Comment protéger votre site avec le plugin iThemes Security

Emporia. Dodge City. Cité Jardin. Vous n'avez probablement jamais entendu les noms de ces trois petites villes du Kansas.

Qu'est-ce qu'ils ont en commun, à part être situés dans l'État du tournesol ? Ils comptent tous environ 30 000 habitants. Maintenant, imaginez que chaque habitant d'une de ces villes ait un site WordPress… et se fasse pirater tous les jours.

Cela vous semble fou ? Il est. 30 000 sites sont piratés quotidiennement , selon les statistiques fournies par iThemes Security.

Au-delà de l'analyse statistique qu'il fournit de temps en temps, ce plugin WordPress propose également des options utiles pour renforcer la sécurité de votre site.

Rejoignez-moi pour un aperçu complet de ses fonctionnalités. À la fin de cet article, vous saurez comment installer et configurer ce plugin, et s'il vaut la peine de l'activer sur votre site.

Vos meilleurs projets WordPress ont besoin du meilleur hébergeur !

WPMarmite recommande Bluehost : excellentes performances, excellent support. Tout ce dont vous avez besoin pour un bon départ.

Essayez Bluehost

Qu'est-ce que la sécurité iThemes ?

iThemes Security est un plugin pour protéger et sécuriser votre site WordPress. Il offre diverses fonctionnalités à cet effet, notamment l'authentification à deux facteurs, la protection contre les attaques par force brute, l'application des mots de passe, le blocage des adresses IP, etc.

Avec plus d'un million d'installations actives, iThemes Security est l'un des plugins de sécurité les plus populaires du répertoire officiel de WordPress. Il est en concurrence avec des plugins comme :

• Wordfence Security (plus de 4 millions d'installations actives)
• Sécurité tout-en-un (plus de 1 million d'installations actives)
• Sucuri (plus de 800 000 installations actives)
• Jetpack (plus de 5 millions d'installations actives)
• SecuPress ( plus de 30 000 installations actives)

iThemes Security, un plugin intégré à une large galaxie de produits

Initialement lancé sous le nom de Better WP Security par le développeur Chris Wiegman, le plugin a changé de nom après avoir été acquis par iThemes en décembre 2013.

A côté de cela, la marque iThemes propose deux autres produits :

• BackupBuddy , pour sauvegarder, déplacer et restaurer un site WordPress
• iThemes Sync , pour maintenir plusieurs sites WordPress à partir d'un seul tableau de bord

Racheté en 2018 par l'hébergeur Liquid Web, iThemes fait partie d'une galaxie de produits WordPress réunis sous la marque StellarWP . Il comprend, par exemple :

• Thème Kadence
• LearnDash LMS (Système de gestion de l'apprentissage)
• Les plugins Calendrier des événements, Restrict Content Pro et GiveWP

Voilà pour ce premier aperçu général, utile pour comprendre l'écosystème dans lequel iThemes Security est intégré. Voyons maintenant comment iThemes peut vous aider à sécuriser votre site WordPress.

Quelles sont les principales fonctionnalités de ce plugin de sécurité ?

Pour protéger au maximum votre installation, la version gratuite d'iThemes est capable de :

• Interdire les adresses IP des pirates ou des robots malveillants qui souhaitent accéder à votre site Web
• Enregistrez la base de données de votre installation WordPress
• Détectez toute modification non autorisée de vos fichiers
• Bloquer les attaques par force brute . Dans ce cas, des robots tentent de découvrir le login et le mot de passe du compte administrateur de votre site en testant différentes combinaisons afin d'en prendre le contrôle.
• Vous aider à configurer l' authentification à deux facteurs pour vous connecter à votre site
• Vous obliger à configurer des mots de passe forts pour tous les comptes
• Rendre obligatoire la connexion à votre site via SSL , qui est nécessaire pour implémenter HTTPS sur votre site
• Vous envoyer des notifications par e -mail de toute activité suspecte sur votre site
• Changer le préfixe de la base de données de votre site Web
• Modifier l'URL de votre page de connexion

Cependant, ne considérez pas iThemes Security comme une solution miracle qui vous protégera à 100%. Aucun plugin de sécurité ne peut garantir cela, soit dit en passant.

Comme indiqué sur sa page de description dans l'annuaire officiel, "iThemes Security est conçu pour aider à améliorer la sécurité de votre installation WordPress contre de nombreuses méthodes d'attaque courantes, mais il ne peut pas empêcher toutes les attaques possibles. "

Disons simplement que le plugin vous facilitera la vie en matière de sécurité, car vous devez y travailler un peu. Pour vous persuader de faire l'effort, lisez la section suivante.

Quelle est l'importance de la sécurité pour un site WordPress ?

J'énonce ici une évidence, mais disons-le quand même : la sécurité de votre site est primordiale. En cas de piratage, les conséquences peuvent être très fâcheuses et conduire à :

• La perte et le vol de nombreuses données , plus ou moins sensibles, notamment celles de vos clients
• Perte de temps , car vous devrez nettoyer le site piraté et tout mettre à jour
• Frais financiers imprévus , surtout si vous faites appel à un expert en sécurité
• Atteinte à votre image de marque et possible perte de confiance de vos utilisateurs actuels et/ou futurs clients

Loin de moi l'idée de vous faire peur, mais gardez à l'esprit que ce genre de mésaventure n'arrive pas qu'aux autres.

Un petit coup d'œil sur la page de présentation d'iThemes Security Pro peut suffire à vous convaincre (si vous êtes du genre à avoir besoin d'être convaincu). Selon les données que l'entreprise partage :

• 50% des cyberattaques ciblent les très petites entreprises
• 45 % des propriétaires de sites Web ne sont pas suffisamment préparés à être piratés , ce qui signifie qu'ils n'ont pas mis en place des mesures de protection suffisantes

Comme le rapporte l'expert en sécurité Patchstack en 2021, la quasi-totalité des vulnérabilités détectées proviennent des thèmes WordPress et surtout des plugins (99,42% des vulnérabilités totales). Les attaques peuvent être multiples et variées. Vous pouvez être ciblé par :

• Script de site à site (script intersite, également appelé XSS)
• Contrefaçon de requête intersite (CSRF ou XSRF)
• Injections SQL (attaques sur votre base de données)
• Vulnérabilités PHP, le langage dans lequel WordPress s'exécute
• Téléchargements de fichiers malveillants
• Etc.

En tant que webmaster, vous avez un rôle à jouer dans la sécurité de votre site. Il est nécessaire que vous mainteniez quotidiennement les meilleures pratiques, telles que la sauvegarde de vos fichiers et de votre base de données, et l'exécution de mises à jour fréquentes.

Et n'oubliez pas d'utiliser un plugin de sécurité comme iThemes Security. Découvrez-en plus dans la section suivante, qui vous montre comment l'activer sur votre interface d'administration (le back office).

Comment installer et configurer iThemes en six étapes

Étape 1 : Sauvegardez votre site

Tout d'abord, avant d'activer iThemes Security, sauvegardez votre site avec un plugin dédié .

Nous passons en revue certains plugins de sauvegarde dans cette comparaison, y compris UpdraftPlus. Pourquoi prendre cette précaution ? D'abord parce que c'est une bonne pratique.

Et deuxièmement, parce que iThemes Security le recommande dans sa Foire Aux Questions, sur l'annuaire officiel.

Voici ce qu'il dit : « iThemes Security apporte des modifications importantes à votre base de données et aux autres fichiers du site, ce qui peut être problématique pour les sites WordPress existants . Encore une fois, nous vous recommandons fortement de faire une sauvegarde complète de votre site avant d'utiliser ce plugin. Bien que les problèmes soient rares, la plupart des demandes d'assistance impliquent l'échec d'une sauvegarde appropriée avant l'installation.

Dûment noté. Passons à la deuxième étape.

Étape 2 : Activez le plugin sur votre tableau de bord

Procédez maintenant à l'installation d'iThemes Security. Pour ce faire, allez dans Plugins > Ajouter nouveau et tapez « iThemes Security » dans la barre de recherche :

Cliquez sur le bouton "Installer maintenant". Dans le processus, activez le plugin. Toutes nos félicitations! Le plugin est en cours d'exécution sur votre site.

Vous pouvez voir un nouveau type de message personnalisé dans votre barre latérale gauche. Il se compose de deux menus principaux :

1. Installer
2. Obtenez plus de sécurité

Voyons tout de suite le premier. Accédez au menu Sécurité iThemes > Configuration .

Étape 3 : Choisissez un type de site

Pour vous faciliter la vie au début, iThemes Security vous propose de vous guider "tout au long du processus de configuration afin que les fonctionnalités de sécurité les plus importantes soient activées pour votre site".

Vous pouvez d'abord choisir parmi six types de sites qui représentent le mieux le vôtre :

• "Commerce électronique"
• "Réseau" (pour les forums et les sites d'adhésion)
• "Non lucratif" (pour les sites soutenant une cause et collectant des dons)
• "Blog"
• "Portefeuille"
• « Brochure » (pour les sites vitrines)

Personnellement, j'ai choisi le modèle "Blog", qui correspond le mieux à mon site de test.

iThemes vous demande alors de saisir les informations suivantes :

• Pour qui configurez-vous le plugin , votre site personnel ou le site d'un client ?
• Vous souhaitez sécuriser vos comptes utilisateurs avec une politique de mot de passe ? Cela oblige les utilisateurs de votre site à utiliser des mots de passe forts. Cocher "Oui" est une bonne pratique.

Étape 4 : Activer les fonctionnalités de sécurité

Dans l'étape suivante, iThemes vous donne la possibilité d'activer/désactiver les fonctionnalités de votre choix, divisées en quatre sections :

1. "Sécurité de connexion"
2. "Verrouillages"
3. "Vérification du site"
4. "Utilitaires"

Dans la version gratuite d'iThemes Security, il y a cinq fonctionnalités :

• Two-factor , pour activer l'authentification à deux facteurs (2FA) lors de la connexion à l'interface d'administration
• Force brute locale , pour protéger votre site contre les attaques par force brute (l'option est active par défaut)
• Force brute du réseau , pour bloquer les utilisateurs qui ont tenté de s'introduire sur d'autres sites avant d'attaquer le vôtre (l'option est active par défaut)
• Site Scan Scheduling , pour vérifier votre site deux fois par jour à la recherche de fichiers malveillants
• Security Check Pro , pour identifier les adresses IP en fonction de la configuration de votre serveur en faisant une requête API aux serveurs iThemes.com (actif par défaut)

En plus des fonctionnalités déjà activées par défaut, il peut être utile d'activer l'authentification à deux facteurs et l'analyse du site. Je reviendrai plus tard sur les détails des réglages.

Étape 5 : Configurer des groupes de comptes

Juste après cela, iThemes vous suggère de configurer des "groupes de comptes".

Comme indiqué, "les groupes de comptes d'utilisateurs vous permettent d'activer les fonctionnalités de sécurité pour certains groupes d'utilisateurs uniquement".

Vous avez le choix entre deux options :

• Par défaut . Dans ce cas, vos comptes d'utilisateurs seront automatiquement classés par leurs autorisations dans WordPress et le plugin activera les paramètres de sécurité recommandés pour chaque groupe. Je vous recommande d'opter pour cette option.
• Personnalisé . Ici, vous partez de zéro avec des groupes personnalisés et catégorisez vos comptes d'utilisateurs comme vous le souhaitez.

Vous aurez alors accès à différents paramètres selon le rôle de l'utilisateur (administrateur, éditeur, auteur, contributeur ou abonné) :

Étape 6 : Configurer les paramètres généraux et les notifications

Afin de terminer la configuration de votre site, iThemes Security vous demandera, entre autres :

• Ajoutez votre adresse IP à la liste des comptes autorisés
• Choisissez comment le plugin déterminera les adresses IP de vos visiteurs
• Rejoignez ou non son réseau de force brute (entrez simplement votre adresse e-mail si vous le souhaitez)
• Entrez une adresse e-mail pour recevoir des notifications

Voilà pour cette première volée de mesures de protection. iThemes souligne que votre site a déjà reçu quelques améliorations notables :

• La sécurité de vos comptes est renforcée
• Les attaques par force brute sont bloquées , tout comme les robots malveillants et les agents utilisateurs
• La détection des logiciels malveillants et la détection des thèmes et plugins vulnérables sont actives

C'est une excellente première étape, mais il y a de la place pour une personnalisation plus poussée. Dans la partie suivante, je vais vous montrer comment effectuer des ajustements plus approfondis sur les principales fonctionnalités du plugin.

Rejoignez les abonnés WPMarmite

Obtenez les derniers messages WPMarmite (ainsi que des ressources exclusives).

ABONNEZ-VOUS MAINTENANT

Quels sont les paramètres proposés par iThemes Security ?

Lorsque vous avez fini d'utiliser son assistant de configuration, iThemes Security vous propose un nouveau menu appelé "Paramètres".

Ce menu contient les fonctionnalités du plugin dont certaines ont été évoquées lors de la phase de configuration.

iThemes Security adopte une approche modulaire : vous pouvez activer les fonctionnalités dont vous avez besoin et désactiver celles qui ne sont pas utiles.

Lorsque le bouton est bleu, la fonction est active. Pour le désactiver, il suffit de cliquer dessus. Vous pouvez accéder à ses paramètres en cliquant sur le rouage :

Sans plus tarder, décortiquons chacune des options proposées.

Changement de fichier

Grâce au module « File Change », iThemes Security est capable de vous informer dès qu'un fichier a été altéré, ce qui peut indiquer un piratage.

Par défaut, tous les fichiers inclus dans chaque nouvelle installation fraîche de WordPress sont pris en compte.

Cependant, les paramètres de ce module vous permettent d'exclure les fichiers et dossiers de votre choix , si vous le souhaitez.

Si vous n'êtes pas sûr de ce que vous faites, laissez-le tranquille. L'avantage d'exclure certains fichiers et dossiers est qu'il consomme moins de ressources serveur. Le temps de chargement de vos pages est donc moins impacté.

Si vous utilisez un bon hébergeur comme bluehost (lien affilié), cela ne devrait de toute façon pas poser de problème.

Blocage de compte

Le module "Bannir les utilisateurs" empêche l'accès à votre site par des adresses IP et des agents utilisateurs spécifiques (par exemple, les navigateurs Web ou les robots des moteurs de recherche).

Par défaut, iThemes propose d'activer une liste créée par le site HackRepair.com. Comme cette liste bloque certains bots considérés comme malveillants , il est logique de l'activer.

Dans la partie correspondant aux bannissements personnalisés, vous pouvez :

• Limitez le nombre d'adresses IP bloquées dans les fichiers de configuration du serveur . iThemes note que cela réduit le risque de plantage du serveur lors de la mise à jour du fichier.
• Bannir manuellement l'utilisateur agents

Authentification à deux facteurs

Passons au module dédié à l'authentification à deux facteurs. Cela ajoute une mesure de sécurité supplémentaire à la connexion à votre site WordPress.

Après avoir entré votre identifiant et votre mot de passe, il vous sera demandé d'utiliser un appareil, souvent votre smartphone ou votre tablette, pour valider le processus de connexion.

Il s'agit d'une méthode déjà utilisée par les banques lorsque vous effectuez des paiements en ligne. Il est très efficace pour vous protéger contre les attaques par force brute.

Dans les paramètres, vous devez d'abord choisir une méthode d'authentification à deux facteurs. iThemes Security prend en charge plusieurs options :

• Application mobile
• E-mail
• Codes de secours

iThemes recommande de choisir le paramètre "Toutes les méthodes". Cela permet à chaque compte de choisir sa méthode préférée.

Vous pouvez également choisir de désactiver la double authentification lors de la première connexion et modifier le texte qui sera affiché à l'utilisateur lors de la configuration de l'authentification à deux facteurs.

Une fois ce module activé, il vous sera alors demandé de sélectionner une méthode pour vous authentifier après avoir entré votre nom d'utilisateur et votre mot de passe.

Par exemple, vous pouvez utiliser une application mobile comme Google Authenticator, Authy, FreeOTP ou Toopher.

Lors de votre prochaine connexion à l'interface d'administration, il vous sera demandé d'utiliser cette méthode pour vous authentifier.

Protection contre la force brute

Bien que l'authentification à deux facteurs soit un bon bouclier pour vous protéger des attaques par force brute, ce n'est pas le seul.

iThemes propose également deux modules spécifiques pour cela. Avec le premier, appelé "Local brute force", vous pouvez :

• Bloquer automatiquement une adresse IP qui tente de se connecter avec le login « admin ». Je vous conseille de cocher cette option.
• Limitez le nombre maximum de tentatives de connexion par adresse IP avant de bloquer .
• Limitez le nombre maximum de tentatives de connexion par nom d'utilisateur avant de bloquer .
• Définissez le nombre de minutes prises en compte pour compter les connexions infructueuses .

Les paramètres par défaut sont déjà effectifs, mais vous pouvez les modifier à votre guise.

Par exemple, si vous réalisez que les attaques par force brute augmentent, réduisez le nombre maximum de tentatives de connexion par utilisateur de 10 à 5.

En parallèle, vous pouvez également profiter du module "Network Brute Force". La description est assez nébuleuse. iThemes dit qu'il s'agit "d'un réseau de sites qui protège contre les mauvais acteurs sur Internet".

Alors que le module "Local Brute Force" ne traite que des tentatives d'accès à votre site, "Network Brute Force" bloque les utilisateurs qui ont tenté de s'introduire sur d'autres sites avant d'attaquer le vôtre .

Activez cette option en saisissant votre adresse e-mail et cochez la case pour recevoir des mises à jour par e-mail.

Sauvegarde de la base de données

En cas de piratage (en espérant que vous n'aurez pas à utiliser ces informations), vous devrez alors restaurer votre site. Pour ce faire, il est indispensable d'avoir une sauvegarde récente.

Grâce au module « Database Backup », vous pouvez créer manuellement ou programmer des sauvegardes automatiques de votre base de données.

Attention toutefois : le module ne sauvegarde que votre base de données, et non les fichiers de votre site (ceux que vous trouverez dans le dossier « wordpress » après l'avoir téléchargé).

Voici les paramètres proposés :

• Planifiez les sauvegardes de la base de données . Cochez cette case si vous souhaitez créer des sauvegardes automatiques. Si vous n'utilisez pas de plugin de sauvegarde parallèle, activez cette option. Vous pouvez sélectionner le nombre de jours entre deux sauvegardes. Par défaut, le paramètre est de trois jours. Si le contenu de votre site ne change pas, vous pouvez diminuer cette fréquence. Si vous modifiez quotidiennement votre site, planifiez une sauvegarde quotidienne.
• Configuration de vos sauvegardes . Vous pouvez choisir entre trois méthodes de sauvegarde : par e-mail, sauvegarde locale ou les deux. La sauvegarde locale prendra de la place dans votre espace de stockage, il est donc préférable de l'envoyer par email.
  Vous pouvez également compresser vos fichiers de sauvegarde pour réduire leur taille (laissez cette case cochée).
• Tables à sauvegarder . iThemes vous permet d'exclure certaines tables de votre base de données de la sauvegarde. Par défaut, tous les tableaux du WordPress Core sont inclus. Pour le reste, ne touchez à rien, sauf si vous êtes sûr de comprendre à quoi sert la table que vous souhaitez exclure.

La seule chose utile à propos de ce module est la sauvegarde de votre base de données.

Pour faire mieux, je vous conseille d'utiliser un plugin dédié pour sauvegarder l'intégralité de votre site (fichiers + base de données ).

Choisissez un plugin (ex. UpdraftPlus) qui vous permette d'envoyer vos sauvegardes vers un espace de stockage distant (Dropbox, Google Drive, Amazon S3, etc.).

Le centre de notification

Après avoir configuré toutes les options (il vous sera aussi demandé de forcer le SSL si votre site est en HTTPS), iThemes Security propose à l'utilisateur un menu pour gérer les notifications qu'il envoie :

iThemes permet d'abord d'activer/désactiver les notifications en cochant/décochant la case associée dans chaque sous-menu :

Pour la plupart des options, vous pouvez ensuite définir :

• L'objet du mail envoyé
• La fréquence des e-mails
• Le destinataire : l'administrateur, un autre rôle d'utilisateur ou une adresse e-mail personnalisée

Outils et options avancés d'iThemes Security

Enfin, iThemes propose d'autres paramètres de sécurité utiles dans ses menus "Avancé" et "Outils" (il faut les surveiller car ils sont bien cachés ^^).

Menu avancé

Vous aurez trois onglets dans le menu "Avancé", qui vous permettront d'apporter des modifications à la configuration du serveur de votre site.

Laissez les paramètres par défaut pour les deux premiers, "Ajustements système" et "Ajustements WordPress".

Le troisième onglet, "Masquer le backend", vous permet de changer la page de connexion de l'administration de votre site. Par défaut, il est facilement accessible en saisissant l'une des deux URL ci-dessous dans un navigateur Web :

• votresite.com/wp-admin
• votresite.com/wp-login.php

En le modifiant, vous rendez plus difficile la connexion des bots à votre site. Les paramètres vous permettent de :

• Changez le slug de connexion , c'est à dire la dernière partie de votre URL. Entrez la valeur de votre choix (ex : xc78ygvk).
  Il est préférable de choisir une combinaison difficile à deviner. Pensez à noter votre nouvelle URL à plusieurs endroits (dans votre application de notes, dans les favoris de votre navigateur, etc.).
• Spécifiez une URL de redirection (par exemple https://votresite.com/404), qui sera renvoyée au bot ou au pirate non connecté qui souhaite accéder à votre page de connexion. Cochez la case associée si vous souhaitez cette option.

Menu Outils

Terminons cette revue des paramètres avec le menu "Outils", qui liste dix options de configuration supplémentaires.

Pour commencer, je vous recommande d'utiliser d'abord les outils suivants :

• « Modifier l'utilisateur admin », afin de modifier les noms d'utilisateur commençant par « admin ».
• « Modifier le préfixe de la table de la base de données ». En changeant le préfixe wp_, qui est attribué par défaut à toutes les nouvelles installations de WordPress, vous rendez plus difficile pour les outils qui tentent de tirer parti des vulnérabilités d'accéder à la base de données de votre site.
• "Vérifier les autorisations des fichiers" pour vérifier leurs autorisations. S'il y a un avertissement, vous pouvez alors les modifier sur votre client FTP.

Là encore, pensez à sauvegarder votre site avant d'activer les outils proposés par le plugin de sécurité .

Eh bien, vous avez maintenant un aperçu détaillé du menu "Paramètres" d'iThemes Security. Il est temps de voir ce que vous réserve le menu « Tableau de bord ».

Comment surveiller l'état de votre site avec iThemes Security

En vous rendant sur iThemes Security > Dashboard , vous obtiendrez un récapitulatif visuel de l'état de votre site.

Le plugin affiche les informations suivantes :

• Verrouillages classés par adresses IP , utilisateurs et identifiants
• Le nombre de sauvegardes de votre base de données , avec un bouton pour lancer une sauvegarde manuelle immédiate
• Le nombre d'attaques par force brute sur une période donnée. Par défaut, la plage de dates est définie sur 30 jours, mais vous pouvez saisir une valeur personnalisée.
• Erreurs de numérisation détectées
• Comptes bannis
• Un aperçu des interdictions : tentatives de connexion, connexions avec "admin" et reCAPTCHA

Quelles sont les options premium du plugin ?

Avec iThemes Security Pro, la version premium du plugin, vous obtenez "des couches de protection supplémentaires pour votre site Web WordPress en gardant à l'esprit les performances", explique iThemes.

Vous vous demandez comment activer la version Pro d'iThemes Security ? C'est très simple. Après avoir acheté une des licences payantes du plugin, téléchargez le fichier zip associé au plugin dans votre espace client. Téléchargez-le ensuite dans Plugins > Ajouter un nouveau, en cliquant sur « Télécharger un plugin ».

Voici la plupart des principales options proposées dans le package premium du plugin :

• Mise à jour automatique de vos plugins, thèmes et fichiers principaux de WordPress en cas de détection de vulnérabilité.
• Une option pour activer un reCAPTCHA lors de l'enregistrement de nouveaux utilisateurs, de la réinitialisation des mots de passe, de la connexion et de la publication de commentaires. C'est une option efficace pour lutter contre le spam. Google reCAPTCHA V3 est notamment pris en charge.
• Possibilité pour vos utilisateurs de se connecter à votre site WordPress à l'aide d'un lien envoyé de manière sécurisée sur leur messagerie (option "Connexion sans mot de passe").
• Possibilité pour les utilisateurs bloqués par le réseau brute force de se connecter en utilisant un lien magique (option « Magic Links »).
• Exportation des paramètres du plugin . C'est une option utile si vous souhaitez activer le plugin sur plusieurs sites sans avoir à le configurer à chaque fois.
• Modification rapide des cinq éléments les plus critiques pour la sécurité de vos utilisateurs : authentification à deux facteurs, âge et force du mot de passe, heure de la dernière activité, sessions WordPress actives et rôle de l'utilisateur (option "User Security Check").
• Mises à jour automatiques du Core, des plugins et des thèmes (option "Gestion des versions").
• Accès administrateur temporaire pour les utilisateurs temporaires (par exemple, les techniciens de maintenance) sans avoir à créer un nouvel utilisateur (option Temporary Privilege Escalation).

Intéressé par la mise à niveau vers iThemes Security Pro ? Parlons prix maintenant.

Combien coûte iThemes Security ?

iThemes Security est un plugin freemium. Vous pouvez d'abord l'utiliser gratuitement en l'activant depuis votre interface d'administration, mais ses créateurs proposent également trois licences premium pour profiter de toutes les fonctionnalités offertes par le plugin.

1. De base : 99 $/an pour une utilisation sur un seul site
2. Plus : 199 $/an pour une utilisation sur un maximum de 5 sites
3. Agence : 299 $/an pour une utilisation sur un maximum de 10 sites

Chaque licence offre exactement les mêmes options, mises à jour de plugins et support par e-mail.

La licence que vous choisissez dépend du nombre de sites sur lesquels vous prévoyez d'activer iThemes Security Pro.

A noter : iThemes propose également un forfait à 749$/an qui comprend de nombreux outils commercialisés sous la marque StellarWP : iThemes Security, Backup Buddy, Kadence, Restrict Content Pro, etc.

iThemes Security free vs Pro : quelle version choisir ?

La principale valeur ajoutée d'iThemes Security Pro en termes de sécurité, par rapport à sa version gratuite, est l'application automatique d'un correctif sur les logiciels vulnérables détectés par l'analyse du site, lorsqu'ils sont disponibles.

C'est évidemment utile pour protéger un peu plus votre site, mais vous devrez tout de même débourser au moins 99 $/an pour en profiter.

Le reste des options est principalement destiné à faciliter certaines actions (connexion via un lien magique, export rapide des options, etc.), pas vraiment à renforcer la protection de votre site.

Pour résumer, la version gratuite du plugin me semble déjà suffisante pour renforcer la sécurité de votre site, grâce à la protection contre les attaques par force brute et la double authentification.

Mais il a encore quelques limites, comme vous le verrez dans le résumé ci-dessous.

Notre avis final sur iThemes Security

Avantages de la sécurité iThemes

• Les préréglages de sécurité sont automatiquement ajoutés lorsque vous activez le plugin.
• L'interface, qui est assez intuitive et claire. Cela rend le plugin facile à apprendre.
• L'approche modulaire, qui vous permet d'activer uniquement les options dont vous avez besoin. Cela consomme moins de ressources serveur, ce qui est toujours meilleur pour la vitesse de chargement de vos pages.
• Le fait que le plugin utilise très peu de jargon technique. Les options sont plus compréhensibles que celles de concurrents comme Wordfence Security ou Sucuri.
• La version gratuite comprend de nombreuses fonctionnalités.

Limites du plugin

• Le principal inconvénient du plugin est qu'il ne propose pas de pare-feu, ce qui reste une mesure de protection essentielle pour un plugin de sécurité.
• Il n'y a pas de scanner de sécurité en tant que tel.
• Le trafic en temps réel n'est pas analysé dans la version gratuite.
• Le plugin ne corrige pas les vulnérabilités détectées dans sa version gratuite.
• iThemes note que son plugin peut planter votre site car il apporte des modifications importantes à vos fichiers et à votre base de données.

Faut-il l'utiliser ?

Enfin, il reste une dernière question : faut-il activer le plugin sur son site WordPress ?

Pour répondre à cette question, il y a quelques points importants à garder à l'esprit :

• Oui, il manque à iThemes certaines options importantes, comme un pare-feu ou un scan…
• … mais le plugin peut faire le travail SI vous implémentez d'autres mesures de sécurité en parallèle . Par exemple, vous utilisez peut-être un autre plugin qui inclut un pare-feu.
  N'oubliez pas non plus de sauvegarder régulièrement votre site et de le mettre à jour chaque fois que des mises à jour sont disponibles.
  

Au final, si vous suivez ces consignes (utilisation conjointe d'iThemes avec d'autres mesures de sécurité), iThemes me semble convenir aux utilisateurs débutants qui souhaitent renforcer la sécurité de leur site gratuitement, sans trop se fatiguer l'esprit.

Bien qu'il ait moins de fonctionnalités de sécurité de base, iThemes Security est toujours plus facile à mettre en place que Wordfence Security, qui utilise plus de jargon (et a la réputation d'être plus gourmand en ressources serveur).

Télécharger iThemes Sécurité :

Quelle est votre opinion sur iThemes Security ? Dites-nous tout dans les commentaires.