Category Archives: Français

Les petits pas qui font plaisir / Little steps that makes you happy

Après 4 ans et demi d’existence, un petit nettoyage de façade s’imposait. Voilà qui est fait. Apalala sprl a désormais son nouveau logo, sa nouvelle charte graphique et une présence accrue sur les réseaux sociaux avec désormais son propre compte twitter @apalala_sprl pour ceux qui veulent continuer à être tenu au courant des publications sur notre blog via Twitter.

Que pensez-vous de notre nouveau logo?

Apalala-logo

 

Et très bientôt un « revamping » du site web et de nos services et solutions.

Bonne semaine à vous.

 

Comment sécuriser wordpress?

Wordpress est un gestionnaire de contenu, tels des blogs, très répandu sur Internet. C’est une solution gratuite (Open Source) qui peut être configurée et étendue pour répondre à un grand nombre de besoins grâce à de très nombreux ajouts disponibles (Plugins).

WordPress étant très répandu, certains hackers ciblent spécifiquement les sites worpress afin d’en exploiter les éventuelles vulnérabilités. Heureusement, la communauté qui développe wordpress est très active et l’application est fréquemment mise-à-jour permettant de rapidement combler les éventuelles failles qui seraient découvertes. Néanmoins, la nature même des sites web utilisant WordPress, à savoir les sites au contenu dynamique qui, souvent, permettent aux visiteurs de laisser des commentaires ouvre des possibilités d’exploit tels que du XSS (Cross site scripting) voir parfois de l’injection SQL (bien que l’application soit généralement bien protégée contre ce dernier type d’attaque). Si vous exploitez un site sous wordpress vous même, sur votre propre nom de domaine (vous pourriez très bien créer votre blog sur le site wordpress.com et, de là, avoir moins de flexibilité mais aussi un peu moins de soucis) il y a quelques règles élémentaires à suivre pour diminuer les risques de voir votre serveur se transformer en Zombie ou voir votre site changer subitement de contenu ou servir de relai pour atteindre vos visiteurs.

  1. Utilisez des mots de passe suffisemment long, de préférence de 12 caractères ou plus, incluant des minuscules, majuscules, des chiffres et des caractères spéciaux. (pas uniquement pour WordPress mais aussi pour tous les accès à votre site internet comme le FTP, le SSH, la console d’administration, etc.). C’est probablement la mesure la plus rudimentaire et évidente mais il y a toujours quelques personnes qui l’oublient, Un mot de passe de 8 caractère sans grande compléxité peut être trouvé par essais successifs en quelques heures voir moins. Préférez donc M0nL@ngMo1dePa$$€ à 123456.
  2. Pour aider à prévenir l’usage de systèmes automatiques qui essaient tous les mots de passe possible et imaginables, utilisez un pugins comme Captcha qui va demander une interaction (comme lire un mot ou faire un calcul) à l’utilisateur avant d’accepter son mot de passe. Cela diminue grandement la probabilité de pouvoir deviner le mot de passe.
  3. Exigez que vos utilisateurs se soient identifiés avant de les autorisés à publier un commentaire sur votre site. Idéalement même, si cela ne vous semble pas nécessaire, supprimez cette possibilités. De plus, exigez de valider chaque commentaire avant qu’il ne soit publié sur votre site (afin d’éviter de mauvaises surprises). Allez dans Settings > Discussion et sélectionnez au moins les deux options suivantes: « Comment author must fill out name and e-mail » et « Users must be registered and logged in to comment » ainsi que cette troisième option: « Before a comment appears comment must be manually approved« 
  4. Faites très régulièrement les mises-à-jour de l’application. WordPress à grandement simplifié le processus, il vous suffit de vous connecter comme administrateur et de cliquer sur le bouton « update » (ou mise-à-jour si vous utilisez la version française)
  5. Vous pouvez aussi utiliser des plugins comme « the ultimate security checker » ou « Exploit scanner« 
  6. N’utilisez pas trop de Plugins et si possible, essayez de vérifiez qu’il provient d’une source fiable en effectuant quelques recherches sur Internet afin de lire les avis des utilisateurs ou voir si il y a des alertes concernant cette extension ou ce thème.
  7. Assurez-vous que votre serveur (et pas uniquement votre application wordpress) est à jour (votre serveur HTTP, FTP, votre système opératoire, etc.) Si vous utilisez un serveur partagé, il faut espérer que votre fournisseur fait correctement son travail à ce niveau là.
  8. Si posssible, réduisez les droits d’accès de WordPress à votre base de donnée au strict nécessaire, c’est à dire de préférence uniquement aux tables de WordPress.

Il y a d’autres mesures possibles (comme de protéger la partie d’administration de WordPress par un mot de passe sur le serveur web) mais on arrive à des solutions un peu plus difficile pour les néophytes (les experts n’ayant en général pas besoin de ces conseils, il les connaissent par coeur).

Bon amusement.

La sécurité par le design… architectural

Comme pour toutes choses, la sécurité est plus facile à obtenir si elle est pensée depuis le début et intégrée, à savoir, qu’on ne doive pas y penser, sans quoi, elle n’est pas adoptée par l’utilisateur. Souvenez-vous des alarmes VV2 sur les voitures qui demandaient d’effectuer une série de manipulations (genre: alumer les phares, les éteindre, actionner le clignotant et tourner la clé) avant de pouvoir démarrer le véhicule. Elles n’ont pas survécues, trop compliquées. Votre ABS, lui, est toujours là (souvent inclus dans l’ESP de nos jours) car personne ne se soucie de son ABS tant qu’il ne se met pas en marche pour éviter un accident au conducteur bien content d’avoir cette option.

Bref, toute « option » de sécurité devrait être conviviale, voir même belle. En sécurité, la règle du KISSS (Keep it Simple Stupid and Sexy) devrait s’appliquer encore plus que dans d’autres domaines pour garantir une adoption rapide par les utilisateurs. Hors en général, securité rime plus souvent avec casse-pieds qu’avec beauté. Pas facile de faire autrement me direz-vous. Voici donc un petit exemple, intéressants car il pousse le principe assez loin: Cette maison hyper sécurisée, un bunker pour ainsi dire, qui peut se transformer en une bien agréable demeure quand on y habite (et redevenir un bunker imprenable quand on n’y est pas ou quand on dort). Mises à l’honneur par le site Home-Designing.com, cette maison ne manque pas d’originalité:

amazing-transformer-househouse-opening

Vous trouverez plus de clichés de cette belle oeuvre architecturale peu ordinaire (enfin, pour ceux qui aime le style) à cette adresse: http://www.home-designing.com/2011/04/transformer-safe-house

Et votre sécurité intégrée, vous l’imaginez comment?