Découvrir toutes les raisons qui peuvent rendre un site WordPress non-sécurisé et non-performant, puis comprendre tout les aspects de l'hébergement web, de la configuration de WordPress et des techniques de programmation recommandées pour sécuriser et optimiser votre site.
1. PIRATES DES CMS
NE SOYEZ PAS LA PROCHAINE VICTIME DE
WORDCAMPMONTRÉAL2017
2. PIRATES DES CMS
MON EXPERTISE
▸ Quand j’ai commencé, Netscape Navigator 1.0 sortait et
AOL envoyait encore par la poste des disquettes avec
l’internet dessus
▸ Mon 1er site était sur WinNT 4 + IIS sur un ordi chez moi,
connecté par modem 14.4kbps, et était listé sur Yahoo
▸ Je sais installer des réseaux, configurer des serveurs UNIX,
programmer des sites web et sécuriser + optimiser le tout
▸ Ça fait maintenant 23 ans que je travaille “en technologie”
Pour mes compétences complètes, je suis sur https://www.linkedin.com/in/jfarsen/
3. PIRATES DES CMS
▸ Quelques chiffres
▸ Comment se faire pirater
▸ Comment aller moins vite
▸ Hébergement web – Quoi vérifier ?
▸ Site WordPress – Sécurité, Performance et Pérennité
▸ Demo
NOTRE AGENDA
4. 86% de tous les sites web possèdent au
moins une vulnérabilité sérieuse, et la
plupart du temps, en contiennent plus
qu’une.
2015 Website Security Statistics Report, WhiteHat Security
PIRATES DES CMS
6. PIRATES DES CMS
TRUCS POUR SE FAIRE PIRATER PLUS FACILEMENT
▸ Utiliser une ancienne version de WordPress
▸ Choisir un thème qui n’est plus mis-à-jour depuis 2 ans
▸ Installer au moins 50 extensions (“plugins”)
▸ Ne faire aucune mise-à-jour
▸ Ne pas utiliser d’extension de sécurité
▸ Ne JAMAIS faire de backups
7. PIRATES DES CMS
TRUCS POUR RALENTIR VOTRE SITE
▸ Utiliser un hébergement web à 1,95 $ par mois
▸ Ne pas changer la configuration par défaut de l’hébergement
▸ Ajouter à votre site vos belles photos de 20 Mpx
▸ Garder activé les extensions qui testent la performance
▸ SSL, c’est juste pour le commerce en ligne
▸ Ne jamais utiliser de caching
▸ Les CDN, c’est pour les autres
9. PIRATES DES CMS
HÉBERGEMENT WEB – CE QU’IL FAUT VÉRIFIER
▸ Mutualisé vs. Virtualisé
▸ CPU, disque, mémoire
▸ Linux: distribution, version
▸ Apache vs. Nginx vs Autre
▸ PHP (5.6+)
▸ MySQL (5.5+)
▸ Certificat SSL
▸ Caching
▸ Compression Gzip
▸ Fichiers indésirables
▸ Permissions
▸ Mot de passe du compte
11. PIRATES DES CMS
SITE WORDPRESS – VALIDER LA SÉCURITÉ
▸ Version actuelle de WP
▸ Pas d’utilisateur “admin”
▸ Mot de passe “strong”
▸ Mises-à-jour effectuées
▸ Utiliser une extension de
sécurité
▸ Effacer thèmes et
extensions inutilisés
▸ Désactiver le mode
DEBUG
▸ Désactiver le “logging”
▸ Empêcher l’édition de
fichiers par le Tableau de
bord
▸ Avoir des backups
automatisés hors-site
12. PIRATES DES CMS
SITE WORDPRESS – OPTIMISER LA PERFORMANCE
▸ Allouer suffisamment de
mémoire
▸ Minimiser le nombre
d’extensions utilisées
▸ Optimiser la taille des images
▸ Pas d’extension de vérification
d’hyperliens
▸ Pas d’extension de tests de
performance
▸ Configurer pour HTTPS
▸ Utiliser du caching
▸ Considérer l’usage d’un
CDN
▸ Utiliser InnoDB pour la
BD et toutes les tables
▸ Attention avec les
ressources externes…
13. PIRATES DES CMS
SITE WORDPRESS – ASSURER LA PÉRENNITÉ
▸ Choisir un thème offrant des
mises-à-jour régulières
▸ Choisir des extensions
réputées
▸ Minimiser les extensions
▸ Séparer le contenu du design
▸ Conserver tout le CSS
personnalisé au même
endroit
▸ Ne JAMAIS modifier les
fichiers de WP, du thème ou
des extensions directement
▸ Utiliser un thème-enfant
▸ Utiliser GIT pour vos modifs
au thème-enfant
▸ Automatiser
▸ Avoir testé vos backups