Général, Utilisateurs

Sécurité

La sécurité de votre site et de vos données personnelles est toujours une priorité.  Cette page décrit les mesures que nous prenons pour contribuer à la protection de votre site et de vos données personnelles, ainsi que les étapes supplémentaires que nous vous recommandons pour optimiser votre protection.  

Table des matières

Comment nous protégeons votre site et vos données
Chiffrement, par défaut
Pare-feu
Surveillance de l’activité suspecte
Test de sécurité
Sauvegarde et récupération des données
Notre équipe de sécurité

Comment vous pouvez protéger votre site et vos données
Ne pas divulguer vos codes secrets
Choisir un mot de passe fort
Se déconnecter de votre compte
Contrôle d’accès au site
Authentification en deux étapes

Choix d’un mot de passe fort
Les mots de passe traditionnels ne sont plus fiables
Choisir une méthode moderne
Meilleure méthode : gestionnaire de mots de passe
Bonne méthode : phrases secrètes
Conseils supplémentaires concernant les deux méthodes de mot de passe


Comment nous protégeons votre site et vos données

Chiffrement, par défaut

Un chiffrement fort est stratégique pour garantir votre confidentialité et votre sécurité. Nous chiffrons (via SSL) tous les sites WordPress.com, y compris les domaines personnalisés hébergés sur WordPress.com. Nous considérons que le chiffrement fort est tellement important que nous ne permettons pas de désactiver cette option car cela pourrait compromettre la sécurité de votre site WordPress.com. Nous redirigeons (301) également toutes les requêtes HTTP non sécurisées vers la version HTTPS sécurisée. En savoir plus sur les protocoles HTTPS et SSL pour votre site.

Nous installons automatiquement un certificat SSL pour votre site. Dans de très rares cas, une configuration de site spécifique empêche le certificat SSL de fonctionner correctement. En cas de problème avec votre certificat SSL, veuillez nous contacter.


↑ Table des matières ↑

Pare-feu

Nous exécutons des pare-feu et avons mis en place des processus qui nous alertent en cas de tentatives d’accès non autorisées aux comptes WordPress.com.


↑ Table des matières ↑

Surveillance de l’activité suspecte

Nous analysons le trafic Web en permanence et surveillons les activités suspectes. Nous disposons également de mesures de sécurité pour faciliter la protection contre les attaques par déni de service distribué (DDoS).


↑ Table des matières ↑

Test de sécurité

Nous contrôlons la sécurité de nos services et recherchons des vulnérabilités potentielles régulièrement. Nous supervisons également un programme de récompense de détection des bugs via HackerOne afin de récompenser les utilisateurs qui détectent des bugs et nous aident à améliorer la sécurité de nos services.


↑ Table des matières ↑

Sauvegarde et récupération des données

Nos systèmes sauvegardent les données de votre site WordPress.com de manière régulière. Ainsi, si un événement entraîne une perte de données (comme une panne de courant ou une catastrophe naturelle), nous pouvons les récupérer.


↑ Table des matières ↑

Notre équipe de sécurité

Nous possédons une équipe de sécurité dédiée à la protection de vos données. Elle travaille en contact direct avec nos équipes produits pour résoudre les problèmes de sécurité potentiels et préserver notre engagement ferme à garantir la protection de vos données.

Aucun moyen de transmission des données par Internet et de stockage électronique n’est totalement sûr. Nous ne pouvons pas garantir la sécurité absolue de votre site ou compte. Nul ne le peut.  Par contre, nous considérons d’une importance cruciale de protéger correctement votre site et vos données personnelles.


Comment vous pouvez protéger votre site et vos données

Vous pouvez également mettre en place certaines actions (à lire).

↑ Table des matières ↑

Ne pas divulguer vos codes secrets

Le point faible de la sécurité de tout ce que vous faites en ligne est votre mot de passe. Il constitue la clé d’accès à votre blog, à votre messagerie électronique, à vos comptes de réseaux sociaux ou à tout autre service que vous utilisez. Si votre mot de passe est facile à deviner, votre identité en ligne est vulnérable.

Il suffit qu’une personne trouve votre mot de passe pour qu’elle supprime tous vos articles. Elle peut dénaturer votre site. Elle peut lire vos e-mails ou pirater votre adresse et usurper votre identité. Elle peut ruiner tout ce que vous passez du temps à construire.


↑ Table des matières ↑

Choisir un mot de passe fort

Tous les mots de passe que vous utilisez doivent être simples à mémoriser et compliqués à deviner. Un ensemble aléatoire de chiffres et de caractères constitue un mot de passe difficile à deviner mais également à se rappeler. D’un autre côté, vous n’oublierez probablement jamais la date de naissance ou le nom de votre premier animal domestique mais cela constitue de très mauvais mots de passe : trop simples à deviner ou trouver.

Sur WordPress.com, vous pouvez utiliser un mot de passe très long alliant des lettres, des chiffres et des caractères spéciaux de sorte que la sécurité de votre mot de passe (et par extension, de votre blog) est garantie. Nous avons recueilli quelques conseils pour créer des mots de passe forts.


↑ Table des matières ↑

Se déconnecter de votre compte

Vous pouvez protéger votre compte en vous déconnectant après chaque session de travail. Cette précaution est particulièrement importante lorsque vous travaillez sur un ordinateur partagé ou public. Si vous ne vous déconnectez pas, un tiers peut accéder à votre compte en consultant simplement l’historique du navigateur et en ouvrant votre tableau de bord WordPress.com.

Vous pouvez protéger votre compte en vous déconnectant après chaque session de travail.

Pour vous déconnecter de votre compte WordPress.com, cliquez sur votre Gravatar dans le coin supérieur droit. Puis, sous votre Gravatar, cliquez sur Déconnexion.


↑ Table des matières ↑

Contrôle d’accès au site

WordPress.com propose une plateforme multi-utilisateurs complète. Si chaque site ne possède qu’un seul propriétaire, vous pouvez avoir autant d’utilisateurs que vous le voulez. C’est l’idéal pour regrouper les blogs de plusieurs auteurs, pour les sites de type magazine avec un flux de travail éditorial ou pour tout autre site d’envergure sur lequel vous souhaitez partager certaines charges administratives.

Cependant, le partage de charge signifie également le partage des responsabilités. C’est pourquoi sur WordPress.com, vous pouvez attribuer des Rôles différents à chaque utilisateur que vous ajoutez à votre site. Les rôles déterminent le niveau d’accès d’un utilisateur.

  • Contributeur : le rôle le plus restreint. Il peut seulement rédiger des brouillons d’articles sans posséder les droits de publication.
  • Auteur : il peut publier des articles et charger des images mais n’a pas le droit de toucher aux articles des autres utilisateurs.
  • Éditeurs : ils peuvent modifier ou publier les articles de n’importe quel utilisateur, modérer les commentaires, de même que gérer les catégories et les étiquettes.
  • Administrateurs : il possède un contrôle total sur le site. Il peut même le supprimer.

Lors de l’ajout d’utilisateurs, essayez de déterminer le rôle le plus approprié à leur allouer sur votre site. Si vous configurez un compte pour un utilisateur qui ne devrait que contribuer à quelques articles, le rôle de contributeur suffira. Réservez les rôles d’auteur et d’éditeur aux utilisateurs de confiance avec un engagement sur la durée.

Enfin, ne distribuez pas le rôle d’administrateur à la légère. Lorsque vous octroyez ce rôle à un autre utilisateur, vous créez littéralement un ensemble de codes d’accès distincts à votre site que vous confiez à un tiers. Non seulement ce dernier peut faire ce qu’il veut de votre site,  mais en plus ces codes d’accès supplémentaires augmentent considérablement le risque de piratage de votre site.

En fait, nous vous conseillons de laisser le rôle d’administrateur totalement de côté. Dans la plupart des cas, le rôle d’éditeur sera bien plus pertinent.

Pour en savoir plus sur ce sujet, consultez les pages d’assistance sur l’Ajout d’utilisateurs et les Rôles utilisateurs.


↑ Table des matières ↑

Authentification en deux étapes

Avec l’authentification en deux étapes, vous pouvez utiliser n’importe quel appareil mobile compatible iOS, Android, Blackberry ou SMS en tant que clé unique d’accès à votre blog. Une fois connecté au service, vous devrez entrer un code unique spécialement généré à chaque tentative de connexion à votre blog. Cela signifie que même si votre mot de passe est en possession d’un tiers, ce dernier ne pourra pas se connecter sans votre appareil mobile.

Pour en savoir plus sur ce service, consultez la page d’assistance sur l’Authentification en deux étapes.


Choisir un mot de passe fort

Le mot de passe est souvent l’élément qui menace le plus la sécurité des comptes en ligne. Chez WordPress.com, nous mettons tout en œuvre pour garantir la sécurité et la protection de votre contenu tout en veillant à ce que vous soyez le seul à pouvoir y accéder.

Cependant, si un tiers peut deviner ou récupérer votre mot de passe, il peut contourner presque toutes nos mesures de sécurité; En effet, WordPress.com le verra comme si c’était vous. Dès lors, il peut apporter toutes les modifications qu’il veut à votre blog ou compte WordPress.com y compris supprimer son contenu.

Pour éviter ce scénario, ce guide vous aidera à créer des mots de passe forts, difficiles à deviner ou pirater. Découvrez les conseils suivants et vérifiez soigneusement votre mot de passe. Si vous pensez que votre mot de passe n’est pas assez sûr, nous vous recommandons fortement de le modifier.


↑ Table des matières ↑

Les mots de passe traditionnels ne sont plus fiables

Les techniques de piratage des mots de passe ont considérablement et rapidement évoluées au cours des dernières décennies. Dans le même temps, notre façon de créer les mots de passe n’a pas suivi le rythme. C’est pourquoi le conseil le plus courant actuellement partagé sur la création de mots de passe forts est obsolète et peu pratique.

Les mots de passe ainsi créés, comme jal43#Koo%a, sont très faciles à casser par un ordinateur et très difficiles à retenir et saisir par l’utilisateur.

Les derniers types les plus efficaces d’attaques contre les mots de passe peuvent exécuter plus de 350 milliards de tentatives visant à deviner des mots de passe par seconde. Ce nombre devrait sans nul doute augmenter significativement au cours des prochaines années.

Aujourd’hui, la création d’un mot de passe fort requiert des techniques modernes. Nous vous en présenterons deux dans la section suivante.


↑ Table des matières ↑

Choisir une méthode moderne

Il existe de nombreuses approches différentes de génération d’un mot de passe fort mais les gestionnaires de mots de passe et les phrases secrètes restent les meilleurs. Choisissez la solution qui vous convient le mieux, puis consultez la section correspondante ci-après pour en savoir plus sur la procédure à suivre.


↑ Table des matières ↑

Meilleure méthode : gestionnaire de mots de passe

Un gestionnaire de mots de passe est une application logicielle installée sur votre ordinateur ou votre appareil mobile. Il génère des mots de passe très forts et les conserve dans une base de données sécurisée. Vous utilisez une seule phrase secrète pour accéder à la base de données, puis le gestionnaire saisit automatiquement votre nom d’utilisateur et votre mot de passe dans le formulaire du site Web pour vous. Si vous ne devez vous souvenir que d’un mot de passe, vous pouvez faire en sorte qu’il soit aléatoire et aussi dur à deviner que vous le voulez.

Vous n’avez plus à vous inquiéter de choisir un bon mot de passe, le mémoriser ou le ressaisir. Cette méthode est actuellement la plus simple et la plus fiable et nous vous conseillons fortement de l’utiliser.

Comment utiliser un gestionnaire de mots de passe

Il existe de nombreux gestionnaires différents. Vous devez donc choisir celui qui vous plait et l’installer sur votre ordinateur. Il s’agit là de la procédure générale mais vous pouvez consulter la documentation propre à votre application pour en savoir plus.

  1. Choisissez un gestionnaire de mots de passe. Voici quelques exemples d’applications populaires :
    • 1Password (source fermée, commerciale)
    • LastPass (source fermée, gratuite/commerciale)
    • Dashlane (source fermée, gratuite/commerciale)
    • KeePass (open source, gratuite)
    • RoboForm (source fermée, commerciale).
    • Utilisez votre moteur de recherche préféré pour accéder à un choix plus vaste.
  2. Installez-le sur votre ordinateur.
  3. Installez les extensions du ou des navigateurs Web que vous utilisez.
  4. Créer un mot de passe principal fort pour accéder à la base de données des mots de passe. Consultez la section Comment créer une phrase secrète de ce document pour en savoir plus sur la procédure à suivre.
  5. (facultatif) Entrez le mot de passe principal et conservez-le dans un emplacement sûr comme un coffre-fort. Vous devez disposer d’une sauvegarde pour le cas où vous oublieriez le mot de passe principal.
  6. (facultatif) Partagez votre base de données de mots de passe sur plusieurs appareils avec les outils intégrés à l’application ou par le biais d’un service comme SpiderOak. Si vous utilisez un service externe, veillez à vous y connecter avec un mot de passe fort et activez l’authentification à deux facteurs sur le compte (si cela est possible).

Maintenant que le gestionnaire de mots de passe est configuré, vous pouvez commencer à générer des mots de passe forts à l’aide de ce dernier. Recherchez l’outil de génération des mots de passe intégré à votre gestionnaire et configurez-le pour créer 30 à 50 caractères aléatoires associant des lettres en majuscule et en minuscule, des chiffres et des symboles.

générateur-mot-de-passe

L’objectif consiste à obtenir quelque chose qui ressemble à ça : N9}>K!A8$6a23jk%sdf23)4Q[uRa~ds{234]sa+f423@

Cela peut sembler intimidant mais garder à l’esprit que vous n’aurez jamais besoin de vous rappeler ou de le saisir ; votre gestionnaire de mots de passe s’en chargera automatiquement pour vous.


↑ Table des matières ↑

Bonne méthode : phrases secrètes

Une phrase secrète est similaire à un mot de passe à l’exception qu’elle repose sur un ensemble aléatoire de mots au lieu de ne contenir qu’un seul mot. Par exemple, copie indiquer piège intelligent.

La longueur d’un mot de passe étant l’un des principaux facteurs de l’importance de sa force, les phrases secrètes sont bien plus sécurisées que les mots de passe traditionnels. Dans le même temps, il est bien plus facile de s’en rappeler et de les saisir.

Elles ne sont pas aussi fortes que les mots de passe générés par les gestionnaires de mots de passe mais elles constituent une bonne option si vous ne souhaitez pas utiliser de gestionnaire de mot de passe. Elles sont également idéales pour générer le mot de passe principal d’un générateur de mots de passe ou du compte de votre système d’exploitation, étant donné que le générateur de mots de passe peut les renseigner automatiquement.

Comment créer une phrase secrète

La création d’une phrase secrète suit des règles similaires à la création d’un mot de passe traditionnel sans nécessiter d’être aussi complexe. En effet, la longueur de la phrase garantit une sécurité suffisante pour prendre le pas sur la simplicité.

  1. Choisissez 4 mots aléatoirement. Vous pouvez utiliser le générateur de phrases secrètes xkcd si vous le voulez mais il est préférable de créer votre phrase secrète vous-même.
  2. Ajoutez des espaces entre les mots si vous préférez.

À ce stade, vous devez obtenir quelque chose comme : copie indiquer piège intelligent

Vous pouvez vous arrêter là ou renforcer votre combinaison en procédant comme suit :

  1. Utilisez quelques lettres en majuscule.
  2. Ajoutez quelques chiffres et symboles.

Une fois ces règles appliquées, votre phrase secrète ressemblera à : Copie indiquer 48 Piège (#) intelligent

Ce que vous ne devez pas faire :

  • Ne placez pas les mots dans un ordre prévisible ou de manière à constituer une phrase intelligible ; la phrase secrète serait alors plus facile à deviner.
  • N’utilisez pas de paroles de chanson, de citations ou tout autre texte déjà publié. Les pirates possèdent d’imposantes bases de données des mots publiés pouvant servir à la constitution de mots de passe.
  • N’utilisez pas d’informations personnelles. Même en combinant des lettres et des chiffres, un tiers qui vous connait ou peut effectuer des recherches en ligne à votre sujet, peut facilement deviner un mot de passe à partir de ces informations.

↑ Table des matières ↑

Conseils supplémentaires concernant les deux méthodes de mot de passe

Au-delà de votre compte WordPress.com, vous devez garder à l’esprit les conseils suivants lors de la création de mots de passe visant à sécuriser vos informations.

  • N’utilisez jamais deux fois le même mot de passe. De nombreux sites Web populaires ne protègent pas suffisamment les mots de passe sur leur système si bien que les pirates les cassent régulièrement et accèdent ainsi à des centaines de millions de comptes. Si vous réutilisez un mot de passe sur plusieurs sites, tout pirate qui récupère vos identifiants d’un site pourra se connecter à votre compte sur les autres sites. Veillez au moins à posséder des mots de passe uniques pour tous les sites qui conservent des données financières ou sensibles, ou qui pourraient nuire à votre renommée.
  • Veillez également à ce que votre mot de passe de messagerie soit fort. Sur de nombreux services en ligne comme WordPress.com, votre adresse e-mail vous permet de vous identifier. Si un utilisateur malveillant accède à votre messagerie, il peut facilement réinitialiser vos mots de passe et se connecter à votre compte.
  • Ne partagez pas vos mots de passe. Même si vous avez confiance en la personne, un pirate peut intercepter ou espionner la transmission, ou encore pirater l’ordinateur de cette personne. Si vous pensez qu’un tiers connait votre mot de passe, changez-le immédiatement.
  • Ne transmettez jamais votre mot de passe à un tiers par e-mail. Les e-mails sont rarement chiffrés ce qui les rend facilement lisibles pour les pirates. Le personnel de WordPress.com ne vous demandera jamais votre mot de passe. Si vous devez partager un mot de passe, utilisez un mode de transmission sécurisé comme pwpush.com et définissez l’expiration du lien après la première vue.
  • Ne partagez pas vos mots de passe sur un navigateur Web. Ils ne sont généralement pas conservés de manière sécurisée. Préférez l’utilisation d’un gestionnaire de mots de passe. Reportez-vous à la section sur les gestionnaires de mots de passe ci-dessus pour en savoir plus.
  • N’enregistrez pas les mots de passe et n’utilisez pas les options « Se souvenir de moi » sur un ordinateur public. Le cas échéant, la personne qui utilisera l’ordinateur après vous pourra accéder à votre compte. Enfin, n’oubliez pas de vous déconnecter ou de fermer le navigateur lorsque vous avez terminé.
  • N’écrivez pas votre mot de passe. Si vous l’écrivez quelque part et qu’un tiers peut le trouver, il n’est plus protégé. Conservez plutôt vos mots de passe dans un gestionnaire de mots de passe, afin qu’ils soient chiffrés. Reportez-vous à la section sur les gestionnaires de mots de passe ci-dessus pour en savoir plus. Seule exception à cette règle, le stockage sécurisé des mots de passe non récupérables (comme le mot de passe principal d’un gestionnaire de mots de passe ou de votre compte de système d’exploitation). Pour ce faire, vous pouvez notamment utiliser un coffre-fort.
  • Ne modifiez vos mots de passe que si vous suspectez qu’ils sont compromis. Tant que vous possédez le type de mot de passe fort recommandé dans cet article, le modifier fréquemment n’aura aucune incidence sur la réduction des risques de compromission. Comme les modifier peut devenir une corvée, les utilisateurs sont souvent tentés d’adopter de mauvaises pratiques afin de simplifier le processus. Ceci peut toutefois accroître leur vulnérabilité aux attaques. Si vous suspectez un tiers d’avoir réussi à accéder à votre compte, il est toujours judicieux de modifier votre mot de passe.