LearnWordPressSecurity

LA Formation Sécurité WordPress
en français

Plus de 40 heures de contenus dans 10 modules,
des sessions privées et des exercices corrigés.

Consultant en Sécurité Web et Développer Ingénieur WordPress, j'ai créé pour vous un programme de formation le plus complet et à jour qui puisse être. Je vous accompagne pendant toute votre formation. On s'y retrouve ?

– Julio Potier, créateur de SecuPress et LearnWPSecurity

Bonjour !

Julio-Potier-2016

Pourquoi se former à la sécurité WordPress ?

Car la sécurité Web n’est pas réservée qu’aux métiers du développement. La sécurité d’un site Web va au delà de son code.

Nous avons tous besoin que notre site, nos sites soient sécurisés, que notre travail ne soit pas détruit par des inconnus ou des robots. Nous souhaitons tous que nos développements soient les plus parfaits possibles.

Nous avons tous une responsabilité envers nos clients, que nous développions ou non. S’assurer du bon fonctionnement d’un site passe aussi par l’assurance d’un site sécurisé.

Vous avez tous et toutes lu et appliqué des tutoriels à droite à gauche, sans forcément les comprendre. Vous espérez alors que tout ce passe bien juste avec un sentiment de sécurité, mais qu’en est-il vraiment ?

Aussi, sait-on quels sont les comportements à adopter face à un piratage ? Que dire à nos clients ? Par où commencer pour tout remettre sur pied ?

Enfin, si vous faites partie des personnes qui développent leurs propres solutions de thèmes ou d’extensions, alors vous avez doublement la responsabilité de vous assurer que votre code ne peut pas nuire au bon fonctionnement des sites qui les utilisent.

Vous ne développez pas, mais sélectionnez et téléversez ces extensions sur les sites des clients ? Comment savoir si c’est un bon choix niveau sécurité, comment détecter rapidement des failles les plus communes ?

C’est pour toutes ces raisons que les travailleurs du Web ont un poids sur leurs épaules, ce poids à vous de vous en libérer en vous formant à la sécurité Web.

Avec cette Formation

vous prendrez confiance

Vous saurez que ce que vous livrez à vos clients est sécurisé que vous ayez développé vous même ou non.

vous gagnerez du temps

Pas besoin de 2 formations, celle-ci est garantie complète car elle est alimentée tous les mois.

vous monterez en grade

Ajouter une corde à son arc en sécurité Web ne peut qu’être un point positif face à la concurrence.

Le programme

  1. Comment bien réussir cette formation
  2. Votre ordinateur, les logiciels et le navigateur Internet
  3. Trouver des logiciels et outils nécessaires pour la formation.
  4. Sites et ressources pour obtenir de l’aide sur la sécurité.
  1. Pourquoi s’intéresser à la sécurité Web et WordPress.
  2. Pourquoi s’intéresser à la sécurité des développements.
  3. Comprendre les risques d’un site non sécurisé.
  1. Pourquoi WordPress est pris pour cible, et pourquoi votre site.
  2. Installer WordPress de façon sécurisée.
    1. Avec les constantes de wp-config.php
    2. Avec le fichier .htaccess (sur Apache)
    3. Avec le fichier robots.txt
  3. Pourquoi et comment protéger les comptes de vos utilisateurs.
  4. Pourquoi et comment vous protéger des mauvaises visites.
  5. Pourquoi et comment protéger les données privées.
  6. Pourquoi et comment choisir des mots de passe forts et différents.
  7. Pourquoi les mises à jour sont un des points les plus importants.
  8. Pourquoi le partage des données a des limites à ne pas dépasser.
  9. SSL ? WAF ? Cloudflare ?
  10. Et le php.ini ?
  11. Le point sur la REST API.
  1. Comment échanger des données sensibles.
  2. Comment éduquer vos clients à la sécurité de leur données.
  3. Comment protéger vos propres accès à vos sites.
  4. Comment choisir un hébergeur professionnel et sécurisé.
  5. Comprendre le principe de divulgation responsable.
  6. Pourquoi partager vos codes sources publiquement.
  7. Pourquoi divulguer vos failles de sécurité publiquement et rapidement.
  1. Définitions d’un hacker et d’un pirate.
  2. Comment pense un hacker.
  3. Pourquoi il faut savoir hacker.
  4. Comment hacker un développement.
  5. Prenez garde à l’ingénierie sociale.
  6. Attention aux thèmes et extensions premium « gratuites ».
  7. Comment un fichier malicieux arrive sur un site propre ?
  8. Y-a-il des fichiers plus ciblés que d’autres ?
  9. Comprendre la différence entre une attaque par vague et une attaque ciblée.
  10. Les raisons qui poussent à pirater un site.
  1. Pourquoi on dit que « tout ce qui vient de l’extérieur doit être considéré comme malveillant. » ?
  2. Ne faites pas confiance à $_SERVER ! (Untrusted Data)
  3. Ne pas créer de Notice, Warning, Fatal Error dans vos développements. (Full Path Disc.)
  4. Vérifier les rôles et droits des utilisateurs. (Auth ByPass & Privilege Escalation)
  5. Vérifier la volonté en plus du pouvoir. (CSRF)
  6. Créer et gérer des jetons de sécurité de façon correcte. (CSRF)
  7. Gérer les affichages provenants de la BDD. (Stored XSS)
  8. Gérer les affichages provenants des utilisateurs. (Reflected XSS)
  9. Savoir quand il faut échapper (escape), désinfecter (sanitize) ou filtrer les données (filter).
  10. Connaitre la liste des fonctions d’échappement PHP et WP et savoir quand les utiliser.
  11. Connaitre la liste des fonctions de désinfection PHP et WP et savoir quand les utiliser.
  12. Connaitre la liste des fonctions de filtrage PHP et WP et savoir quand les utiliser.
  13. Préparer ses requêtes SQL. (SQLi)
  14. Ne pas doubler les protections, et pourquoi.
  15. Ne pas inclure n’importe quoi ni n’importe comment. (LFI/RFI)
  16. Lancer des requêtes AJAX correctement. (XSS, CSRF)
  17. Ne pas permettre de manipuler les scripts PHP. (SSRF)
  1. Correction du quiz d’évaluation sécurité PHP/WP (20 questions).
  2. Correction du quiz d’évaluation générale (10 questions).
  3. Quelles bonnes pratiques pour avoir un développement sécurisé.
  4. Modélisation des risques de menace avec le DREAD Score.
  1. Quels sont les comportements à adopter face à un piratage ?
  2. Que dire à nos clients ?
  3. Par où commencer pour tout remettre sur pied ?
  4. S’assurer que ce piratage ne revient pas.
  5. Le 100% sécurisé n’existe pas.

Nous découvrirons le projet OWASP et parlerons du top 10 des vulnérabilités, et plus si affinités. Nous relierons ça à WordPress quand c’est possible.

  1. A1:2017-Injection
  2. A2:2017-Broken Authentication
  3. A3:2017-Sensitive Data Exposure
  4. A4:2017-XML External Entities (XXE)
  5. A5:2017-Broken Access Control
  6. A6:2017-Security Misconfiguration
  7. A7:2017-Cross-Site Scripting (XSS)
  8. A8:2017-Insecure Deserialization
  9. A9:2017-Using Components with Known Vulnerabilities
  10. A10:2017-Insufficient Logging & Monitoring

Les études de cas sont des réalisations de découvertes de failles et de leur exploitation. Le tout dans des extensions et thèmes WordPress.

C’est ici qu’on va décortiquer les failles trouvées dans le core, les plugins, les thèmes (reportées par wpvulndb.com).

C’est ici qu’on va parler de « nopriv », des appels AJAX, des droits, des nonces, des attaques…

Ce n’est PAS réservé aux dévs, savoir détecter une faille ou un semblant de faille suffit parfois à sauver un site. C’est comme quand on « entends un bruit qui vient du moteur » et qu’on prends la peine d’aller chez le garagiste. On a eu raison !

Un faux site vous sera donné pour réaliser ce HackChallenge. Chaque page doit être piratée (sans ordre prédéfini) d’une façon qui vous est demandée. Vous obtenez un mot de passe qui vaut des points, vous apparaissez sur le « Hall of Fame » !

10 étapes de piratage de sites Web au lancement puis 1 nouveau challenge par semaine…

  1. Quiz finaux.
  2. Correction des quiz
  3. À vous de corriger une extension contenant des failles !
  4. Correction en tête à tête.
  1. Accès au Slack privé de la Formation, posez-vos questions !
  2. Accès aux Sessions Live, 1h30 par semaine.
  3. Accès à des Sessions Tête-à-tête (durée à définir).
  4. Accès aux replay des sessions live précédentes.

Le tout parsemé d'interviews, de quiz et d'études de cas d'audit

Les quiz vous permettent de vous assurer que vous avez compris le contenu du module. Les interviews permettent d’avoir des avis de la part de personnes de la communauté, ce ne sont pas forcément des gens du métiers de la sécurité, ni du développement, mais des personnes pour qui la sécurité, ça compte.

Les de cette formation

Expertise

Un contenu de formation réalisé entièrement par un Consultant en Sécurité Web.

Support privé

Un Slack pour répondre à vos questions et partager avec les autres membres.

Toute l'année

Consultez, relisez, révisez, commentez toute l'année le contenus de votre formation.

40 heures de cours

Des vidéos de qualité, transcrites en texte pour les rendre plus accessibles.

Les formules

Formule « Mini »

449
ou 3x 150€
  • Accès toute l'année
  • Accès au HackChallenge
  • 20 heures de vidéos HD
  • Transcription texte des vidéos
  • Accès au support via Slack privé
  • Accès aux interviews
  • Accès aux sessions 1-to-1
  • Accès aux Sessions Live Privées
  • Accès à tous les quiz des modules
  • Accès au replays des sessions privées
  • Accès à tous les exercices et corrections
Disponible
en novembre 2020

Formule «Maxi»

599
ou 3x 200€
  • Accès toute l'année
  • Accès au HackChallenge
  • 20 heures de vidéos HD
  • Transcription texte des vidéos
  • Accès au support via Slack privé
  • Accès aux interviews
  • Accès aux sessions 1-to-1
  • Accès aux Sessions Live Privées
  • Accès à tous les quiz des modules
  • Accès aux replays des sessions privées
  • Accès à tous les exercices et corrections

Formule
« Agence »

2 399
ou 3x 800€
  • Tout ce que contient la Formule Maxi
  • Formation nominative pour 5 apprenants

    au lieu d’1 seul


5 pour le prix de 4

Formation en présentiel

649
la journée
  • Déplacement dans votre société
  • 50% de réduction sur les formules
  • Contactez-moi pour connaitre vos besoins

    et décider ensemble d'un nombre de jours.

ou encore, participez seulement au HackChallenge gratuit.
Compte soumis à l’acceptation des CGU.

* Les prix sont affichés de base en EUR et pour une période de un an. Les prix sont en NET, aucune taxe possible (article 293B du CGI). Les accès sont révoqués annuellement sous réserve d’une nouvelle souscription à 50% du prix de base. Le support se fait sur le Slack Privé. En vous procurant la formation, vous renoncez à votre droit de rétractation de 14 jours, pas de remboursement possible dès l’accès aux cours payants. Le compte gratuit est supprimé si son adresse email est désabonnée de la liste de diffusion. Tous les achats sont sujets à l’acceptation des CGU & CGV sans aucune retenue.

Paiement sécurisé crypté SSL 128 bits

Autoévaluez-vous

Commencez maintenant avec ces 2 quiz gratuits
pour autoévaluer votre niveau en sécurité !
Gratuit

FAQ

Si vous savez utiliser un navigateur Internet, c’est déjà le minimum demandé.

Ensuite, des bases en connaissances Internet et Web seraient un plus.

Encore, si vous savez lire ou même créer des contenus HTML, c’est très bien.

Enfin, si vous savez développer en PHP, c’est encore mieux mais pas du tout obligatoire.

Je ne l’ai pas dit mais, iIl vous faut un ordinateur avec une connexion Internet…

Nous acceptons les systèmes de paiement sécurisés comme Stripe et Paypal qui vous permettent tout types de paiements : cartes de débit ou paiement direct via Paypal.

Il vous est aussi possible de payer en plusieurs fois pour 1€ de plus.

Nous ne ferons pas de coupons, nous ne vendons pas un produit mais un service qui vit, les contenus ne sont pas figés, de nombreux contenus sont ajoutés tout au long de l’année.

Cependant, nous faisons un effort de -25% sous forme de remboursement pour les étudiants et les personnes en recherche d’emploi.

Ce n’est pas une formation figée où on regarde les vidéos et terminé. Cette formation contient des heures de sessions en live, des sessions en tête-à-tête. Aussi, tous les mois de nouveaux cours sont ajoutés ou mis à jour. Encore, toutes les semaines, une nouvelle étape du HackChallenge est ajouté.

Pour toutes ces raisons, il est impossible de mettre cette formation à disponibilité à vie.

Cependant, vous bénéficiez de 50% de réduction pour les années suivantes.

Nous souhaitons que chaque compte ne soit utilisé que pour 1 apprenant. La formation est nominative, liée à une personne physique. Les épreuves du HackChallenge ne sont pas rejouables par exemple et les sessions en tête-à-tête ne seraient pas possible. Nous comptons sur votre fairplay et vous conseillons de lire les CGU sur ce sujet du partage interdit.

Si vous êtes une personne morale et souhaitez faire profiter à vos salariés cette formation, vous devez prendre la formule Agence qui est disponible pour 5 personnes.

Cette formule n’est pas disponibles pour les simples regroupements de 5 personnes physiques (une seule facture pour 1 personne morale).

Si vous optez pour la formule maxi, bien entendu et avec plaisir. Vous aurez un accès au Slack de la formation et/ou au mail si vous préférez la discrétion.

Si vous suiviez une formation de serrurier, seriez-vous ensuite un cambrioleur ? Cela devrait vous répondre.

Pas encore, la formation est jeune, mais c’est dans la TODO de façon assez priorisée.

Oui, c’est une chose que je fais déjà depuis 2013, prenez simplement contact et voyons vos besoins ensemble.

Il n’y en pas. Enfin si, ça existe, mais nous n’en auront pas besoin pour la formation. Déjà car nous ne sommes pas là pour pirater, mais surtout, vous verrez qu’il faut 3 fois rien pour réussir à exploiter des failles.

Pour les corriger, si vous développez, votre IDE préféré suffit largement.

Oui, dans ce cas, procurez-vous la formule maxi, nous vous rembourserons le prix de la formule mini.

Il n’y a pas de prorata temporis, ce qui signifie que si par exemple vous passez de la mini à la maxi 11 mois après votre achat, votre formation se termine tout de même dans 1 mois.

Il ne nous est pas possible de laisser un accès à la formation sans paiement. Il n’y a pas d’essai à se faire former, vous en avez besoin, ou pas. Ce n’est pas un produit qu’on peut ramener ou annuler.

L’accès à la formation en ligne est instantané, lors de l’achat, vous renoncez à votre droit de rétractation de 14 jours. Il n’y a donc pas de remboursement possible.

Si pour d’autres raisons, vous avez tout de même besoin de vous faire rembourser, contactez moi pour en discuter.

J’en suis désolé. Je vais tout faire en sorte pour qu’il y ai des replays. Mais aussi de modifier les horaires des lives afin de satisfaire un maximum de personnes.

Si vous ne pouvez vraiment jamais être avec nous, je le regrette et vous informe que cela ne donne tout de même pas droit à une réduction.

Non. La formation est uniquement consultable sur le site, il faudra donc toujours une connexion Internet pour suivre les vidéos.

D’autant plus que la formation n’est pas qu’une suite de vidéos ! La transcription en dessous est très importante, les quiz, les exercices et les commentaires aussi.

Non, cette formation sécurité est une formation vivante. Il n’est pas possible d’en sortir un PDF même si nous le souhaitions.

NON, JAMAIS. Relisez-moi bien, jamais.

Le 100% sécurisé n’existe pas. Le but de la sécurité, que ça soit Web ou routière, n’est là que pour retarder le moment où l’accident arrive en mettant des règles, et quand l’accident arrive, qu’il soit avec le moins de dégâts possible et que vous soyez en capacité de régler le problème après avoir été alerté.

En amont, vous saurez mettre en place ce qu’il faut pour retarder cet accident, et savoir réaliser le « contrôle technique » des extensions et thèmes que vous utilisez.

Bien entendu, votre facture sera disponible dès votre achat dans votre page de compte. Si vous avez payé en plusieurs mois, chaque facture sera disponible chaque mois.

Merci ! Confirmez maintenant votre inscription dans le mail envoyé.

Curabitur commodo amet, velit, Aliquam dapibus Donec eget sed luctus venenatis, ipsum