Ce matin on souhaite vous partager deux articles concernant la sécurité. Chic !

Le premier, 10 tips to secure WordPress liste 10 manières de sécuriser un site développé avec le CMS WordPress.
En voici la version TL; DR :

  1. Utiliser un couple login/mot de passe unique et sécurisé
  2. Utiliser une authentification à deux facteurs
  3. Vérifier que l’utilisateur est un humain
  4. Protéger le wp-login.php par mot de passe
  5. Garder WordPress à jour
  6. Choisir thèmes et plugins judicieusement
  7. Suivre les bonnes pratiques de développement de thèmes et plugins
  8. Choisir un hébergeur qui automatise les mises à jour WordPress, et protège des attaques DDoS
  9. S’assurer que les droits sur les dossiers et fichiers sont corrects
  10. Gérer les droits d’accès à la BDD côté serveur, désactiver l’édition de fichier dans WordPress

Le second, Improving Web Security with the Content Security Policy expose en détail l’entête HTTP CSP.
Cette entête permet protéger son site des attaques XSS. C’est d’ailleurs aussi ce qu’utilise désormais Cordova, et PhoneGap, pour la sécurisation des applications mobiles.

Avec CSP il est donc possible de définir précisément les domaines depuis lesquels les scripts et styles sont autorisés à être exécuté.
Ainsi tout autre contenu chargé ne sera pas exécuté. De même il est possible de bloquer l’utilisation de la méthode eval en JavaScript.

Il est même possible de définir une URL sur laquelle toutes les violations de sécurité seront reportées via un JSON détaillant chaque problème.

L’article démystifie ce qu’est l’entête CSP et indique exactement comment l’utiliser.

Pour terminer, concernant le support navigateur on peut voir que même IE10 et 11 supporte cette entête, c’est dire !