Sucuri : Un plugin de sécurité à installer en urgence ?

Une bouche grande ouverte. Des crocs acérés prêts à fracturer un pauvre petit animal. Un corps sans fin qui doit mesurer près de 30 pieds de long.

Tapez « sucuri » sur Google, et vous vous retrouverez nez à nez avec des images de serpents assez terrifiants . Mais pourquoi, en fait ? Eh bien, tout simplement parce que le mot que vous avez tapé dans le moteur de recherche est la traduction portugaise d'anaconda.

Vous devez comprendre qu'au début, je cherchais simplement plus d'informations sur Sucuri, un plugin de sécurité pour WordPress .

Heureusement, il n'y a rien de bien méchant là-dedans. Et il ne vous dévorera pas après l'avoir activé. Ouf, vous pouvez respirer profondément !

Au lieu de cela, ce plugin est conçu pour vous aider à éradiquer d'autres prédateurs : les pirates malveillants et autres fichiers et logiciels malveillants qui peuvent infecter votre site.

À la fin de cet article, vous saurez comment fonctionne Sucuri (le plugin, pas le serpent), et surtout comment le configurer étape par étape. Prêt pour une balade en toute sécurité ? Ssss, suivez le guide.

Vos meilleurs projets WordPress ont besoin du meilleur hébergeur !

WPMarmite recommande Bluehost : excellentes performances, excellent support. Tout ce dont vous avez besoin pour un bon départ.

Essayez Bluehost

Qu'est-ce que Sucuri ?

Sucuri Security est un plugin de sécurité WordPress qui offre une suite d'outils pour vous aider à protéger votre site Web : audit des fichiers principaux de WordPress (PHP, CSS, JavaScript), analyse des logiciels malveillants et des programmes, application de la sécurité, alertes par e-mail, actions de sécurité post-piratage, etc.

Fondée en 2012 par Daniel Cid, Sucuri a été rachetée en 2017 par le géant américain de l'hébergement GoDaddy , qui la maintient et la développe depuis.

Après avoir proposé un plugin premium jusqu'en 2014, le plugin est désormais totalement gratuit.

Avec plus de 800 000 installations actives, Sucuri est l'un des plugins de sécurité WordPress les plus populaires du répertoire officiel, aux côtés de concurrents comme Wordfence (plus de 4 millions d'installations actives), iThemes Security (plus de 1 million d'installations actives) et All-in-One Security (plus de 1 million d'installations actives). .

Sucuri, un plugin gratuit soutenu par des services premium

Alors qu'elle dispose d'un plugin de sécurité dédié au CMS WordPress, la société Sucuri propose plusieurs services premium basés dans le cloud pour protéger votre site web, quel que soit le CMS ( Content Management System ) sur lequel il tourne : WordPress, Joomla, Magento, Drupal, Shopify, etc.

Parmi ces services, il y a :

• Un pare-feu applicatif web (WAF) qui protège votre serveur web contre diverses attaques : attaques DDOS (déni de service), attaques par force brute, malware, phishing, ransomware, etc. Ce pare-feu est accompagné d'un CDN (Content Delivery Network), pour booster la vitesse de chargement de votre page.
  Le WAF peut être utilisé seul ou en complément du plugin Sucuri.
  
• La plateforme de sécurité Sucuri (Sucuri Website Security). En plus du pare-feu et du CDN, Sucuri propose plusieurs services pour surveiller la sécurité de votre site et peut mettre à votre disposition une équipe dédiée pour nettoyer votre WordPress en cas de piratage.

Bien que ces services soient distincts et puissent être utilisés indépendamment les uns des autres, Sucuri précise sur l'annuaire officiel que son plugin « complète vos outils de sécurité existants . Il n'est pas conçu pour remplacer les produits Sucuri Website Security ou Firewall.

Autrement dit, si vous souhaitez protéger au mieux votre site WordPress, utiliser le plugin seul ne suffit pas.

Pourquoi est-il important de sécuriser votre site WordPress ?

Avant d'examiner les fonctionnalités et autres paramètres proposés par Sucuri, arrêtons-nous un instant pour considérer l'importance de la sécurité sur une installation WordPress.

Utiliser un plugin dédié pour se protéger est un minimum, sachant qu'aucun site WordPress n'est infaillible. En tant que CMS (Content Management System) le plus utilisé sur la planète, WordPress est naturellement la cible de nombreuses attaques au quotidien.

2 800 attaques par seconde cibleraient les installations WordPress dans le monde entier !

Cependant, ne paniquez pas. WordPress est un CMS sécurisé. Dans son rapport sur la sécurité de l'écosystème WordPress, l'expert en sécurité Patchstack explique que 96 % des failles de sécurité proviennent de code tiers (plugins et thèmes tiers), contre 4 % au sein de WordPress Core.

C'est pourquoi il est essentiel de protéger votre site. Les conséquences d'un piratage peuvent être désastreuses et se traduire par :

• La perte et le vol de nombreuses données , plus ou moins sensibles, notamment celles de vos clients.
• Une perte de temps , car vous devrez nettoyer le site piraté et tout mettre à jour.
• Frais financiers imprévus , surtout si vous faites appel à un expert en sécurité.
• Une dégradation de votre image de marque et une éventuelle perte de confiance de la part de vos utilisateurs actuels et/ou futurs clients.

Vous l'aurez compris : ne négligez pas l'aspect sécurité de votre site. Passons à une présentation détaillée de Sucuri.

Comment installer Sucuri

Étape 1 : Activez le plugin Sucuri sur WordPress

Pour commencer, installez le plugin depuis votre interface d'administration via le menu Plugins > Ajouter nouveau . Cliquez sur "Installer maintenant":

N'oubliez pas d'activer le plugin. Vous trouverez alors un nouveau menu nommé « Sucuri Security », dans la barre latérale gauche de votre back-office WordPress :

Étape 2 : Générer une clé API

Afin d'activer certains des outils supplémentaires proposés par le plugin, Sucuri vous recommande de générer une clé API.

API signifie Application Programming Interface. Comme expliqué très clairement dans cet article, « les API sont des mécanismes qui permettent à deux composants logiciels de communiquer entre eux à l'aide d'un ensemble de définitions et de protocoles ».

Pour cela, cliquez sur le bouton « Generate API Key » en haut de votre Dashboard :

Dans la fenêtre qui apparaît clairement sur votre écran, choisissez l'adresse e-mail associée à votre compte, puis acceptez les conditions d'utilisation (si vous êtes d'accord). Cliquez sur "Soumettre" lorsque vous êtes prêt.

Et voila! Sucuri est prêt à travailler. Comme il vous le dit après avoir généré une clé API, « ce n'est pas une solution miracle pour vos besoins de sécurité ; il ne remplace pas Sucuri Website Security ou Firewall, mais il vous permettra d'être plus soucieux de la sécurité et d'adopter une meilleure position, dans le but de réduire les risques.

Découvrons maintenant comment configurer le plugin, avec une plongée menu par menu.

Rejoignez les abonnés WPMarmite

Obtenez les derniers messages WPMarmite (ainsi que des ressources exclusives).

ABONNEZ-VOUS MAINTENANT

Comment configurer et utiliser Sucuri Security

Présentation du tableau de bord Sucuri

Le premier menu principal proposé par Sucuri Security est le tableau de bord. C'est ici que vous trouverez les résultats de l'audit réalisé par le plugin sur votre site.

Concrètement, Sucuri inspecte votre installation WordPress pour toute modification des fichiers WordPress de base (ceux que vous trouvez à chaque fois que vous téléchargez le CMS).

Sucuri scanne automatiquement les fichiers dans les répertoires racine, wp-admin et wp-includes, puis les compare aux fichiers distribués avec la version majeure de WordPress installée sur votre site (6.1.1, dans mon cas).

Dès que Sucuri détecte un fichier avec des incohérences, il l'affiche sur votre tableau de bord.

En cas de problème, un « X » rouge apparaît, accompagné d'un message peu rassurant de la même couleur : « Core WordPress Files Were Modified ».

Le ou les fichiers ont peut-être été piratés. Dans mon cas, Sucuri signale deux supposées anomalies dans un fichier .txt et un fichier error.log.

Ce dernier répertorie les journaux d'erreurs survenues sur votre site (erreurs PHP, notamment). J'ai alors plusieurs options pour résoudre les problèmes:

• Marquez le fichier comme faux positif , s'il s'agit d'un fichier que j'ai ajouté moi-même, par exemple. Sucuri l'ignorera lors des futures analyses.
• Supprimez le fichier , si vous pensez qu'il est malveillant.
• Restaurez la version originale du fichier .

Ce scan est pratique mais il y a un problème principal : pour un débutant, il est quand même assez difficile de savoir si le fichier supposé anormal cause un réel problème de sécurité sur votre site ou non.

En conséquence, nous ne savons pas vraiment quoi faire . Laisser le fichier tel quel ? Restaurer sa version d'origine ? Le supprimer quitte à prendre le risque de supprimer des données importantes ? Ce n'est pas facile à comprendre.

Sous l'encart dédié à l'analyse du noyau WordPress, en plus des journaux d'audit, vous trouverez plusieurs onglets indiquant les changements intervenus sur :

• Iframes (balises HTML)
• Liens
• Scénarios

Enfin, Sucuri me fait également plusieurs recommandations pour renforcer la sécurité de mon installation en me suggérant par exemple de supprimer les plugins inutilisés ou de désactiver l'éditeur de fichiers dans l'administration :

Le pare-feu applicatif : Firewall (WAF)

Le deuxième sous-menu de Sucuri est pour le pare-feu Sucuri. Pour en bénéficier, vous devez opter pour l'un des forfaits premium proposés par Sucuri .

Si vous souhaitez franchir cette étape, il vous suffit d'ajouter votre clé API dans la case prévue à cet effet.

Avec ce pare-feu actif, Sucuri garantit que votre site sera protégé contre les attaques et empêchera les infections et les réinfections par des logiciels malveillants.

De plus, le pare-feu « bloquera les tentatives d'injection SQL, les attaques par force brute, XSS (script de site à site), RFI (intégration d'un fichier distant sur votre serveur), les portes dérobées (accès à distance à votre site) et bien d'autres menaces. sur votre site.

Via les onglets de paramètres, vous pouvez également :

• Bloquez certaines adresses IP en les saisissant manuellement, afin qu'elles ne puissent pas accéder à votre site.
• Activez la mise en cache , ce qui améliorera les performances de votre site WordPress.

Le menu lié aux connexions : Dernières connexions

Passons au troisième menu du plugin Sucuri : « Dernières connexions ». Quatre onglets sont disponibles :

• " Tous les utilisateurs" affiche tous les utilisateurs qui se sont connectés avec succès à votre administrateur WordPress
• " Admins" affiche toutes les personnes qui ont un compte "admin" sur votre site
• « Utilisateurs connectés » détaille tous les utilisateurs actuellement connectés
• "Connexions échouées " vous montre les tentatives de connexion échouées à votre page de connexion. Cela vous aidera à voir très rapidement si vous êtes victime d'attaques par force brute, par exemple.

Le menu Paramètres de Sucuri

Et enfin, le dernier menu et le plus copieux. Vous trouverez ici plusieurs fonctionnalités majeures de Sucuri, que nous détaillerons onglet par onglet.

Onglet Paramètres généraux

L'onglet Paramètres généraux comporte plusieurs encarts. Ils incluent certains des éléments suivants, que vous pouvez modifier :

• Un répertoire avec tous vos logs de sécurité (« Data storage »)
• Un exportateur de grumes
• Un proxy inverse, que vous pouvez activer
• Un module pour importer et exporter vos paramètres Sucuri vers un autre site WordPress

Onglet Scanner

L'onglet "Scanner" comprend un outil gratuit offert par Sucuri appelé SiteCheck. Cet outil analysera votre site pour les éléments suivants :

• Logiciels malveillants
• Erreurs sur votre site WordPress
• Logiciel obsolète
• Anomalies de sécurité

En particulier, Sucuri vous montre :

• Tâches planifiées lors de son analyse (« tâches planifiées »). Par défaut, l'analyse a lieu une fois par jour.
• L'utilitaire "WordPress Integrity Diff" qui compare les fichiers de votre serveur avec les fichiers originaux de votre site (répertoires racine, thèmes, plugins et fichiers WP core).
• Faux positifs détectés .
• Une option pour exclure certains fichiers et dossiers lors de l'analyse , surtout s'ils sont trop volumineux.

Onglet de durcissement

L'onglet « Durcissement » répertorie dix mesures de sécurité que vous pouvez appliquer pour prévenir d'éventuelles attaques. Ils renforceront la sécurité de votre installation WordPress.

Par exemple, en un clic, vous pouvez :

• Bloquer l'exécution de certains fichiers PHP dans les répertoires wp-content et wp-includes
• Désactivez l'éditeur de fichiers dans votre interface d'administration, pour empêcher un pirate de modifier vos fichiers
• Supprimer l'affichage de votre version de WordPress
• Vérifiez si votre version de WordPress est à jour

En bas de la page, il est également possible d'exclure manuellement certains fichiers PHP dont l'exécution a été bloquée.

Par mesure de précaution, sauvegardez votre site (fichiers + base de données) afin d'appliquer l'une de ces mesures. Vous pouvez utiliser un plugin de sauvegarde tel que UpdraftPlus. Et si possible, procédez sur un environnement de test, pas en production .

Onglet Post-Hack

Comme son nom l'indique, l'onglet "Post-Hack" propose plusieurs mesures à appliquer immédiatement après le piratage de votre site. J'espère donc que vous n'aurez jamais à l'utiliser ! ^^

Voici ce que vous pouvez faire :

• Générer de nouvelles clés de sécurité . Ils sont présents dans le fichier wp-config.php, et ils permettent un meilleur cryptage de certaines informations, notamment les cookies d'un utilisateur qui se connecte à l'administration de votre site. Si un pirate est en possession de ces cookies, il pourra se connecter à votre site même si vous réinitialisez votre mot de passe — à moins que vous ne changiez vos clés de sécurité !
• Mettre à jour les mots de passe des utilisateurs
• Réinstallez les plugins de votre site
• Mettez à jour vos thèmes et plugins

Onglet Alertes Sucuri

Dans l'onglet Alertes, vous pouvez configurer les paramètres liés aux alertes de sécurité que Sucuri vous enverra par e-mail.

Par défaut, le plugin envoie des notifications de sécurité à l'administrateur principal du site (celui créé lors de son installation). Cependant, vous pouvez spécifier d'autres adresses e-mail pour recevoir ces notifications.

Vous pouvez également gérer les types d'alertes que vous recevrez et autoriser les adresses IP de confiance afin qu'elles ne génèrent pas d'alertes.

Par exemple, vous pouvez spécifier :

• Un nombre maximum d'alertes à recevoir par heure (de cinq heures à illimité)
• Le nombre de tentatives de connexion infructueuses par heure (attaques par force brute) avant l'envoi d'une alerte par e-mail
• Les événements qui déclencheront une alerte de sécurité (par exemple, modification des paramètres du plugin, création d'un nouveau login, désactivation d'un thème ou d'un plugin, etc.)

Pour être tout à fait complet, Sucuri propose deux autres onglets de paramètres : « API Service Communication » et « Website Info ». Ces deux onglets ne régissent pas de paramètres spécifiques : ils donnent des informations sur votre API et votre site WordPress.

Après ce large tour d'horizon, je vous propose de passer à la dernière partie de cet article. Dans un premier temps, nous parlerons du prix de Sucuri, puis je vous donnerai mon avis sur ce plugin de sécurité.

Combien coûte Sucuri Security ?

Sucuri se présente comme un plugin gratuit, c'est vrai… mais avec des limites.

En effet, vous devez payer si vous souhaitez utiliser le pare-feu applicatif proposé par Sucuri. Et en matière de sécurité, l'utilisation d'un pare-feu est fortement recommandée.

Cette option, qui comprend également l'accès à un CDN, est offerte à partir de 9,99 $/mois pour une utilisation sur un seul site.

D'autre part, Sucuri propose un package de sécurité beaucoup plus complet appelé Website Security Platform. Les prix commencent à 199,99 $/an pour une utilisation sur un seul site.

Ce plan tarifaire comprend bien sûr le pare-feu, le CDN de Sucuri, ainsi que le nettoyage des logiciels malveillants et des fichiers piratés par des experts en interne :

Notre avis final sur le plugin de sécurité Sucuri

Pour conclure, que pensez-vous de Sucuri ? Pour répondre à cette question, je vais aborder deux aspects cruciaux lors du choix d'un plugin : sa facilité d'utilisation et son efficacité.

Tout d'abord, sur la prise en main. Ce n'est pas forcément complexe, car Sucuri a choisi de proposer des options claires, bien réparties dans différents onglets.
Les menus ne sont pas trop surchargés et il est très facile d'effectuer une action (un clic suffit la plupart du temps).

En revanche, le domaine de la sécurité regorge de termes techniques — Sucuri n'a rien à voir là-dedans — et l'utilisateur débutant ne pourra pas toujours comprendre ce qu'on lui recommande de faire ou ce qu'il doit faire. C'est une première limite à souligner.

Passons à l'efficacité du plugin. Sucuri est avant tout un outil de veille conçu pour vous alerter des problèmes de sécurité sur votre WordPress . Il scanne vos pages à la recherche d'anomalies, vous envoie des alertes en cas de problème, etc.

Mais le plugin ne permet pas vraiment de résoudre les problèmes de sécurité (à l'exception de quelques petits aspects), sauf après piratage (mais il sera alors trop tard).

L'un des principaux boucliers de sécurité est l'utilisation d'un pare-feu. Sucuri en propose un, mais uniquement dans son offre payante.

Téléchargez le plug-in Sucuri :

En conclusion, je ne recommanderais pas le plugin gratuit si vous souhaitez protéger efficacement votre site WordPress .

Partagez-vous mon avis et utilisez-vous Sucuri ? Donnez moi votre avis en postant un commentaire.