Je me demandais si mon corps n’était pas en train de me lâcher à cause du vieillissement, mais j’ai réalisé que je menais de plus en plus d’activités et que ça partait en cacahuète dans tous les sens.
Le fait de travailler trois jours par semaine en région parisienne, dans mon petit logement d’étudiant, puis de revenir quatre jours dans ma lointaine province, auprès de Mme Zythom, et cela chaque semaine, ça fatigue un peu.
Pratiquer à plein temps depuis trois ans et demi, le métier de RSSI d’une grande école française, cela fatigue aussi quelque peu. Ce métier est horriblement fatiguant, mais tellement passionnant, mais épuisant !
Mener de front un grand nombre de conversations sur différents média, cela aussi c’est épuisant : Twitter, Mastodon, Signal, Shadeline, Discord… Tous ces canaux de discussion demandent du temps et de l’investissement.
J’ai donc décidé de réduire la voilure, et de ne garder que ce blog comme petite parcelle d’internet pour ma liberté d’expression. Si vous me suiviez sur Mastodon ou sur Twitter, je ne pense pas continuer à y publier grand chose : abonnez-vous aux flux RSS de publication des billets, ou venez quelques fois par ici voir si ça bouge encore. Si vous voulez échanger avec moi, vous pouvez laisser un commentaire sur le blog, ou m’écrire par email sur les coordonnées que vous trouverez sur ma page contact.
Ne vous sentez obligé de rien, les lectrices et lecteurs silencieux, c’est très bien aussi
PS: Je suis sur un gros projet professionnel, donc nécessairement moins présent aussi ici.
Une fois que l’expert judiciaire a déposé son rapport au greffe du tribunal, sa mission est achevée et il est dessaisi du dossier. Les avocats peuvent s’écharper sur le rapport, minimiser son impact, ou essayer de décrédibiliser son auteur, l’expert n’en saura en général rien. Ses oreilles siffleront sans doute, surtout si l’expertise a été houleuse, avec une partie agressive ou un conflit loin d’être apaisé (ce n’est pas le rôle de l’expert de trouver une médiation, sauf si c’est explicitement écrit dans les missions confiées par le magistrat qui le désigne).
Toutefois, il m’est arrivé d’avoir la curiosité de vouloir connaître le jugement final dans une affaire où je suis intervenu. Comme cette fois où j’ai contacté le greffe du tribunal pour me faire communiquer une copie du jugement rendu, comme le permet l’article 284-1 du code de procédure civile. Maintenant que je passe le dossier au broyeur, je ne résiste pas à la tentation de mettre ici l’intégralité du jugement, anonymisé bien sûr et euroïsé.
JUGEMENT
A l'audience publique du Tribunal de Tandaloor tenue le 16 décembre 1582 ;
Sous la présidence de Charles Pradier, Juge d'Instance, assisté de Napoléon Coupran, greffier ;
Après débats à l'audience du 28 novembre 1582, le jugement suivant a été rendu ;
ENTRE :
DEMANDEUR(S) :
Monsieur MARCEL représenté(e) par la SCP ROOT@LOCALHOST, avocat du barreau de TandaloorET :
DÉFENDEUR(S) :
Entreprise VITEFAIT INFORMATIQUE représenté(e) par Me McKie, avocat du barreau de TandaloorFAITS PROCÉDURE ET PRÉTENTIONS DES PARTIES :
Le 16 Juillet 1581, Monsieur MARCEL a acheté, à l'entreprise VITEFAIT INFORMATIQUE un ordinateur pour le prix de 449€ et une prise micro coupure de 29€ ;
Le 26 Juillet, une évolution de son pentium a été facturée 209€ et le 29 Septembre un disque dur de 1.2 Go pour 119€ ;
Courant Octobre, l'ordinateur est tombé en panne ;
L'entreprise VITEFAIT Informatique, après examen de l'appareil, a considéré que la panne était due à une variation de la tension électrique et a chiffré le montant des réparations à 729€ ;
Monsieur BURBANK, expert commis par la Compagnie d'assurance LAPINCE de Monsieur MARCEL a conclu que le matériel était devenu défaillant sans cause extérieure et que l'incident est propre au matériel ;
Par acte d'huissier du 25 Janvier 1582 Monsieur MARCEL a fait assigner l'entreprise VITEFAIT INFORMATIQUE devant le tribunal afin de la voir condamnée à lui payer la somme de 729€ outre celle de 500€ au titre de l'article 700 du code de procédure civile ;
Subsidiairement, il sollicitait une expertise judiciaire ;
Par jugement AVANT DIRE DROIT du 10 Avril 1582, une expertise a été ordonnée et confiée à Monsieur ZYTHOM ;
L'expert a déposé son rapport le 27 juillet 1582 ;
Au vu de ses conclusions, Monsieur MARCEL sollicite, sous le bénéfice de l'exécution provisoire, 400€ pour la réparation de l'ordinateur, 1000€ à titre de dommages et intérêts, 1000€ sur le fondement de l'article 700 du code de procédure civile et que l'entreprise VITEFAIT INFORMATIQUE soit condamnée aux dépens y compris les frais d'expertise;
L'entreprise VITEFAIT INFORMATIQUE conteste la teneur du rapport de l'expert, conclut au débouté et sollicite la somme de 1000€ de dommages et intérêts pour procédure abusive et 1000€ au titre de l'article 700 du code de procédure civile ;
MOTIFS DE LA DÉCISION
Attendu que les contestations de l'entreprise VITEFAIT INFORMATIQUE quant à la qualité de réalisation de l'expertise sont de pures allégations dénuées de fondement d'autant qu'aucun dire n'a été transmis à l'expert ;
Attendu que les conclusions de l'expert sont formelles et confirment les constatations faites par Monsieur BURBANK, expert auprès de la compagnie d'assurance LAPINCE
Attendu en effet que l'écran, l'alimentation machine et la mémoire sont en parfait état de fonctionnement ;
Attendu que seule, la carte mère est défectueuse, que l'expert précise bien que la défaillance n'est donc pas le résultat d'une surtension ;
Attendu que le rapport de l'expert est complet et satisfaisant ;
Qu'il sera homologué ;
Attendu que l'expert évalue le coût des travaux réparation à 400€ ;
Que l'entreprise VITEFAIT INFORMATIQUE sera condamnée à verser cette somme à Monsieur MARCEL ;
Attendu que le compte rendu d'examen de l'entreprise VITEFAIT INFORMATIQUE du 28 Octobre 1581 est complètement erroné, qu'en refusant de changer le composant défectueux, l'entreprise VITEFAIT INFORMATIQUE a une attitude délibérément contraire aux règles de l'art ;
Qu'il sera fait droit à la demande de dommages et intérêts de Monsieur MARCEL à hauteur de 500€ ;
Attendu qu'il est équitable de mettre à la charge de l'entreprise VITEFAIT INFORMATIQUE la somme de 500€ au titre des frais irrépétibles exposés par Monsieur MARCEL ;
Attendu que les dépens y compris les frais d'expertise seront laissés à la charge de l'entreprise VITEFAIT INFORMATIQUE ;
PAR CES MOTIFS
LE TRIBUNAL
STATUANT PUBLIQUEMENT CONTRADICTOIREMENT
ET EN DERNIER RESSORT
CONDAMNE l'entreprise VITEFAIT INFORMATIQUE à verser à Monsieur MARCEL la somme de 400€ à titre principal, 500€ à titre de dommages et intérêts et 500€ sur le fondement de l'article 700 du code de procédure civile ;
LA CONDAMNE en outre en tous les dépens y compris les frais de la procédure d'expertise ;
AINSI JUGÉ ET PRONONCÉ EN AUDIENCE PUBLIQUE, le SEIZE DÉCEMBRE, mil cinq cent quatre vingt deux.
J’avais écrit en 2012 un billet intitulé “Marcel 70 ans” sur cette affaire. Maintenant que vous connaissez le jugement, vous pourrez relire ce billet et l’apprécier différemment.
Avant toutes choses, pour déminer le terrain, ce billet n’est sponsorisé par personne (je renvoie les éventuels sponsors de ce blog au 6e paragraphe de ma page contact). Ensuite, l’une des réponses possibles à la question posée dans le titre est “en n’utilisant pas LeBonCoin“, mais du coup, le billet est très court, est devient particulièrement inintéressant.
Comme le fait que j’ai découvert aujourd’hui que le mot “binet” pouvait désigner le bureau d’un membre du personnel (à Polytechnique en tout cas), que bobèche est le nom qui désigne (entre autre) le petit socle des bougies des gâteaux d’anniversaire et que démarrer vient du contraire “d’amarrer” (un bateau)… Pensez-y quand vous démarrez (ou éteignez) votre ordinateur.
Bref (comme disait Kyan Khojandi), revenons à nos moutons (comme disait Michael Kael).
Pour augmenter la puissance de mon radiateur électrique, j’ai cherché sur LeBonCoin une carte graphique GTX 1080 TI d’occasion à prix raisonnable. Le site étant bien fait, j’ai rapidement trouvé tout un tas d’annonces qui me proposait d’atteindre l’objectif d’en devenir l’heureux propriétaire.
Après plusieurs heures (jours?) de comparaisons, j’en suis arrivé à la conclusion que le bon prix était d’environ 400€ prix net vendeur. Mais, à la recherche de la bonne affaire, j’ai d’abord contacté les vendeurs qui en demandait un prix entre 300€ et 380€.
Au début, j’y suis allé un peu “les yeux fermés”, sachant que je n’avais qu’une contrainte : me faire livrer chez moi. J’ai donc posé la question suivante à chaque vendeur : “Acceptez-vous de m’envoyer (à mes frais) la carte graphique via Mondial Relais (proposé par LeBonCoin) ?”.
J’ai été très vite surpris par les réponses des vendeurs…
Il y a ceux qui m’expliquent que LeBonCoin est un repère d’arnaqueurs et qu’ils préfèrent passer par un autre service de transport. D’ailleurs, dans la foulée, ils m’expliquent refuser le système de paiement du site LeBonCoin et demandent à être payés autrement.
Il y a ceux qui veulent absolument que je vienne à l’autre bout de la France prendre la marchandise sur le pas de la porte et payer en liquide (venez seul et sans arme avec 350€ en liquide).
Il y a ceux qui m’expliquent que je peux leur faire confiance parce que leur compte a plus de deux ans d’ancienneté et que “bon hein, si j’étais un arnaqueur, ça se saurait”. En plus de l’annonce de la carte graphique, ils ont mis une annonce “fauteuil en osier” à 110€. L’annonce a été publiée 26 mois auparavant.
Il y a ceux qui m’expliquent que la livraison va être géniale, la carte super bien emballée, et la livraison à leur frais.
Il y a ceux qui m’expliquent vendre la vieille carte graphique de leur fils et qui sont pressés de lui faire un cadeau pour son anniversaire. D’où le bas prix, et “merci de payer rapidement”.
Il y a ceux qui vendent une carte graphique GTX 1080 TI FE HS à 220€, et dont je découvre après investigation que FE signifie “Founder Edition” et que HS signifie… “Hors Service” !
Après un petit temps d’adaptation, j’ai lu en détail la procédure recommandée par LeBonCoin : si le vendeur accepte la livraison, la recommandation est de passer par le prestataire choisi par LeBonCoin. Le coût (connu) est supporté par l’acheteur. Donc il n’y a aucune raison pour que le vendeur refuse. Le prix convenu avec le vendeur est payé au site LeBonCoin et est mis de côté. Le vendeur sait que l’acheteur a payé. Le vendeur dispose de plusieurs jours pour emballer son colis et l’envoyer à l’adresse du relais choisi par l’acheteur. S’il ne le fait pas l’acheteur est remboursé intégralement. L’acheteur est prévenu que le vendeur a envoyé le colis. Il peut le suivre jusqu’à réception. Une fois le colis récupéré, le vendeur sait que vous l’avez récupéré et que vous avez quelques jours pour signaler au site LeBonCoin un problème (article non conforme, en panne, etc.). Le service litige client (payant et payé par l’acheteur au moment de l’achat) du site est alors chargé du litige.
En résumé, tout le coût est supporté par l’acheteur (moi) : coût de la livraison, coût du fonctionnement du site, coût du litige. Il n’y a donc aucune raison pour le vendeur de refuser le fonctionnement de base.
J’ai réussi à déjouer plusieurs arnaques assez évidentes, que j’ai signalées au site et dont les annonces et les comptes ont été supprimés rapidement (tant pis pour leurs comptes vieux de plus de deux ans).
J’ai pu faire affaire autour de 400€ avec une personne qui s’est démenée pour que la carte soit bien protégée et soit livrée correctement. Je l’ai remercié et lui ai mis une bonne note, ce qu’il a fait en retour.
Pour résumer et répondre un peu à la question posée en titre de ce billet : vous êtes votre propre piège. Une bonne affaire, cela n’existe pas. Il y a un prix du marché et puis c’est tout. Les vendeurs trop pressés, cela doit vous faire reculer. Les vendeurs qui veulent à tout prix vous faire sortir du système, cela doit vous faire reculer. Les jolies photos, les comptes anciens sans note, les comptes créés la veille, cela doit vous faire réfléchir. Certains arnaqueurs jouent sur votre sens de l’économie en essayant de vous faire miroiter une livraison à leur frais, ou d’éviter de payer le service proposé par le site.
Ne vous faites pas avoir par les arnaqueurs. N’ayez confiance en personne, soyez vigilant. Mais à un moment, il faut prendre des risques, et avoir confiance en son prochain.
Si vous n’aimez pas ce site, n’y allez pas. Si vous avez eu une mauvaise expérience sur ce site, n’y retournez plus. Mais si vous y allez, restez sur vos gardes.
Je passe au broyeur mes vieux dossiers. Il n’est pas toujours facile pour un expert judiciaire de savoir quand détruire définitivement ses dossiers, car les textes sur le sujet évoluent et à la durée minimale de conservation s’ajoutent les délais générés par les différents appels éventuels des parties, qui sont rarement transmis à l’expert, celui-ci étant dessaisi dès la remise de son rapport.
Bref, à défaut, j’ai gardé tous mes dossiers, en version numérique dans des containers chiffrés, mais aussi en version papier que je garde dans une armoire sécurisée que je partage avec mon épouse avocate.
Et maintenant je fais le ménage, en passant les vieux dossiers à la déchiqueteuse.
Je vais en profiter pour entrouvrir ici une dernière fois la porte des expertises judiciaires, toujours dans le respect de la décision de justice concernant ce blog.
Pour comprendre un peu mieux l’activité d’expert judiciaire, il faut savoir qu’à tout moment, nous pouvons recevoir une lettre d’un magistrat qui nous désigne dans un dossier dont on ne connaît rien et dont personne ne nous expliquera jamais les tenants et les aboutissants. Ce dossier commence donc par un courrier en provenance d’un tribunal de ma région judiciaire. Voici son contenu:
ORDONNANCE DE COMMISSION D'EXPERT
Nous, Napoléon Gowadchins, juge d'instruction au Tribunal de Tandaloor,
Vu la procédure suivie contre
Alfonso Capone
Et autres
Personnes mises en examen des chefs d'escroqueries, abus de biens sociaux, distribution de dividendes fictifs, publication et présentation de comptes annuels inexacts, faux et usage
Commettons M. Zythom MEM, demeurant 15 rue des étoiles à Dosadi
Dispensé du serment en raison de son inscription sur la liste dressée près la cour d'appel de Chu en application de l'article 157 du code de procédure pénale pour l'année judiciaire en cours,
Qui procédera aux opérations ci-dessous spécifiées, avec faculté de s’adjoindre tout spécialiste de son choix, sauf à ce que soit précisé leur identité, et nous remettra avant le 4 Floréal An CCXXX un rapport détaillé contenant son avis motivé et l'attestation qu'il a personnellement accompli la mission qui lui a été confiée.
MISSION
J'ai l'honneur de vous prier de bien vouloir :
1- Prendre connaissance des trois disquettes 3,5" figurant en côte 304,
2- Décrire le ou les fichiers figurant sur les disquettes : nom, extension, taille, date de création, date de modification, type de fichier, attributs,
3- Imprimer le ou les fichiers, sans doute enregistrés sous le logiciel LOTUS 1-2-3, et joindre les documents obtenus,
4- Faire toutes constatations, investigations, remarques utiles à la manifestation de la vérité.
Le courrier est accompagné de trois magnifiques disquettes, le tout sans protection particulière dans une enveloppe administrative marron clair.
Je n’aurai pas d’autres informations.
Nous sommes au millénaire précédent, et les disquettes, bien qu’en voie de disparition, sont encore beaucoup utilisées, surtout en entreprise (comme les clés USB à la date de publication de ce billet). Je verrouille les trois disquettes en lecture seule et procède à une copie bit à bit des 80 pistes des disquettes (après avoir vérifié s’il existait une 81e et 82e pistes) à partir d’une distribution Yggdrasil Linux.
Voici la partie “investigations préalables” de mon rapport d’expertise judiciaire :
Disquette n°1 :
Fabricant HEWLETT PACKARD
Double face, simple densité (format PC 720 Ko)
Cette disquette s’est révélée illisible sur un ordinateur de type PC et sur un ordinateur de type MACINTOSH.
Après avoir vérifié que cette disquette était protégée contre l’écriture, les utilitaires classiques de récupération de données (le programme NORTON UTILITIES en version PC et MACINTOSH) n’ont pas permis d’accéder à des données éventuelles.
Disquette n°2 :
Fabricant HEWLETT PACKARD
Double face, simple densité (format PC 720 Ko)
De la même façon que pour la disquette n°1, cette disquette s’est révélée illisible sur un ordinateur de type PC et sur un ordinateur de type MACINTOSH.
Après avoir vérifié que cette disquette était protégée contre l’écriture, les utilitaires classiques de récupération de données (le programme NORTON UTILITIES en version PC et MACINTOSH) n’ont pas permis d’accéder à des données éventuelles.
Disquette n°3 :
Fabricant HEWLETT PACKARD
Double face, double densité (format PC 1,44 Mo)
Contrairement aux deux disquettes précédentes, celle-ci est lisible sur un ordinateur du type PC.
Après m’être assuré que la disquette était protégée contre une écriture accidentelle, j’ai procédé à une copie de sauvegarde de la disquette (disquette n°3bis).
Avant de procéder à l’analyse des fichiers existants sur cette disquette, j'ai vérifié s’il existait des fichiers cachés, ou des fichiers effacés récupérables. L’utilisation d’un programme de récupération de données (NORTON DISK DOCTOR) a permis de trouver de quatre fichiers cachés, et cinq fichiers détruits qui ont pu être récupérés. Le compte rendu de l’exécution de ce programme est joint en Annexe I pages 1 et 2.
Tous les fichiers ont l’attribut « lisibles » et peuvent être modifiés lorsque la disquette n’est pas protégée contre l’écriture.
ÉTUDE DU CONTENU DE LA DISQUETTE N°3
Le nom des fichiers, leur extension, taille, date et heure de dernière modification ont été obtenus par la commande DOS suivante :
DIR A : /OD > C:\DIR.TXT
Le résultat de cette commande est présenté en Annexe II. J’ai fait le choix de trier les fichiers par ordre de la date de leur dernière modification.
Il y a deux types de fichiers sur cette disquette, différenciés par leur extension informatique : TXT et WK1.
Après étude du logiciel LOTUS 1-2-3 pour DOS dans sa version 4.00, il apparaît que l’extension TXT concerne des fichiers de configuration du logiciel. Le nom de ces fichiers commence toujours ici par FR, ce qui laisse à penser que le logiciel était utilisé dans sa version française. Ces fichiers sont inaccessibles directement par l’utilisateur et ne contiennent pas a priori de données pertinentes.
Voici donc la liste, par ordre des dates de dernières modifications, des 37 fichiers de données contenus sur la disquette n°3 :
[…liste des noms de fichiers avec renvoi aux pages des annexes correspondantes…]
Par souci de simplicité d’accès aux imprimantes, le contenu de ces différents fichiers a été imprimé à l’aide du logiciel LOTUS 1-2-3 pour WINDOWS version 1.23. De plus, sur chaque listing annexé, le nom du fichier et le nombre de page du listing apparaissent en haut et à gauche de chaque feuille.
Là où les choses deviennent intéressantes, c’est dans l’exploitation des données comptables présentes dans les fichiers cachés et effacés. Mais, je suis surtout informaticien, et pas vraiment très expérimenté en comptabilité.
Je décide donc de me faire aider. L’ordonnance de commission d’expert ne précise-t-elle pas que j’ai la faculté de m’adjoindre tout spécialiste de mon choix ? Mais qui pour jouer le rôle d’Oscar Wallace dans mon équipe ?
Je décide donc d’aller voir le service comptabilité de mon entreprise. Le comptable, avec qui je m’entends bien, m’apprécie et accepte de m’aider. Je prends un coupe papier et procède à la cérémonie d’adoubement en l’élevant au rang de Sapiteur.
Nous avons travaillé tout un samedi sur ces fichiers pour en extraire toutes les informations que je trouvais pertinentes. Et Alphonso Capone n’était pas net net…
J’en ai fait rapport en précisant les nom et prénom de mon comptable ès-qualité de sapiteur. J’ai déclaré comme il se doit “avoir personnellement procédé aux opérations d’expertise qui m’ont été confiées” (puisque toujours présent lors des investigations du sapiteur).
J’ai aussi ajouté à la fin de la conclusion de mon rapport la mention suivante :
Si cela devait s’avérer utile à la manifestation de la vérité, il est possible de faire procéder, par une entreprise spécialisée, à une tentative de récupération de données sur les deux disquettes défectueuses avec des outils matériel et logiciels spécialisés. Je joins à mon rapport en Annexe IV, un devis de 6633 F TTC (1011.19 €) relatif à une telle investigation.
Je n’ai jamais eu de réponse du juge d’instruction et je n’ai jamais su ce qu’Alphonso Capone était devenu (mais je présume qu’il a eu des ennuis). J’ai été payé de mes 360€ un an et demi plus tard. J’ai partagé avec mon comptable.
Aujourd’hui je regarde le tas de confettis qu’est devenu mon rapport de 100 pages.
Sic transit gloria mundi.
Cadeau-blague de mes étudiants (qui me battaient toujours à CS)
Il existe de nombreux tutoriels consacrés à ce sujet, je ne vais donc faire que survoler le sujet. Mon objectif est surtout de rappeler des règles simples.
Le serveur
Si vous faites de l’autohébergement complet, le serveur est chez vous. Il faut donc sécuriser la machine d’un point de vue physique et logiciel. J’ai fait le choix d’une machine virtuelle dédiée uniquement au fonctionnement du service WordPress. Elle est située sur un NAS Synology permettant de faire fonctionner des machines virtuelles. Ce NAS est en hauteur (pour échapper aux coups de balais ou de serpillières) et branché sur un onduleur électrique pour l’isoler des micro-coupures, des variations de tension et des coupures électriques de moins d’une demi heure.
La machine virtuelle (que j’appellerai “le serveur” dans la suite de ce billet) est une Debian 11 minimaliste (sans interface graphique) avec ssh. Un snapshot à chaud du serveur est pris chaque jour par le virtualiseur du Synology, et un “apt update && apt upgrade -y” (yolo) est lancé automatiquement chaque jour. Les vrais admin utiliseront plutôt un cron-apt ou unattended-upgrades.
Le virtualiseur Synology permet aussi de créer un clone du serveur à partir d’un snapshot et de l’exporter au format OVA. Je fais cela de temps en temps (manuellement) pour disposer d’un fichier qui suivra ensuite toute la procédure de sauvegarde 3-2-1 des autres fichiers du NAS. C’est plus pour reconstruire rapidement un serveur en cas de problème, puisque les contenus WordPress seront sauvegardés de manière spécifique (voir plus loin).
Les services qui tournent sur le serveur sont protégés par un pare-feu local (ufw) qui vient compléter celui du NAS Synology, celui du routeur ER-X de mon réseau et celui de la box fournie par mon FAI (nous vivons dans un monde formidable).
Il y a un seul utilisateur local, en plus de root, et celui-ci est configuré pour accéder au serveur en ssh avec une authentification par clef SSH. Les mots de passe font 32 caractères, comprennent des majuscules, des minuscules, des chiffres et des caractères spéciaux classiques et français. Ils sont générés aléatoirement par KeePass et y sont stockés, ainsi que les clefs SSH et tout ce qui relèvera de la sécurité de ce serveur (les codes 2FA par exemple, voir plus loin). Vous trouverez plus de détails techniques, sur ce lien : https://www.digitalocean.com/community/tutorials/initial-server-setup-with-debian-11
Il faut maintenant mettre en place vos certificats SSL pour accéder à votre nouveau serveur en https. Pour ma part, ayant en tête d’utiliser les différents services de Cloudflare, j’ai suivi ce tuto : https://devanswers.co/configure-cloudflare-origin-ca-apache/
Les fichiers .htaccess
Plutôt qu’un cours sur les fichiers .htaccess, voici le contenu de ceux que j’utilise :
.htaccess à la racine du site WordPress (le répertoire où l’on trouve les répertoire wp-admin, wp-content et wp-includes
#Blocage de la visibilité du fichier wp-config.php
<Files wp-config.php>
order allow,deny
deny from all
</Files>
#Fin du blocage
#Blocage de la visibilité du fichier xmlrpc.php
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
#Fin du blocage
#Interdiction de visualisation des repertoires du site :
Options All -Indexes
# Protéger .htaccess et .htpasswds
<Files ~ "^.*\.([Hh][Tt][AaPp])">
order allow,deny
deny from all
satisfy all
</Files>
# Protections diverses (XSS, clickjacking et MIME-Type sniffing)
<ifModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</ifModule>
# Redirection vers HTTPS
RewriteEngine On
RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$ https://zythom.fr/$1 [R=301,L]
# Redirection du www vers non-www en HTTPS
RewriteCond %{HTTP_HOST} ^www\.zythom\.fr [NC]
RewriteRule ^(.*)$ https://zythom.fr/$1 [R=301,L]
.htaccess dans wp-admin (attention, une fois en place, vous ne pourrez accéder à l’interface d’administration WordPress que depuis ces adresses IP) :
order deny,allow
deny from all
# IP de la maison
allow from W1.X1.Y1.Z1
# IP de la ligne de secours
allow from W2.X2.Y2.Z2
# IP locales
allow from 192.168.N1.M1
allow from 192.168.N2.M2
.htaccess dans wp-content :
# Bloque les accès directs aux fichiers PHP (Merci à Sucuri)
<FilesMatch "\.(?i:php)$">
<IfModule !mod_authz_core.c>
Order allow,deny
Deny from all
</IfModule>
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
</FilesMatch>
.htaccess dans wp-includes :
# Bloque les accès directs aux fichiers PHP (Merci à Sucuri)
<Files wp-tinymce.php>
allow from all
</Files>
<FilesMatch "\.(?i:php)$">
<IfModule !mod_authz_core.c>
Order allow,deny
Deny from all
</IfModule>
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
</FilesMatch>
<Files wp-tinymce.php>
Allow from all
</Files>
<Files ms-files.php>
Allow from all
</Files>
Les plugins WordPress
Il existe de nombreux modules d’extension qui font la richesse de l’écosystème WordPress mais également son danger : je vous conseille de minimiser le nombre de plugins et de veiller à leurs mises à jour régulière.
Le premier plugin que je vous recommande permet justement la mise à jour des tous les plugins : il s’agit de Companion Auto Update.
Le plugin suivant vous permet de mettre en place l’authentification multi facteurs sur votre site (indispensable) : Two-Factor.
Un pare-feu dédié à WordPress viendra compléter les différentes barrières déjà mises en place : NinjaFirewall.
Enfin, la sauvegarde de vos billets, commentaires, thèmes et plugins pourra se faire simplement avec le plugin UpdraftPlus qui m’a déjà sauvé la vie.
J’ajouterai deux plugins dans ma revue de sécurité car ils aident beaucoup le blogueur à survivre aux spammeurs (j’ai installé les deux qui fonctionnent très bien en parallèle) : Akismet Anti-Spam et Antispam Bee.
Voilà ce que j’ai mis en place. En parler diminue déjà la sécurité, mais comme le partage, lui, augmente la sécurité, n’hésitez pas à me faire part de vos conseils et recommandations en commentaire.
