Entretien avec Ivica Delic sur les professionnels de WordPress et la sécurité
Publié: 2019-09-05Jusqu'à présent, nous n'avons interrogé que des personnes qui comprennent et travaillent dans le domaine de la sécurité des applications et de WordPress. Nous avons toujours entendu la voix des vendeurs . Cependant, dans cette interview, nous avons adopté une approche différente. Nous avons interviewé Ivica Delic, un professionnel de WordPress sur la sécurité. Le but de cette interview est de mieux comprendre comment les professionnels de WordPress, pour qui la sécurité n'est peut-être pas leur tasse d'équipe, voient et comprennent les produits et services de sécurité. Cette interview nous aide également à comprendre où nous pouvons nous améliorer et ce que ces professionnels font pour assurer la sécurité des sites Web de leurs clients.
L'interview
Q1 : Quelles sont les 5 premières bonnes pratiques de sécurité que vous mettez en œuvre/suivez lorsque vous configurez un nouveau site Web WordPress ?
La première consiste à choisir un hébergement WordPress bon et fiable. J'ai travaillé avec beaucoup d'hébergeurs et il y en a beaucoup de bons. J'utilise SiteGround pour la plupart de mon travail.
La deuxième meilleure pratique consiste à mettre en œuvre une bonne stratégie de sauvegarde. J'utilise toujours un service en ligne dans la mesure du possible, comme BlogVault. Cela permet de stocker les sauvegardes hors site et dans un emplacement sécurisé.
Ensuite, j'installe un certain nombre d'outils de sécurité et de plugins WordPress. Je recommande toujours MalCare et WP Activity Log comme dernière ligne de défense du site Web à tous nos clients.
Les deux meilleures pratiques restantes sont des recommandations pour nos utilisateurs ; utilisez des mots de passe WordPress uniques et forts, et gardez toujours à jour votre noyau WordPress, votre thème, vos plugins, PHP et tous les logiciels de votre serveur Web et de votre ordinateur. Si possible, utilisez un logiciel antivirus / anti-malware.
Q2. Trouvez-vous les plugins et services de sécurité WordPress faciles à mettre en œuvre et à utiliser ou non ?
Nous avons testé de nombreux plugins et outils de sécurité au cours des dernières années. Il y en a qui sont très simples à mettre en place et à utiliser. Cependant, certains autres sont très difficiles à utiliser et ils font plus de mal que de bien. Ils laissent beaucoup de choix à l'utilisateur, cependant, la majorité des utilisateurs et des professionnels ne sont pas avertis en matière de sécurité. Ils trouvent donc ces plugins écrasants et finissent par sous-protéger ou surprotéger leurs sites Web.
Le plus souvent, les utilisateurs configurent mal les plugins de sécurité complexes. Par exemple, ils sont bloqués sur leur propre site Web par le plugin de sécurité, ou toutes leurs images liées à chaud ne se chargent plus. Ou certains plugins de sécurité avec surveillance de l'intégrité des fichiers signalent qu'une modification dans un fichier journal est peut-être malveillante. Les utilisateurs paniquent devant ces choses parce qu'ils ne comprennent pas que, par exemple, une modification dans un fichier journal n'est pas malveillante, ou pourquoi les images liées à chaud ne fonctionnent pas.
Q3. Quel a été le plus grand défi/difficulté que vous avez rencontré lors de la mise en œuvre ou de l'utilisation de plugins/produits/services de sécurité ?
En ce qui concerne la question précédente, le plus grand défi que j'ai personnellement rencontré est que je dois tester et vérifier les outils de sécurité utilisés sur le site Web d'un client, avec lesquels je ne suis peut-être pas familier. Parfois, nous prenons en charge la gestion du site Web d'un client et devons vérifier que toutes les solutions de sécurité fonctionnent correctement ensemble sans que les fonctions ne se chevauchent. Nous devons nous assurer qu'il n'y a pas de problèmes de compatibilité entre eux pour éviter des comportements indésirables, comme le blocage des administrateurs du site.
Q4. Suivez-vous des sites Web de sécurité pour en savoir plus sur la sécurité de WordPress, ou laissez-vous cela aux professionnels ? Ou c'est un peu des deux ?
Je suis membre et administrateur de quelques groupes Facebook de sécurité WordPress où de nombreux experts en sécurité WP publient. Je suis et lis toutes les actualités de sécurité pertinentes ainsi que les conseils pratiques / meilleures pratiques de sécurité. Cependant, la tâche complexe de nettoyage des sites infectés ne m'était (encore) pas maîtrisée. Dans de telles situations, je compte sur les professionnels.
Q5. Préférez-vous utiliser un service de pare-feu WordPress en ligne ou installer un plugin de pare-feu WordPress sur votre site ? Expliquer pourquoi.
Je préfère utiliser un service WordPress Web Application Firewall (WAF) en ligne. Tous les experts disent que WAF est une bien meilleure couche de sécurité contre les pirates et les attaques DDoS. Un WAF est capable de détecter et de bloquer tout élément malveillant avant qu'il n'atteigne votre site. Malheureusement, les plugins WordPress ne peuvent pas fournir cela, car ils essaient de défendre le site Web de l' intérieur .
Q6. À votre avis, quelles sont les trois principales causes de piratage des sites WordPress ?
Je partage le même avis que beaucoup d'autres professionnels :
- hébergement de sites Web non sécurisés,
- utilisation de mots de passe faibles et faciles à deviner,
- noyau WordPress, thème, plugins, PHP et autres logiciels obsolètes.
Si cela ne vous dérange pas que j'ajoute un conseil supplémentaire, si vous vous souciez de votre site Web et de votre entreprise, n'installez pas de plugins et de thèmes annulés.
Q7 : Que pensez-vous que l'industrie/les fournisseurs de sécurité WordPress peuvent faire pour aider davantage de professionnels comme vous, pour qui la sécurité n'est pas leur tasse de thé, à mieux comprendre et protéger les sites Web de leurs clients ?
En bref, ils doivent rendre la tâche beaucoup plus facile pour l'utilisateur. Ils peuvent le faire en :
- créer plus d'assistants pour une mise en œuvre plus facile et plus rapide de l'outil de sécurité,
- implémenter automatiquement « les meilleures pratiques » pour que l'utilisateur n'ait plus grand-chose à faire,
- mettre en place un système d'avertissement afin que lorsque certains outils de sécurité sont installés sur le même site avec des fonctionnalités qui se chevauchent, l'utilisateur est informé du problème.
Q8. Si vous pouviez choisir une fonctionnalité de sécurité à inclure par défaut dans le noyau de WordPress, quelle serait-elle et pourquoi ?
J'aimerais voir le service de pare-feu d'application Web (WAF) inclus dans WordPress pour avoir au moins une couche de base de la protection de sécurité, comme nous l'avons sur Windows avec le Windows Defender préinstallé.
Q9. Y a-t-il un sujet ou un contenu particulier que vous aimeriez voir davantage de la part des fournisseurs et des professionnels de la sécurité ?
J'aimerais voir plus de cas d'utilisation réels pour les débutants qui expliquent ce qu'il faut faire dans des situations particulières de la vie quotidienne lorsque la sécurité est violée. Il y en a plusieurs, mais la plupart d'entre eux sont destinés aux personnes de sécurité avancées. Ils utilisent un jargon et des outils complexes.
Q10. Pensez-vous que vous pouvez vous tenir au courant des nouvelles de sécurité WordPress ou non ? Si non, quel est le problème selon vous ?
Oui, après toutes ces années, je suis assez confiant d'avoir compris. Il nous a fallu un certain temps pour tester et créer soigneusement notre boîte combinée d'outils de sécurité, et pour nous assurer que tous les membres de notre équipe suivent les meilleures pratiques de sécurité.