Sécuriser WordPress

Reveal It, partagez vos messages en toute sécurité

Blog Sécuriser WordPress Reveal It, partagez vos messages en toute sécurité
0 comments

Lorsque je souhaite partager des données sensibles ou lorsque je demande à un client de partager des données sensibles, j’utilise un service pour faire ce travail, un service appelé RevealIt.me.

Ce service gratuit a été réalisé par un ex-collègue, ça marche bien, je lui fais confiance donc tout va bien, allait bien plutôt.

Puis un jour, sur Slack, quelqu’un (utilisant également ce site Web) m’a dit que ça pouvait être génial de l’avoir en français, puis un autre a dit que ça pourrait être mieux s’il y avait une page de confidentialité et un autre voulait ajouter des informations sur la façon dont cela fonctionne, comme ça les clients pourraient vraiment faire confiance au système.

J’ai demandé à Sébastien s’il prévoyait de le faire, et comme je le connais, c’est l’un des gars les plus occupés avec beaucoup de projets parallèles, alors je savais qu’il ne le ferait pas assez tôt et il comme refuse de nous laisser contribuer ou partager le code source…

C’est pourquoi je suis ici après quelques jours passés à créer un clone de son RevealIt appelé RevealIt…

https://revealit.secupress.me/fr

Revealit en français

Revealit est un service gratuit de partage de données privées ou sensibles fourni par SecuPress.

Alors, quelles sont les différences par rapport à l’original:

L’URL est un sous-domaine de SecuPress, ce qui le rend plus fiable même si vous ne connaissez pas SecuPress ;

  • Français et anglais pris en charge ;
  • Un petit “comment ça marche” est visible sur la première page ;
  • Une vraie page de conditions générales est présente ;
  • Vous pouvez me contacter, les liens ne sont pas des pages en 404 ;

Si vous nous faites déjà confiance avec SecuPress, vous savez que cela est développé de la manière la plus sécurisée possible et soyons honnêtes, nous ne trichons pas, je veux dire, j’ai tout à perdre de tricher, je ne le ferai pas.

Vous savez peut-être déjà comment utiliser ce type de service, mais je pense qu’un petit rappel est une bonne chose :

La première règle est la suivante : ne partagez pas quelque chose directement utilisable. Cela signifie ne pas partager de login + pass + url car si quelqu’un peut le lire avant vous (je ne sais pas comment je dois dire…), il pourra l’utiliser avant vous. Mais si vous ne partagez qu’une partie des informations comme seulement 2 sur 3, personne ne peut l’utiliser.

Deuxième règle : utilisez le lorsque vous savez que personne ne regarde votre écran car la zone de texte est un champ de texte clair et non un mot de passe.

Troisième règle évidente: n’ouvrez pas un message privé pour ensuite laisser votre ordinateur seul est un espace bondé, mais bon, c’est une règle de bon sens, non?

Aussi, sachez que le message sera automatiquement supprimé après 7 jours et 0 seconde, OU une fois lu, seulement 1 lecture et il est suprimé.

Techniquement

Ce site Web est un petit WordPress (“Quoi? Vous auriez pu utiliser [insérer une autre solution qui fonctionne]!” “Oui mais j’adore WP, c’est tout.”) Je n’ai pas utilisé de type de publication personnalisé (Custom Post Type) pour cela, c’est juste les options natives de WP sans chargement automatique (autoload false).

Quand vous chargez une URL secrète pour lire le message, vous êtes en réalité sur une page 404, et dans le template de la 404, je regarde si cette option existe en base (avec un préfixe), si oui, je déclenche ce qu’il faut pour l’afficher, sinon, j’indique que ce message a déjà été lu, ou n’existe pas ou a expiré (inutile d’être précis, au contraire).

Personne ne peut donc ouvrir le backend pour modifier un message. Oh, il n’y a aucun moyen de lire les messages de toute façon, ils sont chiffrés en utilisant AES-128-CTR avec une graine de sel unique pour chaque message.

Le seul moyen d’accéder aux messages est d’entrer dans la base de données pour obtenir ces données, puis d’obtenir le code source pour comprendre comment le déchiffrer. Bonne chance (mais n’essayez pas merci).

Bon à savoir, je pense qu’il est important de noter que les données ne sont PAS sur des clouds hébergés partout mais seulement sur 1 hébergeur français en 1 copie à Clermont-Ferrand, mon unique et préféré o2switch!

Vous pouvez maintenant remplacer votre signet (ou en ajouter un nouveau?) Par https://revealit.secupress.me/fr

0 comments