Pour ce 11ème épisode du web bistro, nous recevons Jérôme Vosgien de Sophos.

Se lancer dans l’aventure web c’est bien. Mais le faire en connaissant toutes les principales règles de sécurité, c’est mieux. En effet, protéger et sécuriser son site est aujourd’hui obligatoire. Il n’est jamais agréable de retrouver son site hors ligne d’un jour à l’autre.

N’oubliez pas de vous abonner à la chaine Youtube en cliquant ici, ou alors directement au podcast en cliquant ici. Pour la version podcast/Itunes, seulement la version audio vous est proposée. La version vidéo est sur Youtube. N’hésitez pas à dire dans les commentaires si vous préférez la version ou audio ou vidéo.#AWB pour interagir sur Twitter.  

Les sujets traités

  • Quels sont les types de sécurité à prendre en compte ?
  • Pourquoi aujourd’hui est-on susceptible d’être attaqué ?
  • Comment choisir un bon hébergeur ? Mutualisé ou dédié ?
  • Comment sécuriser son site ? Sa base de données ? Quelles sont les zones sensibles ?
  • Qu’est ce que le HTTPS ? Faut-il passer tout son site en HTTPS ?
  • Quelles sont les pages à sécuriser obligatoirement ?
  • Quelques exemples de bons plugins WordPress ?
  • Quelques astuces de sécurité
  • La cause principale des failles de sécurité ?

Ce qu’il faut retenir

  • 2 types de sécurité : celle que l’on maitrise (lors d’un envoi de newsletter) et celle que l’on maitrise moins (hack, attaque etc…).
  • Quelques types d’attaques classiques : récupération d’une base de données, rendre un site inaccessible…
  • Tous les sites sont susceptibles d’être attaqués, peu importe leurs tailles.
  • Attention en cas de mutualisation, on peut indirectement se faire attaquer si le serveur, sur lequel vous hébergez votre site, est la victime.
  • Petites astuces pour protéger sa base de données WordPress: changer les préfixes des tables (« wp_ »).
  • N’utilisez pas votre compte admin pour publier un article sur WordPress. Le compte admin est là pour administrer la gestion du site. Rien de plus.
  • Il est obligatoire d’avoir au moins les pages où l’on rentre des données personnelles en HTTPS (page paiement par exemple). Passer tout son site en HTTPS n’est pas obligatoire cependant pour des raisons de lourdeur (temps de chargement) et de coût.
  • La principale faille restera toujours l’utilisateur. Contrôler toujours vos mails et leurs pièces jointes par exemple.

Voici les quelques liens dont parle Jérôme dans le podcast :