Ce que j’ai appris en interviewant 10 experts en sécurité WordPress

Ividere, qui montre comment les compromis de trois types différents de sites WordPress se produisent réellement (et comment se protéger contre eux).
J’ai rassemblé les vidéos dans l’ordre et vous pouvez vous abonner à: les vidéos sont directement disponibles à partir du cours (payant), donc c’est vraiment une excellente occasion d’en apprendre plus et d’obtenir gratuitement du matériel de qualité. Bien sûr, je respecterai toujours votre boîte de réception et vous rejoindrez des milliers d’autres utilisateurs, implémentateurs et développeurs de WordPress dans notre liste 1. Aaron Campbell m’a présenté la sécurité de base de WordPress Aaron Campbell est le chef de l’équipe de sécurité principale de WordPress. Ou comme je le pensais, c’était un Tsar en sécurité. Le « Tsar » est souvent utilisé en anglais pour désigner une personne qui a reçu beaucoup de pouvoir informel et de contrôle pour contrôler quelque chose. Par conséquent, une organisation accorde rarement officiellement le titre de « Tsar », mais lorsqu’elle le fait, cela signifie que cette personne est le principal responsable du sujet. C’est pourquoi je suis heureux d’avoir l’occasion de parler à Aaron.
Aaron s’empresse de souligner qu’il n’est pas le seul responsable de WordPress security. Il y a une très bonne équipe et tous les principaux entrepreneurs tiennent compte des questions de sécurité chaque fois qu’ils examinent ou soumettent un code dans le cadre d’un projet. C’est – à – dire qu’aaron et l’équipe de sécurité sont responsables de détecter les problèmes de sécurité dans les grands projets WordPress. Les équipes de sécurité dépendent de plus en plus de hackerone. L’une des choses les plus importantes qu’Aaron a entendues est comment le processus de l’équipe de sécurité a changé. Il fut un temps où trac (l’interface wordpress pour les discussions de projets majeurs et les correctifs de Code) avait une version séparée, privée et tenue à jour uniquement pour les équipes de sécurité. Pourquoi existe – t – il? C’est beaucoup mieux (même dans les relations publiques)
Open source) résoudre les problèmes de sécurité sans les divulguer au public. Cela empêche un attaquant de tenter d’exploiter une vulnérabilité interprétée dans le logiciel qui n’a pas de correctif.
Fait intéressant, les équipes de sécurité comptent de plus en plus sur hackerone. Hackerone est un site Web qui permet le paiement de primes de vulnérabilité en échange d’une divulgation responsable (c. – à – D. privée) des questions de sécurité. Il y a quelques mois à peine, l’équipe centrale y a créé un compte, mais maintenant elle l’utilise souvent pour recevoir des reportages et rester en contact avec les journalistes. Il s’agit clairement d’un bon changement pour l’ensemble du projet. 2. Discussion with Tony Peres on Security breach Tony Perez est en grande partie le PDG de sucuri (peut – être tout…?) L’entreprise était privée avant d’être rachetée par GoDaddy en avril. Il est maintenant dans une plus grande entreprise et voit son rôle s’élargir. Une des choses dont nous discutons en détail est donc comment GoDaddy prend des mesures pour assurer la sécurité de l’expérience WordPress par défaut.
Bien qu’il ne s’agisse certainement pas d’un engagement à l’égard de changements futurs dans les produits, Tony envisage clairement ce que GoDaddy pourrait faire pour offrir aux utilisateurs une expérience d’hébergement meilleure et plus sûre. Cela signifie s’assurer que l’hôte met automatiquement à jour non seulement WordPress lui – même, mais aussi les plug – ins que le site exécute. Ou l’authentification à deux facteurs par défaut. S’ils peuvent le faire, leur site WordPress sera sans aucun doute plus sûr. Tony réfléchit clairement à ce que GoDaddy peut faire pour offrir une expérience meilleure et plus sûre à ceux qui dirigent avec eux.
Nous avons également discuté en détail de la suite de services sucuri (accessible à tous, GoDaddy et n
Des professionnels de WordPress du monde entier. Contrairement à elle, elle a une idée très intéressante sur la façon de convaincre les clients de s’inquiéter de la sécurité. (c’est une question que j’a i entendue de nombreuses personnes différentes du Service de sécurité à la clientèle.) L’histoire est le secret pour convaincre les gens de l’importance de la sécurité du site WordPress.
Beaucoup de ses clients se sont tournés vers moi sans savoir ce qu’est WordPress, ils ont juste senti le besoin d’un site Web. (cela semble familier?) En plus de lui donner un site Web, meher s’assure que le site reste sécurisé. Pour ce faire, vous devez les convaincre que la sécurité est importante. L’astuce la plus intéressante et la plus utile qu’il a trouvée était de raconter l’histoire personnelle d’une personne qu’il connaissait qui a pris le contrôle du site et a commencé à perdre le classement Google. Les gens ont beaucoup plus de liens avec les histoires que les chiffres, donc je pense que c’est une technique très efficace pour convaincre les clients de prendre soin d’eux.
Christo panjalov m’a dit comment l’hôte siteground était protégé. Christo est un expert WordPress de siteground. Il conserve son plugin cache et discute régulièrement avec wordpcamps des différents thèmes de l’écosystème WordPress. La motivation de mon dialogue avec Hristo est de comprendre le point de vue de l’animateur sur la sécurité WordPress. Hristo donne le point de vue de l’animateur sur la sécurité WordPress. L’une des choses les plus intéressantes dont nous avons discuté est la différence entre siteground et la plupart des autres hôtes qui offrent un hébergement WordPress à faible coût: Memcached pour les utilisateurs d’hébergement partagés. Il s’agit d’un autre niveau de cache que les sites WordPress peuvent utiliser: il est souvent appelé “cache d’objets”. Mais memcahe n’a pas de véritable politique de sécurité pour
Fournit un hébergement partagé. Si l’hôte fournit accidentellement memcache, ses utilisateurs peuvent piétiner les données d’autres personnes ou avoir la capacité de lire les données d’autres personnes. Ni l’un ni l’autre n’est bon, et siteground résout le problème d’une manière simple et élégante: ils fournissent leur propre processus d’exécution memcache pour chaque compte géré. Ben gillbanks m’a parlé de Tim Thumb. Ben gillbanks gagne sa vie grâce à son magasin spécialisé de développement de thème. Il gère également un excellent Bulletin masterwp avec notre bon ami Alex Denning. Mais je suis vraiment intéressé à parler à ben pour une raison très claire: sa connaissance directe de timthumb, qui est l’une des raisons les plus célèbres de compromis de site dans l’histoire de WordPress. J’apprécie vraiment que Ben soit prêt à en discuter. Timthumb est un outil pour redimensionner l’image avant que WordPress n’inclue cette fonctionnalité. C’est également le début de l’ère des thèmes avancés, où de nombreux thèmes fusionnent les bibliothèques dans leur code. C’est le problème. Si tout le monde met à jour timthumb patch au moment de sa publication, certains sites Web endommagés seront touchés. L’une des plus grandes victoires en matière de sécurité est de se tenir au courant de votre dépendance. Lorsque le problème a été détecté dans timthumb, le problème a été résolu rapidement et si tout le monde pouvait recevoir des mises à jour rapidement, il n’y aurait pas eu de problème grave. Mais les utilisateurs finaux de WordPress n’ont pas pu mettre à jour les corrections apportées aux thèmes proposés. De nombreux sujets ne peuvent pas mettre à jour la version de timthumb, de sorte que les utilisateurs non – développeurs ne peuvent rien faire. En raison de cette double mise à jour échouée, de nombreux sites WordPress continuent d’exécuter du Code et d’exposer des vulnérabilités. C’est un
Bile Un facteur qui rend le WAF Cloud (comme sitelock) plus efficace qu’un paramètre est sa capacité à absorber une grande quantité de trafic provenant d’attaques de déni de service. Une attaque de déni de service est une attaque par laquelle un attaquant tente d’inonder votre site avec beaucoup de trafic afin qu’il ne soit plus disponible publiquement. Sitelock WAF fournit une protection en ligne constante pour cela. Mais il y a d’autres raisons pour lesquelles vous voulez le WAF. Le plus grand défi est de bloquer automatiquement l’IP partagée (sitelock a trouvé quelqu’un qui attaque un site et l’empêchera d’attaquer votre site) et de fermer les demandes Web malveillantes au niveau du pare – feu. Ces deux éléments sont les principaux avantages en matière de sécurité du WAF. Julio potier m’a dit pourquoi tu voulais un plug – in sécurisé. Julio dirige secupress. Secupress a été conçu à l’origine comme un produit WP media et vous savez probablement qu’il a été le créateur du plug – in de cache WP Rocket. Récemment, secupress et Julio ont quitté leur société mère pour attirer davantage l’attention. Julio m’a dit à propos de secupress que de bons paramètres par défaut dans le plug – in de sécurité sont très importants. (en tant que personne qui a examiné une grande quantité de données pour ce cours, je suis tout à fait d’accord avec son importance.) Julio a souligné l’importance de bons paramètres par défaut dans les plug – ins de sécurité… Je suis tout à fait d’accord. Une chose que je ne comprends pas vraiment en tant que développeur est le point de vue de Julio sur le fait que le scanner de logiciels malveillants est essentiellement un ensemble d’expressions régulières, ce qui est intéressant pour moi. Pour les non – programmeurs, une expression régulière (ou regex) n’est qu’un fantasme de trouver une chaîne de texte dans un programme. Je les ai combattus, alors merci beaucoup.
Écrivez leur sécurité pour les scanners de logiciels malveillants, donc ce n’est pas nécessaire. Joe Howard explique pourquoi la sécurité est importante Joe est responsable du support pour WordPress et le CTO virtuel, WP buffs. Ils font tout, des conseils techniques à l’optimisation et à la sécurité du site. Et tout est mensuel, donc vous savez toujours que quand vous avez besoin d’aide, vous avez quelqu’un à qui demander de l’aide. Joe gère également wpmrr, un cours vidéo solide qui enseigne aux professionnels de WordPress comment mettre en œuvre, vendre et exécuter des programmes de service à la clientèle continus pour leurs clients et augmenter leurs revenus chaque mois. De plus, les podcasts WordPress de wpmrr sont entièrement axés sur le développement d’événements WordPress réussis et de revenus mensuels récurrents sans être trop sérieux. Les gens ne demandent de l’aide en matière de sécurité que lorsqu’ils ont des problèmes de sécurité. C’est trop tard. Une chose intéressante que Joe a apprise (bien que significative rétrospectivement) est que les gens n’achètent cette aide que si la sécurité est menacée, comme si leur site Web est « piraté » ou quelque chose d’autre. C’est compréhensible. Mais Joe, comme moi, mon but est de faire en sorte que les gens pensent à la sécurité avant que quelque chose d’aussi violent et laid ne se produise. Le temps le plus facile pour réparer un site WordPress piraté est toujours avant qu’il ne soit piraté. Plusieurs Parties différentes de la sécurité WordPress la sécurité WordPress a de nombreux aspects différents qui peuvent prendre un certain temps à comprendre. La sécurité comprend des options simples, comme qui obtient votre hôte Web, qui partage vos mots de passe et ce qu’ils sont. C’est un sujet important et nous venons d’aborder la surface de ces entrevues. Je pense qu’ils sont une bonne façon d’apprendre à penser.
Plus d’informations sur la sécurité WordPress, que vous soyez un utilisateur de WordPress ou que vous écriviez PHP et Javascript pour lui. Mais ce n’est que le début. C’est pourquoi mon nouveau cours WordPress Safety confidence offre également des heures de discussion sur des sujets détaillés et importants concernant la sécurité WordPress. C’est bien d’installer un bon plugin de sécurité, mais il est plus important et plus puissant de comprendre tous les aspects de la sécurité WordPress. Mais lire cet article est un bon début. Si vous voulez savoir ce qui va se passer ensuite, Visionnez la vidéo via le formulaire ci – dessus ou lisez mon guide de sécurité WordPress complet