Sécuriser WordPress

Le Cyber Espace

La première loi qui nous protège toutes et tous sur le sol français commence par :

La loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus connue sous le nom de « loi informatique et libertés » est une loi française qui règlemente la liberté de traitement des données personnelles, c’est à dire la liberté de ficher les personnes.

Celle-ci a été consolidée en 2018 et vous pouvez la consulter sur les liens de la CNIL ou de LEGIFRANCE.

Il est intéressant de prendre connaissance de cette loi car sur certains points, celle-ci va nous permettre de choisir notre hébergeur pour des raisons simples. L’emplacement des données sur le sol français, la loi protectrice qui s’y rapporte.

le Cyber Espace Planétaire

Nous faisons partie d’un tout et le cyber espace va au-delà des frontières, le cyber espace est planétaire et invisible mais les lois sont bien réelles, celles qui s’appliquent quotidiennement à nos systèmes d’informations.

Cyber-Sécurité

La CNIL

Le nouveau règlement européen sur la protection des données personnelles paru au journal officiel de l’Union européenne entrera en application le 25 mai 2018. L’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique.

Et ce qui change pour les professionnels aussi ! un peu de lecture, encore de la lecture… CNIL encore et toujours, notre amie…

RGPD règlement général sur la protection des données et la CNIL

Les professionnels doivent concentrer leurs actions sur la mise en conformité aux nouvelles règles applicables à partir du 25 mai 2018.

Le RGPD est une étape majeure dans la protection des données. Il vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Il consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données.

Je vous ai déjà parlé de la CNIL et je vous incite à aller sur leur site et lire tranquillement l’article sur le RGPD.

La protection des données informatiques se renforce avec ces nouvelles obligations, les mises à jour en continu de nos systèmes d’informations, le passage en HTTPS de nos sites.

Les attaques possibles

Comment un site peut-il être attaqué ? Les virus, les trojans (cheval de troie), les hackers, une redirection vers un site marchand…

Pourquoi votre site serait-il attaqué ? Des failles de sécurité, le manque de maintien des dernières versions de CMS,  parce que le CMS que vous utilisez prend de l’ampleur, par jeu, pour relever le défi de pouvoir hacker un site, etc…

L’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Informations met à disposition ses connaissances et prérogatives afin de nous informer sur les mesures de prévention contre les attaques informatiques.

Voici leurs conclusions :

Au quotidien, les principales lacunes de sécurité constatées par le Centre de cyberdéfense sont :

  • des systèmes et des applications, dont les sites Web, qui ne sont pas à jour de leurs correctifs de sécurité,
  • une politique de gestion des mots de passe insuffisante (mots de passe par défaut ou trop simples et non renouvelés régulièrement…),
  • une absence de séparation des usages entre utilisateur et administrateur des réseaux,
  • un laxisme manifeste dans la gestion des droits d’accès,
  • une absence de surveillance des systèmes d’information (analyse des journaux réseaux et de sécurité),
  • un cloisonnement insuffisant des systèmes qui permet à une attaque de se propager au sein des réseaux,
  • une absence de restrictions d’accès aux périphériques (supports USB…),
  • une ouverture excessive d’accès externes incontrôlés au système d’information (nomadisme, télétravail ou télé administration des systèmes),
  • une sensibilisation et une maturité insuffisantes des utilisateurs et des dirigeants face à la menace dont ils ne perçoivent pas les risques.

Nos services de maintenance

Mettre à jour le CMS WordPress régulièrement est nécessaire pour la sécurité de votre site web et prévoyant dans les cas de piratage. Chaque mise à jour du cœur de WordPress apporte des correctifs de sécurité. Il en va de même pour les plugins.

La communauté WordPress propose les versions lorsqu’elles sont stables.

  • Une version majeure (ex version 4.8.0) qui doit être installée manuellement.
  • Des versions mineures (ex version 4.8.1 / 4.8.2 / 4.8.N) qui s’installent automatiquement via un code dédié intégré à la version majeure.

La communauté WP préconise des sauvegardes sur disque dur externes avant la mise à jour. Ces sauvegardes des fichiers et des bases de données sont à conserver au minimum sur deux disques durs externes : le vôtre et le serveur de votre hébergeur par exemple.

Notre travail

Nous assurer que les mises à jour soient toujours effectives et respectent les règles du W3C (le Word Wild Web Consortium).

Comment s’y prendre ?

Première étape :  la sauvegarde de la version actuelle du site ; base de données et fichiers wordpress ; SQL et FTP.

SQL: Le SQL (Structured Query Language) est un langage permettant de communiquer avec une base de données. Ce langage informatique est notamment très utilisé par les développeurs web pour communiquer avec les données d’un site web. SQL.sh recense des cours de SQL et des explications sur les principales commandes pour lire, insérer, modifier et supprimer des données dans une base.

FTP : Protocole de transfert de données.

File Transfer Protocol
protocol de transfert de fichier, ou FTP, est un protocole de communication destiné au partage de fichiers sur un réseau TCP/IP. Il permet, depuis un ordinateur, de copier des fichiers vers un autre ordinateur du réseau, ou encore de supprimer ou de modifier des fichiers sur cet ordinateur. Ce mécanisme de copie est souvent utilisé pour alimenter un site web hébergé chez un tiers. (wikipédia)

La sauvegarde de la base de données est souvent réalisée par défaut par l’hébergeur, quotidiennement. Lorsque vous entreprenez de faire ce travail de mise à jour, il est préférable de faire une sauvegarde dite manuelle. Celle-ci se fait sur la connexion de l’hébergeur, via le protocole SQL que nous trouvons dans le phpmyadmin. Il suffit de se connecter à cet outil et d’exporter au format SQL la base de données, à conserver dans un répertoire dédié.

La sauvegarde des fichiers du CMS se font via le protocole FTP, à utiliser sur l’outil FTP, très souvent FileZilla pour PC, Duke pour MAC. Ces outils se téléchargent facilement sur le web, puis les connexions sont nécessaires, connexions envoyées par l’hébergeur lors de la prise d’un hébergement.

Deuxième étape : Installer la nouvelle version majeure directement dans le CMS. Par cette action, le CMS et la base de données sont mis à jour avec la dernière version de votre CMS.

Troisième étape : Refaire une sauvegarde à l’identique de votre nouvelle mise à jour (première étape). A noter qu’il est important de bien structurer son disque dur externe et ses répertoires pour une meilleure organisation.

Quatrième étape : Vérifier les plugins et templates en bon état de fonctionnement sur la nouvelle version du CMS et s’assurer de la bonne fonctionnalité du site dans son ensemble.

En supplément : Conserver les 2 dernières sauvegardes sur disque dur externe à disposition de nos clients.

Le HTTPS

Qu’est ce que c’est ? HTTP est LE protocole informatique qui permet la visualisation des données (les sites web notamment) sur nos ordinateurs via le réseau internet. Ce fameux Cyber Espace !

Wipipédia le définit comme suit :

Hypertext Transfer Protocol, plus connu sous l’abréviation HTTP — littéralement « protocole de transfert hypertexte » — est un protocole de communication client-serveur développé pour le World Wide Web.

 

HTTPS (avec S pour secured, soit « sécurisé ») est la variante du HTTP sécurisée par l’usage des protocoles SSL ou TLS.

 

HTTP est un protocole de la couche application. Il peut fonctionner sur n’importe quelle connexion fiable, dans les faits on utilise le protocole TCP comme couche de transport. Un serveur HTTP utilise alors par défaut le port 80 (443 pour HTTPS).

 

Les clients HTTP les plus connus sont les navigateurs Web permettant à un utilisateur d’accéder à un serveur contenant les données. Il existe aussi des systèmes pour récupérer automatiquement le contenu d’un site tel que les aspirateurs de site Web ou les robots d’indexation.

Google annonce depuis quelques années sa détermination à indexer et référencer les sites utilisant le protocole HTTPS au détriment du précédent, et sous peine de voir les dits sites ne plus être référencés par le géant des navigateurs. Faut-il s’y soumettre ? Le géant fait-il un passage en force ? Ceci est un débat intéressant…

Vous retrouverez sur le forum support de Google comment faire évoluer le protocole de votre site, ainsi que sur plusieurs tutos dont celui de Rosita Bianco, ma collègue et amie de longue date. Nous travaillons ensemble très souvent et nous échangeons sur ces sujets.

Je vous encourage à lire cet excellent tuto aussi… chez anthedesign.fr

Le passage en HTTPS et le certificat SSL

C’est à votre hébergeur qu’il revient de vous procurer un certificat SSL gratuit et/ou payant mais c’est à vous de le déployer sur votre site.

Pour les nouveaux sites, nouveaux hébergements, tous les hébergeurs ont oeuvré pour proposer le certificat SSL à l’achat de l’hébergement.

Pour les sites développés sous l’ancien protocole HTTP, c’est un travail de maintenance qui s’impose. Vous pouvez lire l’excellent tuto de Rosita sur ce sujet déjà mentionné plus haut.

Petite revue :
OVH : Certificat SSL gratuit et facile à installer, migration sans aucune difficulté.
DRI : Certifcat plus compliqué à mettre en place, je redoute la migration.
Gandi : Je viens de planter un site à cause de leur certificat, pas de réponse du support, je galère !
Nuxit : Je vais tester mais apparemment, natif avec les nouveaux hébergements.
PlanetHoster : Certificat SSL gratuit et facile à installer, migration sans aucune difficulté.

La sécurité revient comme un sujet des plus importants dans la société où nous vivons actuellement et il nous appartient de faire le nécessaire pour respecter ces quelques règles, parfois imposées, mais de bon sens.
Bonne lecture.
Emmanuelle

Share This