonctionnaient pas…
    18. 18. 7. Désactivez l’éditeur de code En désactivant l’éditeur de codes des thèmes et extensions, vous réduisez les risques d’erreurs et d’infections. define( 'DISALLOW_FILE_MODS', true );
    19. 19. 8. Ajustez les droits sur les fichiers Si votre hébergeur utilise Linux ou Unix, assurez-vous que: • Les fichiers utilisent 644 • Les répertoires utilisent 755 DANGER: NE JAMAIS UTILISER 777 !!!
    20. 20. 9. Utilisez des sources fiables N’installez JAMAIS un thème ou une extension d’une source à qui vous ne donneriez pas votre numéro de carte de crédit. Une fois le code installé, tout peut arriver!
    21. 21. 10. Installez une extension de sécurité Installez et configurez adéquatement une extension de sécurité: • iThemes Security • WordFence • Sucuri Scan Validez que vous recevez les alertes… et prenez-les au sérieux!
    22. 22. 11. Utilisez une authentification double Pour vous connecter, vous devrez fournir un code supplémentaire qui change aux 30 secondes!
    23. 23. 12. Inscrivez-vous à un service de monitoring Ce service pourra vérifier si votre site est disponible et vous en aviser s’il y a un problème. • Pingdom.com • UptimeRobot.com • Site24x7.com • UpTrends.com
    24. 24. 13. Utilisez un firewall Un firewall a pour objectif de filtrer les requêtes dans le but de bloquer celles qui sont « louches ». Si votre hébergeur n’a pas de firewall, utilisez CloudFlare.
    25. 25. 14. Utilisez un antivirus Votre ordinateur personnel doit être protégé! Et si un intrus récupérait les signets de votre application FTP… Oups!
    26. 26. 15. Recherchez un hébergeur fiable Personnellement, je recommande: • SiteGround : hébergement partagé; • DigitalOcean : hébergement virtualisé; • AWS : hébergement virtualisé à grand déploiement.
    27. 27. 16. Utilisez du code « populaire » Plus il y a d’yeux sur le code, meilleures sont les chances que les failles soient corrigées rapidement. Évitez donc les thèmes et extensions peu utilisés.
    28. 28. Comment réparer un site infecté ? Si vous êtes victime d’une attaque, ne désespérez pas!
    29. 29. Si votre site a été infecté… • Préparez la liste de vos identifiants pour accéder à: – Votre panneau de configuration (cPanel) – Vos thèmes et extensions premium – Vos copies de sauvegarde • Trouvez un expert pour désinfecter votre site web.
    30. 30. Pour plus d’informations www.maximejobin.com/wcmtl-2016
    31. 31. Des questions ?

    ×