(remplacer 1.2.3.4 par votre adresse IP que vous pouvez récupérer sur http://monip.org )
WordPress étant l’un des CMS les plus utilisés au monde, il est « tout naturellement » sujet à des attaques massives et fréquentes.
Quand ce n’est pas la plateforme elle-même, ce sont les plugins populaires qui sont touchés (souvenez-vous de Revolution Slider…).
N’attendez pas de vous réveiller un matin face à un site piraté, une page blanche ou un message de votre hébergeur vous annonçant que vous avez dépassé les ressources prévues par votre abonnement suite à une attaque DDoS : renforcez la sécurité de votre site WordPress dès aujourd’hui !
Vous pensez que cela est réservé aux « gros sites » ?
Détrompez-vous : personne n’y échappe.
Bien sûr, être protégé à 100 % est impossible. Mais avec des manipulations préventives, des actions simples et un bon système de protection, vous échapperez déjà à de nombreux problèmes.
Pour vous aider dans vos démarches, j’ai réuni différentes astuces et conseils pour mieux sécuriser WordPress.
C’est l’un des conseils les plus indispensables à suivre : mettez à jour WordPress et vos plugins dès que vous en recevez la notification.
Bien entendu, WordPress sera toujours l’une des cibles d’opérations de piratage. Mais dans la mesure où, à chaque fois que des failles de sécurité sont détectées, cela entraîne des mises à jour de WordPress, vous n’avez pas d’excuse pour ne pas (immédiatement) les implémenter.
Une partie de ces mises à jour peut être automatisée, mais ne négligez aucun message lorsque vous vous connectez à votre tableau de bord.
Ces mises à jour sont importantes, car elles vont bien plus loin que l’ajout de nouvelles fonctionnalités : la plupart d’entre elles résolvent des bugs et des failles de sécurité.
Sur ce point d’ailleurs, si vous voyez que des thèmes ou plugins ne fonctionnent pas avec la version la plus récente de WordPress, ne les installez pas ou changez-les très rapidement. Ils sont a priori peu protégés face aux attaques qui peuvent survenir…
Cette page est l’une des cibles les plus courantes des hackers, qui cherchent à forcer l’accès à votre tableau de bord par le biais d’une attaque par force brute. Plus concrètement, il s’agit de tester automatiquement toutes les combinaisons de mots possibles, d’où l’intérêt de bien choisir ses mots de passe.
Pour réduire les risques que cela arrive, vous pouvez bloquer l’accès à wp-login.php ou limiter le nombre de tentatives de connexion.
Si quelqu’un s’acharne à essayer d’entrer dans votre tableau de bord, n’aimeriez-vous pas pouvoir l’empêcher d’agir après plusieurs connexions ratées ?
Le plugin WordPress « Login Lockdown » le permet. Vous pouvez le télécharger ici, ou considérer une alternative comme WordFence, qui comprend beaucoup d’autres fonctionnalités de sécurité.
WordPress l’a longtemps attribué par défaut, ce qui en fait une cible très courante pour les hackers.
Aujourd’hui, lors d’une nouvelle installation, il est désormais possible de configurer immédiatement un autre nom d’utilisateur.
Néanmoins, si vous êtes depuis quelques temps sur le Web, vous avez installé WordPress avant cette option. C’est le moment de trouver un nouveau nom et de supprimer « admin » !
A noter qu’il n’y a pas de risques de perte de contenu, WordPress vous demandant à quel utilisateur attribuer le contenu publié jusque-là par « admin ».
Oui, c’est vrai : si vous travaillez beaucoup en ligne, vous passez une partie de votre temps à réinitialiser des mots de passe oubliés ou à multiplier les déclinaisons autour d’une même base.
Vous le savez probablement déjà :
Mais le faites-vous vraiment ?
N’optez pas pour la facilité. Si vous n’utilisez pas un mot de passe long et complexe, vous compromettez sérieusement la sécurité de votre installation WordPress.
Pour vous aider à générer un mot de passe de qualité, vous pouvez utiliser le site www.strongpasswordgenerator.com.
Enfin, si vous avez des employés ou collaborateurs qui accèdent à votre tableau de bord, soyez intransigeant sur la qualité de leurs mots de passe.
Vous pouvez modifier votre fichier .htaccess depuis votre client FTP (Filezilla par exemple), ou avec le plugin WordPress SEO By Yoast.
Afin de renforcer la sécurité de ce fichier WordPress (en empêchant son accès extérieur), vous pouvez ajouter les lignes de code suivantes :
<Files .htaccess> order allow,deny deny from all </Files>
C’est depuis ce même fichier (et sur la même base) que vous pouvez en fait protéger n’importe quel dossier de votre installation, à l’exemple de wp-config (qui contient vos données de connexion):
<Files wp-config.php> order allow,deny deny from all </Files>
Toujours dans votre fichier .htaccess, ajoutez ces quelques lignes extraites du Codex WordPress :
# Block the include-only files. <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule> # BEGIN WordPress
Même si cette manipulation n’empêche pas les attaques, vous augmentez la sécurité de votre installation WordPress, en empêchant de pouvoir très facilement identifier la version WordPress utilisée.
Pour cela, ouvrez votre fichier functions.php et ajoutez-y une fonction :
function masquer_version() { return ''; } add_filter('the_generator', 'masquer_version');
Elle vous permettra de masquer la version de votre WordPress à différents endroits de votre site, et pas seulement au niveau du header.
Lorsque vous ajoutez /wp-content/uploads (ou autre) à l’URL d’un site WordPress non protégé, voici ce à quoi vous pouvez avoir accès :
Pour éviter que des personnes ne parcourent vos dossiers de la même manière, ajoutez ces lignes à votre fichier .htaccess :
# Disable directory browsing Options All -Indexes
Il est important de bien configurer vos « files permissions », que vous avez peut-être déjà croisées : 755, 644, 600…
Ces nombres déterminent les droits liés aux différentes composantes de votre site : écrire, lire, exécuter… et surtout, qui peut le faire.
Pour sécuriser WordPress au maximum, vous devez en éviter certaines et leur en préférer d’autres.
Par exemple, un répertoire de fichiers avec une permission de 777 risque de permettre à des tiers de modifier votre site ou d’y injecter leurs propres fichiers.
D’après WordPress, vous devriez par exemple privilégier les permissions suivantes :
Vous pouvez changer les permissions depuis votre client FTP (Clic droit > File Permissions) ou dans votre manager de fichiers, selon votre type d’hébergement.
Vous ne vous en êtes peut-être jamais aperçu, mais de nombreux sites se font non seulement voler leurs images, mais aussi une partie de leur bande passante.
Cette pratique a un nom : le hotlinking. Concrètement, un site diffuse votre contenu tout en continuant à l’héberger chez vous et généralement sans vous créditer.
Pour limiter les dégâts, vous pouvez ajouter ces lignes à .htaccess :
# Empêche le hotlinking image. Remplacez les URLs avec les vôtres RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?votresite.com [NC] RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?votreautresite.com [NC] RewriteRule .(jpg|jpeg|png|gif)$ http://i.imgur.com/MlQAH71.jpg [NC,R,L]
La dernière ligne renvoie l’image que vous voulez faire afficher en cas de tentative de hotlinking. Que pensez-vous de celle-ci ?
Pour cela, ajoutez-lui les lignes suivantes. Ce code apporte une protection plus forte que le code présenté plus haut, car il empêche l’accès à tout fichier contenant “HTA”, “hta” ou n’importe quelle combinaison de casse de ceux-ci (l’autre code protégeant uniquement l’accès à la combinaison “htaccess”) :
# protège htaccess <Files ~ "^.*.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </Files>
Votre base de données est indispensable à votre site WordPress. Le problème est que c’est l’une des cibles favorites des hackers, qui tentent notamment d’y effectuer des injections SQL.
Prévenir une attaque dans son intégralité est difficile. Mais vous pouvez leur compliquer la tâche en modifiant le préfixe par défaut (wp_).
N’hésitez pas à visionner cette vidéo pour bien comprendre la marche à suivre :
Si vous êtes déjà à l’aise avec les manipulations qui touchent à votre base de données, rendez-vous directement dans PhpMyAdmin !
Si certaines attaques se voient immédiatement, d’autres sont plus insidieuses. Heureusement, des solutions existent pour surveiller votre site, afin de détecter d’éventuelles intrusions ou anomalies.
La plupart ne se contentent pas de scanner votre site, mais aussi de le sauvegarder régulièrement (voire quotidiennement) et de nettoyer votre installation WordPress en cas de souci.
CodeGuard est une bonne solution pour sauvegarder automatiquement votre site WordPress et le restaurer en quelques clics si un problème survient (pas nécessairement suite à une attaque, d’ailleurs).
En cas d’anomalie, vous êtes immédiatement alerté.
Site Internet – A partir de 3 $ / mois, selon l’offre choisie et la durée d’engagement
Sucuri est l’un des leaders dans le domaine de la sécurité WordPress. En plus de son scan gratuit (que vous pouvez tester à cette adresse), il permet de surveiller et nettoyer votre installation.
Site Internet – A partir de 199 $ / an
Theme Authenticity Checker scanne votre installation pour voir si votre thème abrite des lignes de code malicieux qui ne devraient pas être là. Il n’est pas là pour résoudre le problème, mais vous révèle l’emplacement exact de l’anomalie. Et si WordPress incluait un jour cette fonction ?
Page du plugin
Vous pouvez aussi regarder du côté de VaultPress, l’un des experts en sécurité WordPress.
Enfin, le plugin Block Bad Queries vous aidera à lutter contre les requêtes mal intentionnées lancées contre votre site.
Lorsque vous vous connectez à votre serveur, privilégiez le protocole SFTP (Secure File Transfer Protocol), qui est la même chose que FTP, mais en plus sécurisé.
Si vous avez un doute, demandez à votre hébergeur de vous renseigner.
Si vous avez installé BBPress ou BuddyPress, vous ne connaissez que trop bien le problème des inscriptions « spam » d’utilisateurs aux pseudos douteux.
Il n’existe pas de solution miracle, mais vous pouvez vous tourner vers les plugins WangGuard ou Stop Spammers Spam Prevention.
Bien sûr, ce point ne renforcera pas la sécurité de votre site WordPress en tant que telle, mais au-delà d’éviter des pertes de données, vous pourrez rapidement réagir en réinstallant un site propre après un piratage.
Parmi les solutions robustes à votre disposition, vous pouvez utiliser UpdraftPlus, VaultPress, BackUpBuddy ou encore WordPress Backup to Dropbox.
Avec cette première liste de techniques, vous devriez déjà pouvoir considérablement renforcer la sécurité de votre installation WordPress.
Vous avez des questions, remarques, solutions ou autres astuces à partager pour mieux sécuriser WordPress ? Laissez un commentaire dès maintenant !
Crédit photo : David Goehring
Le CMS (Système de Gestion de Contenu) WordPress a été lancé en 2003, plus de 20% des sites utilisent ce logiciel. En France, plus de 80% des blogs français seraient sur WordPress, il s’agit du CMS le plus populaire au monde.
Cette popularité attire malheureusement les pirates informatiques qui profitent de la moindre faille pour avoir une totale emprise sur votre blog. En mars dernier, en raison d’une faille sur le plug-in Yoast WordPress SEO plus d’un million de sites WordPress étaient exposés à des attaques par injection SQL. Voici donc quelques étapes pour vous aider à sécuriser votre site WordPress contre les différentes attaques.
Il peut arriver que lorsque vous souhaitez accéder à votre site web vous atterrissez sur un autre site qui n’a rien à voir avec le vôtre. Il s’agit là d’une redirection de votre nom de domaine vers le site du pirate informatique.
Les pirates peuvent également changer le fichier htaccess de votre site ce qui leurs permet d’effectuer une redirection de certaines de vos URL vers les leurs.
Il est également possible que les pirates modifient le code de vos pages en cachant au sein de celui-ci des iframes pour afficher un site malveillant. Il peuvent aussi rediriger vos visiteurs vers un site malveillant en modifiant le code en javascript.
L’un des scénarios catastrophe est la suppression de votre site web. Les pirates prennent alors le contrôle de votre base de données et suppriment tout ! Si vous n’avez pas effectué de sauvegarde de l’intégralité de votre site (base de données, articles, thème, pages etc.) impossible de récupérer votre site… Pour éviter ceci nous vous conseillons de suivre les étapes ci-dessous.
La première chose à faire est de sauvegarder régulièrement votre site afin de vous prémunir contre la perte de données. Suivez nos étapes pour sauvegarder votre site web depuis le panel utilisateur LWS
Une bonne partie des sites qui se font hacker n’ont pas effectué de mises à jour régulières. Il faut savoir que chaque mise à jour WordPress que vous effectuez apporte des améliorations en termes de sécurité et il en va de même pour vos plugins.
Avec les formules d’hébergement WordPress LWS vous avez toujours accès aux dernières versions du logiciel disponible en installation en 1 clic.
Comme vous le savez sans doute déjà il est fortement déconseillé d’utiliser un mot de passe faisant référence à votre vie privée (date d’anniversaire, prénom de vos proches, numéro de département…). Il est également important d’utiliser un mot de passe unique pour vos différents comptes.
Pour un mot de passe sécurisé celui-ci doit être constitué d’au minimum 8 caractères composé de chiffres et lettres minuscules et majuscules.
WordPress vous propose par défaut de créer un compte intitulé « Admin » lors de l’installation. Si vous ne changez pas cet identifiant commun vous facilitez la tâche au hacker car celui-ci n’a plus qu’à trouver votre mot de passe…
Le préfixe attribué par défaut à votre base MySQL lorsque vous installez un site WordPress est « wp_ ». Ce préfixe peut être vulnérable en cas d’injection SQL. Pour changer le préfixe vous pouvez utiliser le plugin WP Security Scan.
Afin de bloquer les attaques « brute force » nous vous conseillons le plugin Limit Login Attempts qui permet de restreindre le nombre de tentatives d’accès à votre site web et de réserver l’accès seulement à certaines adresses IP.
Le plugin Ultimate Security Checker vous permet de faire une analyse des améliorations à effectuer en termes de sécurité sur votre site WordPress.
Afin d’empêcher le hacker de récupérer votre identifiant et mot de passe nous vous conseillons d’ajouter la ligne suivante à votre fichier .htaccess (situé à la racine de votre serveur FTP) :
Un hacker pourra facilement identifier les failles de votre version WordPress, d’où l’intérêt de mettre à jour régulièrement votre logiciel. Pour masquer le numéro de version de votre site WordPress suivez les procédures suivantes :
Ouvrez votre fichier functions.php à partir du menu « Apparence » puis sélectionnez « Editeur »
Ajoutez ce code :
Ouvrez ensuite votre site WordPress sur un navigateur puis vérifiez le code source de la page.
Si une ligne de code ressemblant à celle-ci :
apparaît ouvrez le fichier header.php de votre thème puis supprimez la ligne suivante :
Sauvegardez le fichier puis actualisez.
Il est également important de supprimer le fichier readme.html car celui-ci affiche le numéro de version de votre site WordPress (ce fichier se trouve à la racine de votre site).
Développer la sécurité d’un site web est semblable à une relation Yin-Yang. Plus les pirates tentent d’avoir accès, plus la sécurité se renforce. Plus la sécurité est renforcée, plus les pirates tentent d’accéder. C’est un processus continu où une entité essaie constamment de surpasser l’autre.
Où se situe votre site en terme de sécurité ? Il est difficile d’estimer quel est son niveau de sécurité, mais vous pouvez faire de votre mieux pour le sécuriser autant que possible. En raison de la nature de la plupart des CMS populaires, les pirates arrivent souvent à déjouer les systèmes de sécurité mis en place. Toutefois, les organisations qui développent les CMS tels que WordPress, Joomla et Drupal travaillent constamment à corriger ces failles.
Voici les points clés pour protéger au maximum vos sites réalisés avec ces CMS.
De nombreuses attaques sur les sites CMS sont causées via l’interface de connexion. Par défaut, la plupart des systèmes placent cette méthode de connexion sur la page d’accueil. Bien qu’il puisse être utile pour vos utilisateurs, cet élément peut être une cible pour les pirates et les robots.
La plupart des outils CMS vous donnent la possibilité de supprimer cette connexion avec une simple case à cocher. WordPress et Joomla vous offrent la possibilité de retirer la fenêtre de connexion à partir des outils du système.
Que faire si vous avez des auteurs qui ont besoin de cette fenêtre de connexion pour votre site web ? Il est beaucoup plus sûr de leur proposer de se connecter au système via l’admin back-end que dès la première page. Des systèmes tels que WordPress sont parfaits pour faire en sorte de gérer les droits de vos utilisateurs.
Certains systèmes de gestion de contenu ont des plugins disponibles qui aident à protéger la page de connexion admin. Par exemple, vous pouvez installer un plugin qui va verrouiller la page
d’administration si quelqu’un essaie à plusieurs reprises de renseigner un mot de passe erroné à partir d’une adresse IP spécifique. Cela rend beaucoup plus difficile pour un pirate de lancer une attaque brute-force comme il ou elle doit changer en permanence son adresse IP après de multiples tentatives.
Nous vous conseillons de télécharger le plugin WordPress Login LockDown pour sécuriser les accès sur votre site.
Le nom d’utilisateur par défaut « admin » est l’un des plus courants. Lorsque vous installez un nouveau système, nous vous conseillons fortement de créer un nouvel ID unique pour le contrôle administratif.
Certains propriétaires de site vont jusqu’à supprimer le nom « admin » par défaut après la création d’un nouveau nom d’utilisateur afin d’éliminer les risques d’attaque.
Savez-vous que le dossier « / wp-includes » est accessible au public dans de nombreux cas d’installations WordPress ? Cela montre l’ensemble des plugins de votre version WordPress. Il peut également montrer les failles que les pirates peuvent utiliser pour attaquer votre site. Le moyen facile de masquer ces informations est d’ajouter un fichier « index.html » vide dans votre dossier « / wp-includes ». Cela permet aux navigateurs de charger l’index automatiquement tout en cachant les fichiers et dossiers qui se trouvent dans ce répertoire. Pour ce faire il suffit de créer une nouvelle page dans le Bloc-notes, l’enregistrer comme « index.html » et la transférer dans le dossier « / wp-includes ».
Plugins, modules et thèmes font tous partie des caractéristiques du CMS. Ce sont des outils qui vont vous permettre de personnaliser votre site au maximum. Les thèmes sont utilisés pour modifier l’apparence générale de votre site. Cependant, ces différents éléments peuvent également inclure un codage malveillant qui peut être une porte d’entrée aux pirates.
Bien que les organisations qui régissent ces divers systèmes de gestion font de leur mieux pour éliminer ces modules non sécurisés, il peut arriver que vous tombiez sur un module corrompu. Il est toujours préférable de rechercher le développeur et un maximum d’informations sur le module avant de l’installer.
Les systèmes donnant la possibilité de laisser des commentaires sur votre site sont souvent la cible de hackers ou robots. Nous vous conseillons donc d’utiliser un plugin spécifique pour renforcer la sécurité de ce système. Par exemple, les plugins tels que Livefyre ou Disqus sur WordPress ajoutent une protection supplémentaire contre le spam, car ceux qui laissent des commentaires doivent se créer un compte. Les formes les plus avancées de captcha peuvent être également utiles contre les robots.
C’est toujours une bonne idée d’exécuter des analyses de routine des fichiers systèmes dans une application CMS. Bien que votre fournisseur d’hébergement peut avoir son propre logiciel de sécurité, vous pouvez la renforcer en utilisant votre propre système. Cela pourrait aider à éliminer les menaces laissées par les logiciels malveillants, ce qui réduit le risque d’être piraté. Certains systèmes de gestion de contenu ont des plugins disponibles qui gardent votre site Web à l’abri de telles attaques.
Sauf si vous utilisez un CMS qui date et n’assure plus des mises à jour régulières, vous devez toujours garder votre système à jour. Avec WordPress et Joomla vous pouvez effectuer vos mises à jour automatiquement en 1 clic depuis l’interface d’administration. Ces mises à jour sont vitales pour la sécurité du site et contribuent à prévenir les piratages. Les développeurs de ces CMS vont apporter des corrections et des réparations au niveau du code pour éliminer les failles découvertes.
A lire : Comment sécuriser son site WordPress en quelques clics ?
Même les petits sites qui n’ont que 20 visiteurs par mois peuvent être ciblés par les pirates et utilisés à des fins malveillantes. Ne pensez pas que votre site n’est pas assez important pour être protégé. Il pourrait être utilisé pour envoyer du spam, voler des informations personnelles et bien plus encore.
Vous devez donc prendre toutes les mesures possibles pour vous assurer que votre site dispose d’une protection optimale.
J’étais en train de jouer avec des emojis quand je me suis dit que ce serait cool d’en avoir dans le nom de mon réseau Wifi. J’ai une Livebox, donc je me suis tout simplement connecté à l’admin web de celle-ci et je suis allé dans les options Wifi pour changer le nom du SSID.
Naïvement, j’ai copié un émoji (un petit volcan) à partir de cette liste et je l’ai collé dans le champ prévu à cet effet et j’ai cliqué sur le bouton « Enregistrer ».
Et là, paf message d’erreur me disant que le SSID est invalide.
Merde, la Livebox n’aime pas les emojis. Pas cool.
Mais vous me connaissez, je ne suis pas du genre à baisser les bras. J’ai donc commencé à regarder les javascripts de la page de la Livebox, en tentant de contourner quelques IF mais malheureusement, je ne suis pas arrivé à mes fins avec cette méthode.
Alors plutôt que de perdre du temps, je suis passé en mode bourrin. J’ai installé Fiddler sous Windows (sous Mac, je n’arrive pas à l’installer… bien qu’installée, la commande « mono » ne veut pas apparaitre… Pas creusé encore.) et j’ai commencé à analyser le trafic de la page. Pour ceux qui ne connaitraient pas, Fiddler est un proxy pour debugger du web. Donc voir les requêtes qui passent et les modifier.
Pour repérer la requête POST à modifier, j’ai changé le SSID (avec un nom tout simple qui fonctionne), et j’ai localisé la ligne correspondante dans Fiddler. La capture est un peu petite, donc je vous mets la ligne :
POST /sysbus/NeMo/Intf/wl0:setWLANConfig HTTP/1.1
Vous verrez le contenu de la requête POST en cliquant sur l’onglet RAW. Si c’est bon pour vous, pour l’éditer, faites un clic droit sur la ligne correspondante et cliquez sur »Unlock for Editing »
Et voilà, maintenant vous avez la main sur le contenu et vous pouvez le modifier. Vous verrez que, peut-être, le nom du SSID est présent 2 fois. C’est parce que vous avez 2 réseaux… Le premier c’est celui en 5 Ghz et le second c’est celui en 2,4 Ghz. Sur certains appareils plus anciens qui utilisent uniquement du 2,4 Ghz, il est possible de rencontrer des soucis de connexion, vous pouvez donc mettre des emojis uniquement dans le premier SSID et mettre un nom normal au second SSID comme ceci :
Ensuite, une fois que vous avez modifié le nom des SSID, y’a plus qu’à appuyer sur le bouton REPLAY de Fiddler pour rejouer le POST modifié.
Et voilà !!! Comme vous pouvez le voir dans mon interface Livebox, le nom est bien changé avec de jolis petits volcans.
Et tadaaaaaa !
Alors, elle n’est pas belle la vie ?
Bon, c’est totalement bourrin, mais ça fonctionne et ça devrait aussi passer sur d’autres types de box comme les Bbox de Bouygues, Freebox ou les Box SFR si elles ne supportent pas les emojis (je n’ai pas testé).
AfrofreeHosting, c’est l’entreprise qui fournit ce service professionnel gratuitement. Si vous avez une idée que vous désirez matérialiser sur Internet, plus de crainte. Afrofree Hosting vous offre un hébergeur made in France pour soutenir votre projet.
Avec AfrofreeHosting, vous pourrez facilement gérer votre plateforme via Ispconfig. Le support technique vous est inclus. Et si vous passez LA COMMANDE, la livraison et la mise en place se fait en 24 heures au maximum.
L’équipe AfrofreeHosting se charge de la mise à jour quotidiennement. Vous pouvez prendre contact aussi avec nos téléconseillers pour plus d’infos.
Email [email protected]
L’installation d’applications hors Google Play Store (sur Internet, sur un store alternatif, sur Samsung Apps, etc.) nécessite de modifier les paramètres du téléphone, de façon à autoriser l’installation d’applications en provenance de sources dites « inconnues ».
Déroulez la barre de notifications, sélectionnez Paramètres → onglet Général → Sécurité puis cochez Sources inconnues.
L’un des risques à installer une application trouvée sur Internet est qu’elle soit modifiée, afin de récupérer des informations confidentielles (identifiants/mots de passe, contacts, SMS) ou à envoyer des SMS à des services surtaxés.
Vous n’êtes pas sans savoir que la loi impose maintenant à tous ceux qui font le Net, d’informer les internautes de la présence de cookies sur leur site ou leur application. Et c’est pour cela, que vous voyez maintenant partout, des barres d’information toutes moches, destinées à recueillir le consentement des internautes.
En tant qu’éditeur de site, votre rôle est donc d’informer les internautes de la raison d’être de vos cookies, d’obtenir leur consentement et de leur fournir un moyen de les refuser. Ça, c’est ce qu’explique la CNIL sur son site.
Et une fois ce consentement obtenu, vous l’avez pour une durée de 13 mois maximum. Après cela, il faudra le re-demander à l’internaute.
Les cookies qui nécessitent le consentement de l’internaute sont :
Les cookies qui ne nécessitent pas le consentement de l’internaute sont :
La seule chose à retenir, c’est que tant que l’internaute n’a pas donné son consentement, vous n’avez pas le droit de lui déposer un cookie ou de lire un cookie existant (hormis ceux autorisés par la réglementation).
Ça part d’un bon sentiment, seulement, voilà… Ça a été pensé à l’arrache et c’est le bordel à appliquer.
Personne n’y comprend rien et techniquement, pas grand monde ne sait clairement comment bloquer un cookie avant qu’il n’arrive chez l’internaute. Que ce soit la CNIL, ou les initiatives privées comme celle de Google, ça reste très vague techniquement. La plupart des « webmasters » ne savent pas trop comment faire et ne comprennent pas forcément l’intégralité du périmètre de cette loi.
Beaucoup d’articles techniques sur le sujet sont à côté de la plaque et les internautes sensibilisés par TF1 sur la thématique, ne se rendent pas forcement compte des difficultés techniques qu’il y a à respecter cette loi sur les Cookies. J’en ai encore eu un beau spécimen la semaine dernière qui répétait bêtement sans vraiment tout comprendre que « les trackers c’est mal« , et peu importe les arguments qu’on peut avancer en tant qu’éditeur de site, on passe forcement pour un gros enfoiré de la World Company qui veut sucer les données personnelles des visiteurs de son site.
Bref, tout ça pour dire que ce n’est pas simple et c’est pourquoi la plupart des sites se contentent d’un message d’information simple, avec des boutons Oui / Non. Mais ce message ne bloque en aucun cas les cookies en amont.
Ce que je vous propose donc, aujourd’hui, vu qu’aucun organisme officiel n’est foutu de faire son boulot correctement pour nous expliquer clairement le truc, c’est de vous détailler comment VRAIMENT bloquer les cookies sur un site WordPress (mais ça peut aussi le faire sur n’importe quel site / CMS) pour être VRAIMENT raccord avec la loi.
Il utilise jQuery.cookie pour récupérer la valeur du cookie cc_cookie_accepted ou cc_cookie_declined afin de déterminer si oui ou non l’internaute a accepté les cookies.
Votre mission, ça va être de filtrer tous les scripts (internes ou externes) sur vos pages qui créent ou consultent des cookies, grâce au code suivant :
if($.cookieCuttr.accepted) { // Et ici c'est votre code qui créé des cookies. }
Notez que si vous utilisez le plugin WordPress Cookie Notice, vous pourrez aussi faire cette vérification de cookies avec le code suivant :
if ( function_exists('cn_cookies_accepted') && cn_cookies_accepted() ) {// Et ici c'est votre code qui créé des cookies.}
Dès que CookieCuttr est en place, vous devriez voir un message comme ceci avec un beau bouton Oui / Non :
Bien entendue les sites de nos clients et de les nôtres respectent cette charte .