Ma présentation sur la sécurité avec WordPress faite au WordCamp Montréal 2016

1. Maxime Jobin
WordCamp Montréal 2016

2. Maxime Jobin
www.maximejobin.com
m@ximejobin.com
@maximejobin
Contributeur The WP Crowd
www.thewpcrowd.com
Utilisateur, Administrateur, Développeur et Formateur
.

3. WordPress et la sécurité
WordPress est le CMS le
plus piraté au monde!

5. Oui mais…
Un peu normal… il est également le plus utilisé.
WordPress est utilisé sur
environ 25% des sites web.
10 fois plus que son plus proche compétiteur, Joomla.

6. Le réseau électrique causant le plus de pannes au Québec!
Photo : La Presse

8. Qui peut être une cible ?
Après tout, je ne suis qu’une PME…

10. De quels types d’attaques parle-t-on ?
Le savoir, c’est le pouvoir!

11. Les types d’attaques
• Cross-site Request Forgery
• Hameçonnage
• Cross-site scripting (XSS)
• Attaque par force brute
• Injection de SQL
• Ingénierie sociale

12. Comment peut-on être infecté ?
• WordPress contient une faille de sécurité (plutôt rare)
• Un de vos thèmes contient une faille de sécurité
• Une de vos extensions contient une faille de sécurité
• Votre hébergeur est infecté
• Vos mots de passe ne sont pas sécuritaires
• Une autre application hébergée dans votre compte
contient une faille de sécurité

13. Comment éviter les problèmes ?
L’ ABC d’un site web sécuritaire en 2 étapes faciles!

15. 1. Faites vos mises à jour
WordPress doit être à jour en tout temps.
Vos thèmes doivent être à jour en tout temps.
Vos extensions doivent être à jour en tout temps.

16. 2. Mots de passe
Assurez-vous que vos mots de passe sont différents et
complexes:
• Hébergeur
• WordPress
• Courriel
• Ordinateur
• Registraire
Utilisez un
gestionnaire de
mots de passe!

17. 3. Utilisateurs
Réduisez le nombre d’administrateurs sur votre site au
maximum.
Évitez d’utiliser l’utilisateur « admin ».
Si vous l’utilisez, changez-le ou
supprimez-le.

18. 4. Utilisez un certificat SSL
Un certificat SSL encryptera les données transmises
entre votre ordinateur et votre site web.
Au minimum: forcez l’utilisation SSL pour les
connexions et la section d’administration:
define('FORCE_SSL_ADMIN', true);

19. letsencrypt.org : certificats SSL G-R-A-T-U-I-T-S

21. 5. Éléments non utilisés
Désactivez et supprimez les thèmes et les extensions
non utilisées.
Le seul fait d’être présent peut suffire à vous infecter.

22. 6. Copies de sauvegarde
Faites des copies de sauvegardes automatiques via une
extension: fichiers et base de données.
Testez vos copies de sauvegarde!
Et si elles ne fonctionnaient pas…

23. 7. Désactivez l’éditeur de code
En désactivant l’éditeur de codes des thèmes et
extensions, vous réduisez les risques d’erreurs et
d’infections.
define( 'DISALLOW_FILE_MODS', true );

24. 8. Ajustez les droits sur les fichiers
Si votre hébergeur utilise Linux ou Unix, assurez-vous
que:
• Les fichiers utilisent 644
• Les répertoires utilisent 755
DANGER: NE JAMAIS UTILISER 777 !!!

25. 9. Utilisez des sources fiables
N’installez JAMAIS un thème ou une extension d’une
source à qui vous ne donneriez pas votre numéro de
carte de crédit.
Une fois le code installé, tout peut arriver!

26. 10. Installez une extension de sécurité
Installez et configurez adéquatement une extension de
sécurité:
• iThemes Security
• WordFence
• Sucuri Scan
Validez que vous recevez les alertes… et prenez-les au sérieux!

27. 11. Utilisez une authentification double
Pour vous connecter, vous devrez fournir un code
supplémentaire qui change aux 30 secondes!

28. 12. Inscrivez-vous à un service de monitoring
Ce service pourra vérifier si votre site est disponible et
vous en aviser s’il y a un problème.
• Pingdom.com
• UptimeRobot.com
• Site24x7.com
• UpTrends.com

29. 13. Utilisez un firewall
Un firewall a pour objectif de filtrer les requêtes dans le
but de bloquer celles qui sont « louches ».
Si votre hébergeur n’a pas
de firewall, utilisez CloudFlare.

30. 14. Utilisez un antivirus
Votre ordinateur personnel doit être protégé!
Et si un intrus récupérait les signets de votre
application FTP… Oups!

31. 15. Recherchez un hébergeur fiable
Personnellement, je recommande:
• SiteGround : hébergement partagé;
• DigitalOcean : hébergement virtualisé;
• AWS : hébergement virtualisé à grand
déploiement.

32. 16. Utilisez du code « populaire »
Plus il y a d’yeux sur le code, meilleures
sont les chances que les failles soient
corrigées rapidement.
Évitez donc les thèmes et extensions peu utilisés.

33. Comment réparer un site infecté ?
Si vous êtes victime d’une attaque, ne désespérez pas!

34. Si votre site a été infecté…
• Préparez la liste de vos identifiants pour accéder à:
– Votre panneau de configuration (cPanel)
– Vos thèmes et extensions premium
– Vos copies de sauvegarde
• Trouvez un expert pour désinfecter votre site web.

35. Pour plus d’informations
www.maximejobin.com/wcmtl-2016

36. Des questions ?