Mise à jour sur la sécurité WordPress – WordCamp Bordeaux 2017
1. MISE À JOUR
SUR
LA SÉCURITÉ DE
WORDPRESS
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
2. Cette conférence ne
parlera pas de :
Faille XSS
Faille CSRF
Faille SQL Injection
Faille ByPass
Faille RCE
Faille LFI/RFI
Cette conréfence n'est pas une conréfence sur le cyclimse…
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
3. «Comme le monde est de plus en
plus interconnecté, chacun
partage la responsabilité de
sécuriser le cyberespace.»
— Newton Lee,
Computer scientist
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
4. Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
6. Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
7. Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
8. 1 site sur 8 comporte des
vulnérabilités critiques.
— ITTrust
1 site piraté toutes les
secondes.
— internetlivestats.com
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
9. «Si vous dépensez plus en
café qu'en sécurité, vous
serez piraté. Non attendez !
Vous méritez d'être piraté !»
— Richard Clarke,
Coordinateur national pour la sécurité des
USA.
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
11. Utilisateurs
• Utiliser HTTPS
• Utiliser une double auth
• Vérifier la liste de vos users
• Supprimer ou rétrogarder des users
…
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
12. «Votre compte ADMIN c'est
comme une brosse à dents :
ça ne se prête pas !»
— Julio Potier
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
13. Les vols de mots de
passe représentent
6,5 % des piratages
de sites.
— SecuPress
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
15. Plugins & Thèmes
& WordPress Core
• Supprimer ceux qui ne sont pas utilisés
• Changer le préfixe de base de données
• Désactiver les APIs (XML-RPC/Rest)
• Les thèmes de la forêt et les plugins du ravin
…
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
16. Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
17. 25% des piratages WP
ont été réalisés grâce à
une vulnérabilité dans un
plugin ou un thème.
— SecuPress
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
19. Données sensibles
• Bannir les adresses IP des logs
• Empêcher l'accès à toute zone qui ne devrait pas être
visitée par un utilisateur ou un visiteur ou un bot
• SSL, SSH, SFTP, "S" all the things
…
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
20. «Il est impossible de se déplacer,
de vivre, de faire quoique ce soit à
tout niveau sans y laisser une trace,
des bits, un quelquonque fragment
d'information personnelle.»
— William Gibson,
Écrivain de Sci-Fi
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
21. 500 000 identités
digitales ont été volées
ou exposées en ligne en
2015, soit ~1 par minute.
— TechRadar
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
22. Que faire après ?
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
23. «Nous faisons les mêmes erreurs
qu'il y a 1 000 ans. Cela doit
surement être les bonnes.
Alors relax !»
— Chuck Palahniuk,
''Fight Club'' writer
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
24. Que faire après ?
• Je sauvegarde, tu sauvegardes, il sauvegarde …
• Choisir un hébergeur solide
• Utiliser un anti-virus sur votre PC
• Vérifier l'authenticité des fichiers de votre site
• Engager un professionnel du métier
…
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
25. Dans le top 1 million des
sites web, 27 % sont des
WordPress et plus de 70 %
de ces installations sont
vulnérables à des attaques.
— Alexa
Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
27. Julio Potier – WordCamp Bordeaux 2017 – @secupressSecuPress
28. Les slides ainsi que
la liste complète des
32 points de sécurité
sont disponibles ici :
tinyurl.com/sppdf-wcbdx
Julio Potier – WordCamp Bordeaux 2017 – @secupress
Des questions ?!
SecuPress