WordPress : liste de 24 points de sécurisation.

CMS parmi d’autres, WordPress permet comme les autres de créer et gérer facilement un site web, de le personnaliser à l’extrême, d’y ajouter des tonnes de fonctionnalités.

Bien que ce CMS soit l’un des plus infectés en 2018 sur internet (source Suciri.net ), c’est aussi l’un des plus répandus, et qui bénéficie de nombreux articles pour le sécuriser.

L’objet de l’article n’est pas de faire la retape de WordPress mais de se concentrer sur les meilleurs moyens pour rendre son installation la plus securisée possible.

Les recommandations ci-dessous ne concernent pas les couches inférieures qui supportent WordPress (environnement virtuel ou physique, OS , moteur PHP,…). Tous ces éléments se doivent d’être à jour, bénéficier des derniers correctifs de sécurité, ne pas être obsolètes (EOL).

Très utile pour vérifier l’efficacité des mesures ci-dessous, quelques sites « d ‘audit » automatiques de votre propre CMS à la seule condition que vous en soyez le gestionnaire, propriétaire ou que vous ayez toutes les autorisations nécessaires (opérateur, hébergeur,…) avant de lancer ces tests.

Read more « WordPress : liste de 24 points de sécurisation. »

Protection de la messagerie par SPF et DKIM

Deux techniques assez efficaces utilisées sur les serveurs de messagerie pour renforcer sa protection vis à vis de tout ce qui s’apparente à du SPAM.

SPF – Sender Policy Framework

Le principe

Lorsqu’un mail va être envoyé par un serveur SMTP A vers un serveur SMTP B, le serveur A va commencer sa séquence de commandes SMTP habituelles type « helo », puis « mail from: toto@mondomaine.org » auprès du serveur B.

Read more « Protection de la messagerie par SPF et DKIM »

Email ou mot de passe volé ?

Une liste de sites webs qui permet d’identifier si son compte email ou son mot de passe se retrouvent parmi les nombreuses fuites de données.

 

Il existe plusieurs ressources utiles pour détecter si vos données se sont retrouvées dans la nature.

 

Le plus connu, peut-être le plus complet « Have I Been Pwned » avec plus de 5 milliards de comptes. Il suffit de mettre son adresse email, puis le site indiquera sur quels sites votre compte aura été dérobé.

https://haveibeenpwned.com/

 

Un nouveau proposé par Mozilla: Monitor qui s’appuie entre autre sur le lien précédent. Un avantage, le site permet d’être alerté si votre email apparait dans une fuite de données à venir.

https://monitor.firefox.com/

 

Pour finir, le site Ghostproject permet de connaitre si son email, son compte (login) ou son mot de passe a fait l’objet d’une fuite de données.  A noter que si l’un des éléments est trouvé, alors il affiche l’information complémentaire en clair !!

https://ghostproject.fr/

Dans l’exemple ci-dessous , une adresse email soumise, et le site renvoi que l’email fait bien partie d’une fuite de données, puis renvoi le mot de passe associé (vérifié, le couple login/mot de passe a bien existé… il y a 8 ou 9 ans).