Archives par mot-clé : Sécurité

Crypter les échanges avec un site WordPress, gratuitement

Crypter les échanges entre un ordinateur et un site WordPress évite que des pirates interceptent des données sensibles, à commencer par l’identifiant / mot de passe utilisé pour se connecter.

Pour crypter, il faut installer un certificat, mais  certains hébergeurs installent automatiquement un certificat gratuit avec leurs offres mutualisées.
Ce type de certificat, partagé entre de multiples domaines internet, déclenche des alertes de sécurité pour les visiteurs du site. On ne peut donc basculer tout le site en HTTPS.
Une procédure simple permet d’utiliser les certificats mutualisés, mais elle nécessite un paramétrage du navigateur. Les gestionnaires du site (administrateurs, rédacteurs…) peuvent l’utiliser pour sécuriser leur accès au site.

ATTENTION : cette procédure améliore la sécurité par rapport à un échange HTTP, mais n’est pas aussi sécurisée qu’un véritable échange HTTPS, avec un certificat dont la validité est vérifiée à chaque échange.

WordPress en https

Le protocole  HTTPS permet de crypter, donc de rendre illisible par un tiers, le contenu des échanges entre un ordinateur et un site WordPress.
Avec HTTP, un pirate surveillant votre liaison (wifi, réseau local, internet) peut aisément voir des informations sensibles : identifiants de connexion, paramétrage du site, informations bancaires… Pire, il peut modifier le contenu de la page renvoyée par le serveur pour insérer du code malveillant sans que vous vous en aperceviez.

Pour utiliser HTTPS, il faut installer un certificat électronique sur son serveur. Avec WordPress, on peut choisir de crypter les échanges :

  • dans l’administration et durant la phase de connexion (login),
  • pour l’ensemble du site,
  • ou pour certains articles et/ou pages.