Wordpress est un outil de création de sites internet, un CMS qui n’est plus à présenter puisqu’environ 43 % des sites présents sur la toile sont issus de cette solution. Depuis 2003, WorPress a conquis le marché de la création web en développant au fil des années des fonctionnalités toujours plus nombreuses et performantes. C’est une solution Open Source sous licence GPLv2, ce qui signifie que tout le monde peut utiliser ou modifier le logiciel WordPress gratuitement. Dans notre dossier sur Wordpress, nous avons vu qu'il s'agit d'un service qui rend la création d’un site accessible à tous, même aux personnes qui ne disposent pas de compétences en informatique.
Pour optimiser le processus de création, Wordpress fonctionne sur un système de plugins, on en retrouve ainsi attenants à la gestion d’avis clients, la gestion d’un processeur de paiement, l’édition de sa base mail et bien plus encore. Dans les applications indispensables, on retrouve notamment celles rattachées à la sécurité. Au cours de cette rubrique, nous allons passer en revue le top des plugins de sécurité WordPress, qui vous serviront ainsi à empêcher les intrusions potentielles sur votre site.
Pourquoi utiliser un plugin de sécurité sur WordPress ?
L'investissement en temps et en argent dans un site Web est à lui seul une raison suffisante pour sécuriser votre WordPress. Piratages, logiciels malveillants, spam, la liste des menaces est longue, des attaques qui peuvent donner lieu à un dysfonctionnement temporaire voir définitif de votre site. Au-delà des problèmes techniques, ces attaques vous exposent également à des vols de données concernant vos utilisateurs. Des répercussions potentiellement graves qui peuvent être évitées ou du moins limitées à l’aide d’un plugin de sécurité installé directement sur votre Wordpress. En limitant cela, vous évitez la mise en péril de vos bénéfices, garantissez le bon fonctionnement de votre site internet tout en conservant la confiance de vos utilisateurs.
Qu’est-ce qu’un plugin de sécurité WordPress ?
Avant de dresser une liste non-exhaustive des meilleurs plugins de sécurité disponibles sur la plateforme, il est important de comprendre ce que représentent ces derniers. Il existe différents types de points de sécurité à couvrir :
Blocage de logiciels malveillants, virus et adresses Ip suspectes
Prévention de spams et d’usage de bots
Protection de vos fichiers sensibles vis à vis des intrusions
Plugin spécialisé dans la sécurité liée aux connexions
Souscrire à un plugin spécialisé dans chacun de ces secteurs peut avoir un coût (parfois élevé), le mieux sera donc d’opter pour une solution couvrant une grande partie de ces aspects, tout en privilégiant les axes que vous souhaitez le plus consolider. Pour cela voici une liste de 8 plugins complets dans la gestion de la sécurité de votre site WordPress.
Security Ninja
Security Ninja est un plugin simple d’utilisation, qui vous permet en un clic de faire un audit de sécurité de votre site web. Le programme va scanner plus de 50 points de vulnérabilités et vous transmettre le tout sous un rapport détaillé concernant l’état de votre site. Ce rapport se scinde en 3 résultats, « test passé », « test passé incluant des avertissements » et « test échoué », le tout vous donnant une note sur 100 concernant la sécurité global de votre site.
Pour chacune de ces onglets, Security Ninja vous expliquera de manière détaillée comment rectifier les problèmes attenants à votre site.
Cette solution peut-être utilisée gratuitement, le rapport sera alors généré et vous donnera accès à des conseils pour la modification, ce plugin de sécurité WordPress ne va pas modifier directement votre site pour y appliquer ses suggestions ou du moins via sa version gratuite.
Une solution payante attrayante
La solution premium vous permettra de régler certains des dysfonctionnements exposés précédemment en un clic, une fois le rapport édité Security Ninja vous propose alors de fixer le problème en cliquant tout simplement sur un bouton. En plus de cette fonctionnalité de modification automatique, le service payant vous offre 7 nouvelles options pour votre site web WordPress :
Blocage de manière proactive des adresses IP et des requêtes malveillantes.
Blocage de l'accès de votre site à certains pays
Scan du noyau du site
Scan de logiciels malveillants
Enregistrement d'événements (modification d’un fichier, installation d’un nouveau plugin etc…)
Programmation des scans
Pour basculer sur la version payante, Security Ninja vous offre trois modalités de paiement (mensuel, annuel ou à vie) à partir de 8,99€ pour un site jusqu'à 899€ pour 50 sites à vie.
Sucuri Security
Sucury Security est le leader des plugins en termes de protection sur les sites web WordPress. Cet outil est très utilisé par la communauté de développeurs présentes sur cette plateforme, car sa version gratuite offre une myriade d’opportunités concernant la sécurité. Le plugin de Sucuri propose un scanner qui détecte les logiciels malveillants, les mises à jour de vos plugins et bien plus encore. Un système de notification efficace a été mis en place sur cette solution, vous permettant de recevoir directement dans votre boîte mail une alerte concernant l’intégrité de votre site.
Sucuri agit en surface, il analyse ainsi les potentielles vulnérabilités sur les pages web de votre WordPress, mais ce dernier ne dispose pas d’un accès au back-end et donc aux fichiers gérant ce dernier, une des limites de cette solution.
Sucuri prend tout son sens dans sa formule payante, puisqu’il offre l’un des meilleurs pare-feu disponibles sur le marché. En outre, cette offre payante donne accès à une protection contre les DDoS, de l'optimisation des performances du CDN (Content Delivery Network), de la détection et du blocage des bots. En cas de parasitage de votre site par un logiciel malveillant, Sucuri propose de nettoyer votre site sans frais supplémentaires.
Sucuri est proposé à partir de 199,99€/an.
Bulletproof Security
BulletProof Security est un autre plugin populaire qui offre des fonctionnalités pour protéger votre site web WordPress.
Voici une liste des quelques fonctionnalités offertes par ce plugin de sécurité :
Scanneur de logiciels malveillants
Processus d'installation facile
Surveillance des connexions
Surveillance des fichiers en temps réel
Pare-feu pour empêcher le piratage
Sauvegarde de la base de données
Fonction anti-spam
Enregistrement des erreurs de sécurité et HTTP
Ce plugin vous offre une correction sur plus de 100 points realtifs à la sécurité de votre site, faisant de cet outil l’un des plus complets du marché. Toutefois, il n'offre pas l’interface la plus conviviale et il faudra un temps d’apprentissage considérable si vous souhaitez bien prendre en main la solution, surtout si vous souscrivez à la formule payante.
BulletProof Security dispose d'une version gratuite qui offre déjà suffisamment d'outils pour couvrir la plupart des sites Web WordPress. Le plan payant coûte quant à lui 69,95 € (achat unique par site).
C'est un bon choix pour les utilisateurs qui recherchent un plugin de sécurité manuel.
Wordfence
Wordfence permet aux utilisateurs de microgérer la sécurité de leur site WordPress, et même de l'automatiser, dans le cas des utilisateurs premium. Le nombre de fonctionnalités offertes par le plugin peut être impressionnant au début, mais la solution est extrêmement bien documentée facilitant ainsi sa prise en main.
Comme la plupart des plugins de sécurité WordPress, Wordfence dispose de services tels que : la recherche de vulnérabilités, la notification par mail en cas de problèmes, le blocage d’adresse IP, la gestion des connexions et bien plus encore. Vous retrouverez dans la version gratuite de Wordfence tout ce dont vous avez besoin pour assurer la bonne sécurité de votre site web.
L’avantage majeur de la version payante est qu’elle vous permettra de programmer des scans automatiques. Les licences pour la version premium commencent à 99 € par an et par site, avec un tarif dégressif suivant le nombre de licences que vous achetez.
iThemes Security
iThemes Security surveille votre WordPress et vous notifie des modifications apportées aux fichiers principaux et à votre base de données qui pourraient indiquer une attaque de votre site. A l’aide de son scan intelligent, le plugin recherche régulièrement les logiciels malveillants et détecte les tentatives d'accès non autorisées à votre site. iTheme Security prévient les attaques par force brute le tout en bannissant les bots et les utilisateurs effectuant une série de tentatives de connexion invalides sur votre site web.
Ce plugin réduit également grandement le risque d’attaques en cachant les failles de sécurité courantes et en vous offrant la possibilité de modifier les urls de votre tableau de bord Wordpress, souvent utilisé comme point de départ pour une attaque.
Une gestion des suspicions d'attaques efficace
iThemes Security voir propose de désactiver temporairement la connexion à votre site, la suppression de votre thème et les notifications Wordpress, mesures nécessaires en cas de suspicions d’attaques. A l’aide de ce module de sécurité Wordpress vous pouvez prévoir une sauvegarde automatique de votre base de données.
Une édition premium du plugin étend encore plus les mesures de sécurité qui peuvent être mises en place tout en donnant accès à un support plus disponible que sur la version gratuite. Les fonctionnalités pro comprennent l'authentification à deux facteurs, la programmation d’analyse de logiciels, la gestion des mots de passe et de leur expiration ainsi qu’une intégration au service Google reCAPTCHA pour votre identification. Si vous souhaitez souscrire à la version payante de cette solution, il faudra compter un achat unique de 99 € pour un site.
All in One WP Security
Comme son nom l’indique All in One WP Security dispose d’un ensemble d’outils fonctionnels afin de protéger votre site contre toute intrusion. Avec plus d'un demi-million de téléchargements et une note de 4,9 sur 5 sur le référentiel de plugins de sécurité Wordpress, All in One Wp Security fait partie des meilleurs de sa catégorie.
Son interface est très simple d’utilisation et inclut la majorité des points que vous pourriez associer à la sécurisation de votre site WordPress. Dans un souci de compréhension, les développeurs de la solution ont réalisé une segmentation de leurs fonctionnalités en trois catégories : “Basic, « Intermediate »et « Advanced ». Ces labels représentent le degré de difficulté résultant de la tâche à effectuer, donnant ainsi à l’utilisateur une indication sur la faisabilité de la correction à effectuer. Ce système de gradation des tâches est très pratique pour les nouveaux utilisateurs.
Un support sur demande
Cette solution, pour sécuriser votre WordPress dispose d’une version gratuite, directement téléchargeable depuis votre gestionnaire d’extensions. Les développeurs proposent une assistance premium facturée 30 € qui comprend, l’analyse et la résolution du problème présent sur votre site web. Si rien ne peut être fait, aucun paiement ne sera exigé, une assistance pratique lors de problèmes critiques.
WP Cerber Security
WP Cerber Security est un plugin de sécurité freemium populaire qui, comme les autres solutions précédemment présentées, offre une approche complète de la sécurité de votre site web WordPress.
WP Cerber Security vous offre une longue liste de fonctionnalités:
Protection contre les tentatives de connexion
L’authentification à deux facteurs
L’utilisation de CAPTCHA
L’analyse de logiciels malveillants
Surveillance en temps réel de l’intégrité des fichiers
Une protection anti-spam pour vos formulaires d’inscriptions et de commentaires
Un pare-feu pour les applications WEB
Pour aller plus loin, ce plugin de sécurité WordPress vous permet une gestion centralisée de vos sites à l’aide d’un tableau de bord commun accessible depuis votre site “maître”. Une solution orientée vers les utilisateurs disposant de plusieurs sites. Pour cette option, il faudra basculer sur une des versions premium de WP Cerber à 39 € /mois pour 5 sites.
Shield Security
Shield Security n'impose aucune limitation de fonctionnalité dans l'édition gratuite du plugin, elles sont toutes disponibles d'emblée. L’extension comprend également une clé de sécurité indépendante à WordPress qui permet aux propriétaires de sites de verrouiller les paramètres du plugin et de personnaliser l'accès pour les autres administrateurs. Deux options qui font que Shield Security se démarque de la grande majorité de ses concurrents.
On retrouve ensuite des aspects plus généraux comme le blocage des URL malveillants, des requêtes et des spams de commentaires. L’utilisateur pourra également masquer automatiquement ses pages de connexion et d'administration WordPress, limitant ainsi les attaques par force brute et les tentatives de connexion automatique à votre tableau de bord d'administration par des bots distants. Shield Security inclut également à sa solution l'authentification à deux facteurs, à l'aide de l'application mobile Google Authenticator, qui garantit que l’ensemble des utilisateurs se connectant au site sont vérifiés. Un pare-feu complet est également disponible, qui protège votre site contre les intrusions.
Des solutions payantes qui s'adaptent à l'utilisateur
Ce plugin WordPress se segmente en deux solutions “ShieldFREE” et “ShieldPRO”, la solution Premium vous ouvre les portes du support des développeurs, pour vous aider dans la configuration et la résolution des problèmes de sécurité relatifs à votre ou vos sites. Suivant la version choisie, vous avez accès à un formulaire d’aide par mails, des appels personnalisés ou encore des conférences via Zoom. Si vous êtes détenteurs de plusieurs sites WordPress et que vous souhaitez assurer leur protection, il faudra obligatoirement passer par une des offres payantes.
Que représente la protection anti-spam sur un site web WordPress ?
Les formulaires d'inscription et de commentaires des utilisateurs de WordPress sont deux des cibles les plus courantes des spammeurs, quelle que soit la version de WordPress utilisez. De nombreux sites web ont été la cible de ce genre d'attaque, le pirate va soumettre une série de fichiers corrompus via ce type de formulaire afin de spammer le site. Une protection anti-spam sous WordPress bloque alors les soumissions indésirables de fichiers sur le site web et empêche toute tentative de spam malveillant.
Qu'est-ce qu'un pare-feu sur WordPress ?
Un pare-feu WordPress est un WAF (Web Application Firewall) généralement basé sur le cloud qui arrête les piratages et les attaques de sites Web. Les plugins de sécurité WordPress vont alors surveiller les requêtes HTTP entre une application web et Internet. Leur but général est de vous protéger d'attaques de sites corrompus, des scripts de sites à sites (XSS), des attaques directes sur votre base de données ainsi que des tentatives d'intrusions malveillantes. Installer un pare-feu sur votre site WordPress revient à rajouter un bouclier protecteur régit par des « politiques » qui filtrent le trafic entrant sur votre site web.
- storage 100 Go de stockage
- money_off Remboursement 30 jours
- security Certificat SSL inclus
- install_desktop Compatible WordPress
Hostinger coche beaucoup de cases, à commencer par l'exhaustivité de ses offres ainsi que ses tarifs attractifs, bien que pas toujours très clairs au premier abord. Il figure en tête des meilleurs hébergeurs les plus performants du marché. Autre avantage, il dispose désormais de serveurs en France.
- Une gamme extrêmement riche
- Un temps de réponse à toute épreuve
- Serveurs NVMe en France
- Des prix attractifs
- Des prix bas moyennant un engagement
Passionné par le monde du Web, j'analyse son actualité et en restitue l'essentiel pour que chacun puisse comprendre ses enjeux et ses évolutions. Mon but : que chacun fasse du web son terrain de jeu."
Lire d'autres articlesLire la charte de confiance
