 Donc aujourd'hui, la formation, ça va être comment sécuriser un site WordPress. Donc ce que je vais vous présenter aujourd'hui, c'est un mélange de mon expérience en milieu de travail. Donc vous allez voir là qu'il y a vraiment beaucoup de contenus. Donc mon écran a arrêté de partager. Je pense que je vais mettre sur mon même écran dans la pelle ici parce que sinon mon écran, je l'ai mis, va l'archer de présentation. On ne veut pas ça. Donc voilà. Donc super. Donc, comme je vous l'ai dit, ça va être comment sécuriser un site WordPress. Voici en fait ce que je vais vous présenter, ce qu'on va couvrir dans la présentation. Donc on va commencer avec une partie qui est à propos de moi pour m'introduire parce que probablement qu'il y en a plusieurs qui ne me connaissent pas. Par la suite, je vais vous faire une petite introduction à la sécurité. Pourquoi la sécurité, les optimisations qui sont possibles à faire et une conclusion. Donc à propos de moi, donc voilà, ça c'est bien. Donc en fait, je m'appelle Nicolas Johnson. J'ai étudié en technique d'intégration multimédia au cégep de Saint-Gérôme. Donc de 2012 à 2016. Donc oui, j'allais pas faire. En trois ans, j'ai dû reprendre un cours que j'ai dit finalisé. Mais j'ai terminé. Par la suite, j'ai travaillé en agence de 2015 à 2021. Donc je travaillais pour quatre agences différentes où j'ai pu acquérir différentes compétences par ci par là. J'ai souvent été dans l'environnement de WordPress. Mais j'ai aussi fait du nageanteau, du shop et faillet. J'ai travaillé avec différentes MS, différentes technologies. Je travaillais avec WordPress depuis 2015. Donc ça va faire pratiquement un bon 10 ans. J'ai toujours travaillé à la page après les heures de bureau. Donc toujours des petites références d'amis, de cousins, de gens que je connaissais dans mon entourage. Et c'était toujours dans le début, éventuellement, de lancer ma business. Et puis j'ai été chercher, en 2022, ma testation de spécialisation professionnelle. Donc un aspect en lancement d'entreprise. Donc ça m'a donné la confiance qui me manquait pour pouvoir me lancer en affaire. J'en ai profité aussi pour dans le cours. On faisait notre plan d'affaire. Finalement, le plan d'affaire, je l'ai pas mal. Je l'ai pas mal mis à l'eau par la suite. Puis on s'entend. Cet plan d'affaire, c'est pour t'aider à savoir où tu t'en vas, mais en même temps, une fois que tu es dans la réalité, c'est pas exactement ça. Et finalement, en 2021, j'ai fondé l'entreprise Pinia Data. Donc Pinia Data, c'est quoi? On est vos experts en optimisation de cette web. Donc pas seulement WordPress. Donc oui, aujourd'hui, c'est une formation qui porte sur la sécurité WordPress. On est au WordCamp, mais on optimise des sites web de toute sorte. On en a des fois en Squarespace, en Wix. On en est en Shopify beaucoup. Donc l'idée, c'est d'être votre partenariat idéal pour optimiser la performance, le référencement sur la sécurité, d'où nous vient l'expertise que je vous partage aujourd'hui. L'accessibilité qui est super importante. Et on fait aussi du développement écoresponsable. Donc on peut vous aider si jamais. Vous voulez faire attention à la planète. Donc on peut s'assurer d'avoir l'idée dans la bonne direction et de mettre en place les optimisations nécessaires pour rendre votre site web plus écoresponsable. Donc ensuite, regardez ce que je vais faire. Je vais juste prendre l'onglet de Open. Je vais juste le mettre à droite parce que sinon je ne verrai pas si jamais je ne vois pas ce que vous écrivez. Vous voyez là, je vois double micro. Je peux peut-être... Donc c'est ça, le son n'est pas dans ce que vous me dites. Je vais voir ce que je peux faire avec ce micro-là parce que vous m'entendez bien. Est-ce que vous m'entendez bien avec ce micro-là? C'est mieux, il n'y a plus de son Nico. On va y aller comme ça, je suis vraiment désolé pour le son. Pour la suite, je vais bien m'en prendre. Je vais recommencer cette slide-là. Vous allez pouvoir bien comprendre. En fait, Pina Data, c'est l'entreprise que j'ai fondée en 2021. On est des experts dans l'optimisation de cette web. Ça passe dans le fond par l'optimisation de la performance, le soleil, la sécurité, l'expertise que je vous partage aujourd'hui. L'accessibilité plus le développement est correspondable. Donc si jamais vous voulez faire attention à la planète, on est en mesure de vous aider à rendre votre site web moins polluant, donc possiblement plus rapide. Donc le son saute, on va essayer, c'est peut-être le point qui est déplacé sur mon micro. Ok, c'était pas bien créé, si jamais le son est encore pas très bon. Donc sinon, on offre aussi là maintenant, c'est du support technique à nos clients. Plus sinon, pour le Pina Data, la signification, c'est que le N de Pina se prononce en fait comme un N espagnol avec la petite vague dessus. Donc sans prendre le mot Pina, ça signifie en fait ananas en espagnol. Dans certaines cultures, on dit que l'ananas est un signe de bienvenue, d'inclusivité. Et le mot data, c'est simplement la traduction anglaise du mot data. Donc on disait encore avec ça de débrancher le micro. Et comme ça, c'est pas mieux. Je suis changé le mode, je sais pas si c'est le mieux. Ok, bon, on me dit go go go. Regardez, je vais passer cette slide là. Je ne vais pas non plus faire perdre trop de votre temps. Donc première des choses, est-ce que WordPress, est-ce que vous êtes en raison entre autres de sa grande popularité? WordPress, c'est fait partie des CMS qui sont les plus ciblés par les appareils. Donc c'est bien entre autres de sa grande popularité. Il y a d'autres raisons bien sûrs. Mais on peut déjà voir qu'il y a 90 000 attacks sur des sites WordPress chaque minute. Donc si on regarde aussi à la droite dans le tableau, dans les CMS qui ont le plus d'infection, c'est vraiment WordPress qui ressort. Donc en certain, il y a plusieurs raisons. Mais étant donné qu'il y a plus de sites WordPress que des autres CMS, c'est sûr que ça a un impact sur le nombre d'attacks qu'il peut y avoir. Donc ça devient d'autant plus important de sécuriser votre site WordPress. Ensuite, les attaques qui sont les plus communes. Donc c'est les attaques en force brute. Donc ça, c'est une méthode ou un attaque qui entend de deux chicots à mot de passe ou d'accéder à un système en essayant plutôt que les combinaisons. Donc il va essayer tous les mots de passe pour essayer de se connecter à votre compte. Ensuite, il y a les injections SQL qui sont en fait des attaques où un pirate va insérer du code SQL qui va être malveillant dans votre site Web pour potentiellement modifier, supprimer ou tout simplement accéder à des données de votre base de données. Donc ça vient à ce moment-là compromettre la sécurité de votre site Web. Et les attaques d'EDOS qu'on appelle d'Initialice Distribute. Donc c'est des attaques où il y a plusieurs ordinateurs ou dispositifs qui sont infectés, qui sont utilisés pour inonder un site Web ou un service en ligne qui finalement le rend inaccessible aux utilisateurs par la suite. Et l'autre, c'est le cross-site scripting où qu'on va boire dans les prochaines présentations XSS qui est en fait une file de sécurité qui permet d'injecter du contenu dans une page. Donc je trouvais important de vous donner la définition de ces quatre termes-là parce qu'il y a plusieurs optimisations que je vais vous présenter qui vont venir potentiellement limiter le nombre d'attaques de ces différents points-là. Donc pourquoi la sécurité? Tout simplement parce que, en raison comme je disais tout à l'heure de sa popularité, la WordPress c'est une cible de choix pour les pirates. Les vénérabilités connues de WordPress sont souvent exploitées et donc ça rend crucial de renforcement de la sécurité. Parce que comme c'est open source, c'est open source que aussi les gens sont capables de savoir de voir le code et potentiellement d'exploiter les files qu'il pourrait y avoir. Donc les vénérabilités potentielles, donc j'en parlais un petit peu, mais ça signifie que le code comme il est accessible à tous, on peut potentiellement exploiter les différentes vénérabilités. Ensuite on a les attaques automatisées. Donc ça réalise trouver des sites WordPress qui sont vulnérables. Donc il y a des gens qui sont capables de pouvoir faire une automatisation ou retrouver des sites qui sont vulnérables. Puis là, à ce moment-là, avec les vénérabilités, ils vont aller exploiter ces files-là. Donc si on ne met pas en place les optimisations qu'il faut, on pourrait être ciblé par ces applications-là. Ensuite l'école de données. Donc c'est ça qu'on ne veut pas se faire hacker notre site Web qu'on veut le sécuriser parce que si on a des données sensibles dont des données personnelles sur des acheteurs sur votre site, des membres de votre site, donc toutes sortes de données personnelles relatives à des utilisateurs, c'est sûr qu'on peut protéger ces informations-là. Donc raison plus de sécuriser son site WordPress. Et ensuite, on a la perturbation du site. Donc les pirates peuvent seulement perturber votre site Web. Donc pas nécessairement, juste retirer ou détruire le site d'une quelconque façon, mais ils pourraient simplement juste ajouter des contenus surveillants. Comme il y a l'heure encore, je suis tombé sur un site Web qu'il y avait un article dans leur blog qui était écrit en russe. C'était le seul qui était écrit en russe. Il y avait plein de liens là-dedans qui pointaient vers d'autres sites. C'était un signe pour moi que le site Web avait été potentiellement hacker. Je suis tombé là-dessus par hasard. C'était même pas un autre client. Donc je les ai contactés et on va voir ce qu'il y en est. Mais après moi, ils ont été hacker. Ensuite, il y a aussi la réputation. Donc s'il y a des choses qui sont compromises ou qui sont non fonctionnelles sur votre site Web, la cause claire de cette web a été hacker. C'est sûr que ça peut honte d'amager votre réputation. Les visiteurs pourraient décider d'aller sur votre site et viendront en arrière. Puis ils s'en vont sur le site d'un compétiteur et ils ne viennent plus jamais sur votre site. Ou s'ils sont hackers parce qu'ils ont quitté sur un lien de votre site qui était hacker. À ce moment-là, après ça, c'est sûr que ça devient de votre faute aux yeux de l'utilisateur. Ça, c'était les raisons du pourquoi classique de web est important. Et finalement, les optimisations. Donc il y en a à peu près de quinzaine. On s'entend. Il y a plein d'autres optimisations qu'on peut faire. Mais j'y étais avec l'essentiel, avec ce qui est le plus important à vous présenter. Donc, première des choses, les mises à jour régulièrement. Donc c'est sûr que la première des choses qui est la plus importante au niveau de WordPress c'est vraiment les mises à jour. Parce qu'au niveau de PHP, on a à peu près une mise à jour au majeur parallèle. On s'entend. Il y a plein de petites mises à jour. Mais c'est à peu près une fois par année une mise à jour au majeur. WordPress, environ deux mises à jour de majeure par année, encore une fois. Il y en a plein de petites. Si on sort une version 6.3.0, c'est une mise à jour au majeur. Si on arrive avec un 6.3.1, je ne l'ai pas compté là-dedans, mais ça c'est un petit fixe minor. Donc ici je parle vraiment des mises à jour au majeur. Et ensuite, un thème, c'est très vague. Encore une fois, c'est un approximatif. Mais j'ai mis deux à 30 mises à jour par année. Ça dépend toujours du thème. Quand on achète par exemple un thème, on va dire Team Forest, là-dessus c'est un thème très spécifique que vous avez peut-être acheté parce que vous voyez le visuel qui était dans la démo du thème. Il y a des bonnes chances qu'il n'y ait pas de temps de mise à jour que ça par année parce qu'il n'y a pas autant de popularité qu'il y a d'autres thèmes qui sont plus maléables. Donc un thème plus maléable comme par exemple Eloteam qui sert pour les citoyens qui utilisent les Elementor. Mais eux, les Elementor, il y a plus d'un million de téléchargements. Il y a beaucoup de gens qui utilisent Eloteam. Donc il y a beaucoup plus de code figure, de nouvelles fonctionnalités, des fixes qui font-dessus. Donc eux, en moyenne, de ce que j'ai pu voir, il y a une trentaine de mises à jour par année. Donc encore là, ça dépend du thème que vous utilisez. Et ensuite, tout dépendant du nombre d'extensions qui sont installées, ça peut varier en deux à dix mises à jour personnelles. C'est à peu près l'équivalent d'une mise à jour par plug-in par mot. Encore une fois, c'est approximatif. Mais nous, c'est à peu près ça qu'on voit un deux à dix mises à jour par semaine. Nous on fait les mises à jour à toutes les semaines de certains de nos clients qui pour eux trouvent que c'est important de faire l'entretien de leur citoyen. Et comme on peut voir en bas, j'ai mis une petite statistique. 42% des sites WordPress ont au moins une composante qui est vénérable. Ça veut pas dire que 42% des plug-ins des thèmes du core de WordPress est vénérable. Ça veut juste dire que probablement qu'il n'y a pas assez de mises à jour qui sont faites fréquemment. Donc ça laisse des vulnérabilités sur le site WordPress. Ensuite, il y a la protection du compte utilisateur. Donc ça, c'est super important comme optimisation. Donc si un utilisateur n'a pas besoin de tout faire, on peut le rétrograder d'administrateur parce que le nom d'administrateur, ça peut absolument tout faire. Ça peut accéder à l'information. Ça peut modifier, supprimer autant des pages que des plug-ins que des thèmes. Donc ça, on le met en auditeur. Il va avoir accès aux articles. Il va avoir accès aux pages. Mais il y a bien des affaires qui repassent comme les fichiers du thème, comme les plug-ins. Donc à ce moment-là, on vient beaucoup plus de protéger. Donc il faut vraiment limiter le nombre d'administrateurs. Ensuite, on peut toujours mettre une authentification à double facteur. Ça, ça veut dire que quand on met ça en place, on peut faire via le plug-in qui est mentionné ici. Ça fait en sorte que si quelqu'un essaie de vous de se connecter à votre compte et qui réussit à rentrer les bonnes informations, ça va quand même vous envoyer un code parcourriel. Donc seul vous avec accès à ce code-là pour vous connecter. Donc à ce moment-là, il va falloir qu'il trouve une autre façon de pouvoir accéder à l'admin du site. Donc, on s'entend. Un hacker, tu ne peux pas l'empêcher de pirater le site web, mais tu peux lui mettre des bâtons dans les roues. Si il voit que c'est trop difficile, bien, éventuellement, il va abandonner et il va passant un site web qui est moins sécurisé, qui est plus vénérable. L'autre chose, c'est les mots de passe fort qui peuvent réduire les risques de connexion par justement par vu d'autres forces. Puis, une statistique en bas liée à ça, ben, 8% des sites WordPress donc soient probablement plus que 60 millions parce que, je pense qu'il y a au-dessus 800 millions de sites web qui sont faites avec WordPress. Donc, ce sera environ ça le nombre qui sont hackers à cause de mots de passe qui sont faibles. Donc, s'entend, c'est quelque chose de super niaiseux, mais pourtant, c'est parce que nous, on le sait, on parle de l'expert, mais nos clients ne le savent pas nécessairement. Donc, à ce moment-là, t'sais, c'est important de faire en sorte de forcer le fait de mettre des mots de passe fort. Parce que sinon, nos clients, si ils ont la possibilité de mettre un mot de passe facile qui vont se rappeler et qui vont écrire sur un post-it, ben, c'est sûr qu'ils vont le faire. Ensuite, la conversion HTTPS. Donc, c'est... la connexion HTTPS, ça va permettre de chiffrer les communications entre le navigateur et le serveur pour pas qu'on accède à des données personnelles sur la personne qui tentent de se connecter sur la site web. Donc, si ton site web est en HTTPS, ben, non seulement il y a ça, mais en HTTPS aussi, il y a le petit message depuis quelques années qui me dit site non sécurisé, puis qu'en plus, c'est un petit fenêtre qui me dit, vouliez-vous continuer sur ce site dont je veux. Donc, ça aussi, ça vient affecter votre réputation. Les gens veulent pas aller de nos jours sur un site qui est en HTTPS de cour. Mais ici, je vais vous montrer un peu notre procédure, puis après ça, je vais vous parler de release simple SSL ou de plugin. Pour effectuer une conversion HTTPS, ben, on va obtenir puis installer un certificat SSL. Donc, généralement, les hébergeurs de mon jour ils utilisent Let's Encrypt en arrièreur. Donc, ça leur permet pour eux de générer pour toi un certificat SSL gratuitement. On peut aussi le générer par nous-mêmes. Il y a plusieurs façons. Ben, moi souvent, j'y vais, j'y vais via le panneau de l'hébergement de mon site Web. Puis, je m'envole, je m'envole générer. Des fois, je vais contacter l'hébergement. Ça dépend de l'installation, mais généralement, les hébergeurs sont tout le temps capables de vous aider avec ça, si vous avez de la difficulté. Après ça, on va forcer la redirection HTTP vers HTTPS. Donc, on va forcer à ce que tout passe par HTTPS. Là, ça va nous créer potentiellement des contenus mixtes ou en anglais des mixtes comme toutes. Donc, ça, cette page-là va charger peut-être des images ou des ressources des scripts encore en HTTPS tout court. Donc, à ce moment-là, ça crée des erreurs qu'on appelle des mixtes content. Donc, ça va être de remplacer toutes les instances HTTP, j'ai écrit HTTPS deux fois, mais toutes les instances de HTTP par HTTPS sont bases de données. Puis, si on le fait dans la base de données qu'on a encore des mixtes content, c'est probablement que dans votre code de gain custom ou un thème custom que vous allez rentrer à brur, donc, encoder des HTTP de point. Mais, ça se peut que ça charge encore. Donc, du travail automatique, du travail un peu plus manuel à faire et le pourquoi de la mention de release import SSL, c'est pas nécessairement un mauvais plug-in. Il y en a beaucoup qui l'utilisent pour forcer le HTTPS. La seule chose, c'est qu'il n'y a pas de temps un plaster par-dessus un problème qui reste là. Parce que le jour où il y a un bug dans le plug-in, bien, le site Web est plus en HTTPS parce que ça relève sur le plug-in. Moi, j'aime bien mieux faire le travail manuel de tout faire ça et de pas réveiller sur un plug-in. De toute façon, plus on est plug-in, plus on charge d'escript, plus on est plus en charge de la base de données. Donc, si vous n'avez pas l'expertise, bien, il y a des agences de optimization et d'entraîncés qui sont en mesure de pouvoir vous aider. Donc, si jamais vous êtes dans de l'inconnu, bien, n'hésitez pas à lui contacter. Ensuite, le préfet de la base de données. Donc, par défaut, toutes les tables de la base de données d'AwarePress vont commencer par bas en bas d'AwarePress. Le problème avec ça, c'est que c'est connu de tous. Donc, un attaquant pourrait cibler directement les tables de base de données avec bas en bas d'AwarePress. Mais, si on change si on change ce prefix-là, ça fait que la personne a saura pas de c'est quoi le nom de ta base de données. Donc, tant qu'elle n'a pas le prefix, bien, potentiellement, un bloquant, ce qui fait que on vient d'initier les injections SQL ou la modification potentielle que la personne a échangeé des rôles utilisateurs dans la base de données. Puis, si c'est quelque chose que vous n'êtes pas capable de faire par vous-même, on peut toujours y aller le faire facilement avec une extension de sécurité. Et, ensuite, je vois dans le message que quelqu'un a le lien pour le slide. Je vais l'envoyer une présentation dans le message. Donc, vous allez pouvoir y accéder. Et donc, le prochain slide, c'est en lien avec l'extension de sécurité. Donc, l'extension de sécurité, il y en a plein. Il y a un solid WP qui est anciennement item security. On a un le nom de sécurité Secure Press, WordFans Security, il y en a plein d'autres. Mais ça, en général, oui, ils vont chacun voir leur expertise, ils vont créer ce type de fonctionnalité. Donc, une protection contre les attaques WordFans, une protection contre les attaques DDoS, une protection contre le cross-site scripting, les fichiers PHP en admin. Donc ça, c'est important parce que, quand on n'active pas ça, on peut le faire dans le WP qu'on fait au point PHP, mais on peut aussi faire avec le plugin. C'est que, d'habitude, en admin, on va dans Apparence, Team Editor. Et à ce moment-là, on va modifier les fichiers PHP d'un thème. Donc ça, on est capable de pouvoir le bloquer soit avec un plugin ou dans le WP qu'on fait au point PHP directement. Il y en a aussi certains qui vont offrir des scames de sécurité et les gens passent. Il y a beaucoup de fonctionnalités. Donc vous voyez que, juste avec ça, c'est généralement pas très long, en plus, qu'on figurait un plugin de genre quelques minutes, peut-être 15, 15 minutes, il y a beaucoup de choses. Selon les besoins de cette web, je vous disais, il vous faut, au minimum, une extension de sécurité. Ça, c'est sûr. Ensuite, le choix des extensions. Donc c'est super important de bien choisir ces extensions pour 3 raisons importantes. Donc, premièrement, pour la sécurité. Donc, si vous sélectionnez des extensions avec précaution, ça ne va potentiellement faire en sorte qu'il y ait pas de site web. On va l'unité faire une sécurité potentielle. Parce que un plugin qui est mal construit, qui n'est pas du tout maintenu, on envoie des fois, là, on prépare un site web, puis on se rend compte qu'il y a des plugins que ça fait 6 mois, 2 ans, qui n'ont pas été mis à jour. On se doute qu'il n'y en aura plus de mises à jour. Qu'à ce moment-là, c'est plus le temps d'avancer et plus finalement au cours des risques de sécurité en gardant ce plugin. Donc à ce moment-là, on peut trouver peut-être une façon de remplacer ce plugin-là ou de trouver une alternative. Ensuite, il y a la compétibilité. On peut s'assurer qu'on teste nos différents plugins ensemble. S'assurer que tout fonctionne correctement. Parce que plus on installe de plugins, plus on vient courir des risques qu'il y a des plugins qui ne fonctionnent pas. On a les uns envers les autres qui causent des erreurs qui ne fonctionnent plus. Donc il faut s'assurer qu'on limite le nombre qu'on installe. On s'assure que c'est des bonnes plugins qui sont bien notées qui sont fréquemment maintenues parce que sinon, on va avoir potentiellement des incompatibilités. Ensuite, on va privilégier les extensions qui ont des mises à jour régulières, comme je mentionnais, qui offrent un support de qualité. Donc ça, c'est important. Quand on installe un plugin qui est gratuit, oui, on va avoir du support, mais on sait jamais qu'en plus que ce plugin-là il va peut-être être abandonné, versus un plugin qui est payant. On paye pour le plugin, mais on paye aussi pour le support. On s'entend. On ne va pas tout le temps payer pour des plugins. Il y en a qui sont qui ont seulement des plugins gratuit pour ce qu'on veut faire qui n'existe même pas de version payante. On ne peut pas nécessairement payer pour tous les plugins. Donc ça, c'est sûr. C'est compréhensible. Mais toujours garder ça en tête. Donc d'ailleurs, ici, je la montre au break-list visuellement. Donc entre le corps, les thèmes, les plugins, on voit que c'est les plugins qui vont le plus vulnérable de cette web. On le voit dans l'image de gauche. Donc c'est potentiellement les vulnérabilités qui ne viennent pas de ce corps. On sait que les gens de chez WordPress qui mettent au temps la communauté que les gens de chez automatique qui mettent au temps, qui font bien leur job et tout le monde peut collaborer. Donc généralement, c'est pas vraiment de là qui viennent les plus grands risques. Les thèmes, c'est plus un petit pourcentage. Mais en même temps, on installe un thème sur notre site. On peut être un thème par un thème enfant. Donc les risques sont moins là. Mais quand on installe des plugins, on peut avoir cinq, 10, 30, 50 plugins pour le risque de vulnérabilité. On sait jamais qui va développer le plugin. Ensuite, en payant les plugins gratuits, comme je disais, c'est sûr que c'est les plugins gratuits qui rendent le pré vulnérable de cette web. Parce que les plugins premiums, ils ont les moyens de pouvoir mettre à jour régulièrement leur plugin. On paie pour du support, on paie pour la licence du plugin. Donc, on a juste une personne qui gère un plugin et un moment donné, quand qui décide qu'il ne veut plus s'en occuper, il ne fait plus de mises à jour et il est avant de vivre. Donc, on en voit des fois qu'il va reprendre le plugin quand la personne l'abandonne, mais c'est pas toujours le cas. Donc, c'est important à prendre en considération. Ensuite, pour optimiser la sécurité, on a aussi les CDN, donc principalement Cloudflare que je connais mieux que d'autres CDN. Avec Cloudflare, ça peut apporter plusieurs avantages au niveau de la sécurité. Vous allez voir, il y a encore des termes qui reviennent tout le temps. Comme là, ici, on a une protection contre les attaques des DOS. Il y a un parfue applicatif. Donc, le parfue, ce qu'il va faire, il va détecter automatiquement et bloquer des attaques avant même que ça se rende sur le site Web. Donc, t'sais, parce qu'il y a une blacklist et une liste de gens qui vont bloquer. Il y a un système pour les empêcher d'accéder au site. Donc, il y a toute une panoplie de filtre et de règles qui sont mises en place chez Cloudflare. Il n'y a même pas besoin de configurer. On est juste à l'activer puis ils font leur travail. Ils font très bien leur travail avec la version gratuite. On accède tout ça. Donc, filtre de sécurité avancée, la gestion des identités. Donc ça, c'est pour des solutions d'authentification qui d'accès pour protéger le panneau et la surveillance en temps réel. On a la répartition de charge pour redistribuer les trafics sur plusieurs serveurs et éviter que ça entende le site Web. Donc, il y a beaucoup de choses que Cloudflare fait. Il y a une version gratuite et si on veut aller un peu plus loin dans la sécurité et dans la performance, je pense que ça commence à 20 $ par mois. Donc, c'est pas non plus très coûteux puis ça fait vraiment toute une séance. Donc, c'est une partie pour le configurer, mais une fois que c'est fait, parce que ça, c'est ça la coche. Ensuite, on m'écrit une question, est-ce qu'on a besoin des deux Worldfans et Cloudflare? Ben, je te dirais oui parce que les deux vont venir protéger à deux niveaux. Donc, si Cloudflare n'est pas venu bloquer la personne à accéder au site Web, ben, c'est sûr que la planbine de sécurité peut peut-être venir le bloquer. Sauf que quand tu essayes plusieurs fois, par exemple, de connecter un site Web avec un petit fini par échouer ou que tu essayes des différentes procédures, ben, éventuellement, c'est pas juste la plug-in qui peut te bloquer, mais tu vois que Cloudflare te bloque. Mais je vous dirais que les deux sont pas mal un complément de l'autre. Donc, moi, si pas mal toujours, ça tient on s'entend. J'y vais premièrement avec une extension de sécurité. C'est un client qui va l'investir un peu plus. Ben, là, on prend du temps pour configurer Cloudflare. Sauf que, tu sais, c'est une autre paire de manches, donc, c'est pas tous les clients qui veulent aller de l'avant, mais je vous dirais que l'un complément de l'autre. Ensuite, les mesures anticipables, donc, c'est pas tant la sécurité du site Web, mais quand même la sécurité au niveau des, tu sais, on veut pas recevoir des pourrières quand, comme, nous, dans le passé, là, quand on a mis notre site Web en ligne, ça a pas pris de temps qu'on se commençait à toutes les semaines, plusieurs fois par semaine, des sites, des spammer qui nous envoyaient toutes sortes de cochonneries dans nos formuleurs de compteur, puis je trouvais pas quoi que ce soit qui pouvait venir faire d'éviter ces spammer-là de remplir les formuleurs sur Elementor. Donc, j'ai tout simplement créé un plugin de mon côté, puis j'ai mis certaines règles en place, j'ai mis des blacklist des emails, puis j'ai toutes sortes de choses en place, mais ici, je vous dirais que ça, c'est la configuration pas mal générale, peu importe que vous utilisez, que vous soyez dans Elementor, que vous utilisez les blogs qui t'embarrent, peu importe le plugin, ça, c'est des bonnes pratiques. Donc, premièrement, on ajoute un capture, donc le plus simple, c'est Google les capture, une clé d'API et on s'en va la configurer dans notre plugin de la formuleur, qui généralement est pas mal pris en compte par tous les plugins de formuleurs. C'est très rare qu'il n'y ait pas de l'intégration Google de capture. Ensuite, on peut ajouter une question logique. Ça se voit de moins en moins puis le capture fait quand même bien ça le jure, mais la question logique, ça te prête, par exemple, 2 plus 3, puis la réponse, ça serait 5, puis si on répond mal, on peut pas soumettre le formulaire. Ensuite, on peut rajouter donc ça, ce que ça fait, c'est que les robots, eux, vont remplir potentiellement ce chambre. Mais nous, on ne le voit pas, on ne le voit pas sur la front-end du site et nous, on ne le remplir pas. Donc, s'il est rempli, ça veut dire que c'est potentiellement un robot et donc, celui-ci va être bloqué. Ensuite, on peut installer une extension WordPress qui s'appelle XMET. C'est principalement pour les spam dans les commentaires mais ça peut aussi une partie de travail dans le spam. Je vous dirais, c'est quand même bon d'avoir un capture parce qu'il est vraiment pas suffisant. Et ensuite, on va empêcher la joue de lien dans tout contenu qui est généré par un utilisateur. Par exemple, une zone de message dans votre formulaire de contact, on veut pas recevoir des liens là-dedans, on veut recevoir seulement du texte. Donc, nous, ce qu'on a fait de notre côté dans notre formulaire, on est venu bloquer la joue de lien parce que, souvent, c'est forcément potentiellement ils vont vendre des choses où ils essaient d'avoir vos informations personnelles ou des choses comme ça. Donc, c'est généralement ce que les spamurs essaient de faire. Ensuite, on a les antennes de sécurité. Donc, comme vous voyez, on est dans la première slide sur 7. C'est quand même un gros morceau des choses complexes à comprendre. Donc, c'est pour ça que j'ai segmenté mais il y a beaucoup de définitions mais après ça, les antennes de sécurité, donc ça c'est comme un genre, on les appelle en français mais en anglais, vous allez avoir beaucoup de security errors mais eux, ça s'assure que les communications entre le navigateur et le serveur sont bien sécurisées. Donc, on peut aller tester ça en allant sur le site security errors.com on rentre vers l'aile de notre site web. On clique sur le bouton scan et là, ça nous donne une note de A à F A étant la meilleure note et ça va nous dire là où il y a des points qu'on ne respecte pas. La plupart des sites sur lesquels je fais des tests ont une note de D, E ou F. C'est souvent ça. J'irai sûr qu'ils ne sont pas pères. Ils ont un B, peut-être un C mais si c'est plus rare, puis nous, de notre côté, on a développé toute une suite de lignes de codes qui marchent aussi bien sur la page que sur NGNX et qui font en sorte que tu peux en copier coller puis que ça vient à rajouter les entêtes de sécurité puis tu sais, quand même les petits tests à faire s'assurer que tout continue de fonctionner sur le site mais reste un petit copier collé de ça. Vous allez pouvoir la réutiliser après, quand je vais envoyer la présentation et ça marche très bien. Donc pour commencer, je vais vous expliquer les différentes définitions des entêtes de sécurité pour que vous compreniez après dans SecurityPaders.com ce qui est le résultat qui est obtenu puis vous allez en toute voici démystifier il y a beaucoup de définitions mais on va essayer de clavier ça. Donc la première chose c'est le Strict Transport Security donc ça c'est un des entêtes que lui est utilisé pour forcer la communication entre le navigateur et le serveur à être sécurisé. Donc lui, il vient de forcer à ce que tout soit en HTTPS. Ça, ça va aider à prévenir les attaques de type qu'on appelle donc ça, ce serait quelqu'un qui pourrait intercepter entre le serveur et le navigateur des loquettes et pouvoir potentiellement modifier certaines choses puis qui viendrait brimer la sécurité de cette boîte. Donc si on vient garantir une connexion sécurisée. Ensuite, le ReferPolicy lui permet de contrôler quelles informations sont incluses que l'on appelle le ReferPolicy lorsqu'un utilisateur l'invite d'une page à l'autre. Donc ça, ça va venir aider potentiellement à protéger la vie privée des utilisateurs en limitant la divulgation de leurs informations. Ensuite, on a la X-Content Type Options lui indique au navigateur de ne pas devenir de façon automatique le type de médio contenu d'un fichier qu'on a pour baser sur son compte. Donc ça, ça va venir aider à prévenir les avocs qu'on appelle MySmifle. Vous allez voir, il y a plein de termes comme ça. Je ne suis pas non plus un expert hacker, mais on s'entend, je connais assez la base pour être capable de pouvoir sécuriser. Puis en fait, je pourrais les scripts malveillants. Donc, en gros, c'est que si un fichier ensuite, les X-Frame Options lui aident à prévenir les attaques comme les attaques par clic, on n'empêche pas que je dessèche dans un code. Donc là, je dis un code, mais un code, ça pourrait être un iFrame, un embed. Donc un embed, ça va être comme par exemple si on va sur YouTube et on va intégrer notre vidéo YouTube sur notre site web, ça va nous donner un code. Donc, en fait, il y en a qui s'en servent pour intégrer dans un frame ou un code, ils vont intégrer une page web et à ce moment-là, ils ont accès à pouvoir en fait insérer des scripts via cette page-là et potentiellement exploiter votre site web puis pirater par là-dessus. On va venir limiter les certains sites web à pouvoir faire ça. Donc, c'est des choses comme un embed de YouTube, ça va passer, mais si c'est un site, ça ne passera pas. Ensuite, Permissions Policy, ça permet de contrôler les autorisations et les fonctionnalités auxquelles un site web peut accéder, comme si on donne accès à la caméra, le micro, les notifications couches, ça va venir renforcer la sécurité et la vie privée de l'utilisateur parce qu'on limite non autorisé. Et ensuite, on a le Content Security Policy qui est le dernier. Puis, c'est un entête qui permet de spécifier les sources qui sont autorisées pour différents types de ressources. Donc, maintenant, on a des scripts, des styles, des images sur une page qu'on va lauder. On va venir définir lesquels qu'on autorise. Donc, ce qui arrive avec ça, c'est qu'il faut le faire. C'est qu'à la base, quand on l'active, c'est à dire bloquer toute requête d'un service tiers. Par exemple, on charge Google Analytics, on charge Google Funds, on charge le Metapixel, on charge Mailchimp. Donc, tout ce qui serait des scripts tiers qu'on veut charger, ça va venir toutes les bloquées automatiquement. Donc, après ça, il faut faire un travail manuel d'aller dire j'autorise googleanalytics.com à charger, j'autorise un thème, ce qui arrive avec ça, c'est qu'on peut en oublier. Bon, je vais vous expliquer ça un peu plus en détail dans mes prochaines slides. On va revenir à la Content Security Policy. Donc, par rapport à tous les termes que je veux sortir là, vous allez voir qu'il y en a 5. Donc, le seul qui n'est pas là, c'est le Content Security Policy que je vais vous parler un peu plus en détail. Mais en gros, ce bout de code là, vous voyez ici qu'il est dans l'HK Access. Ça, c'est pour ça qu'il y a une installation à page. Si vous êtes sur une installation n-genics, vous pourrez l'écrire. Je vais vous donner à la barre mon courriel à la fin de la présentation. Je vais vous veler la configuration n-genics. On l'a essayé pour notre site Web. Il y a un équivalent de ce code-là et c'est fonctionnel. Donc, tout ce qui est présenté là-dedans, je le présente en page avec acheté access. Parce que c'est la configuration la plus commune. Après ça, si vous voulez les équivalents n-genics, je vais pas faire une slide pour tous les équivalents. Mais en gros, ici, tout est expliqué. Donc, quand on vient forcer l'HTTPS, comme c'est mentionné dans les slides précédents, donc ici, on voit que c'est pour chacun, ça vient faire ce qui a été expliqué dans les slides précédents. Bon, vu que j'ai d'autres bouts de code à vous présenter, je ne vais pas m'attarder à celui-là. Mais en gros, tout est expliqué. On fait un copier que lui, on le met dans l'HT Access. Ça vient sécuriser votre site Web sans tête de sécurité. Donc, avec ça, on obtient une note de hub et vous voyez que seulement la Content Security Policy qui est pas qui, lui, n'est pas faite. Mais à ce moment-là, c'est parce qu'en fait, c'est un risque, le risque avec le Content Security Policy, c'est de maintenir la liste, comme je vous disais. Donc, vu qu'on bloque tout, l'après ça, c'est de les débloquer un par un et c'est ça qui est long à mettre en place, qui est difficile à maintenir. Si votre site utilise aucun code tiers, ah, ça va bien, mais ça va être opérationnel en 5 minutes, tout va fonctionner. Mais si on utilise un site WordPress, beaucoup de plug-in, beaucoup de script, à ce moment-là, c'est là que c'est compliqué. Donc, on préfère ne pas le mettre en place. Après ça, on a la sécurisation via l'HT Access. Donc, ici, on vient, en gros, restreindre l'accès à des chiffres qui sont sensibles. Donc, on peut voir WPconfect.php, php.min, point-git, paquet, point-json, debug.log, on peut en rajouter d'autres. Nous, c'est celui-là qu'on bloque. Puis ce que ça va faire, c'est que si les gens essaient d'y accéder directement dans le browser, ça va rentrer une heure, 400 fois. Ensuite, on va venir bloquer l'accès direct, encore une fois, à toutes les chiffres d'include qui font partie de l'installation de WordPress. Parce que si l'installation de WordPress en lui-même est compromise, ça va pas briller. On vient bloquer tout ça ici. Ensuite, on va venir, en fait, ici, le code qui fait, en gros, c'est qui permet de détecter, bloquer les tentatives d'injection de code malveillant via la chaîne de requin URL. Donc, ici, on va avoir toute une suite de validation. Une fois que tout ça est validé, bien, si les conditions sont valides, encore une fois, on vient le bloquer avec une erreur 403. Donc, les gens n'auront pas, les hackers n'auront pas l'accès à pouvoir faire ça. Ensuite, au niveau double-épée config.php, la sécurisation qu'on en fait, on bloque les mises automatiques. On a mieux les faire par nous-mêmes pour être sûrs qu'il y a rien qui soit réalisé si notre client le met à jour par lui-même. On va désactiver les chiffres du temps en avenue. On va venir forcer à ce que l'admine soit en RCSL, donc, soit sécurisé. On va faire en sorte de forcer une connexion HTTPS sur tout le site en général et on va empêcher les erreurs PHP de s'afficher sur la vitrine de suite. Donc, tout simplement, si la personne ne peut pas savoir c'est quoi les erreurs, bien, à ce moment-là, beaucoup on est de chance qu'elle peut s'exploiter ces erreurs-là. Et ensuite, via l'off-function de ce point PHP, on peut aussi ajouter des lignes de sécurisation. Donc, on peut cacher les thèmes, je dis bien les thèmes parce qu'il y a un thème qui est actif, mais il y a aussi les autres thèmes qui sont installés sur le site. On va venir cacher les thèmes aux visiteurs et on va venir cacher les plugins aux visiteurs. Comme ça, on s'assure que ce n'est pas qu'est installé sur le site le plus possible. Ensuite, on va venir cacher la version de WordPress sur le site. Donc, on essaie de cacher le plus de choses possibles et de donner le moins d'accès possible au Hacker. Et ensuite, bien, quand une fois, on vient de cacher les erreurs. Sauf que là, ce n'est pas les erreurs qui sont générées par WordPress, mais les erreurs au niveau du login. Donc, on ne veut pas que la personne sache pourquoi il arrive pas à se connecter. Et par la suite, bien, ici, ça garantit que tout fichier du thème ne peut pas être installé. Donc, ça, c'était pour toutes les optimisations et les méthodes de sécurisation. Là, côté conclusion, il me reste trop petit slide. Après ça, j'ai terminé. Mais en fait, je veux montrer notre processus, comment on s'y prend. C'est qu'on fait, premièrement, une analyse préliminaire du site Web. On met en lumière des recommandations qui pourraient être faites sur le site Web. On fait un scan de sécurité qui va nous sortir des optimisations potentielles et puis, par le site, on corrige les optimisations. Puis, on optimise le site Web au niveau de la performance, la sécurité, le CEO, les mises à jour qu'on va faire. On va jouer dans les configurations. On va quand même tout optimiser ton site. Et après ça, ce qu'il reste à faire, c'est qu'on fait la maintenance puis on fait le monitoring de ton site Web. Et, justement, au niveau de la maintenance et du monitoring, c'est celui que je connaissais déjà. J'ai voulu en essayer d'autres, voir d'autres choses en me disant qu'il y a sûrement d'autres solutions possibles. C'est vraiment celui qui est le meilleur. Donc, tu sais, il y a un parfum, il y a une surveillance des journaux, donc on peut voir tout ce qui a été changé et par qui. Sur le site Web, il y a des backups, des scans de sécurité pour voir s'il n'y a pas des malware, des vulnérabilités auprès de peut-être des plugins, du monitoring, du monitoring qui est de la surveillance. Si le site a planté, on va être notifié et on va pouvoir réagir. Un petit bonus, ce n'est pas une optimization de la sécurité, mais c'est si jamais vous avez été acquis, ça, c'est notre processus de désinfection. Donc, on va créer un environnement de staging, on va rouler une analyse de sécurité, on le fait avec Blobbo et avec WordFend, parce que les deux nous sortent, ils nous sortent donc ça nous permet, avec ce travail automatique, qu'on puisse avoir plein de petits points à corriger au niveau de la vulnérabilité. Et après ça, c'est sûr que une fois qu'on a corriger la liste des recommandations, on fait quand même le tour du site puis des fichiers du système parce que c'est un travail automatique, mais il faut aussi faire un peu de travail manuel pour s'assurer qu'il n'y a pas d'autres choses qui ont été ajoutées ou modifiées dans nos fichiers. Après ça, on teste, on corrige donc le petit mot de la fin, c'est que les attacks sont, c'est pas un phénomène récent, ça ne va pas disparaître d'un à un matin. Le nombre de hackers n'arrête pas d'augmenter. Donc c'est sûr que ça va devenir de plus en plus courant les attacks sur nos sites web. Donc c'est sûr que si on met en place des mesures de sécurité, on ne va pas empêcher les hackers de pouvoir quitter notre site web, mais c'est sûr qu'en prenant toutes les mesures que je vous ai présentées aujourd'hui, je vais quand même contribuer à réduire les risques d'incident et de piratage de votre site web. Donc merci de m'avoir écouté encore des alliés pour le son. J'ai travaillé fort pour que vous puissiez m'entendre, mais comme je vous disais ici, j'ai l'alien de mon Canva. Donc est-ce que je ferai ? Je vais aller tout de suite le copier. Regardez, je vais partager mon code. Allez, je vais vous envoyer tout de suite dans la message. Et ce qu'on fera, si jamais vous avez des questions, juste me les poser ici. Je vais essayer de répondre au meilleur de mes connaissances. Si je n'ai pas la réponse, donnez-moi votre courriel et je vais trouver la réponse et je vais vous l'envoyer. Je vous envoyer la présentation. Si il y a des choses qui n'étaient pas claires, je vais vous laisser un peu de temps et je m'imagine qu'il y en a qui sont en train de rédiger leurs questions. Je vais rester quand même encore un petit deux minutes voir si vous allez pas m'envoyer vos questions. Sinon, si il n'y en a pas, merci beaucoup. J'ai participé au WorldCamp de 2017, 2018, peut-être 2019, je suis plus certain. Il y a toujours eu peur d'être l'enfant conférencié, mais là, j'ai décidé de le faire. Je me sentais pas assez complétant, mais là, je me suis dit bien, c'est un sujet que je maîtrise bien. C'est un sujet qui est intéressant de partager et qui ne touche pas mal tout le monde. Merci beaucoup de m'avoir écouté. C'était une belle fois. Je vois déjà que il y a personne qui a accédé le partage à bien fonctionner. Merci Prédéric. J'essaie de rendre ça le plus intéressant possible. Je vois que Jérôme est très intéressé par la configuration pour la GenX. Mais ce que tu pourras faire là, Jérôme, juste écrire au courriel que j'ai mis à la fin dans la dernière slide, tu nous dis salut, c'est Jérôme de WorldCamp pour la configuration de GenX, puis je t'ai pris un côté collé que je t'ai l'expliqué en même temps. Je te dirais que pour tout ce qu'il y avait en acheté access, il y a des équipements à la GenX, parce que sinon si on n'avait pas il n'y aurait pas d'utilité finalement à passer à la GenX. Mais c'est ça, on l'a faite pour notre tuto web, les entailles de sécurité parce qu'on a notre tuto sur Flywheel Flywheel on a un setup pour la GenX et on a écrit finalement un équipement.