Quels plugins WordPress utiliser pour garder votre site web en sécurité ?
Le choix est vaste, nombre de possibilités et plugins pour vous y aider. Nous vous donnons quelques pistes qui pourraient vous faciliter la tâche.
La sécurité des sites n’est pas un sujet agréable. WordPress est l’un des environnements de construction de sites Web les plus populaires. C’est aussi une cible commune. Construis la plupart de nos sites sur WordPress, et on ne plaisante pas avec la sécurité. Mais il faut réfléchir et prendre le temps (voire dépenser quelques sous) pour garder votre travail et vos visiteurs en sécurité.
Des outils de défenses efficaces
Comme mentionné ci-dessus, le CMS (Le système de gestion de contenu) WordPress est le plus populaire, et le plus utilisé au monde. Il alimente 35 % des sites Web sur Internet, ce succès est principalement dû à sa simplicité, même pour les néophytes. De plus, WordPress offre un catalogue de plus de 50 000 plugins (ou modules) facilitant la personnalisation des sites.
8 outils mis sous la loupe
Certains de ces modules proposent de gérer la sécurité de votre site. Nous vous avons fait un tri qui, selon notre avis, sont les meilleurs. La plupart proposent un service gratuit, suffisamment intéressant pour une simple utilisation, mais certains d’entre eux sont payants, mais ils en valent la peine !
Wordfence
La Surprise.
Wordfence est le « petit nouveau », vite devenu un des plus populaires avec plus de 3 millions d’installations actives. Bien noté par la communauté avec une moyenne de cinq étoiles, le nombre de téléchargements ne cessant d’augmenter, ce plugin fait un véritable carton.
Wordfence est l’une des solutions gratuites les plus impressionnantes, et complète et assez puissante pour des sites Web simples. La version premium, quant à elle, est vendue à une centaine de Dollars par an pour un site. Toutefois des remises intéressantes pour les développeurs sont proposées pour plusieurs licences, le rendant idéal pour gérer un grand nombre de sites web.
Wordfence associe la simplicité à une protection puissante :
- Fonctions de sécurité de connexion.
- Récupération lors d’incidents de sécurité.
- Aperçu des tendances générales du trafic.
- Tentatives de piratage.
C’est une solution de premier ordre pour une couverture de site WordPress de bout en bout.
Sucuri,
fouisseur de sites
en profondeur
Sucuri traque les logiciels malveillants régulièrement, et propose un pare-feu bloquant les attaques au niveau de l’application, plutôt qu’au niveau des paquets contrairement à votre pare-feu par défaut.
Comme pour la plupart des produits similaires, Sucuri propose à la fois un plugin gratuit et un service premium payant. Néanmoins, Si vous ne voulez pas payer, vous recevez toujours des outils précieux :
- Surveillance des listes noires.
- Recherche de malwares.
- Surveillance de l’intégrité des fichiers
- Renforcement de la sécurité.
Jetpack,
le plugin "musclé"
De nombreux utilisateurs WordPress sont familiers avec ce plugin. De par ses nombreuses fonctionnalités, mais aussi parce que c’est une création WordPress.com.
Jetpack est un paquet géant qu’il vaut vraiment la peine d’explorer.
- Facilité d’installation pour les administrateurs.
- Outils de sécurité de haut niveau.
- Module bloquant les activités suspectes.
- Prise en charge de la protection contre les attaques par force brute.
- Gestion d’une liste blanche
Jetpack étant un énorme plugin qui ajoute une masse importante d’outils à votre interface, il pourrait créer une certaine confusion. Certains outils de sécurité sont ainsi inclus avec Jetpack, ce qui en fait un plugin attrayant pour ceux qui veulent économiser de l’argent et compter sur une solution fiable.
Un gros pack bien utile.
La version gratuite fournit une sécurité décente pour un petit site Web. Permettant d’obtenir un support complet et un plugin qui est l’un des meilleurs sur le marché.
La version Premium transforme le plugin en une suite plus complète, avec des avantages tels que les sauvegardes, la protection anti-spam et l’analyse de sécurité.
Économique en ressources, ce gros paquet suffit à lui seul, et élimine ainsi la nécessité de plusieurs plugins et donc le poids du site.
- Marketing par courriel.
- Médias sociaux.
- Personnalisation du site
- Optimisation des fonctionnalités
Two Factor
Google Authenticator,
la double authentification
Les CMS n’offrent pas d’authentification à deux facteurs par défaut. Pour se connecter à l’interface d’administration, tout ce dont vous avez besoin est un nom d’utilisateur ou une adresse mail et d’un mot de passe.
Heureusement, il est assez facile d’ajouter l’authentification à deux facteurs. Les plugins Google Authenticator et Two Factor ajoutent une deuxième couche de sécurité à votre module de connexion. Ce qui est plutôt important puisque la majorité des tentatives de piratage se produisent lors de la connexion.
En plus de votre mot de passe habituel, ces plugins envoient une notification sur un mobile ou une autre forme d’authentification telle que l’utilisation d’un QR code ou encore une question secrète.
Ces plugins de sécurité sont gratuits et leur interface est assez facile à comprendre. Toutefois, Google Authenticator à une version payante, mais reste un outil très complet avec de nombreuses options de mise à niveau (payantes), allant des méthodes d’authentification supplémentaires à la gestion des utilisateurs.
ManageWP
la gestion des
mises à jour
multi-sites
ManageWP est un outil en ligne gratuit, avec des options payantes, c’est un outil de monitoring pour les sites WordPress. Il y a des options premium, mais vous pouvez d’ores et déjà, gérer les mises à jour et les sauvegardes gratuitement.
Plutôt que d’avoir à se connecter individuellement à chaque site, il suffit de se connecter à ManageWP, de cliquer sur update, et de voir que tous les sites, tous les thèmes, tous les plugins et tous les fichiers et se mettre à jour automatiquement.
En installant le plugin ManageWP Worker, sur chaque site, vous le rendez compatible avec le service ManageWP.
- Gérer les commentaires.
- Gestion utilisateurs
- Désactiver/ajouter une extension.
- Mettre le site en maintenance.
- etc…
Loginizer Security
limiter les essais
Une attaque par force brute est une méthode simple qui utilise de nombreuses tentatives de connexion à l’administration d’un site web jusqu’à parvenir à y entrer. C’est le bélier devant la porte de chêne (chêne anglais bien-sûr).
Loginizer Security est un plugin complet qui vous aidera à lutter contre ce genre d’attaques en bloquant la connexion pour une adresse IP qui aurait atteint le seuil maximal de tentatives de connexion autorisées.
- Gestion facile du plugin.
- Paramétrage du nombre de tentatives de connexion.
- Délai de blocage.
- Blacklister/whitelister les adresses IP de votre choix.
- Liste des erreurs de connexion à votre site.
BBQ
bloqueur de requêtes
Block Bad Queries est un autre pare-feu d’application web, mais c’est à peu près tout ce qu’il fait.
Cependant, il peut s’avérer un allié fort utile, il bloque l’ensemble des requêtes mal intentionnées que des hackers ou des bots peuvent effectuer en essayant de trouver une faiblesse dans votre site via l’interface des paramètres URL.
En parallèle, ce plugin observe l’ensemble du trafic entrant dans le site et bloque les requêtes infondées. Cette extension n’est pas configurable, il suffit de l’installer pour qu’elle soit opérationnelle. Cependant il existe une version pro qui va encore plus loin.
Sur le même sujet
Mysterious dark data
Cybersécurité et petites entreprises.
Valeur de nos données personnelles
10 Conseils pour protéger vos données
Pièges du « Phishing », les reconnaître
Technologie Omega2 by Onion
D'autres outils de sécurité intéressants.
De nombreux plugins liés à la sécurité existent et sont répertoriés dans le référentiel WordPress.org. Nous avons présenté les plus pertinents ci-dessus. Cependant, bien que nous ne puissions pas présenter l’intégralité des plugins, nous tenions à citer quelques-uns parmi les plus populaires. Chacun d’entre eux proposant des offres gratuites et des offres premium.
Un des plugins de sécurité gratuits les plus complets, il fournit une interface facile et un support client décent sans aucun plan premium. C’est un plugin de sécurité très visuel avec des graphiques et des compteurs pour expliquer aux débutants les métriques comme la force de sécurité et ce qui doit être fait pour rendre votre site plus fort.
iThemes Security
Anciennement connu sous le nom de Better WP Security, ce plugin est l’un des moyens les plus impressionnants pour protéger votre site Web, avec plus de 30 offres pour empêcher les hacks et les intrus indésirables. Il met fortement l’accent sur la reconnaissance des vulnérabilités des plugins, des logiciels obsolètes et des mots de passe faibles.
Si vous voulez un plugin de sécurité qui ait une interface utilisateur conviviale et facile à utiliser, SecuPress est sans doute le plugin qu’il vous faut. La version gratuite propose une connexion anti-brute force, des adresses IP bloquées et un pare-feu. Il inclut également la protection de vos clés de sécurité ainsi que le blocage des visites de mauvais bots (qui est généralement payante dans d’autres plugins de sécurité).
Ce plugin a été créé pour aider les administrateurs WordPress à nettoyer les infections de leur site. Entièrement gratuit, il offre une protection de connexion de base, la recherche de malwares et la recherche de certaines vulnérabilités historiques propres à WordPress.
Bien que pas aussi populaire que certains autres, un peu plus compliqué à utiliser. Il n’en reste pas moins très intéressant et comme étant un bon choix pour la sécurité de votre site.
Références
Images
