Sommaire
WordPress alimente plus de 35 % de tous les sites Web sur Internet, ce qui en fait une cible juteuse pour les acteurs malveillants du monde entier.
Si vous souhaitez sécuriser votre site Web ou les sites Web de vos clients, un plug-in de sécurité dédié peut faire une grande partie du travail à votre place.
Pour vous aider à choisir le meilleur plugin de sécurité WordPress pour vos besoins, nous avons rassemblé huit excellentes options qui peuvent vous aider à renforcer la sécurité, les pare-feu et l’analyse des logiciels malveillants.
Commençons par un bref aperçu de ce que font réellement la plupart des plugins de sécurité WordPress.
Que font les plugins de sécurité WordPress ?
La sécurité de WordPress est un sujet assez vaste, donc quand je dis « plugin de sécurité WordPress », cela peut englober une gamme de fonctionnalités différentes.
Donc, avant d’aborder les plugins, passons en revue ces différentes fonctionnalités de haut niveau afin que vous sachiez ce que fait chacun de ces outils.
Renforcement de la sécurité de base
Le renforcement de la sécurité de base est en quelque sorte un fourre-tout pour « les modifications de configuration ou les outils qui rendent votre site Web WordPress plus sécurisé ».
Par exemple, les plugins de sécurité vous aideront généralement à sécuriser votre page de connexion avec des fonctionnalités telles que :
- Limitation des tentatives de connexion
- Authentification à deux facteurs
- Modification de l’URL de connexion WordPress
- Appliquer des mots de passe forts
- Définition des expirations de mot de passe
- Ajouter un CAPTCHA
Ce sont toutes des tactiques de durcissement.
D’autres stratégies de renforcement populaires incluent la surveillance des fichiers principaux de WordPress pour détecter si quelque chose a été modifié, la désactivation des fonctionnalités de WordPress telles que XML-RPC, l’arrêt de l’énumération des utilisateurs, etc.
Pare-feu
Une autre tactique que vous verrez souvent mentionnée est un pare-feu.
Essentiellement, un pare-feu de site Web est quelque chose qui se situe entre votre site WordPress et ses visiteurs. Les visiteurs réguliers n’ont aucun problème à utiliser votre site, mais si le pare-feu détecte une activité malveillante (via une adresse IP, des actions, etc.), il bloquera ce visiteur avant qu’il ne cause un problème.
Avec WordPress, vous verrez cela appelé un pare-feu d’application Web ou WAF.
Il est important de noter que tous les pare-feu ne sont pas identiques. Autrement dit, ce n’est pas parce que deux plugins offrent tous deux un « pare-feu » que ces outils sont automatiquement égaux car un pare-feu est aussi bon que les règles qu’il suit.
Certains plugins de sécurité WordPress, comme Wordfence, mettent constamment à jour leurs règles de pare-feu en temps réel pour s’adapter aux menaces de sécurité émergentes. D’autres sont essentiellement un ensemble statique de règles qui ne changent jamais. Les deux peuvent être utiles – c’est juste que l’un sera plus efficace pour vous protéger contre les nouveaux types de vulnérabilités.
Analyse des logiciels malveillants
Une autre partie populaire des plugins de sécurité WordPress est l’analyse des logiciels malveillants. Vous connaissez probablement ce concept en exécutant des analyses sur votre propre ordinateur.
Fondamentalement, l’outil analysera votre site à la recherche de code malveillant et renverra un rapport sur tout ce qu’il trouvera.
Encore une fois, l’efficacité de l’analyse des logiciels malveillants dépend de ses règles et de son approche. C’est-à-dire que ce n’est pas parce que deux plugins effectuent tous deux une « analyse des logiciels malveillants » qu’ils sont égaux.
Tout d’abord, tout comme avec les pare-feu, vous avez des différences dans les règles de détection. Un scanner de logiciels malveillants s’appuie sur des « signatures de logiciels malveillants » pour identifier les logiciels malveillants. Ainsi, si votre analyseur de logiciels malveillants n’a pas de signature pour une menace émergente, il se peut qu’il ne soit pas en mesure de la détecter.
Deuxièmement, vous avez l’approche. Certains plugins/outils, comme le populaire outil Sucuri SiteCheck , n’analysent que le front-end de votre site. Cela peut détecter les logiciels malveillants détectables depuis le front-end de votre site Web, mais il ne détectera pas les logiciels malveillants cachés sur votre serveur.
Pour détecter les logiciels malveillants qui ne se manifestent pas sur le front-end de votre site, vous devez utiliser un scanner de logiciels malveillants qui analyse tous les fichiers de votre serveur.
Avec cette introduction à l’écart, aidons-nous à choisir le meilleur plugin de sécurité WordPress pour vos besoins.
8 meilleurs plugins de sécurité WordPress
Voici les huit plugins que nous allons examiner :
- Sucuri
- Sécurité iThèmes
- Tout en un WP Sécurité et pare-feu
- Sécurité à l’épreuve des balles
- Jet pack
- SécuPress
- Sécurité Cerbère
- WordFence
1. Sucuri
Sucuri est un autre outil de sécurité de site Web populaire. Il y a deux parties à Sucuri :
- Un plugin gratuit sur WordPress.org
- Un pare-feu payant, un service de surveillance et de nettoyage de piratage
Le plugin gratuit sur WordPress.org vous aide principalement avec le renforcement de la sécurité de base.
Il vous donnera diverses règles et astuces que vous pouvez appliquer, telles que la désactivation du plug-in intégré au tableau de bord et l’édition de thèmes et le blocage de l’exécution de PHP dans certains répertoires sensibles.
Les autres fonctionnalités de sécurité incluent la possibilité de :
- Surveiller l’intégrité des fichiers pour les fichiers principaux
- Suivre les tentatives de connexion infructueuses
- Recevez des notifications d’alerte de sécurité pour diverses actions
- Répertoriez les scripts et les iframes sur votre site.
Au-delà de cela, le plugin est également livré avec le service Sucuri SiteCheck pour l’analyse des logiciels malveillants. Cependant, il est important de comprendre que ce service analyse simplement le front-end de votre site à la recherche de problèmes – il n’analysera pas les fichiers sur votre serveur comme d’autres analyses de logiciels malveillants. Vous n’avez pas non plus besoin du plugin pour utiliser cet outil – vous pouvez l’exécuter à partir du site Web de Sucuri.
Pour plus de sécurité, le plugin peut vous aider à vous connecter au service de pare-feu payant Sucuri. Ce pare-feu est un WAF basé sur le cloud avec des règles régulièrement mises à jour par l’équipe Sucuri. Le pare-feu vous permet également :
- Liste blanche ou liste noire de certaines adresses IP
- Bloquer des pays entiers
- Sécurisez les zones sensibles (comme votre tableau de bord/connexion WordPress) avec des CAPTCHA, une authentification à deux facteurs ou des mots de passe supplémentaires.
Le service Sucuri payant peut également aider à protéger votre site contre les attaques DDoS.
Prix ??: Le plugin Sucuri est 100% gratuit. Le pare-feu Sucuri coûte 19,98 $ par mois et l’ensemble de la plate-forme Sucuri (qui comprend la détection et le nettoyage des logiciels malveillants) coûte 299,99 $ par an.
2. Sécurité iThèmes
iThemes Security est un plugin de sécurité freemium de… iThemes – d’où son nom. Si vous n’êtes pas familier, iThemes est un développeur populaire derrière une gamme de plugins, y compris BackupBuddy. iThemes a été acquis par Liquid Web en 2018.
iThemes Security se concentre sur le renforcement de la sécurité de WordPress. Il vous permet de vous connecter au service Sucuri SiteCheck pour la détection frontale des logiciels malveillants, mais vous pouvez simplement exécuter cette fonctionnalité à partir du site Web de Sucuri. Il ne s’agit donc pas vraiment d’une analyse intégrée des logiciels malveillants.
Il n’annonce pas de pare-feu, mais il inclut des fonctionnalités qui vous permettent de bloquer certains bots et adresses IP. Il existe également une fonctionnalité de «protection réseau par force brute» qui peut automatiquement bloquer les adresses IP qui ont tenté de forcer brutalement d’autres sites WordPress.
En ce qui concerne le renforcement de la sécurité, iThemes Security peut vous aider à sécuriser votre processus de connexion avec des fonctionnalités telles que :
- Limiter les tentatives de connexion
- Modifier l’URL de connexion WordPress
- Google reCAPTCHA (payant)
- Authentification à deux facteurs (payante)
- Application renforcée du mot de passe
- Expiration du mot de passe (payant)
Il offre également un mode « Absent » par lequel vous pouvez essentiellement verrouiller votre site pendant les périodes où vous n’y accédez pas.
Les autres fonctionnalités de renforcement de la sécurité incluent :
- Détection de changement de fichier
- Changer le préfixe de la base de données
- Désactiver l’édition de fichiers dans le tableau de bord
- Journalisation des actions de l’utilisateur ( payant )
- Changer le chemin du contenu wp
Si vous avez besoin de gérer plusieurs sites WordPress, il dispose également d’une intégration avec iThemes Sync.
Prix ??: Version gratuite sur WordPress.org. La version payante commence à 80 $.
3. All In One WP Security & Firewall
All In One WP Security & Firewall est un plugin de sécurité WordPress populaire qui est 100% gratuit.
Il vous aide à implémenter une tonne de différentes fonctionnalités de renforcement de la sécurité telles que :
- Changer le préfixe de la base de données WordPress
- Surveiller les autorisations de fichiers
- Désactiver l’édition de fichiers dans le tableau de bord
- Surveillance de l’intégrité des fichiers
- Masquer le numéro de version de WordPress
Il comprend également des fonctionnalités pour sécuriser votre processus de connexion telles que :
- Limiter les tentatives de connexion
- Forcer la déconnexion des utilisateurs après un certain temps
- Ajouter reCAPTCHA pour la protection de connexion
- Liste blanche de certaines adresses IP
- Arrêter l’énumération des utilisateurs
Il vous fournira également un «indicateur de force de sécurité» pour vous aider à améliorer la sécurité de votre site.
All In One WP Security & Firewall inclut ce qu’il appelle un pare-feu, mais il n’est pas aussi robuste que quelque chose comme Wordfence ou Sucuri. Il s’agit plutôt d’un ensemble de règles statiques – il ne s’adapte pas aux menaces émergentes comme ces autres plugins.
Prix ??: 100 % gratuit sur WordPress.org.
4. BulletProof Security
BulletProof Security est une autre option qui offre une approche tout-en-un de la sécurité WordPress avec :
- Durcissement
- Pare-feu
- Analyse des logiciels malveillants
La version gratuite offre un durcissement de base tel que :
- Sécurité de connexion
- Modifier le préfixe de la table de la base de données
- Journalisation de sécurité
- Sauvegarde de la base de données
Il inclut également l’analyse des logiciels malveillants dans la version gratuite, tandis que la version payante inclut une protection en temps réel avec le système de détection et de prévention des intrusions AutoRestore|Quarantine de BulletProof Security (ARQ IDPS).
La version payante ajoute également d’autres fonctionnalités telles que :
- Surveillance de la base de données et vérification différentielle
- Protection de téléchargement
- Pare-feu de plug-in
L’interface utilisateur a l’air assez datée et n’est pas aussi agréable que d’autres outils, mais BulletProof Security est bien considéré en ce qui concerne son efficacité.
Prix ??: Version gratuite sur WordPress.org. La version payante commence à 69,95 $.
5. Jet pack
Jetpack est un plugin tout-en-un populaire d’Automattic, les mêmes personnes derrière WordPress.com et WooCommerce.
Contrairement à tous les autres plugins de cette liste, Jetpack ne se concentre pas uniquement sur la sécurité de WordPress, mais il inclut de nombreuses fonctionnalités de sécurité dans ses plans gratuits et payants.
La version gratuite permet de sécuriser votre connexion WordPress avec une protection contre la force brute et la possibilité d’utiliser une connexion sécurisée à WordPress.com. Autrement dit, vous pouvez vous connecter à votre propre site WordPress en utilisant vos informations d’identification WordPress.com.
Avec les plans payants, vous avez également accès aux sauvegardes et aux analyses de logiciels malveillants (ces fonctionnalités s’appelaient auparavant VaultPress. Maintenant, VaultPress a fusionné avec Jetpack).
Les fonctions de sauvegarde et d’analyse sont liées, ce qui fait partie de ce qui les rend uniques. Avec la plupart des outils d’analyse de logiciels malveillants, l’outil analyse les fichiers sur votre serveur WordPress actuel. C’est bon pour attraper les logiciels malveillants, mais cela consomme également des ressources sur le serveur de votre site Web en direct.
Avec Jetpack, Jetpack sauvegarde d’abord votre site sur un emplacement hors site. Ensuite, il analyse la copie de sauvegarde de votre site à la recherche de logiciels malveillants, ce qui signifie qu’il n’affectera pas les performances de votre site Web en ligne.
Dans le cadre de ses analyses, Jetpack recherche :
- Modifications apportées aux fichiers principaux de WordPress
- Shells basés sur le Web
- Vulnérabilités TimThumb
Si Jetpack trouve quelque chose de malveillant, il peut vous aider à réparer le problème.
Prix ??: Certaines fonctionnalités sont disponibles dans la version gratuite. L’analyse des logiciels malveillants est disponible sur le plan Premium et supérieur, qui commence à 9 $ par mois. Cela vous donne également accès à de nombreuses autres fonctionnalités de Jetpack.
6. SecuPress
SecuPress est un autre plugin de sécurité WordPress bien connu, disponible en version gratuite et payante.
SecuPress a été lancé à l’origine par WP Media, la même société derrière le populaire plugin WP Rocket. Cependant, WP Media a ensuite cédé la propriété au propriétaire actuel (qui était l’un des co-fondateurs de WP Media). Fondamentalement, c’est une longue façon de dire que vous verrez des similitudes de conception avec WP Rocket, mais les deux ne sont plus la même entité.
Avec la version gratuite, vous pouvez :
- Bloquer les adresses IP et les mauvais bots
- Protégez votre connexion contre les attaques par force brute
- Masquer la page de connexion
- Cachez vos versions WordPress et WooCommerce
- Gérer XML-RPC et REST API
- Consigner les actions importantes de l’utilisateur
Vous obtenez également un pare-feu dans la version gratuite.
La version premium ajoute des fonctionnalités supplémentaires telles que :
- Authentification à deux facteurs pour sécuriser votre connexion
- Fonctionnalités anti-spam
- Sauvegarde de la base de données et des fichiers
- Détection des thèmes ou des plugins avec des vulnérabilités de sécurité connues
- Analyse des logiciels malveillants PHP
- Blocage de pays (géolocalisation)
- Planification des tâches
Une caractéristique remarquable de SecuPress est l’interface. Il possède l’interface la plus agréable de tous les outils de cette liste, ce qui est particulièrement agréable si vos clients le voient un jour. Encore une fois, vous pouvez certainement voir l’influence de WP Rocket dans l’interface.
Prix ??: Version gratuite sur WordPress.org. La version payante commence à 65 $.
7. Cerber Security
Cerber Security est un autre plugin de sécurité WordPress tout-en-un populaire qui comprend :
- Renforcement de la sécurité
- Pare-feu
- Analyse des logiciels malveillants
Tout d’abord, il contient des règles de renforcement de la sécurité telles que :
- Modification de la page de connexion WordPress
- Désactivation de PHP dans le dossier des téléchargements
- Arrêt de l’énumération des utilisateurs
- Limitation des tentatives de connexion
- Surveillance de l’intégrité des fichiers
- Authentification à deux facteurs
Vous pouvez également configurer des règles, comme le blocage automatique de toute adresse IP qui tente de se connecter avec un nom d’utilisateur inexistant. Vous pouvez également créer des politiques personnalisées basées sur les rôles, comme exiger deux facteurs pour les utilisateurs administrateurs et les déconnecter automatiquement après un certain temps.
Dans le cadre du pare-feu, vous obtenez un inspecteur de trafic en temps réel où vous pouvez voir tout ce qui se passe sur votre site, y compris la surveillance des sessions connectées et des visiteurs. Vous bénéficiez également de règles de blocage géographique.
Enfin, vous obtenez des analyses de logiciels malveillants, y compris la possibilité de programmer des analyses pour qu’elles s’exécutent automatiquement.
Si vous avez besoin de gérer plusieurs sites, il inclut également une fonctionnalité Cerber.Hub qui vous permet de gérer plusieurs sites à partir d’un seul tableau de bord. Ce tableau de bord est auto-hébergé, contrairement à Wordfence. Vous désignerez un site WordPress comme « Maître », puis « Esclave » d’autres installations sur ce tableau de bord principal.
Prix ??: Version gratuite sur WordPress.org. La version payante commence à 99 $.
8. Wordfence
Renforcement général de la sécurité
Tout d’abord, WordPress inclut des tonnes d’outils pour aider au renforcement de la sécurité de base de WordPress, tels que :
- Désactivation de l’exécution du code dans le répertoire des téléchargements
- Masquer votre version de WordPress
- Arrêt de l’énumération des utilisateurs
Vous obtenez également un onglet Sécurité de connexion dédié à partir duquel vous pouvez contrôler les mesures de sécurité de connexion telles que :
- Utilisation de l’authentification à deux facteurs (pour tous les utilisateurs ou seulement certains rôles d’utilisateur)
- Désactivation de l’authentification XML-RPC
- Ajout de reCAPTCHA sur la page de connexion
- Limitation des tentatives de connexion infructueuses (cela fait partie du pare-feu)
- Appliquer des mots de passe forts
Firewall d’applications Web
Wordfence inclut également son propre WAF . L’équipe Wordfence ajoute continuellement de nouvelles règles en temps réel pour s’adapter aux menaces émergentes. Vous pouvez également configurer le fonctionnement du pare-feu, comme la liste blanche de certaines adresses IP et de certains services.
Vous pouvez également bloquer immédiatement les adresses IP qui tentent d’accéder à certaines URL sensibles. Et avec la version premium, vous pouvez bloquer des pays entiers avec le ciblage géographique.
Analyses de sécurité
Enfin, vous obtenez également des analyses détaillées des logiciels malveillants. Ces analyses peuvent analyser tous les fichiers de votre serveur, ainsi que rechercher d’autres problèmes de sécurité tels que :
- Liens malveillants dans les commentaires
- Utilisateurs administrateurs nouvellement créés
- Thèmes ou plugins obsolètes
- Mots de passe faibles
Il s’agit donc d’une sorte d' »analyse générale des faiblesses de sécurité de WordPress » qui inclut également l’analyse des logiciels malveillants.
Vous obtenez également des règles pour configurer la fréquence et la profondeur des analyses, ce qui peut vous aider à contrôler les ressources du serveur consommées par vos analyses.
Si vous gérez de nombreux sites WordPress ( comme les sites clients ), Wordfence inclut également un outil Wordfence Central qui vous permet de gérer la sécurité de tous vos sites à partir d’un emplacement central. Vous pouvez également créer des modèles de paramètres Wordfence que vous pouvez appliquer rapidement à de nouveaux sites et recevoir des alertes lorsque quelque chose se passe sur l’un de vos sites.
Le plugin principal de Wordfence et la plupart des fonctionnalités sont gratuits. Cependant, il existe une différence notable en ce qui concerne les règles utilisées par Wordfence pour ses analyses de pare-feu et de logiciels malveillants.
Avec la version premium, vous obtenez des mises à jour en temps réel de ces règles. Ainsi, dès que Wordfence détecte une menace ( ce qui est assez proactif ), Wordfence ajoute immédiatement ces règles à votre site.
Cependant, avec la version gratuite, ces mises à jour de règles sont retardées de 30 jours.
Prix ??: Wordfence est disponible gratuitement sur WordPress.org. La version payante commence à 99 $ pour une utilisation sur un seul site, avec des remises sur le volume pour un plus grand nombre de sites.
Un plugin de sécurité WordPress est-il tout ce dont vous avez besoin ?
Non! Pas de loin.
Bien que tous ces plugins de sécurité aident certainement à sécuriser votre site Web, la sécurité de WordPress n’est pas aussi simple que d’installer un plugin et de l’appeler un jour.
Cela ne signifie pas que les plugins de sécurité ne sont pas utiles – cela signifie simplement que si vous ne faites pas les petites choses correctement, même un plugin de sécurité ne pourra pas vous sauver.
L’une des choses les plus importantes que vous puissiez faire est de mettre à jour rapidement le logiciel principal de WordPress , vos plugins et votre thème, en particulier pour les versions de sécurité mineures (par exemple, WordPress 5.4.X ).
Selon le rapport 2019 sur les sites Web piratés de Sucuri , environ la moitié de tous les sites WordPress exécutaient une version obsolète du logiciel principal lorsque leur site a été infecté. De plus, 44 % des sites Web piratés utilisaient un plug-in obsolète.
Pour faire court, les actions suivantes sont tout aussi importantes, sinon plus importantes, que l’utilisation d’un plugin de sécurité WordPress :
- Mettre à jour rapidement votre site et ses extensions pour les versions de sécurité.
- Faites attention aux extensions que vous choisissez (et n’installez jamais de plugins annulés provenant de sources douteuses).
- Utiliser des mots de passe forts, en particulier sur les comptes administrateur.
Et si vous ne savez pas quel plugin choisir, vous ne vous tromperez certainement pas avec Wordfence comme première option.
