Cet article explique les mesures prises pour assurer la sécurité du site. Il concerne principalement les mesures actionnables au niveau de l’équipe web. Les actions qui relèvent d’ATOS ou de la DSI ne sont qu’évoquées.
Hébergeur
La sécurité du serveur et les backups sont gérés par l’hébergeur Hosterra. On n’a rien à faire à ce niveau : tout se passe dans WordPress pour nous.
Headers de sécurité
On utilise le plugins Headers Security Advanced & HSTS WP pour générer les headers, même si on y pige queud. On teste les headers avec :
Mise à jour WP
- Mise à jour de sécurité : par le site lui-même en automatique
- Mise à jour standard : par un administrateur Inserm
Le process est le suivant :
- On aligne staging avec la prod
- On met à jour WordPress
- On regarde si tout va bien
- Si non :
- on note ce qui ne va pas,
- on met à jour le reste des plugins pour voir si ça résout le problème,
- on prévoit les correction si besoin
- On réplique la mise à jour en prod
Mise à jour plugins
- Mises à jour de sécurité : suite à une CVE, un admin Inserm met à jour
- Mise à jour standard : par lot, selon l’activité du moment
Le process est le suivant :
- Identifier la version active du plugin
- Lire les notes de versions jusqu’à la plus récente
- Décider s’il faut mettre à jour en urgence ou pas
Pour plusieurs plugins :
- On met à jour les plugins backend sans impact sur le front
- Puis les plugins backend avec impact sur la structure du site (ACF)
- On termine par les plugins frontend, les plus importants en 1er
Mise à jour thème
C’est ATOS qui s’en occupe, suite à nos demandes d’évolution.
Renforcement du site
On bloque l’énumération des users, et on limite les logins au site (par ex. avec admin comme user).
Laisser un commentaire