WordPress - Sécuriser son site

Contexte de la cybersécurité

• Qu'est-ce que la cybersécurité d'un site Web ?
• De la gêne occasionnée à la perte de données
• De la perte de données au vol de données
• Niveaux de maturité de la cybersécurité
• Hébergement sécurisé
• Attaques les plus courantes
• Etre pris pour cible intentionnellement
• Automation, bots et dénis de service
• RGPD et législation des données privées

Check-up sécurité

• Ecosystème d'un site WordPress
• Vérification des versions logiciels pour l'hébergement
• Vérification des versions du WordPress et de ses éléments
• Complexité des mises à jour
• Audit de sécurité avec Sucuri

Côté hébergeur

• Risques des installations automatisées
• Fichiers .htaccess ou web.config
• Nom de domaine et certificat SSL
• Version PHP et MySQL
• Protocoles FTP
• Emails et certificats d'e-réputation
• Qu'est-ce qu'être blacklisté ?
• Créer des mots de passe forts
• Vérification des logs
• Hébergeurs "coffre-fort"
• Hébergeurs spécialisés WordPress

Points faibles de WordPress

• Au moment de l'installation
• Types de mise à jour
• 5 points faibles WordPress
• Fragilisation par le template
• Les plug-ins les plus attaqués

Politique de sauvegarde

• Savoir revenir en arrière
• Les fichiers critiques
• Sauvegarde au niveau de l'hébergement
• Sauvegarde des fichiers du WordPress
• Sauvegarde du contenu du WordPress
• Sauvegardes manuelles et automatisées
• Sauvegardes locales et distantes
• Restauration
• Les bonnes pratiques
• Plug-ins et services de backup WordPress

Sécurisation rapide

• Cacher votre WordPress
• Sécurisation des commentaires avec Akismet
• Plug-in Wordfence : version gratuite et payante
• Ce que protège vraiment Wordfence
• Avantages de la version payante de Wordfence
• Installation et paramétrage
• Suivi de la sécurité

Sécurisation maximale

• Présentation d'iThemes Security
• Installation et paramétrage
• Paramétrages initiaux de sécurisation
• Les 3 niveaux de priorité
• Mode avancé
• Changement des répertoires initiaux
• Pages 404
• Horaires d'ouverture de l'admin
• Bannissement
• Attaques de type "brute force"
• Détection des malwares
• Détection de modification de fichiers
• Sécurisation ultime de WordPress (Tweaks)
• Management des emails de notification
• Installer un plug-in antivirus
• Augmenter le niveau d'authentification

Solutions en cas d'urgence

• Test séquentiel des plug-ins installés
• Plug-in de maintenance
• Mettre le site en quarantaine
• Installer une version WordPress en sous-répertoire
• Exportation et réimportation du contenu .xml

Outils de suivi

• Webmaster tools - Google Search Console
• Site en quarantaine
• Dialoguer avec Google après vaccination
• Erreurs d'exploitation

Sécurisation spécifique au e-commerce

• Données critiques dans le e-commerce
• Fragilité des sites avec abonnements
• Que faire contre le scraping ?
• Eléments de réassurance client

Créer son espace laboratoire

• Qu'est-ce qu'un site "draft" ?
• Installer un site de test en local
• Migrer un site manuellement
• Plug-in de migrations
• Script de nettoyage des URL via PHP et SQL

Exemples de travaux pratiques (à titre indicatif)

• Atelier pratique
• Choix de l'hébergement
• Installation sécurisée de WordPress
• Choix du template
• Renseignement sur les plug-ins
• Installation paramétrage iThemes Security

Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.

Modalités d’évaluation des acquis

• En cours de formation, par des productions
• Et, en fin de formation, par un questionnaire d'auto-évaluation