 le président infondateur de Wiposting Canada, l'hébergement web Canada, une compagnie donc d'hébergement des sites web de solutions info-nuitagiques, serveurs dédiés et non de domaine. J'ai une formation en génie informatique à Concordia même. J'ai terminé mes études alors que ces team-ups n'existaient même pas. C'était juste un petit jardin vert. J'ai plus de 10 ans d'expérience avec WorkPress en tant qu'utilisateur et outil en tant qu'administrateur système. J'ai développé un peu sur la plateforme et je dirais vraiment ma force est dans le CCADMIN et en tant qu'utilisateur et administrateur. WHC, c'est une compagnie qui a été fondée en 2003. La même année que WorkPress a été fondée. On est à Montréal, on est sur la rue Beaubien. On célèbre nos 15 ans en septembre et aujourd'hui même on propulse plus que de 600 000 sites web pour plus de 25 000 clients, surtout au Canada mais aussi à l'étranger. Certains d'entre vous sont peut-être déjà nos clients et sont parmi nous aujourd'hui. Ah, désolé. Donc notre objectif aujourd'hui, on va essayer de comprendre les risques de sécurité qui affecte WorkPress et on va identifier une configuration WorkPress sécuritaire abordable qui n'impacte pas trop négativement votre processus d'affaires. C'est sûr qu'on parle de sécurité, on peut aller très très très loin. On peut rajouter des couches de sécurité à l'infini mais l'objectif ici n'est pas de rendre un WordPress impénétrable pour l'utilisateur et l'administrateur mais c'est de rendre impénétrable ou presque impénétrable pour les cyber pirates. Des solutions parfaites, elles n'existent pas mais ce qu'on essaie de faire c'est trouver une solution qui va vous permettre de continuer à utiliser WordPress pour vos objectifs d'affaires tout en gardant les cyber pirates à l'extérieur. Donc sur l'agenda on va parler, on va parler de scénarios de piratage. On va parler de pourquoi est-ce que WordPress est-il tellement ciblée par les cyber pirates? On va parler des différents risques qui peuvent affecter votre plateforme WordPress, des solutions qui existent sur le marché aujourd'hui et de recommandations que nous on vous propose à selon notre expérience dans le domaine. On ne va pas trop avoir le temps de préparer un plan de reprise après sinistre mais on pourra s'en parler si jamais il y a le temps. Donc on a couvrir beaucoup à couvrir en fait c'est plus que 25 minutes donc on y va quand même ça va aller un peu vite mais la présentation elle-même va être disponible en ligne à partir de lundi donc si jamais vous avez oublié ou manqué quelque chose elle sera disponible sur notre page web sur notre page facebook pour téléchargement sûrement aussi sur la page wordcamp. Donc l'ultime cauchemar votre site a été piraté qui parmi vous a déjà eu un site piraté ou a eu un collègue qui s'est fait piraté donc je confirme qu'on parle à peu près de 60% des gens ici ont déjà eu un site piraté ont déjà fait affaire avec le piratage puis cette expression que vous voyez sur l'écran et vous êtes peut-être familière bien sûr les le piratage n'est pas spécifique à wordpress affecte plein de plateformes donc on va regarder des cas de piratage qui sont spécifiques à wordpress et d'autres qui sont plus généralistes donc on va regarder les scénarios les différents scénarios de site de site piraté donc il y a le piratage soit disant grossier donc le cyber pirate s'installe dans votre d'autres écosystèmes d'hébergement et fait un change le site web ou complet upload son propre contenu le premier exemple en haut qui vous allez voir c'est un type de ransomware c'est à dire quelqu'un à pénétrer dans votre environnement d'hébergement il a copié toute votre code il a chiffré avec un mécanisme de chiffrage et maintenant il le garde dans l'ottage et vous dit bien si vous voulez avoir votre contenu vous allez me payer entre 200 dollars et 10 000 dollars selon peut-être plus selon la tête du site web selon la tête de votre organisation si vous n'avez pas des backups vous avez pas trop le choix mais vous n'avez pas trop le choix c'est sûr qu'il y a toujours le choix mais vous allez tenter de payer cette ransom qui va être transféré par bitcoin donc intrasable pour que eux peut-être ils vont vous retourner l'accès à votre site web peut-être peut-être pas si jamais vous faites face à cette situation je sais que c'est difficile mais je vous encouragerais s'il vous plaît à ne pas payer cette ransom évidemment c'est comme une prise d'ottage le plus que qui réussissent à obtenir des fonds de ces techniques là le plus qu'ils vont continuer à le faire d'autres variantes c'est simplement des petits berpirates qui s'amusent un peu ils ont trouvé un site exploitable ils vont mettre leur logo de leur organisation juste pour pouvoir dire j'ai piraté ce site web là peut-être l'annoncer sur twitter etc scénario numéro deux un piratage un peu plus subtil plus difficile à identifier certaines pages sont injectées par du malware par des pubs par des scripts de monétisation de vos données donc ces pubs ce type d'infection là sont sont complexes des fois parce qu'ils peuvent affecter certaines pages de votre site web et pas toutes donc vous allez vous rendre sur votre site web vous allez travailler dessus tout va bien alors qu'en réalité votre site est déjà infecté l'infection va se voir uniquement à partir de certaines régions géographiques sur la planète donc selon l'adresse IP il va se voir peut-être selon selon le point d'entrée sur votre site par exemple quelqu'un qui accède à votre site en tapant l'adresse url dans la barre d'adresse qui est souvent le quai avec les administrateurs ils vont pas voir l'infection mais ceux qui rentrent à partir de google d'un lien de recherche là l'infection va être apparaître va apparaître et ce qu'ils vont faire ils vont mettre des pop-up des pubs des redirections des liens malveillants etc il peut utiliser cette technique pour infecter vos clients donc c'est pas juste la réputation de votre compagnie qui est à risque mais c'est aussi la sécurité de vos clients qui pourraient être infectés par ce qu'on appelle du drive-by malware aujourd'hui on est quand même chanceux les navigateurs web on sont beaucoup plus évolués dès qu'ils détectent qu'il y a un problème avec des sites web chrome firefox ils vont tous afficher des messages comme celui que vous voyez à l'écran présentement scénario numéro 3 l'amsonnage un autre type de piratage très populaire avec l'amsonnage en fait ce que c'est c'est simplement quelqu'un qui va mettre une copie d'un site web comme une institution bancaire ou n'importe quel page de login gmail hattmail quelque chose qui valait à extraire vos informations personnelles votre mot de passe sur tout son objectif est de vous duper à penser que vous êtes en train de faire un login vers votre compte bancaire lui le cyber pirate reçoit vos accès votre mot de passe il peut lui-même se connecter par la suite sur votre compte bancaire réel et retirer de l'argent faire des transactions etc votre site n'est à ce moment là utilisé que comme un emplacement un hébergement pour qu'il puisse mettre cette page cette page d'amsonnage dans un sous-dossier par exemple donc quand vous faites un login sur votre compte bancaire assurez-vous que vous êtes bel et bien sur la page de votre banque et non que vous êtes pas sur la page d'un site web quelconque dans un sous-dossier et que vous êtes en train de tomber dans le piège le scénario 4 on parle du bot net donc on va aller infecter votre site simplement pour l'utiliser pour des attaques ultérieures donc votre site va commencer à faire partie d'un réseau plus large de sites infectés avec un centre de contrôle command un centre de contrôle qui va pouvoir contrôler et utiliser les différentes machines déjà infectées pour lancer des attaques vers d'autres machines si vous êtes infecté par ce type de malware là ou ce type de piratage là vous allez peut-être remarquer une hausse de l'utilisation des ressources sur votre infrastructure dans votre hébergement plus de cpu plus de ram ça pourrait vous coûter plus plus cher en ressources la banque passante va augmenter considérablement et vous allez peut-être avoir une email de votre hébergeur qui vous dit à votre entraîne d'envoyer des spams vous êtes en train de faire des attaques sortantes vous allez peut-être même vous faire suspendre jusqu'à temps que le problème soit réglé l'envoi du spam évidemment c'est un grand problème aussi avec certains sites qui ne sont pas très sécurisés donc on pirate votre site web pour l'utiliser pour faire des envois massifs de spam le scénario numéro 5 un peu plus rare bien si on parle de despionnage c'est plus au niveau corporatif dans des agences gouvernementales on parle de la CIA des services secrets chinois russe mausade donc ils vont aller pénétrer dans les défenses d'une entreprise ou d'un site web pour faire de l'espionnage pour aller collecter des informations ils vont essayer d'être aussi caché que possible donc si vous n'arrivez pas à détecter cette faille ou cette pénétration ou cette injection à l'intérieur de plusieurs années eux ils sont très contents et vont continuer à analyser vos données à analyser vos protocoles de sécurité pour pouvoir soit vous faire plus de tort dans le futur ou pouvoir collecter davantage d'informations pourquoi votre presse est-il tellement ciblé la réponse est très simple on a une charte pour le montrer mais c'est la réponse courte et parce que c'est une plateforme tellement populaire donc c'est la plateforme la plus populaire pour la gestion des sites web donc c'est simplement une question de chiffre donc les cyber pirates qui vont cibler wordpress vont avoir plus de succès avec un piratage sur wordpress que sur n'importe quelle autre plateforme donc selon ce sondage ici jume là le deuxième plus populaire occupe uniquement 6% du marché des gestionnaires de contenu ou cms alors que wordpress on parle de 60% à la part du marché les cyber cyber attaques en chiffre donc elles augmentent avec le temps et ils deviennent de plus en plus important donc une cyber attaque peu ciblé dans le temps bien c'est une cyber attaque qui va affecter votre site il pourrait simplement affecter 2 3 utilisateurs puis peut-être votre clientèle mais on a eu des gros gros des gros problèmes dans le passé avec je suis certaine compagnie yahoo 3 milliards de comptes compromis en 2013 si vous aviez un compte yahoo en 2013 à votre mot de passe votre nom utilisateur votre question de sécurité a été compromis si vous l'avez pas d'été elle est toujours compromis elle est accessible sur internet peut-être que le mot de passe est chiffré peut-être qu'il n'y a pas été déchiffré à date mais je suis pas mal sûr que oui donc si vous n'avez pas changé votre mot de passe depuis cinq ans c'est le temps de le faire surtout que les les césibles de pératage ils sont uniquement annoncés quand on sait qu'ils vont être publiques ils vont devenir publics donc le pératage de yahoo même si la pyrille place en 2013 il n'a pas été annoncé avant je pense 2014 2015 donc les risques de sécurité qu'il faut gérer donc les risques d'accès on parle d'authentification sur votre wordpress on parle des risques de vulnérabilité soit dans l'application wordpress elle-même ou dans l' environnement qui vous héberge et on parle de spam on va aller donc voir un par un chacun de ces risques donc le risque numéro 1 l'accès compromis donc vos accès wordpress sont susceptibles à être piratés par des attaques de type brute force donc c'est des essais répétitifs avec différentes variants de mot de passe on peut essayer dix mille fois pour se connecter à votre à votre wordpress ou même plus si vous avez un mot de passe très facile à deviner c'est sûr que cet attaque là va avoir un taux de succès très élevé d'infiltration sur votre poste de travail donc même si le serveur sur lequel vous travaillez et sécuriser votre poste de travail peut représenter un point important d'entrée pour un cyber pirate donc sécuriser votre poste de travail assurez-vous qu'il n'y a pas un trop genre un key lager si sur votre poste de travail vous stocker vos identifiants vers vos comptes email vers votre compte STP c'est aussi un point d'entrée potentiel pour un cyber pirate on parle de mot de passe enregistré dans votre firefox en votre google chrome vers votre page admin wordpress on parle aussi de mot de passe email qui est enregistré dans votre outlook on parle de mot de passe ftp qui est enregistré dans votre file zilla ou dans votre dream waiver c'est tout des risques potentiels si jamais votre poste de travail se fait pirater transmission non chiffré c'est un autre point qui qui donne un accès donc qui pourrait potentiellement compromettre vos accès administrateur la transmission non chiffrée dédonnée donc sur http plutôt que https on va revenir un peu plus tard donc sécuriser vos accès la solution est quand même assez simple on est en 2018 je ne vais pas trop rentrer en détail sur sur le fait qu'il faut avoir un mot de passe complexe mais il faut avoir un mot de passe complexe c'est à dire la longueur du mot de passe est importante on parle de 10 caractères au plus concentrez-vous sur la longueur du mot de passe plutôt que de la complexité d'un mot de passe court un mot de passe qui est plus long et plus sécuritaire qu'un mot de passe qui est plus court et qui a des caractères spéciaux éviter les mots de pas les mots du dictionnaire ne pas réutiliser vos mot de passe on vous suggère deux outils qui passe un code source un outil de code source ouvert last pass un outil commercial qui vous permet de centraliser tous vos mot de passe dans un même endroit et comme ça vous n'avez pas à réutiliser votre même mot de passe le gestionnaire de mot de passe va s'occuper de générer des mot de passe sécuritaire et vous vous souvenez uniquement d'un mot de passe que vous gardez dans votre tête à tout moment des méthodes de protection spécifique à wordpress la sécurité par l'obscurité donc il faut essayer de cacher certaines informations qui sont pratiques pour les cibaires et pirates qui leur permettent d'aller pirater votre site web on parle de du nom de votre nom de votre utilisateur administrateur wordpress parmi vous j'imagine qu'il y en a encore plusieurs sinon la plupart qui utilisent encore admins comme nom de utilisateur pour se connecter à votre wordpress c'est généralement pas une super bonne idée ça veut pas dire que votre compte va se faire compromettre mais vous rendez la vie plus facile potentiellement pour un cyber pirate d'aller essayer des variantes de mot de passe parce qu'il connaît déjà votre nom utilisateur donc peut-être penser à changer votre nom utilisateur de admins à quelque chose d'autre pouvez renommer le dossier admins wp admins avec un autre nom encore une fois ça va rendre la vie plus difficile un cyber pirate de vous de compromettre votre site vous pouvez désactiver les numérations des utilisateurs une opération quand même technique un peu plus complexe on va pas rentrer en détail comment ça se fait mais vous trouverez cette solution là sur google ou dans n'importe quel article technique si vous cherchez comment désactiver les numérations des utilisateurs protéger votre système de login donc là on a parlé de protection brute force évidemment quelqu'un qui essaye dix mille fois votre mot de passe a une aura une chance de rentrer dans votre système si vous avez un mot de passe non sécuritaire mais personne ne devrait pouvoir essayer de rentrer d'essayer dix mille fois pour accéder à votre site wordpress donc il doit y avoir un système de sécurité qui par exemple après dix vingt trente essais bloquent cet adress IP là ou bloquent cet utilisateur là pour l'empêcher d'essayer d'autres variants de mot de passe donc c'est une protection brute force et aussi la protection de facteurs si jamais votre mot de passe se fait pirater pour quelqu'un que raison la protection de facteurs et vous permet de rajouter une deuxième couche de protection une fois connecté à votre à votre site web on vous demande un deuxième mot de passe ce deuxième mot de passe idéalement est stocké sur un autre appareil on parle d'appareil mobile je vous conseille d'installer sur votre appareil appareil mobile google authenticateur c'est une application gratuite après ça peut se connecter avec des plugins qui existent déjà sur wordpress qui supportent google authenticateur vous allez donc vous connecter avec votre mot de passe admin vous allez présenter avec un autre mot de passe le demande de saisir un autre mot de passe ça va être un mot de passe qui va être généré sur votre appareil mobile qui va qui va se régénérer à chaque 20 secondes ça rajoute une couche de sécurité très importante à n'importe quelle application non seulement wordpress protéger la transmission des données on est en 2018 mais il y a encore quelques uns parmi nous qui n'utilisent pas ssl quand je dis ssl je parle du chiffrage des informations transmises sur le réseau qui empêche quelqu'un qui est en train d'écouter qui fait du paquet de sniffing qui est en train d'écouter la transmission sur un réseau commun par exemple ici vous êtes peut-être tous déjà connectés aux réseaux de concordia qu'on vous êtes tous sur le même réseau il y a beaucoup de trafics qui circulent avec un petit logiciel gratuit on est capable d'identifier puis d'aller chercher toutes les données qui sortent de vos appareils si ces données sont chiffrées vous allez pas avoir un problème de les faire intercepter ils vont intercepter des données qu'ils ne peuvent pas lire mais si vous n'avez pas de chiffrage de données avec la couche https ces informations là peuvent être lu peuvent être décodées peuvent être interprétés peuvent être utilisés pour voler vos accès wordpress donc s'il vous plaît activez le ssl sur votre site web utiliser le https partout partout partout pas juste sur votre page login sur toutes les pages google vous remerciera aussi avec un petit boost sur votre référencement risque numéro deux vulnérabilité wordpress quand on parle de vulnérabilité wordpress elle peut toucher elle peuvent toucher trois éléments différents le noyau wordpress les plugins les thèmes les plugins sont surtout affectés par les vulnérabilités wordpress wordpress en général est un système assez bien sécurisé donc l'équipe de wordpress fait une très belle job pour sécuriser son système les updates sont nombreux oui les vulnérabilités connues sont nombreuses et l'approche près de 4000 mais les mises à jour sont nombreuses aussi donc faites attention aux plugins surtout composantes exploitables donc si vous êtes développeur parmi vous parmi parmi nous aujourd'hui vous pouvez consulter la liste au wasp les top 10 items à considérer quand vous développez un plugin quand vous développez une application elles vont vous aider à penser à avoir le réflexe sécurité en premier quand vous développez n'importe quel module sur wordpress je vais vous inviter je vais pas faire le tour parce que c'est quand même des détails très techniques mais je vous invite à vérifier donc vous pouvez chercher sur google 2017 au wasp top 10 et vous allez voir des instructions bien détaillées sur quoi sur quoi faire attention quand vous développez votre code pour une application web tel que wordpress je vais procéder maintenant une démonstration d'une exploitation active d'une vulnérabilité sur wordpress donc à votre droite vous allez voir à votre droite oui à votre droite vous allez voir un site wordpress par défaut vous le connaissez bien cette petite plante je sais pas ce que c'est comme plante mais il est très présent chez wordpress et à gauche vous verrez donc le processus d'infiltration active d'un site wordpress vous allez voir la vidéo ne dure que une minute 30 ça prend moins d'une minute pour aller rentrer dans un site wordpress qui est infecté ce que ce que le s'admène ici il est en train de faire il fait un scan initial avec l'outil wp scan pour détecter les vulnérabilités actives sur le site en production ici c'est pas un site réel en production c'est un site qui a été monté juste pour le but de cet exemple là avec une version quand même exploitable de wordpress je pense que la version est 3.8 elle date quand même de plusieurs mois et on a trouvé un plugin exploitable un plugin qui fait de l'upload de fichiers donc n'importe quel plugin qui fait de l'upload de fichiers et potentiellement un source et une source de de piratage donc ici on va identifier le plugin on va accéder à une base de données qui décrit tous les plugins et les potentiels méthodes d'exploiter ce plugin là on a envoyé on a envoyé la requête le payload pour aller s'infiltrer là-dedans on a maintenant un accès backdoor et puis bon là il s'est en train de s'amuser à un plan faisant des uploads vous allez voir le résultat dans quelques secondes et voilà matrix time solution les solutions sont quand même simple dans certains cas premièrement garder votre wordpress à jour c'est facile aujourd'hui parce que wordpress par défaut avec une installation par défaut il active automatiquement les mises à jour mineur donc tous les toutes les updates mineur donc wordpress va bientôt passer à 5.0 ça s'est considéré une update majeure mais 4.9.6 vers 4.9.7 un update mineur qui se fait automatiquement si vous avez l'option activé ne l'a désactivé pas peut-être pensez même à activer les mises à jour automatique majeure c'est une modification dans votre fichier WP config n'oubliez surtout pas les plugins et les thèmes souvent ces éléments là ne sont pas abdétés automatiquement donc il faudrait penser à les abdétés régulièrement s'il vous le fait pas d'une façon automatisé donc parmi les plugins et les thèmes on parle de 50 000 et plus plug-in 5 000 plus thèmes disponibles sur wordpress.org les thèmes et les plugins disponibles sur wordpress.org ont déjà été revus pour la sécurité et pour la qualité par les l'équipe wordpress qui veut dire qu'on peut avoir un peu plus confiance en ces plugins là en ces thèmes là mais on peut on doit toujours demeurer vigilant juste parce qu'ils ont été inspectés on peut pas garantir leur sécurité donc faites toujours très attention pour assurer que ces plugins là sont sécuritaires avant de les installer je vous propose trois outils disponibles que vous pouvez consulter pour vérifier la sécurité de votre wordpress en général wp recon.com, le mot thème, scanner de thème, themecheck.org et un vérificateur de réputation sur le site de sécurité sitecheck.secury.net quelques solutions pour maîtriser ces vulnérabilités ou bien au moins réduire vos risques. Vous avez des solutions que vous pouvez appliquer sur la couche réseau ou sur une application externe comme un cdn. Secury est un exemple, Cloudflare en est un autre, vous pouvez aussi installer un firewall hardware spécialisé un Cisco si vous êtes déjà vous avez déjà votre propre infrastructure et ces solutions là peuvent déjà adresser certains certains risques. Sur la couche serveur si vous êtes en train de gérer votre serveur vous pouvez utiliser les règles mode security d'ailleurs le red mode security c'est des règles de sécurité qui sont déjà utilisées dans la plupart des solutions commerciales c'est important de bien les maîtriser et de bien les mettre à jour. Vous pouvez utiliser un outil comme config server firewall qui est très populaire avec les utilisateurs cpanel ou une solution commerciale comme munefire 360. Dans la couche applicative puis ça semble être là que la plupart d'entre vous sont en train de gérer leur sécurité. On parle de plugins comme wordfence, le plugin de security, le plugin de iTheme security qui sont des options viables. Certaines quelques recommandations, éviter l'utilisation exclusive des parfeurs externes de type cdn comme security comme cloudflare parce que souvent ces parfeurs utilisent la protège vos requêtes uniquement si elles passent à travers le système dns c'est à dire si quelqu'un utilise votre nom de domaine pour accéder à votre site web et essayer de le pirater ces systèmes là vont intervenir. Toutefois si on contourne votre nom de domaine et on accède directement à votre site par l'adresse IP on peut contourner aussi tout le système de sécurité proposé par ces systèmes là dans certains cas. Éviter aussi l'utilisation excessive de plugins. Tout le monde peut tout le monde mais beaucoup beaucoup de monde je rencontre souvent beaucoup de monde qui adorent les plugins qui en installent autant que possible ce n'est pas toujours une bonne idée ça peut la solution peut paraître complète avec les plugins mais souvent vous allez remarquer un ralentissement important et vous allez souvent rajouter des problèmes plutôt que de vous en débarrasser donc on vous recommande d'assurer d'avoir un environnement à jour donc si vous gérer un peu l'aspect hébergement de votre site web ou si vous avez un contrôle sur l'aspect hébergement de votre site web bon il est temps de passer par exemple la PHP 7.0 ou plus 7.2 est la version actuelle en production qui est recommandée il est temps de mettre à jour votre base de données MySQL assurez-vous d'avoir un serveur à jour appliquer la protection sur la couche appropriée donc encore une fois si vous faites toute votre protection de votre site WordPress avec des plugins vous êtes en train d'appliquer la protection sur la couche applicative sur la couche WordPress c'est une des dernières couches qui est sollicité pendant une requête WordPress il est préférable d'adresser les risques de sécurité bien plus tôt sur la couche réseau sur la couche serveur votre fournisseur de services pourrait vous aider avec cette opération là et bien sûr mettre à jour régulièrement les règles de sécurité la plupart des plugins le font automatiquement la plupart des solutions commerciales de sécurité le font aussi automatiquement et régulièrement protection des doses quand on parle de des doses on parle d'une type d'attaque qui est un peu relié à qu'on avait vu au tout début les types de piratage dont le botnet donc si un botnet est assez grand et par exemple à réussir à infiltrer une centaine de sites web différents et ça va lui permettre au cyber pirate d'attaquer un autre site si on en voit sans requête vers un site web il n'y a pas trop de problèmes mais si on en voit 100 fois 100 requêtes vers un site web ça risque le ralentir d'une façon importante surtout s'il n'est pas très bien optimisé c'est ce qu'on appelle une attaque des doses distributed denial of service donc on veut s'assurer que notre fournisseur d'infrastructure que notre hébergeur que notre plateforme qu'on utilise un système en place pour pouvoir gérer ce type d'incident parce que ce qui va arriver sinon c'est vous allez pas avoir d'incident des doses pendant cinq ans puis là la sixième année je ne sais pas quelqu'un un compétiteur va venir vous voir puis va vous dire ben vous ne pouvez pas venir vous voir va simplement attaquer votre site web puis entre 100 et 1000 dollars pour faire une attaque de six heures vous pouvez acheter ça sur le dark web chez en Russie ou ailleurs ils vont ils vont aller commander une attaque des doses qui dure six heures et votre site va planter pendant six heures peut-être pendant 12 heures donc combien ça vaut pour vous un site web commercial planté pendant 12 heures important donc de penser à une stratégie anti dd os avant que le problème arrive je vais juste rajouter qu'il est important de combiner donc un système anti dd os avec une couche de performance d'accélération de performance ou de caching très performante sinon votre solution anti dd os va être assez limité au niveau des hébergeurs choisissez un hébergeur ou un fournisseur d'infrastructure réputable qui a des solutions claires et documentées pour la performance sécurité support les backups donc les backups bien sûr très très très important il doit être automatique il doit être je dirais au moins quotidien ça dépend de la fréquence de vos mises à jour il devrait être hors serveur si jamais votre site se fait pirater ou le serveur se fait pirater vous voulez pas aussi que les backups se fasse pirater et supprimer donc assurez vous que vous avez deux systèmes distincts et avec une bonne rétention donc si vous recycler vos backups à chaque jour puis votre site se fait hacker ben ça sert à rien d'avoir une seule copie de backup parce que deux jours plus tard vous allez plus pouvoir récupérer votre site original ne vous fiez pas trop plug-in wordpress pour ce qui implique la sécurité ou la performance vous pouvez le faire mais c'est encore une fois c'est pas vous le faites pas au bon endroit si vous utilisez ces méthodes là pour faire des backups ou ces méthodes là pour faire pour accélérer la performance ça va affecter ça va diminuer la performance ça peut interférer avec les systèmes de votre hébergeur donc il est mieux de choisir une solution qui a déjà la performance et la sécurité d'intégrer dans la mesure du possible bien sûr risque numéro 3 on parle du spam c'est une bon c'est une trice réalité de nos jours et ça l'est depuis très très très longtemps mais ça continue à être un problème donc chacun d'entre vous qui a un site wordpress a sûrement dû traiter les problèmes de spam dans les commentaires dans les formes de contact c'est quelque chose qui arrive à chaque jour donc il y a trois types de spam wordpress il y a le spam dans les commentaires il y a le spam sur les formes de contact il y a le spam via les track back et les ping back donc dans les dans les commentaires c'est simple si vous les utilisez pas désactiver les merci sinon vous pouvez paramétrer votre wordpress sans plug-in pour éliminer près de 80% des des spam votre hébergeur aussi devrait pouvoir aussi en éliminer 80% avant même qu'ils atteignent votre site web donc vous pouvez cocher l'auteur d'un commentaire doit renseigner ces informations cocher l'utilisateur doit être enregistré désactiver les commentaires sur les vieux posts de disons 90 jours ou plus par exemple ça va limiter les dégâts possibles diviser les commentaires par groupes de vin ça rend moins intéressant le spam sur des pages qui sont plus petites assurez-vous que les commentaires doivent déjà avoir été approuvé avant d'être affiché sur le site web comme ça vous au moins vous les interceptez vous allez comme avoir beaucoup travail à faire pour les supprimer mais vous allez les intercepter avant qu'ils se rendent sur votre site web et modérer activer le mode modération sur vos liens sur vos commentaires plus tôt s'il y a plus que deux hyper liens deux ou plus hyper liens dans les commentaires parce que bien sûr quand quelqu'un est en train de faire un commentaire sur votre wordpress il est généralement en train de faire de la pub pour son site donc il va être il va être leur plein de plein d'hyper liens activer les notifications par email comme ça vous recevez une notification chaque fois qu'il y a un commentaire ça vous permet de les modérer plus facilement deuxième type de spam dans les formulaires de contact vous avez tous sûrement un formulaire de contact si vous affichez votre adresse email directement et le risque d'être importé dans des listes de spam aussi donc préférable d'utiliser un formulaire de contact par exemple un formulaire un plugin de formulaire de contact comme contact form set vous pouvez les sécuriser davantage avec un système comme le capture le capture vous connaissez tous probablement déjà c'est un système qui va permettre de différencier entre les robots puis les humains en demandant aux humains de rentrer ou de saisir un code mais aussi le système honey pot le système honey pot c'est un mécanisme on insère un champ dans un formulaire ce champ là n'est visible uniquement aux robots il n'est pas visible au humain donc l'humain qui va compléter un formulaire il ne va pas remplir ce champ là si le champ est rempli on sait qu'il s'agit d'un robot la requête va être bloqué pour le capture éviter les captures visuellement trop complexe il faut penser à l'accessibilité c'est pas tout le monde qui a une vision parfaite et qui est capable de lire des caractères contortionnés donc pensez à recapture une solution de google avec un simple clique dans la plupart des situations qui peut vous vous authentifier en tant que en tant humain ou bien même une technologie plus récente invisible capture où le capture se fait d'une façon invisible avec du javascript sur votre site web si le spam persiste et vous aimez payer pour les plugins à qui se mette est une solution viable les track backs et les ping backs des options que je sais pas si il y en a si vous êtes nombreux à les utiliser ça permet donc d'aviser vos autres d'autres blogs connex que vous avez fait des mises à jour ou des que vous avez posté des updates ou des nouveaux posts ou de nouveaux commentaires je vous conseille de les désactiver complètement pour éviter le spam recommandation donc on a vu quand même beaucoup de facteurs de sécurité comment s'assurer que vous avez fait les bons choix premier recommandation on a parlé d'acceler plutôt activé le auto ssl donc chaque hébergeur sérieux devrait aujourd'hui proposer le auto ssl à ses clients c'est une technologie qui est désormais gratuite avec la plupart des fournisseurs l'activation est 100% automatisé tant que vos dns fonctionne bien et que vos noms domaines et reliés à votre site web il peut prendre la relève automatiquement si votre certificat commerciale actuel expire il est inclus avec encore une fois toutes les offres sérieuses d'hébergeur spécialisé en wordpress par feu et os recommandation de wh et munify 360 c'est une excellente un excellent système de protection serveur protection à six niveaux incluant les scan malware la détection des intrusions avec intelligence artificielle il fait aussi le virtual patching c'est un système qui a été lancé d'à peu près six mois en production et qui fonctionne très très bien et qui est constamment en train d'être amélioré avec justement des updates cotisiens aux règles de sécurité pour éviter le piratage même avec des exploits ou des vulnérabilités de 0d donc très récent comme système d'exploitation le os cloud linux on parle maintenant de système d'exploitation pour votre site web et non pour vos ordinateurs c'est un système d'exploitation qui se concentre sur la sécurité donc votre hébergeur pourrait l'utiliser il permet donc l'isolation des comptes de différents comptes sur une même infrastructure avec la technologie kjfs il est mise à niveau kernel automatisé et finalement la solution recommandé pour héberger votre site wordpress bien je vous présente aujourd'hui l'hébergement wordpress en mode beta de wh et donc si ça vous a paru un peu complexe et si vous avez pensé qu'il ya beaucoup d'éléments en fait la sécurité elle est complexe c'est pour ça qu'en général je vous recommande de laisser la sécurité aux experts de sécurité à des gens qui travaillent jour et nuit pour assurer que votre wordpress est sécurisé et que tous les éléments qu'on vient de discuter aujourd'hui oui vous pouvez les noter mais vous pouvez aussi les oublier parce que vous savez que vous avez un fournisseur avec vous qui va s'en occuper pour vous donc notre hébergement wordpress c'est complet abordable sécurisé performant et 100% canadien donc je vous encourage à l'essayer on a beaucoup de coupons ici que vous pouvez utiliser pour un an complet d'hébergement wordpress complètement gratuit donc je vous encourage à l'utiliser ça on a travaillé sur cette formule depuis quelques mois maintenant mais elle est toute nouvelle donc elle va continuer à évoluer et dans un peu dans l'esprit de wordpress en général on veut avoir votre feedback on veut que vous nous accompagnez dans le développement de cette plateforme là pour qu'elle contienne les éléments que vous cherchez et auquel vous utilisez sur une base quotidienne vous la trouverez sur wh.ca baroblick wp et le code promotionnel si vous n'avez pas déjà il est disponible avec les silos merci vous allez se trouver qu voici un petit chaton mignon pour vous récompenser et voilà si vous avez des questions je suis disponible donc la question était si on avait les mêmes accès avec la solution wordpress beta qu'avec un hébergement standard mutualisé la réponse est oui et non donc l'hébergement wordpress c'est une plateforme qui est spécialisée pour le wordpress on a pour l'instant exclu des fonctionnalités complémentaires comme le email on veut vraiment que cette solution là soit spécialisée sur wordpress donc oui il y a quand même une version limitée du cpanel pour faire cette manipulation vous aurez accès à sftp vous aurez accès à ssh vous aurez accès au file manager vous aurez accès à php myadmin et toutes les fonctionnalités intéressantes et utiles pour wordpress mais elle va sauter à être beaucoup plus rapide et beaucoup plus sécuritaire donc la performance du wordpress classique versus un wordpress infogéré le manage wordpress qu'on vient de développer on parle d'une performance dix fois plus rapide et plus sécuritaire donc on pourrait on pourrait donc connecter le courriel sur un autre compte pour l'instant encore une fois c'est un produit en développement donc on pourrait intégrer la fonctionnalité courriel comme un adon c'est pas encore été trop trop pensé à ce point on peut toujours connecter un service courriel en faisant une petite modification au dns dans les champs mx donc c'est une solution qui a été déjà pensée pour être très très abordable on a des coûts qui varient entre entre faut que je vérifie entre 10 dollars et 20 dollars par mois selon le forfait donc un forfait standard par exemple vous irez vous irez voir sur le site web si vous voulez on parle de la formule standard avec 10 gig de stockage ssd et 100 000 visiteurs on parle à peu près à 999 par mois au prix standard si je me trompe à laine pourrait peut-être nous confirmer les prix ou marques des formules donc toutes les tout ce qui est agence multicompte fonctionnalité avancée l'installation d'un comme comme émis nous avait présenté avant avant le lunch comme une fenêtre double vp sont toutes des solutions qui sont au cours de développement donc on aura des solutions spécialisées pour pour les agences pour le pour des solutions en marque blanche c'est déjà ça déjà été suggéré c'est quelque chose que on va regarder très sérieusement et quand je vous dis c'est un lancement d'état donc je vous encourage à l'essayer de donner votre feedback et si vous avez besoin de quelque chose de spécial ou de particulier parlez nous en il nous fera un plaisir de travailler sur ça avec vous oui oui tout à fait google va arrêter d'indexer un site qui est vulnérable ce n'est ce n'est pas dans l'intérêt des moteurs de recherche de renvoyer ses visiteurs vers des sites infectés qui infectent potentiellement leur visiteur oui donc une fois qu'il a été une fois qui a été sécurisé vous pouvez récupérer la réputation de votre site web après ils ont des algorithmes complexes qui vont déterminer jusqu'à quel point vous allez être impacté mais c'est sûr que votre site va être impacté s'il se fait pirater oui oui exact c'est sûr un site un site pirater ou infecté et ça va ça va faire ça va vraiment détruire votre trafic oui oui donc la question était si mon site se fait pirater je règle le problème de piratage est ce que dans le long terme mon site continuera à être affecté dans les moteurs de recherche donc c'est sûr que si vous avez réglé le problème après certains temps votre situation avec le moteur de recherche comme google va être réglé donc il devrait plus affecter votre performance dans les résultats de recherche dans le long terme oui donc la question était qu'est ce que je pense de la protection du répertoire de WP admin ou WordPress admin avec un mot de passe non je pense que c'est une bonne idée c'est l'équivalent du protection de facteurs donc sauf que le l'appareil qui va contenir votre mot de passe risque d'être aussi votre poste de travail donc ce n'est pas le même niveau de sécurité que vous aurez avec un vrai mécanisme de facteurs qui nécessitent deux appareils différents mais j'encourage l'utilisation d'une protection avec par exemple ht access pour ajouter une deuxième couche de protection au niveau serveur web donc avant même que la requête atteigne la couche applicative de votre fraise donc en général c'est une bonne idée oui juste oui oui donc la question était est ce qu'il y a façon de bloquer certains pays de les empêcher d'accéder à votre site web oui il y a de plusieurs façons de le faire selon le fournisseur que vous utilisez ça se peut qu'il vous propose des outils sur la couche encore serveur ou réseau pour bloquer certains pays ça se peut que leur système de sécurité bloquent déjà certains accès justement pour éviter ce type de problème selon leur expérience mais sinon vous pouvez utiliser des plugins de sécurité tel que wordfans tel que succurie pour bien je ne sais pas succurie en fait mais qui peuvent vous pouvez dire je veux bloquer ces pays là en général c'est peut-être pas la meilleure approche pour eux aussi bloquer des accès légitimes mais oui c'est possible donc la question était quelle était la meilleure façon de bloquer certains certains pays ou certaines requêtes encore une fois cette technologie là devrait être disponible de la porte de votre hébergeur qui va analyser quotidiennement le trafic va identifier les requêtes problématiques et va proactivement bloquer s'adresser là donc d'une façon automatisée si vous n'avez pas déjà cette technologie là vous pouvez le faire sur votre site wordpress si vous savez que vous n'avez pas des clients en russie ou en chine vous pouvez bloquer la russie et la chine de votre site web ça ne va pas en principe négativement affecter votre business wordfans c'est une solution plugin qui pourra pourra le faire effectivement. Est-ce qu'on a encore du temps pour des questions? Oui, je vais aller là-bas. Je t'entends mal. Donc un fichier htaccess qui est un fichier de configuration la question en fait c'était après avoir fait une modification htaccess mon site a beaucoup ralenti est-ce que c'est une bonne pratique de les modifier le htaccess c'est d'avoir un fichier htaccess très long donc le fichier htaccess c'est un fichier de configuration à page qui est apprêté avant chaque requête donc il est recommandé de bien optimiser son fichier htaccess si vous savez pas ce que vous êtes en train de faire spécifiquement avec le htaccess il faudrait consulter un expert ou demander la vie de votre hébergeur encore une fois généralement ces configurations là sont déjà existantes au niveau supérieur de la part de l'hébergeur donc ce que vous rajoutez dans votre propre htaccess va affecter uniquement votre compte mais c'est certain si vous avez un htaccess qui fait dix pages à chaque fois c'est dix pages de commandes qu'il va falloir qu'il va falloir que le serveur va falloir interpréter avant même d'accéder à votre WordPress donc oui ça peut ralentir énormément votre WordPress tout comme l'installation de 50 plugins 50 plugins ça va ralentir énormément votre WordPress ok si je pense qu'on a malheureusement plus de temps des questions mais si vous avez d'autres questions vous pouvez me le voir après bien après on est tous tous les tous les agents ici tous les tous sur avec des t-shirts rouges sauf pour les volontaires WordPress vous pouvez aller les voir puis ils seront ravis de répondre à vos questions on a des coupons et des silos si vous en avez besoin merci