devpops.ch

Sécurité : Comment protéger mon site

Quels plugins WordPress utiliser pour garder votre site web en sécurité ?
Le choix est vaste, nombre de possibilités et plugins pour vous y aider. Nous vous donnons quelques pistes qui pourraient vous facilité la tâche.

La sécurité de sites n’est pas un sujet agréable. WordPress est l’un des environnements de construction de sites Web les plus populaires. C’est aussi une cible commune. Construisant la plupart de nos sites sur WordPress, et on ne plaisante pas avec la sécurité. Mais il faut réfléchir et prendre le temps (voire dépenser quelques sous) pour garder votre travail et vos visiteurs en sécurité.

sécurité

Image par Jan Alexander de Pixabay 

Comme mentionné si dessus, le CMS (Le système de gestion de contenu) WordPress est le plus populaire, et le plus utilisé au monde. Il alimente  35 % des sites Web sur Internet, ce succès est principalement dû à sa simplicité, même pour les néophytes. De plus,  WordPress offre un catalogue de plus de 50 000 plugins (ou modules) facilitant la personnalisation des sites.

8 outils mis sous la loupe

Certains de ces modules, proposent de gérer  la sécurité de votre site. Nous vous avons fait un tri qui, selon notre avis, sont les meilleurs. La plupart proposent un service gratuit, suffisamment intéressant pour une simple utilisation, mais certains d’entre eux sont payants, mais ils en valent la peine !

Wordfence, la surprise.

Wordfence est le « petit nouveau », vite devenu un des plus populaires avec plus de 3 millions d’installations actives. Bien noté par la communauté avec une moyenne de cinq étoiles, le nombre de téléchargements ne cessant d’augmenter, ce plugin fait un véritable carton.

Wordfence est l’une des solutions gratuites les plus impressionnantes, et complète et assez puissante pour des sites Web simples. La version  premium, quant à elle, est vendue à une centaine de Dollars par an pour un site. Toute fois des remises intéressantes pour les développeurs sont proposées pour plusieurs licences, le rendant idéal pour gérer un grand nombre de sites web.
Wordfence associe la simplicité à une protection puissante :

  • Fonctions de sécurité de connexion.
  • Récupération lors d’incidents de sécurité.
  • Aperçu des tendance générales du trafic.
  • Tentatives de piratage.

C’est une solution de premier ordre pour une couverture de site WordPress de bout en bout.

Sucuri, fouisseur de sites en profondeur

Sucuri traque les logiciels malveillants régulièrement, et propose un pare-feu bloquant  les attaques au niveau de l’application, plutôt qu’au niveau des paquets contrairement à votre pare-feu par défaut.

Comme pour la plupart des produits similaires, Sucuri propose à la fois un plugin gratuit  et un service premium payant. Néanmoins, Si vous ne voulez pas payer, vous recevez toujours des outils précieux :

  • Surveillance des listes noires.
  • Recherche de malwares.
  • Surveillance de l’intégrité des fichiers
  • Renforcement de la sécurité.

Jetpack, le plugin "musclé"

De nombreux utilisateurs WordPress sont familiers avec ce plugin. De par ses nombreuses fonctionnalités, mais aussi parce que c’est une création WordPress.com.
Jetpack est un paquet géant qu’il vaut vraiment la peine d’explorer.

  • Facilité d’installation pour les administrateurs.
  • Outils de sécurité de haut niveau.
  • Module bloquant les activités suspectes.
  • Prise en charge de la protection contre les attaques par force brute.
  • Gestion d’une liste blanche

Jetpack étant un énorme plugin qui ajoute une masse importante d’outils à votre interface, il pourrait créer une certaine confusion. Certains outils de sécurité sont ainsi inclus avec Jetpack, ce qui en fait un plugin attrayant pour ceux qui veulent économiser de l’argent et compter sur une solution fiable.

Un gros pack bien utile.

La version gratuite fournit une sécurité décente pour un petit site Web. Permettant d’obtenir un support complet et un plugin qui est l’un des meilleurs sur le marché.
La version Premium transforme le plugin en une suite plus complète, avec des avantages tels que les sauvegardes, la protection anti-spam et l’analyse de sécurité.

Economique en ressources, ce gros paquet suffit à lui seul, et élimine ainsi la nécessité de plusieurs plugins et donc le poids du site.

  • Marketing par courriel.
  • Médias sociaux.
  • Personnalisation du site
  • Optimisation des fonctionnalités

Two Factor et Google Authenticator, la double authentification

Les CMS n’offrent pas d’authentification à deux facteurs par défaut. Pour se connecter à l’interface d’administration, tout ce dont vous avez besoin est un nom d’utilisateur ou une adresse mail et d’un mot de passe.

Heureusement, il est assez facile d’ajouter l’authentification à deux facteurs. Les plugins Google Authenticator et Two Factor ajoutent une deuxième couche de sécurité à votre module de connexion. Ce qui est plutôt important puisque la majorité des tentatives de piratage se produisent lors de la connexion.
En plus de votre mot de passe habituel, ces plugins envoient une notification sur un mobile ou une autre forme d’authentification telle que l’utilisation d’un QR code ou encore une question secrète.

 Ces plugin de sécurité sont gratuits et leur interface est assez facile à comprendre. Toutefois, Google Authenticator à une version payante, mais reste un outil très complet avec de nombreuses options de mise à niveau (payantes), allant des méthodes d’authentification supplémentaires à la gestion des utilisateurs.

ManageWP,  la gestion des mises à jour multi-sites

ManageWP est un outil en ligne gratuit, avec des options payantes, c’est un outil de monitoring pour les sites WordPress. Il y a des options premium, mais vous pouvez d’ores et déjà, gérer les mises à jour et les sauvegardes gratuitement.

Plutôt que d’avoir à se connecter individuellement à chaque site, il suffit de se connecter à ManageWP, de cliquer sur update, et de voir que tous les sites, tous les thèmes, tous les plugins et tous les fichiers et se mettre à jour automatiquement.

En installant le plugin  ManageWP Worker, sur chaque site, vous le rendez compatible avec  le service ManageWP.

  • Gérer les commentaires.
  • Gestion utilisateurs
  • Désactiver/ajouter une extension.
  • Mettre le site en maintenance.
  • etc…

Loginizer Security limiter les essais

Une attaque par force brute est une méthode simple qui utilise de nombreuses tentatives de connexion à l’administration d’un site web jusqu’à parvenir à y entrer. C’est le bélier devant la porte de chêne (chêne anglais bien-sûr).

Loginizer Security est un plugin complet qui vous aidera à lutter contre ce genre d’attaques en bloquant la connexion pour une adresse IP qui aurait atteint le seuil maximal de tentatives de connexion autorisées.

  • Gestion facile du plugin.
  • Paramétrage du nombre de tentatives de connexion.
  • Délai de blocage.
  • Blacklister/whitelister les adresses IP de votre choix.
  • Liste des erreurs de connexion à votre site.

BBQ, bloqueur de requêtes

Block Bad Queries est un autre pare-feu d’application web, mais c’est à peu près tout ce qu’il fait. 

Cependant, il peut s’avérer un allié fort utile, il bloque l’ensemble des requêtes malintentionnées que des hackers ou des bots peuvent effectuer en essayant de trouver une faiblesse dans votre site via l’interface des paramètres URL.

En parallèle, ce plugin observe l’ensemble du trafic entrant dans le site et bloquera les requêtes infondées. Cette extension n’est pas configurable, il suffit de l’installer pour qu’elle soit opérationnelle. Cependant il existe une version pro qui va encore plus loin.

D'autres outils de sécurité intéressants.

De nombreux plugins liés à la sécurité existent et sont répertoriés dans le référentiel WordPress.org. Nous avons présenté les plus pertinents ci-dessus. Cependant, bien que nous ne puissions pas présenter l’intégralité des plugins, nous tenions à citer quelques-uns parmi le plus populaires. Chacun d’entre eux proposant des offres gratuites et des offres premium.

D'autres outils de sécurité intéressants.

  1. All In One WP Security & Firewall
  2. iThemes ecurity
  3. SecuPress
  4. Anti-Malware Security & Brute-Force Firewall
  5. BulletProof Security

Un des plugins de sécurité gratuits les plus complets, il fournit une interface facile et un support client décent sans aucun plan premium. C’est un plugin de sécurité très visuel avec des graphiques et des compteurs pour expliquer aux débutants les métriques comme la force de sécurité et ce qui doit être fait pour rendre votre site plus fort.

Anciennement connu sous le nom de Better WP Security, ce plugin est l’un des moyens les plus impressionnants pour protéger votre site Web, avec plus de 30 offres pour empêcher les hacks et les intrus indésirables. Il met fortement l’accent sur la reconnaissance des vulnérabilités des plugins, des logiciels obsolètes et des mots de passe faibles.

Si vous voulez un plugin de sécurité qui ait une interface utilisateur conviviale et facile à utiliser, SecuPress est sans doute le plugin qu’il vous faut. La version gratuite propose une connexion anti-brute force, des adresses IP bloquées et un pare-feu. Il inclut également la protection de vos clés de sécurité ainsi que le blocage des visites de mauvais bots (qui est généralement payante dans d’autres plugins de sécurité).

Ce plugin a été créé pour aider les administrateurs WordPress à nettoyer les infections de leur site. Entièrement gratuit, il offre une protection de connexion de base, la recherche de malwares et la recherche de certaines vulnérabilités historiques propres à WordPress. 

Bien que pas aussi populaire que certain autres, un peu plus compliqué à utiliser. Il n’en reste pas moins très intéressant et comme étant un bon choix pour la sécurité de votre site.

Adopte un devpops.ch

Notre devis en ligne pour vous faire une idée

Vous êtes déjà sur la toile et vous avec besoin d'un coup de main pour la gestion de votre site.... nous sommes là avec des solutions pour vous.....
Choisissez votre forfait de maintenance

Laisser un commentaire

%d blogueurs aiment cette page :