5 plugins de sécurité WordPress vitaux pour améliorer la sécurité de votre site Web
Publié: 2020-12-27WordPress est le CMS le plus utilisé sur Internet, mais WordPress est-il sûr ? En effet, cette énorme popularité fait des sites Web WordPress une cible idéale pour les pirates.
Chaque année, une tonne de sites WordPress sont piratés et fermés. L'ajout de plugins de sécurité WordPress à votre site Web est donc très critique.
Voici une table des matières pour vous aider à naviguer dans cet article :
- Pourquoi avez-vous besoin d'installer au moins un plugin de sécurité WordPress ?
- Quels sont les meilleurs plugins de sécurité pour WordPress ?
- Comment renforcer la sécurité de vos sites WordPress avec quelques actions actionnables et faciles à mettre en place.
Conclusion : vous avez besoin d'un outil de sécurité sur votre site WordPress pour avoir une entreprise en ligne prospère.
Julio Potier ( expert en sécurité WordPress et fondateur de SecuPress ) et Ryan Dewhurst (Codebreaker et fondateur de WPScan ) m'ont aidé à rédiger cet article.
Ai-je besoin d'un plugin de sécurité WordPress ?
Les sites Web sont comme des magasins. Vous devez les protéger ou ils seront volés et endommagés.
Chiffres sur la sécurité de WordPress
Il y a deux ans, un rapport de Sitelock a révélé que le site Web typique d'une petite entreprise était attaqué 44 fois par jour .
Selon une étude réalisée par Sucuri en 2017, sur 8000 sites infectés, 74% ont été construits sur WordPress .
Une infographie étonnante réalisée par WPClicboard résume parfaitement les statistiques de sécurité de WordPress pour 2020 .
Alors oui, vous avez besoin d'un plugin de sécurité WordPress sur votre site Web.
WordPress est-il un risque de sécurité ?
WordPress est probablement le CMS le plus sécurisé pour créer votre site web . Mais s'il vous plaît, gardez à l'esprit que rien sur Internet n'est sûr à 100% .
En 2017, 1,5 million de sites Web WordPress ont été piratés en raison d'une vulnérabilité principale. Le problème a été rapidement résolu : WordPress est sûr et sécurisé depuis.
En voici la raison : la communauté WordPress est si vaste et si talentueuse que les failles de sécurité sont identifiées et corrigées presque instantanément . Pourtant, de nombreux sites Web WordPress sont piratés chaque jour.
Vous devez comprendre que WordPress a mis en place de bonnes mesures de sécurité , mais ce n'est rien comparé à ce que les meilleurs plugins de sécurité peuvent vous fournir comme :
- Surveillance permanente de la sécurité et des intrusions ;
- Numérisation de fichiers ;
- détection de logiciels malveillants ;
- Surveillance de la liste noire
- Pare-feu
- Protection contre les attaques par force brute
- etc.
Seuls 3 % des incidents affectant les sites Web sont découverts .
Ce sont des chiffres effrayants qui devraient vous inciter à installer un plugin de sécurité .
"WordPress est aujourd'hui un projet logiciel mature et sécurisé, auquel des millions d'utilisateurs font confiance, qui inclut même le site Web officiel de la Maison Blanche. En termes de sécurité, le principal problème que nous constatons concerne les plugins WordPress tiers, 87 % des vulnérabilités de la base de données de vulnérabilité WPScan WordPress étant attribuées aux plugins. Cela étant dit, nous constatons une augmentation progressive de la qualité des plugins sur le référentiel officiel de plugins WordPress. Pour assurer la sécurité de votre site Web WordPress, je vous recommande de tout mettre à jour, de choisir un mot de passe administrateur fort et d'installer un plugin de sécurité. @Ryan Dewhurst – Fondateur et PDG de WPScan
Comment puis-je renforcer la sécurité de mon site WordPress sans plugin ?
Les vulnérabilités et les failles de sécurité sont presque toujours liées aux mauvais comportements humains.
La meilleure façon d'améliorer la sécurité de votre site Web est donc d'être vigilant sur certaines choses !
Vulnérabilités des plugins et des thèmes
Selon la base de données WPScan, 95% des vulnérabilités de WordPress proviennent en réalité des thèmes et des plugins .
Et 95% de ces 95% proviennent en fait de thèmes et plugins gratuits.
La meilleure façon de protéger votre site Web contre les pirates est de garder vos plugins et votre thème à jour . Vous devez également supprimer tous les plugins inutiles installés sur votre site Web.
Supprimer les erreurs PHP
Cette astuce peut être plus délicate à mettre en œuvre si vous n'êtes pas à l'aise avec le langage PHP.
Les plugins et les thèmes peuvent générer de nombreuses erreurs PHP.
La plupart d'entre eux sont inoffensifs, mais certains peuvent compromettre votre site Web et entraîner des temps d'arrêt.
Pour savoir quels plugins génèrent des erreurs PHP, vous devez accéder au journal des erreurs WordPress .
Le moyen le plus simple de le faire est d'installer WP Umbrella .
Allez dans l'onglet PHP Monitoring et activez la vue avancée.
De là, vous pouvez accéder à toutes les erreurs et aux informations connexes nécessaires pour les résoudre et rendre votre site Web WordPress plus sécurisé .
« Certaines personnes pensent qu'un plugin non mis à jour générera des failles de sécurité, comme s'il s'y développait. Bien sûr, ce n'est pas comme ça que ça marche. Chaque plugin, thème ou même noyau CMS a une sorte de faille de sécurité, mais jusqu'à ce qu'il soit découvert, ce n'est pas un problème. Le problème existe lorsqu'ils sont découverts et non corrigés, heureusement (ou non) la communauté WordPress est pleine de personnes qui divulguent les problèmes de manière réactive, donc quand vous entendez « cette faille de plugin/core a été découverte », elle est déjà corrigée . ” Julio Potier PDG @Secupress
Sélectionnez soigneusement votre fournisseur d'hébergement
Inutile de dire que la sélection d'un hébergement sécurisé devrait également être l'une de vos principales priorités.
Avant de vous pencher sur les plugins de sécurité, vous devez vous assurer que votre hébergeur WordPress dispose de mesures de sécurité importantes.
Voici quelques-unes des mesures de sécurité qu'un bon fournisseur d'hébergement WordPress devrait vous fournir :
- Authentification à deux facteurs ;
- Blocage GeoIP ;
- Pare-feux matériels ;
- Connexions SFTP et SSH cryptées ;
- Sauvegardes automatiques ;
Kinsta, notre hébergeur, propose tous ces services.
A chaque site son mot de passe
Utiliser le même mot de passe pour chaque site Web est mauvais .
Utiliser le même mot de passe sur plusieurs est le meilleur moyen de se faire pirater.
Tous les sites ne sont pas sécurisés. Si vous utilisez le même mot de passe de partout et qu'un pirate parvient à l'obtenir, il aura accès à tous vos comptes.
Vous devez choisir un mot de passe différent pour chaque site que vous utilisez.
Meilleurs plugins de sécurité WordPress en 2021
Si vous êtes pressé, consultez ce tableau récapitulatif. Si vous souhaitez voir notre analyse approfondie de chaque plugin de sécurité, continuez à lire !
| Brancher | Fonctionnalités | Performance | Soutien | Tarification | Globalement |
|---|---|---|---|---|---|
| SécuPress |   | | | 69$ | |
| WPScan | | | | 5-25$/mois | |
| Sécurité iThème | | | | 80$ | |
| WordFence | | | | 100$ | |
| Sucuri Sécurité | | | | 200$ | |
5. Plugin de sécurité WordPress – WordFence
WordFence est le plugin de sécurité le plus populaire. La licence pour 1 site web coûte 99,99$. WordFence inclut :
- un pare- feu d'application Web (WAF) qui identifie et bloque le trafic malveillant. Contrairement aux alternatives cloud similaires, WordFence ne casse pas le cryptage, ne peut pas être contourné et ne peut pas divulguer de données.
- un scanner de sécurité WordPress vérifiant les fichiers principaux, les thèmes et les plugins pour détecter les logiciels malveillants, les portes dérobées et les injections de code.
- Leaked Password Protection bloquant les connexions pour les administrateurs utilisant des mots de passe compromis connus.
- Authentification à deux facteurs : C'est l'un des moyens les plus efficaces pour arrêter définitivement les attaques par force brute.
Le plugin WordFence Security n'est pas le meilleur plugin de sécurité WordPress car il nécessite beaucoup de ressources de votre serveur.
Cela peut ralentir les temps de chargement de votre site Web, ce qui est terrible pour le référencement et l'expérience utilisateur.
De plus, dans un environnement d'hébergement partagé, les déclencheurs du plug-in peuvent émettre et gâcher les données stockées dans votre base de données.
Avis sur WordFence
Les derniers avis sur WordPress Plugin Directory ne sont pas géniaux puisque 3 évaluateurs sur 8 se plaignent du piratage de leur site Web.
Les plugins les plus populaires ne sont jamais presque les meilleurs. C'est le prix de la gloire !
Réflexions finales sur le plugin de sécurité WordFence
| Globalement | |
| Fonctionnalités | |
| Performance | |
| Facilité d'utilisation | |
| Soutien | |
| Tarification | |
4. iThemes Security - Construit par les experts en sécurité de WordPress
iThemes Security (anciennement Better WP Security) vous propose plus de 30 façons de sécuriser et de protéger votre site WordPress .
Avec +1 million d'installations actives, c'est le deuxième plugin de sécurité le plus populaire sur le marché. Les fonctionnalités d'iTheme Security incluent :
- WordPress Brute Force Protection : les personnes essayant de deviner votre mot de passe seront bloquées après quelques tentatives.
- Détection de changement de fichier : Le plugin vous alertera si un fichier change, vous savez donc si vous avez été piraté.
- Détection 404 : Si un bot analyse votre site à la recherche de vulnérabilités, il générera de nombreuses erreurs 404. Le plugin verrouillera les adresses IP suspectes générant des erreurs 404 en masse.
- Sauvegardes de la base de données : le plugin vous enverra régulièrement des sauvegardes de votre site Web, afin que vous ne perdiez aucun contenu si vous êtes piraté.
iTheme Security a un tableau de bord agréable et facile à utiliser. Le plugin coûte 80 $ par site Web.
Examens de sécurité iTheme et réflexions finales
iTheme Security a un bon support, un tableau de bord convivial et consommera moins de ressources serveur que WordFence. C'est pourquoi je vous conseille de choisir la sécurité iTheme plutôt que WordFence.
Mais il existe de nombreux autres plugins de sécurité incroyables, et vous devriez continuer à lire cet article !
| Globalement | |
| Fonctionnalités | |
| Performance | |
| Facilité d'utilisation | |
| Soutien | |
| Tarification | |
3. Sucuri Security - Audit, scanner de logiciels malveillants et renforcement de la sécurité
Sucuri est une autorité mondialement reconnue dans tous les domaines liés à la sécurité des sites Web WordPress .
Il offre à ses utilisateurs un bel ensemble de fonctionnalités de sécurité :
- Supprimer les logiciels malveillants du site Web : Sucuri Security vous aide à supprimer tout code malveillant dans le système de fichiers ou la base de données de votre site Web.
- Supprimer le statut de la liste noire : il soumet les demandes de suppression de la liste noire en votre nom.
- Repair SEO Spam : le plugin vous aide à suivre le bourrage de mots-clés et les injections de liens.
- Pare-feu de site Web : Securi a développé un pare-feu (WAF) pour WordPress qui bloque les attaques en filtrant le trafic malveillant.
Le plugin est l'un des plugins de sécurité les plus chers pour WordPress : 200$.
Examens de Sucuri Security et réflexions finales
Securi Security est un bon plugin WordPress et possède probablement l'un des meilleurs pare-feu.
Le plugin fournit également une analyse au niveau du serveur et surveille les menaces de sécurité nouvelles et potentielles. Cependant, cela augmente les temps de chargement et les gens sont vraiment exaspérés à ce sujet.
Mon conseil : ce n'est pas la peine de payer 200 dollars pour quelque chose qui ralentit votre site web. Continue de lire!
| Globalement | |
| Fonctionnalités | |
| Performance | |
| Facilité d'utilisation | |
| Soutien | |
| Tarification | |
2. WPScan – Base de données de vulnérabilité WordPress
Le plug-in WPScan WordPress Security Scanner analyse quotidiennement votre site Web pour rechercher les vulnérabilités de sécurité répertoriées dans la base de données de vulnérabilités WPScan .
Contrairement aux autres plugins, WPScan ne ralentit pas vos sites WordPress . La base de données est maintenue par 3 personnes, 100% dédiées à la sécurité WordPress.
Les fonctionnalités principales de WPScan incluent également :
- Rechercher les fichiers debug.log
- Vérifiez si XML-RPC est activé
- Vérifiez les fichiers de sauvegarde wp-config.php
- Vérifier les fichiers du référentiel de code
- Vérifier les fichiers de base de données exportés
- Vérifier si les clés secrètes par défaut sont utilisées
Le plugin a une tarification mensuelle : de gratuit à 25 $ par mois.
Avis WPScan et réflexions finales
WPScan a des critiques fantastiques et les utilisateurs de WPScan semblent satisfaits de la qualité du support fourni .
WPScan n'offre pas certaines fonctionnalités de sécurité telles que WordPress Brute Force Protection ou WordPress Firewall , mais c'est un plugin d'analyse incroyable.
| Globalement | |
| Fonctionnalités | |
| Performance | |
| Facilité d'utilisation | |
| Soutien | |
| Tarification | |
1. SecuPress – Plugin de sécurité WordPress premium
SecuPress est un autre excellent plugin de sécurité pour WordPress . Ce plugin protégera votre site Web WordPress avec des analyses de logiciels malveillants et bloquera les bots et les adresses IP suspectes.
SecuPress offre à ses utilisateurs un ensemble utile de fonctionnalités de sécurité :
- Protection contre la force brute ;
- IP et pare-feu bloqués ;
- Alertes de sécurité ;
- Analyse des logiciels malveillants ;
- Protection des clés de sécurité ;
- Détection des plugins et thèmes vulnérables ;
- Etc,
Avec 69$ (= 60€), SecuPress est le plugin de sécurité le plus abordable pour WordPress .
Avis SecuPress et réflexions finales
SecuPress a de très bonnes critiques de la part de la communauté WordPress française, où Julio Pottier (PDG de SecuPress) contribue à aider les développeurs WordPress à sécuriser leur code .
| Globalement | |
| Fonctionnalités | |
| Performance | |
| Facilité d'utilisation | |
| Soutien | |
| Tarification | |
Et vous? Quel est votre plugin de sécurité préféré pour WordPress ?