Quels plugin WordPress pour garder votre site web en sécurité Un piratage de site web motorisé par le CMS WordPress est bien plus fréquent que ce que vous pensez. Et au vu des stats, si vous utilisez un site sous WordPress, vous êtes en danger. Voici les modules qui peuvent vous sauver la mise. David Gewirtz
Si le CMS WordPress motorise 35 % des sites Web sur Internet, c’est surtout parce qu’il est très facile a utiliser même pour les non développeurs. Et cerise sur le gâteau, WordPress propose plus de 50 000 plugins pour personnaliser les sites.
Et il se trouve que parmi ces modules, certains permettent de sécuriser votre site. Voici donc les meilleurs plugins et services de sécurité pour WordPress. La plupart d’entre eux sont payants, mais ils en valent la peine !
Wordfence, sorti de nulle part
Wordfence est sorti de nulle part il y a quelques années et a pris d’assaut le monde de WordPress. Avec plus de 3 millions d’installations actives, près de 3 500 critiques et une moyenne de cinq étoiles, et près de 200 000 téléchargements au cours de la dernière semaine seulement, le plugin Wordfence fait un carton.
La version commerciale (oui il existe une version allégée gratuite) est idéale pour gérer un tas de sites web. Wordfence ne recherche pas seulement les logiciels malveillants, mais construit son propre pare-feu pour aider à prévenir le piratage. C’est une solution de premier ordre pour une couverture de site WordPress de bout en bout.
Sucuri, il fouille les sites de fond en comble
Lorsque mon site a été piraté en 2014, je me suis tourné vers Sucuri pour le réparer. Les ingénieurs de Sucuri ont fouillé mes sites et enlevaient tous les logiciels malveillants que j’avais laissés entrer. Bien sûr, j’ai payé pour ce service, mais ça valait le coup.
Le plugin Sucuri analyse régulièrement les logiciels malveillants et l’entreprise propose un pare-feu d’application Web conçu pour bloquer les attaques au niveau de l’application, plutôt qu’au niveau des paquets que votre pare-feu matériel est conçu pour gérer.
Comme pour Wordfence (et la plupart de ces produits), Sucuri propose à la fois un plugin gratuit avec plus de 600 000 installations actives et un service premium payant.
Jetpack, le plugin dodu d’Automattic
En tant que gestionnaire de site WordPress, je ne suis pas du tout d’accord avec la politique de Jetpack. Il s’agit d’un paquet géant de fonctionnalités et de fonctions WordPress supplémentaires proposées par Automattic, la société commerciale à l’origine de WordPress.
L’idée de Jetpack est de rendre plus facile pour les nouveaux gestionnaires de site l’accès à un large éventail de fonctionnalités utiles. Mais c’est un énorme plugin qui ajoute une tonne de possibilités à votre interface, et parfois cela crée beaucoup de confusion.
Cela dit, avec plus de cinq millions d’installations actives, c’est un plugin définitivement populaire. Il offre une protection contre les attaques de force brute, un filtrage anti-spam, une surveillance des temps d’arrêt, une sauvegarde du site, une mise à niveau sécurisée de la connexion, la recherche de programmes malveillants et un journal de tous les changements du site. Et ce ne sont là que les éléments de sécurité proposés !
Je vais vous dire qu’il y a beaucoup d’incitations à acheter des extras avec ce plugin. Mais étant donné qu’elles sont faites par la société qui utilise WordPress, vous pouvez être sûr qu’elles sont solides. Si vous n’êtes pas sûr de ce qu’il faut faire pour protéger votre site, vous pourriez faire bien pire que simplement installer Jetpack, activer certaines de ses fonctionnalités et acheter un des plans les moins chers.
Two Factor et Google Authenticator, les rois de l’authentification
WordPress n’offre pas d’authentification à deux facteurs prête à l’emploi. Lorsque vous vous connectez à l’interface de gestion back-end, tout ce dont vous avez besoin est un nom d’utilisateur ou une adresse e-mail et un mot de passe fort.
Heureusement, il est assez facile d’ajouter de l’authentification à deux facteurs en utilisant soit Two Factor ou Google Authenticator. L’installation et la configuration de l’un ou l’autre de ces plugins permet d’ajouter rapidement une autre couche de sécurité à votre site.
La version gratuite de Two Factor compte plus de 10 000 sites actifs, et il n’y a pas de mise à niveau Premium. C’est tout simplement gratuit.
Google Authenticator est un outil très complet avec de nombreuses options de mise à niveau payantes, allant des méthodes d’authentification supplémentaires à l’authentification au niveau de l’entreprise et aux fonctions de gestion des utilisateurs.
ManageWP, le roi de la gestion des mises à jour
ManageWP, qui est la propriété de GoDaddy, est ma solution pour garder mes sites à jour. Il y a des options premium (et je paie pour certaines de ces fonctionnalités pour certains de mes sites), mais vous pouvez obtenir une gestion des mises à jour et des sauvegardes solides avec ManageWP gratuitement.
Vous installez un plugin ManageWP Worker (plus de 900 000 installations actives), qui parle au service ManageWP Service. Toute la magie se fait dans l’interface web de ManageWP.com. Je l’utilise comme l’un de mes principaux outils de sauvegarde et il effectue une sauvegarde quotidienne ou mensuelle de mes sites vers un fournisseur de stockage en mode cloud. Certains de mes sites ne changeront plus jamais, donc la sauvegarde mensuelle gratuite fonctionne parfaitement pour moi.
Mais le vrai secret, c’est la gestion des mises à jour. Plutôt que d’avoir à me connecter à l’interface d’administration pour tous mes sites, je n’ai qu’à me connecter une seule fois à ManageWP, cliquer sur update, croiser les doigts, et attendre que tous mes sites, tous mes thèmes, tous mes plugins et tous mes fichiers WordPress soient mis à jour automatiquement.
Limit Login Attempts Reloaded, le bon fork
Il y a un plugin appelé Limit Login Attempts, mais il n’a pas été mis à jour depuis un bon moment. Limit Login Attempts Reloaded est un fork de ce projet open source original qui a été maintenu à jour par ses développeurs.
Ce plugin gratuit (avec plus d’un million d’installations actives) fait une chose et le fait bien (et gratuitement) : Il bloque les tentatives de connexion par force brute. Si un hacker essaie de se connecter à votre site, Limit Login Attempts Reloaded cessera de répondre après un nombre défini de tentatives.
Comme les plugins 2FA et ManageWP mentionnés ci-dessus, il s’agit d’une installation simple. Même si vous n’êtes pas prêt à dépenser un centime pour la sécurité, vous pouvez réduire sensiblement votre profil de menace avec cette installation.
BBQ, bloquer les mauvaises requêtes
BBQ est un autre pare-feu d’application web, mais c’est à peu près tout ce qu’il fait.
La version gratuite (avec plus de 100 000 installations actives) intercepte toutes les requêtes d’URL vers votre site et filtre tout ce qui pourrait être un hacker essayant de trouver une faiblesse dans votre site via l’interface des paramètres URL. Il existe une version pro qui va encore plus loin.
D’autres suites de sécurité sur lesquelles vous voudrez jeter un œil
Il y a près d’un millier de plugins liés à la sécurité dans le référentiel WordPress.org. Nous avons parlé de huit des meilleurs ci-dessus. Bien que nous ne puissions pas discuter de tous les mille plugins, je voulais donner une mention honorable aux paquets populaires suivants. Chacune d’entre elles propose à la fois des offres gratuites et des offres premium.
All In One WP Security & Firewall
Des tonnes de fonctionnalités, une interface utilisateur claire et totalement gratuite. Plus de 800 000 installations.
iThemes Security
Un autre plugin de sécurité complet d’une société qui vend des add-ons WordPress depuis des années. La version gratuite compte plus de 900 000 installations actives. C’est un bon achat si vous utilisez d’autres produits d’iThemes, en particulier BackupBuddy.
SecuPress
Développé par des développeurs d’add-on WordPress bien connus, SecuPress (avec plus de 20 000 installations actives, mais ne lui en tenez pas rigueur) possède l’une des interfaces utilisateur les plus propres dans cette catégorie. C’est encore relativement nouveau, mais ça vaut le coup de jeter un œil.
SiteGuard WP Plugin
Avec plus de 200 000 installations actives, SiteGuard ajoute de nombreuses fonctions de sécurité, mais se concentre sur les connexions. C’est gratuit, et un peu difficile à installer, mais les paramètres par défaut fonctionneront pour la plupart des sites.
Anti-Malware Security and Brute-Force Firewall
La version gratuite contient plus de 200 000 installations actives et presque toutes les critiques sont cinq étoiles. Il offre une protection de connexion de base, la recherche de logiciels malveillants et la recherche de certaines vulnérabilités historiques uniques à WordPress. C’est une approche intelligente de la défense WordPress.
BulletProof Security
Il est à la fin de notre liste parce que bien qu’il fasse son travail, il est un peu difficile à utiliser. La version premium est payante.
La sécurité de WordPress n’est pas un sujet amusant, mais en tant que l’un des environnements de construction de sites Web les plus populaires, c’est une cible très tentante. J’exécute tous mes sites sur WordPress et je crois que cela en vaut la peine, mais vous devez prendre le temps (et dépenser quelques euros) pour garder vos visiteurs en sécurité.
Article “Your WordPress site is at risk: These precautions and plugins can keep it secure” traduit et adapté par ZDNet.fr
Comentários