Archive for wordpress

Sécurité WordPress et Content Security Policy

Sécurité WordPress et Content Security Policy

Ce matin on souhaite vous partager deux articles concernant la sécurité. Chic !

Le premier, 10 tips to secure WordPress liste 10 manières de sécuriser un site développé avec le CMS WordPress.
En voici la version TL; DR :

  1. Utiliser un couple login/mot de passe unique et sécurisé
  2. Utiliser une authentification à deux facteurs
  3. Vérifier que l’utilisateur est un humain
  4. Protéger le wp-login.php par mot de passe
  5. Garder WordPress à jour
  6. Choisir thèmes et plugins judicieusement
  7. Suivre les bonnes pratiques de développement de thèmes et plugins
  8. Choisir un hébergeur qui automatise les mises à jour WordPress, et protège des attaques DDoS
  9. S’assurer que les droits sur les dossiers et fichiers sont corrects
  10. Gérer les droits d’accès à la BDD côté serveur, désactiver l’édition de fichier dans WordPress

Le second, Improving Web Security with the Content Security Policy expose en détail l’entête HTTP CSP.
Cette entête permet protéger son site des attaques XSS. C’est d’ailleurs aussi ce qu’utilise désormais Cordova, et PhoneGap, pour la sécurisation des applications mobiles.

Avec CSP il est donc possible de définir précisément les domaines depuis lesquels les scripts et styles sont autorisés à être exécuté.
Ainsi tout autre contenu chargé ne sera pas exécuté. De même il est possible de bloquer l’utilisation de la méthode eval en JavaScript.

Il est même possible de définir une URL sur laquelle toutes les violations de sécurité seront reportées via un JSON détaillant chaque problème.

L’article démystifie ce qu’est l’entête CSP et indique exactement comment l’utiliser.

Pour terminer, concernant le support navigateur on peut voir que même IE10 et 11 supporte cette entête, c’est dire !

 

 

Podcast web

Podcast web

Les technologies du web évoluent constamment. Chaque jour, des nouveaux outils, des nouveaux frameworks, des nouvelles tendances font leur apparition si bien que, chez Kumquats, on fait de la veille tous les jours pour se tenir informé.Et quand on n’a pas le temps de lire ce qu’écrivent les blogueurs sur le développement web, on peut aussi les écouter. Voici une petite sélection de podcast francophone à écouter en faisant la vaisselle (quoi, vous avez un lave-vaisselle ?). 

La première émission se nomme la DebugRoom et nous parle de développement Web et mobile. Ce jeune podcast (4 épisodes pour l’instant) aborde des sujets aussi diversifiés que la sécurité sur WordPress, Phonegap ou le cloud pour les développeurs. Il se divise en 4 parties :
La section Veille avec les dernières infos du web
Le dossier où ils abordent le sujet principal avec régulièrement des invités experts.
La Zone 404pour la détente avec des liens rigolos
La Toolbox qui présente des outils à tester dans nos développements
Un lundi sur deux / DebugRoom

Autre podcast orienté développement : NipDev. Une équipe de passionné se réunit toutes les 2 semaines pour nous parler de web à travers différents sujets comme par exemple les API REST, les « single page application », les tests unitaires ou encore le développement pour les mobiles.
Un mercredi sur deux / NipDev

Pour les férus de design, retrouvez chaque mois les zombies de the Walking Web pour suivre l’actualité du web design et de l’actualité numérique. Au programme : des objets connectés, de l’expérience utilisateur ou comment rendre son site plaisant et facile à utiliser, du design mobile, des conférences, de l’inspiration et pleins d’autres choses encore. Animés par 6 chroniqueurs travaillant tous dans le design, le podcast se déroule comme suit:
Previously on TWW : le résumé de l’épisode précédent
Je like / Je like pas : les avis de chacun sur les dernières nouveautés
Les lectures de Francis : la présentation d’un livre
Le GROS sujet : le sujet principal de l’émission
The Web Quizz : un quizz entre les membres de l’équipe posant des questions techniques, pratiques, artistiques…
Le WTF : pour finir l’émission sur une note d’humour
Chaque mois / The Walking Web 

Et pour terminer, je vous propose de suivre les soirées *di*/zaïn qui se déroulent à la Gaité Lyrique à Paris. Le concept : réunir 10 designers qui ont 10 minutes pour présenter leurs projets, le tout autour d’un thème global (le dernier était « Enchantements » avec des projets pleins de poésie). On aborde ici le design au sens large, aussi bien design interactif, design industriel ou encore l’architecture. On peut suivre les soirées en direct et réagir via twitter.
Chaque mois / les soirées *di*/zaïn

Ouvrez grand vos oreilles pour rester informé !