Interview : Bonjour Nicolas Juen

Bonjour Nicolas !

Directeur technique

Retrouvez Nicolas sur le Web

Bonjour Nicolas et merci de répondre à cette interview.

Bonjour Julio !

On y va, quel est ton job et pour qui travailles-tu ?

Mon job est directeur technique, ce qui englobe tout le fonctionnement de l'agence sur les sujets techniques que nous mettons en place.

Cela va du choix et sélection des plugins, à la mise en place du devOps, le maintient des solutions internes.

Mais aussi tout ce qui concerne l'hébergement et la discussion avec les DSI des différents clients.

Ok, donc quand je te dis "WordPress & Sécurité" tu penses à quoi en premier ?

Je pense à toutes les bonnes pratiques qui doivent être mises en place, mais surtout la veille qu'il faut faire pour rester à jour sur ce sujet.

C'est vrai, on oublie souvent la veille.

Et que mets-tu en place à minima chez un client pour la sécurité de ses sites ?

Le déplacement de l'URL de connexion, le renforcement de WordPress à travers les différentes en-têtes de sécurité.

Mais aussi l'application des bons droits sur le serveur pour empêcher les écritures en dehors du dossier des uploads par exemple.

La systématisation d'un plugin de sécurité est aussi de la partie, qui va couvrir les audit log de connexion par exemple mais aussi les scans de l'installation.

Le plugin permet de gagner du temps.

Et alors quelles règles de sécurité qui sont appliquées dans les développements chez BeAPI ?

Chaque plugin qui doit être installé est review par l'équipe de dev pour connaitre sa qualité mais aussi en faire un petit audit de sécurité.

Côté développement interne, le code est relu par les collaborateurs et la sécurité fait partie des choses vérifiées :

• jetons de sécurité

• droits

• fonctions d'échappement

• fonctions de nettoyage

Cela passe par aussi l'utilisation d'outils comme :

Psalm

WP coding standards

https://github.com/Roave/SecurityAdvisories pour les paquets composer.

Qui permettent de détecter avant même n'importe quelle code review les erreurs de base.

Ça doit être génial pour l'agence tout ça.

Maintenant, que penses-tu de la sécurité autour de WordPress, ses thèmes, ses extensions aujourd'hui ?

L'accent sur la sécurité n'est peut-être pas assez mis en avant dans les divers tutoriels, par exemple le jeton de sécurité est souvent utilisé, mais il manque très souvent la vérification des droits de l'utilisateur.

WordPress en soit je le considère plutôt sûr, les failles sont comblées rapidement et sur plusieurs versions en arrière.

La plupart du temps les failles qui apparaissent à travers les thèmes et extensions qui n'ont pas appliqué toutes les bonnes pratiques, de nombreuses fois un thème ouvre des backdoor et infecte la totalité de l'installation.

Mais à travers des sites comme wpvulndb la gestion des failles de sécurité est grandement facilitée.

Je pense aussi, d'où le besoin pour moi de créer cette formation.

Alors es-tu d'accord pour dire qu'il faut devenir un acteur de la sécurité de nos sites en 2020 ?

Oui, ça doit être mis pro-activement sur le site et non en réponse.

Lancer des scans, auditer le code externe que l'on intègre, protéger les pages de connexion, proposer un 2FA, supprimer les plugins/thèmes inutilisés etc.

Très bien dit !

Allez, donne 1 conseil sécurité pour les gens qui nous lisent.

Ne faites confiance à rien dans vos développements, toute donnée entrante doit être vérifiée, limitée et nettoyée.

Super, merci à toi Nicolas !

Praesent at nec justo venenatis, elit. leo. adipiscing elit. ultricies