HomePress : la sécurité4 minute(s) de lecture

Présentation

Une fonctionnalité recherchée des systèmes domotiques est qu’ils soient consultables depuis n’importe où, que l’on soit à domicile ou au loin via Internet.  Pour cela il faut prendre un minimum de précautions pour faire en sorte que votre système ne soit pas joignable par n’importe qui.

HomePress étant construit sur une plate-forme Worpress dont le but initial est de publier des informations de manière publique, il convient de sécuriser votre site HomePress si vous ne voulez pas que le premier visiteur de passage pilote votre habitation à votre place. Pour cela nous pouvons faire appel à des extensions de sécurité.

Blocage des moteurs de recherches

Il serait dommage que votre site Homepress soit indexé par des moteurs de recherche pour cela il suffit de leur demander… de passer leur chemin et d’aller voir ailleurs.

Sur la console d’administration le paramétrage se trouve dans Réglages => Vie Privée => options de vie privée

Blocage des création d’utilisateurs

La  prochaine étape à faire est de ne pas autoriser qu’un visiteur puisse créer son propre login/mot de passe. Pour cela il faut simplement modifier le paramétrage de WordPress.  Seul l’administrateur du site HomPress pourra faire les créations d’utilisateurs.

Sur la console d’administration le paramétrage se trouve dans Réglages => Général => Inscription

Cette étape n’est pas à faire si vous souhaitez que les utilisateurs puissent demander eux même leur référencement dans le système. Nous verrons maintenant comment vous pourrez avoir une validation pour leur donner accès.

Forcer les utilisateurs à s’authentifier

Une fois cela fait, vous pouvez obliger chaque visiteur à s’authentifier avant de pouvoir consulter votre site HomePress. Plusieurs extensions peuvent jouer ce rôle. Celui que j’utilise s’appelle Absolute Privacy.

Il s’installe e mainière classique comme n’importe quelle autre extension WordPress.

Sur la console d’administration le paramétrage se trouve dans Réglages => Absolute Privacy

La paramétrage principal est de mettre le site dans le mode “Complete Lockdown”. Par défaut aucune partie de votre HomePress n’est visible sans authentification.  Si vous le souhaitez vous pouvez ouvrir une partie du site en spécifiant nominativement les pages libres d’accès.

De même vous pouvez fermer les flux RSS qui par défaut sont ouvert à tous.  Si vous souhaitez les utiliser de manière sécurisée c’est possible!  Nous allons voir maintenant comment

Sécurisation des flux RSS

La dernière sécurisation minimale a faire est de couper les flux RSS ou tout du moins de les rendre inaccessibles à des utilisateurs non référencés. En effet sans cette dernière précaution votre flux RSS est ouvert à tous. Pour brider cela j’utilise l’extension Feed Key.

Sur la console d’administration le paramétrage se trouve dans Réglages => Feed Key

Feed Key Crée des URL pour les flux RSS uniques pour chaque utilisateur.  Pour cela l’extension ajoute à l’URL des flux RSS une clé construite à partir du nom de l’utilisateur ou de son adresse mail ainsi qu’une clé aléatoire.  Vous avez la main sur la longueur de la clé générée (32bit ou 40bit) ainsi que sur l’algorithme à utiliser pour générer cette clé (md5 et/ou sha1).

L’URL ainsi créé est disponible sur le profil de l’utilisateur.  Elle peut être recréée par l’administrateur ou par l’utilisateur en fonction de ce que vous aurez spécifié dans le paramétrage de l’extension. 

Protection contre les attaques

Afin de parfaire la solution une dernière extension peut être mise en place pour bloquer les personnes qui souhaiteraient tenter de se connecter en essayant des login/mot de passe “au hasard”.  Pour cela l’extension Login LockDown ou bien l’extension Login Lock peuvent être mis en œuvre.  La différence entre les 2 extensions est principalement la gestion de la politique des mots de passe (taille, mot de passes interdits, forçage du changement régulier…)

Sur la console d’administration le paramétrage se trouve dans Réglages => Login Lockdown

Sur la console d’administration le paramétrage se trouve dans Réglages => Login Lock

Login Lock possède une fonctionnalité “panique” qui vous permet de faire sortir tout le monde de votre site HomePress.

Les 2 extension permettent à un administrateur de déverrouiller un utilisateur bloqué.

Conclusion

Avec ces quelques sécurités applicatives de base vous êtes prêt pour accéder à distance à votre site HomePress pour pouvoir consulter et agir sur votre système domotique.

Plusieurs autres extensions existent et sont à votre disposition sur le site WordPress pour gérer cet aspect. La liste présentée ici n’est pas exhaustive mais nécessaire.  A vous de faire vos courses!

Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Prouvez que vous êtes humain: * Time limit is exhausted. Please reload CAPTCHA.