Vous savez que c’est un monde méchant dehors avec des acteurs malveillants qui ne demandent qu’à mettre leurs mains sales sur votre site WordPress. Vous savez également que vous devriez probablement faire  » quelque chose  » pour garder votre site WordPress à l’abri de tous ces méchants.

Ce que vous ne savez peut-être pas, c’est ce que ce  » quelque chose  » est.

Ne vous inquiétez pas – sécuriser votre site WordPress ne nécessite pas que vous soyez un gourou de la programmation comme vous le voyez dans les émissions de télévision. Mais vous aurez besoin de certains plugins et outils de sécurité WordPress pour faire le travail.

C’est ce que je vais partager avec vous dans cet article.

Je couvrirai huit des meilleurs plugins et outils de sécurité WordPress, ainsi que les avantages et les inconvénients de chaque outil. Puis, à la fin, j’essaierai de vous aider à choisir le bon ensemble d’outils en fonction de votre situation unique.

Mais d’abord, laissez-moi commencer par une mise en garde rapide…

La sécurité de WordPress n’est pas seulement une question de plugins et d’outils

Tous les plugins et outils de sécurité de cette liste vous aideront à rendre WordPress plus sécurisé. Mais ils n’éliminent pas la nécessité d’une action de votre part.

Pensez à eux un peu comme le port d’un casque de moto. Bien sûr – les casques de moto aideront à vous protéger en cas d’accident, mais ils ne sont pas un permis pour sortir et conduire imprudemment.

Ces outils sont comme cela. Ils vous donnent une protection bien nécessaire, mais vous devez toujours conduire prudemment si vous voulez rester en sécurité.

Alors, qu’est-ce que « conduire prudemment » dans le monde WordPress ? Je parle de choses vraiment simples comme :

  • Mettre à jour rapidement votre logiciel WordPress, vos plugins et vos thèmes
  • Utiliser un mot de passe sécurisé pour votre compte administrateur WordPress et votre compte d’hébergement web
  • N’utiliser que des thèmes et des plugins provenant de développeurs/sources réputés
  • Sauvegarder votre site régulièrement

Ces conseils peuvent sembler trop simplistes, mais le fait de faire ces quatre choses seulement vous aidera à vous protéger de la plupart des problèmes de sécurité de WordPress.

Puis, pour protéger votre site de tout le reste, vous pouvez utiliser ces plugins et outils de sécurité WordPress.

Quelques termes clés de la sécurité expliqués avant de creuser

Bien que ces plugins et outils rendent les choses assez simples, la sécurité WordPress comprend encore beaucoup de termes avec lesquels vous pourriez ne pas être familier.

Pour vous aider à comprendre ce que ces outils font réellement, je veux expliquer quelques-uns des termes les plus courants que vous verrez dans le reste du post.

Premièrement, vous verrez le mot pare-feu revenir souvent (également appelé WAF : web application firewall). Pour votre site WordPress, un pare-feu se situe essentiellement entre le serveur de votre site et tout le trafic entrant. Parce qu’il occupe cette position, il est capable d’inspecter et de filtrer les acteurs malveillants avant même qu’ils n’atteignent votre serveur.

Tous les pare-feu ne sont pas créés égaux, cependant. Et l’efficacité du pare-feu que vous avez choisi dépend des règles et des configurations que le fournisseur de pare-feu met en place.

Un autre terme est l’analyse des logiciels malveillants, avec lequel vous serez probablement plus familier. Tout comme vous scanneriez votre propre ordinateur à la recherche de virus et de logiciels malveillants, beaucoup de ces outils peuvent scanner le serveur de votre site WordPress à la recherche de logiciels malveillants.

Enfin, je jetterai beaucoup le terme de durcissement de la sécurité. Ce sont essentiellement de petits ajustements qui, lorsqu’ils sont mis ensemble, aident à rendre votre site plus sûr.

Avec cette connaissance en main, creusons dans les plugins.

MalCare

MalCare est un plugin de sécurité WordPress qui, comme vous pouvez probablement le deviner d’après son nom, se concentre sur la détection et la suppression des logiciels malveillants.

L’une des choses que j’aime à propos de MalCare par rapport à quelque chose comme Wordfence est que MalCare effectue son analyse sur ses propres serveurs. L’analyse des logiciels malveillants est un processus assez intensif, donc si un plugin effectue les analyses sur votre serveur en direct, il peut ralentir votre site pendant que l’analyse est en cours.

MalCare corrige cela en utilisant ses propres serveurs pour effectuer l’analyse.

Il est également juste généralement construit pour attraper les logiciels malveillants que les autres plugins ne font pas. Et s’il attrape quelque chose, il offre une suppression de logiciels malveillants en un clic pour se débarrasser du fichier incriminé.

MalCare inclut également un pare-feu, mais je ne pense pas qu’il soit d’aussi haute qualité que ce que vous obtenez avec Sucuri, donc je recommanderais toujours d’utiliser le pare-feu de Sucuri à la place si vous pouvez swinguer le prix.

A part cela, il offre également un durcissement de sécurité de base comme:

  • pour votre page de connexion
  • Limiter les tentatives de connexion
  • Disposer de l’édition de fichiers
  • Disposer de l’exécution de fichiers dans le dossier uploads

En général, cependant, je pense que la proposition de vente unique pour MalCare est la recherche de logiciels malveillants hors serveur. Il vous permet également de gérer plusieurs sites à partir d’un seul tableau de bord, ce qui est un autre bonus agréable.

Prix : Commence à 99 $/an

Wordfence

Wordfence est le plus grand nom de la sécurité WordPress, surtout quand il s’agit de solutions tout-en-un. Il est actif sur plus de deux millions de sites tout en maintenant une impressionnante note de 4,8 étoiles sur plus de 3 000 avis.

Il suffit de dire que beaucoup de gens l’aiment.

Alors, pourquoi est-il si populaire ?

Premièrement, il est proposé dans une généreuse version gratuite (ainsi qu’une version premium).

Deuxièmement, il offre une approche tout-en-un de la sécurité de WordPress.

A un niveau général, il comprend un pare-feu d’application Web pour filtrer et bloquer le trafic malveillant, ainsi qu’un scanner de logiciels malveillants intégré pour vérifier vos fichiers à la recherche de logiciels malveillants, de portes dérobées et d’autres injections malveillantes.

La version gratuite et la version Pro comprennent toutes deux ces deux fonctionnalités de base, mais la version Pro offre davantage une approche en temps réel des deux. Par exemple, le pare-feu de la version Pro obtient des mises à jour de règles de pare-feu en temps réel, alors que la version gratuite ne se met à jour que tous les 30 jours.

De même, la recherche de logiciels malveillants de la version Pro met à jour ses signatures en temps réel, alors que la version gratuite est retardée de 30 jours.

Donc, si vous voulez une protection contre les exploits les plus pointus, il vaut mieux opter pour la version Pro.

Au delà de ces protections générales, il apporte également un grand nombre de petites retouches qui peuvent renforcer votre site. Je parle de choses comme :

  • L’authentification à deux facteurs pour sécuriser votre connexion
  • Les notifications de mise à jour
  • Les alertes par courriel pour les actions importantes, comme un compte administrateur qui se connecte
  • Limiter les tentatives de connexion (bloquer automatiquement les utilisateurs qui entrent des mots de passe/nom d’utilisateur incorrects trop souvent)
  • Forcer des mots de passe forts

Prix : Gratuit sur WordPress.org. La version pro commence à 99 $ par an, bien que vous obteniez des réductions pour l’achat de plusieurs années à la fois.

iThemes Security

iThemes Security est une autre solution de sécurité tout-en-un populaire qui existe en version gratuite et premium.

iThemes Security n’inclut pas de pare-feu comme Wordfence, mais il offre une analyse des logiciels malveillants.

A part la recherche de logiciels malveillants, il est également livré avec tout un tas de petits ajustements de sécurité pour durcir votre site WordPress.

Premièrement, il fait un certain nombre de choses pour protéger votre page de connexion comme:

  • Cacher la page de connexion.
  • Bloquer les hôtes/utilisateurs avec trop de tentatives de connexion échouées pour se protéger des attaques par force brute.
  • Enforcer les mots de passe forts pour tous les comptes utilisateurs.
  • Renommer le compte « admin » si vous utilisez toujours admin comme nom d’utilisateur.
  • Supprimer les messages d’erreur de connexion.
  • Offrir une authentification à deux facteurs (Pro).

Puis, il y a beaucoup d’autres petits ajustements, dont beaucoup que vous verrez dans les guides de sécurité de WordPress :

  • Désactiver l’édition de fichiers dans le tableau de bord.
  • Supprimer les notifications de mise à jour pour les utilisateurs non autorisés.
  • Changer le préfixe de la base de données WordPress.
  • Changer le chemin de wp-content.
  • Loguer les actions des utilisateurs.

Si vous souhaitez utiliser iThemes Security, les développeurs recommandent de le coupler avec le pare-feu WordPress de Sucuri, que nous couvrirons ensuite.

Prix : Gratuit sur WordPress.org. La version pro débute à 80 $ par an.

Sucuri

Sucuri est une solution de sécurité de site Web populaire qui a deux produits différents qui aident à la sécurité de WordPress :

  • Un plugin gratuit
  • Un service de pare-feu payant

Vous pouvez jumeler les deux ensemble, ou vous pouvez opter pour l’utilisation d’un seul d’entre eux (ou jumeler le pare-feu avec un plugin différent, comme iThemes security).

Plugin Sucuri

Le plugin de sécurité de Sucuri est disponible gratuitement sur WordPress.org. Il n’inclut pas la fonctionnalité de pare-feu, mais il fait beaucoup pour garder votre site sécurisé (et il peut vous aider à intégrer le pare-feu, si vous optez pour le paiement).

Premièrement, il inclut l’audit d’activité et la surveillance de l’intégrité des fichiers. Fondamentalement, ces deux fonctionnalités vous aident à surveiller ce qui se passe sur votre site. Par exemple, l’audit d’activité peut vous montrer les tentatives de connexion échouées et la surveillance de l’intégrité des fichiers peut vous dire si l’un de vos fichiers WordPress de base a été modifié.

A part cela, le plugin comprend une analyse de base des logiciels malveillants. Cette fonctionnalité est essentiellement une mise en œuvre dans le tableau de bord du scanner gratuit SiteCheck de Sucuri. En tant que tel, il est plus limité que de nombreuses autres solutions et ne sera pas en mesure d’attraper tous les logiciels malveillants.

Enfin, le plugin de Sucuri comprend également quelques réglages de base de renforcement de la sécurité de WordPress, comme le blocage des fichiers PHP dans le répertoire des téléchargements et la désactivation de l’édition de fichiers dans le tableau de bord.

Prix : Gratuit sur WordPress.org

Sucuri Firewall

Alors que le plugin de Sucuri concerne la surveillance et le durcissement de base, le service Firewall de Sucuri bloque de manière proactive les menaces avant qu’elles ne se produisent et vous protège également des attaques DDoS.

Au delà du blocage des bots malveillants et des exploits connus, Sucuri utilise également son grand réseau et l’apprentissage automatique pour améliorer constamment ses règles de pare-feu et protéger votre site des exploits nouvellement découverts.

En outre, Sucuri vous permet de créer vos propres règles de pare-feu. Par exemple, vous pouvez demander à Sucuri de restreindre l’accès à votre tableau de bord WordPress à un ensemble spécifique d’adresses IP en liste blanche.

Comme un petit bonus agréable, Sucuri Firewall comprend également un CDN pour accélérer votre site, bien que cela n’ait pas vraiment à voir avec la sécurité de WordPress !

Prix : 199,99 $/an pour le plan de base, plan Pro 299,99 $/an.

WebARX

WebARX est un service relativement nouveau qui ajoute un pare-feu sécurisé à vos sites Web, ainsi que quelques autres fonctionnalités.

Il n’est pas spécifique à WordPress, mais il inclut un plugin WordPress pour faciliter la configuration.

L’un des aspects intéressants de WebARX est qu’il permet de surveiller facilement tous vos sites Web à partir d’un seul tableau de bord. Donc, si vous avez beaucoup de petits sites répartis, c’est un moyen pratique de garder un œil sur tous à partir d’un seul endroit.

A part le pare-feu pour protéger votre site contre les attaques et les robots malveillants, WebARX comprend également la surveillance du temps de fonctionnement et des dégradations. Si votre site tombe en panne ou est défiguré, vous pouvez recevoir une notification par e-mail ou Slack. Encore une fois, cela est utile si vous avez un tas de petits sites que vous ne vérifiez pas si souvent.

Prix : Commence à 14,99 $/mois, économisez 15% avec un abonnement annuel.

VaultPress (partie de Jetpack)

VaultPress est un service de sauvegarde et de sécurité d’Automattic, la même entreprise derrière WordPress.com. Il fait partie des plans Jetpack payants, donc vous aurez également accès à toutes les autres fonctionnalités premium Jetpack si vous optez pour VaultPress.

Comme MalCare, l’une des choses intéressantes à propos de VaultPress est qu’il effectue ses analyses de sécurité sur ses propres serveurs, ce qui garantit qu’il n’y a jamais d’impact sur les performances de votre site Web.

Voici comment cela fonctionne :

Chaque jour, VaultPress sauvegarde automatiquement votre site sur ses serveurs sécurisés. Ensuite, il analyse les fichiers qu’il vient de sauvegarder à la recherche de logiciels malveillants ou d’autres infiltrations.

Sur le plan de niveau le plus élevé, VaultPress peut également corriger automatiquement tous les problèmes de sécurité qu’il découvre (le niveau le moins cher ne prend en charge que la « résolution manuelle », cependant).

Dans l’ensemble, VaultPress est une bonne option si vous voulez quelque chose qui combine l’analyse de sécurité avec les sauvegardes. Vous pourriez toujours vouloir une solution de pare-feu séparée, cependant.

Prix : Le plan Security Daily est de 11,40 £/mois ou 9,55 £/mois (facturé annuellement).

Cloudflare

Cloudflare est généralement considéré comme un outil d’amélioration des performances en raison de sa fonctionnalité CDN. Et ne vous méprenez pas – c’est une bonne option pour accélérer votre site WordPress.

Mais comme Cloudflare agit comme un proxy inverse, c’est aussi un excellent outil pour sécuriser votre site WordPress. Essentiellement, un proxy inverse se trouve entre les navigateurs de vos visiteurs et le serveur de votre site Web et dirige le trafic, ce qui lui permet de filtrer les acteurs malveillants.

Le plan gratuit de Cloudflare offre une sécurité de base sous la forme d’une protection DDoS et d’une protection contre les menaces basée sur la réputation (bloque les menaces malveillantes connues pour accéder à votre site).

Si vous êtes prêt à payer, à travers, les plans payants de Cloudflare comprennent un pare-feu d’application web ainsi que des règles de liste blanche d’IP.

Si vous utilisez déjà Cloudflare pour ses fonctions d’amélioration des performances, vous pourriez envisager de passer aux plans payants pour profiter du pare-feu d’application web.

Prix : Gratuit avec une sécurité de base. Les plans payants avec le pare-feu commencent à 20 $ par mois

Login No re

Login No re est une solution beaucoup plus petite que tous les autres plugins. Alors que les autres outils sont tous axés sur les pare-feu, la recherche de logiciels malveillants et d’autres gros réglages, Login No re ne fait vraiment qu’une seule chose :

Ajouter la protection Google re à votre page de connexion.

C’est un moyen facile de protéger votre page de connexion contre les attaques par force brute et d’écarter les utilisateurs non autorisés.

Certains plugins de sécurité tout-en-un ajoutent déjà cette fonctionnalité (par exemple, iThemes Security). Mais si vous optez pour ne pas utiliser l’une de ces solutions tout-en-un, vous devriez tout de même considérer Login No re pour verrouiller votre page de connexion.

Prix : 100% gratuit

Quel est le plugin et l’outil de sécurité WordPress qui convient à vos besoins ?

Vous ne voulez certainement pas utiliser tous ces plugins et outils de sécurité sur votre site. Alors, quels sont ceux que vous devriez choisir ? Comment construisez-vous votre pile de sécurité ?

Bien, avant de faire votre choix, je vous recommande de vérifier ce que votre hébergeur WordPress fait déjà. Certains hébergeurs – en particulier les hébergeurs WordPress gérés – pourraient déjà mettre en œuvre des pare-feu et des analyses de logiciels malveillants pour vous au niveau du serveur. Donc, si c’est le cas, il n’est pas nécessaire de dupliquer leurs efforts.

Une fois que vous savez ce que votre hôte fait déjà, voici quelques conseils pour choisir vos solutions.

Si vous voulez un pare-feu de site Web, Sucuri Firewall est la meilleure option pour les sites critiques, tandis que MalCare offre une version plus abordable avec un tableau de bord qui facilite la gestion de plusieurs sites.

Si vous voulez une analyse des logiciels malveillants, MalCare et VaultPress sont d’excellentes options car ils n’exécutent pas de scans sur votre serveur.

Vous pouvez également combiner un pare-feu et un plugin d’analyse des logiciels malveillants. Par exemple, vous pouvez utiliser WebARX pour les pare-feu et MalCare pour la recherche de logiciels malveillants. Bien que Malcare offre techniquement un pare-feu, ce n’est pas le point fort du service. C’est pourquoi il vaut mieux désactiver le pare-feu basé sur des plugins de Malcare et le coupler avec quelque chose comme WebARX ou Sucuri.

Si votre hôte a déjà mis en place des pare-feu et une analyse des logiciels malveillants pour vous, vous pouvez sauter ces plugins, mais je recommanderais toujours d’ajouter quelque chose comme Login No re pour verrouiller votre page de connexion. Cependant, Wordfence et WebARX ont cette fonctionnalité intégrée, donc ils ne nécessitent pas de plugin supplémentaire.

Enfin, vous avez les plugins de sécurité tout-en-un comme Wordfence et iThemes Security. Ces plugins rendent la sécurité vraiment simple, ce qui est bien. Mais parce qu’ils sont toujours sur et en cours d’exécution sur votre serveur, ils peuvent également ralentir votre site, ce qui est mauvais.

Pour cette raison, je ne les utilise pas personnellement et préfère choisir les fonctionnalités de sécurité spécifiques que je veux.

Cela dit, je reconnais leur avantage du point de vue de la simplicité.

Note : Wordfence et iThemes Security ne devraient pas être utilisés ensemble. Si vous choisissez de suivre la voie du « plugin de sécurité tout-en-un » – n’en utilisez qu’un seul.

Donc, si vous vous sentez dépassé par toutes ces options et que vous voulez simplement quelque chose de facile à utiliser dès le départ, ces deux-là sont certainement des options solides. Mais prêtez une attention particulière aux temps de chargement de votre site avant et après pour vous assurer qu’il n’y a pas de ralentissement notable.

Divulgation : Ce post contient des liens affiliés. Cela signifie que nous pouvons faire une petite commission si vous faites un achat.

831Shares

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.