Plugins de sécurité WordPress

Sécurité de WordPress : à quel point les plugins de sécurité sont-ils vraiment utiles ?

Aujourd'hui, plus de 43% de tous les sites web fonctionnent avec WordPress. Notre CMS préféré est donc une cible de choix pour les attaques et les logiciels malveillants. Mais pas de panique ! La sécurité de WordPress n'a rien de sorcier. En plus des conseils de sécurité pratiques, nous avons aujourd'hui les trois meilleurs plugins de sécurité WordPress dans nos bagages et nous te montrons quand tu en as vraiment besoin.

Ai-je encore besoin d'un plugin de sécurité WordPress ? Cette question nous est régulièrement posée dans le cadre du support. Dans l'article suivant, je veux te montrer la valeur ajoutée d'un plugin de sécurité pour la sécurité de ton site WordPress et quand il est vraiment utile d'en utiliser un.

Dans la deuxième partie, nous comparons les trois plugins de sécurité WordPress les plus populaires afin de te donner un aperçu rapide. Tu pourras ainsi prendre une décision ciblée et rapide et te consacrer ensuite à l'essentiel : ton entreprise.

Pourquoi la sécurité de WordPress est si cruciale

Fondamentalement, il y a surtout trois aspects essentiels pour lesquels tu devrais t'occuper activement de la sécurité de ton site WordPress et ne pas te mettre la tête dans le sable.

#N°1 Votre site web peut devenir inutilisable

Il y a quelques années, nous étions encore dans le domaine des agences. Il se trouve que nous avons été autorisés à entreprendre une refonte complète d'un site parce que le site original était devenu inutilisable en raison de problèmes de sécurité qui auraient pu être évités.

En général, les personnes qui installent des logiciels malveillants sur des sites n'ont aucun intérêt à les détruire. Après tout, l'attaquant souhaite par exemple envoyer des spams, diriger les visiteurs vers des sites de spam, intégrer des annonces ou générer de la cryptomonnaie. Outre la limitation générale de la fonctionnalité de ton site Web, les logiciels malveillants peuvent également entraîner de graves problèmes de performance.

"*" indique les champs requis

Je souhaite m'abonner à la newsletter pour être informé des nouveaux articles de blog, des ebooks, des fonctionnalités et des nouvelles de WordPress. Je peux retirer mon consentement à tout moment. Merci de prendre connaissance de notre politique de confidentialité.
Ce champ sert à la validation et ne doit pas être modifié.

#2 Blacklisting et crash dans le classement de Google

Un point encore plus grave à l'heure actuelle est le blacklistage du domaine, notamment par Google ou Norton. Si Google place ton site sur sa liste noire, cela signifie, dans le pire des cas, que ton site sera supprimé des résultats de recherche de Google.

Il est certes possible de soumettre à nouveau un scan du site après une attaque de malware. Cependant, cela ne garantit pas que tu récupères ton classement précédent. Surtout pour les mots-clés importants ou le trafic organique élevé, cela peut avoir de graves conséquences économiques.

#N°3 : Perte de données

En particulier à l'époque de RGPD, où la question de la protection des données a pris une nouvelle dimension, les données correspondantes doivent être protégées. Si cela est moins important pour un site d'entreprise normal, c'est encore plus dramatique pour un site marchand si les informations de paiement ne sont pas suffisamment protégées.

Dangers typiques pour la sécurité de WordPress

Attaques par force brute sur la zone de connexion
Une attaque par force brute consiste à essayer automatiquement un grand nombre de combinaisons de mots de passe afin d'accéder au site Web via la connexion /wp-admin de WordPress. Une fois que cela a réussi et que le compte sur ton site Web a des droits d'administration, le site Web est presque entièrement entre les mains de quelqu'un d'autre.

Notre expérience sur Raidboxes le montre : En utilisant un mot de passe fort et en limitant les tentatives de connexion, il est possible d'éviter presque tous les cas de malware. Mais nous y reviendrons dans un instant.

Exploitation automatisée des failles de sécurité
En règle générale, les attaques contre les sites Web sont automatisées. Les sites WordPress sont analysés automatiquement par des crawlers, par exemple à la recherche d'un plugin spécifique qui présente une faille de sécurité. Les attaques peuvent exploiter diverses failles de sécurité, comme les injections SQL ou le Cross Site Scripting.

Attaques manuelles
Bien sûr, il est également possible d'exploiter manuellement une faille de sécurité. Mais cela est plutôt rare, car l'effort ne vaut la peine que pour les grandes boutiques WooCommerce , où les données de paiement doivent être réellement volées.

8 mesures de sécurité que nous fournissons en tant qu'hébergeur

En principe, l'hébergement spécialisé de WordPress permet d'augmenter considérablement la sécurité de ton site Web. Nous avons développé le concept de sécurité Raidboxes au fil des années, de sorte que les cas de logiciels malveillants sont devenus une rareté absolue. L'analyse détaillée des cas de logiciels malveillants permet notamment d'identifier les failles de sécurité fréquemment utilisées et de les prévenir par des mesures appropriées.

#N°1 Des mots de passe forts - la plus importante mesure de sécurité de toutes

L'une des mesures de sécurité les plus importantes qui soient est un mot de passe fort pour tous les comptes. Malheureusement, en tant qu'hébergeur, nous n'avons qu'une influence limitée sur l'attribution des mots de passe. En particulier lors des déménagements, nous ne pouvons pas avoir beaucoup d'influence sur les mots de passe. Le fait de forcer un mot de passe fort lors de la création d'un Box (donc d'un nouveau site WordPress) a permis de réduire considérablement les attaques de malwares.

Création de mot de passe de sécurité WordPress Box
Forcer un mot de passe fort lors de la création d'un site WordPress a permis de réduire considérablement les attaques de logiciels malveillants.

Pour se souvenir

Un mot de passe doit être composé de chiffres, de caractères spéciaux et de lettres minuscules d'une longueur minimale de sept caractères. Si ce n'est pas le cas pour tes comptes WordPress, tu dois absolument passer d'abord par l'étape 1 et changer immédiatement tes mots de passe.

#2 Protection contre les attaques par force brute

Près d'un milliard de fois par mois, des sites web sont attaqués avec les attaques par force brute décrites ci-dessus. Heureusement, ton hébergeur WordPress s'en est déjà occupé. Notre protection de connexion se place devant ta zone de connexion WordPress et 'blacklist' les adresses IP qui tentent à plusieurs reprises de se connecter avec de fausses données de connexion.

Dans les paramètres de ton Box , tu peux définir exactement après combien de tentatives de connexion ce blocage doit s'appliquer et combien de temps les IP concernées seront bloquées. En combinaison avec un mot de passe fort, il est pratiquement impossible d'accéder au site par ce biais.

#3 Effaceur de session WP

Conformément à RGPD , tu devrais stocker le moins de données possible. Nous t'aidons à le faire ! Notre outil d'économie de données - WordPress Session Eraser - supprime les sessions WordPress de tous tes utilisateurs de la base de données après un intervalle que tu auras défini. Tu peux définir cet intervalle dans les paramètres de ta boîte dans notre Dashboard pour chaque Box individuellement.

#4 Blocage par défaut du XML-RPC

XML-RPC est une interface qui est disponible sur chaque site WordPress depuis WordPress 3.5. Comme la plupart des webmasters n'utilisent de toute façon pas XML-RPC, il est judicieux de désactiver cette interface. En effet, les pirates peuvent utiliser XML-RPC pour lancer des attaques directes sur ton site.

C'est pourquoi l'interface est désormais bloquée par défaut chez nous et peut être débloquée si nécessaire via les paramètres de Raidboxes Dashboard .

Sécurité WordPress Blocage XML-RPC
C'est pourquoi XML-RPC est désormais bloqué par défaut chez nous et peut être débloqué via les paramètres dans Raidboxes Dashboard .

#5 Gestion des mises à jour de sécurité de WordPress

La mise à jour de WordPress est bien sûr essentielle. De nouvelles versions de WordPress sont publiées tous les deux ou trois mois. Les mises à jour de maintenance, en particulier, comblent d'importantes lacunes en matière de sécurité. Ces mises à jour doivent être installées immédiatement.

Les mises à jour majeures impliquent généralement des changements de code importants, ce qui peut entraîner des incompatibilités. Afin de laisser suffisamment de temps pour les mises à jour des thèmes et des plug-ins, nous ne déployons pas les mises à jour majeures sur notre système avant 14 jours. Mais bien sûr, nous mettons immédiatement à disposition la dernière version de WordPress pour une mise à jour manuelle. Il est bien sûr important que tu fasses toujours une sauvegarde de ton site avant de le mettre à jour !

#6 Protection sélective de l'écriture - WordPress Mesures de durcissement

L'un des objectifs du plugin de sécurité iThemes Security est de rendre WordPress plus sûr en protégeant les fichiers. Cette fonction est également intégrée de manière sélective chez nous. Il est ainsi plus difficile d'infecter des éléments du site et de les rendre inutilisables. Il faut toujours trouver un bon équilibre entre la flexibilité et la sécurité. Nous préservons cela en offrant des possibilités de configuration directement via l'interface utilisateur Raidboxes .

Édition de fichier de désactivation de la sécurité de WordPress
Par ailleurs, nous utilisons bien sûr aussi les meilleures pratiques de WordPress lorsqu'elles ont un sens. Un exemple ici est de renommer le préfixe de la base de données WordPress.

Par ailleurs, nous utilisons bien sûr aussi les meilleures pratiques de WordPress lorsqu'elles ont un sens. Un exemple est ici le changement du préfixe de la base de données WordPress. Chez nous, celui-ci n'est pas accessible via le standard wp_. Par contre, renommer le dossier wp-content, comme le propose iThemes Security, conduit par expérience à des erreurs, car les plugins et les thèmes ne peuvent pas s'en sortir.

#7 Mises à jour gérées des plug-ins de WordPress

Il reste maintenant à fermer la dernière porte d'entrée majeure contre les attaques : les plugins qui ne sont pas à jour. Comme pour WordPress lui-même, les plugins et les thèmes peuvent présenter des failles de sécurité. Toutes les mises à jour n'incluent pas des fonctionnalités de sécurité. Néanmoins, si tous les plugins sont à jour, la probabilité de failles de sécurité est nettement plus faible.

#8 Mesures concernant les serveurs

Toutes les mesures mentionnées ci-dessus protègent WordPress lui-même. Sinon, il y a bien sûr une liste presque infinie de mesures de sécurité qui concernent le serveur lui-même. Cela commence par les mises à jour de Linux et se termine par la mise à jour régulière de PHP en tant que base de WordPress. Nous nous chargeons de la mise à jour automatique des versions PHP obsolètes (bien sûr avec un délai et un temps de test appropriés), sans que tu aies à t'en occuper toi-même.

Inconvénients des plugins de sécurité WordPress

Ceci étant dit, j'aimerais maintenant aborder brièvement les inconvénients des plugins de sécurité. Certains d'entre eux ne sont pas négligeables, notamment du point de vue du temps.

Effort de mise en place

Ceux qui pensent qu'il suffit d'installer un plugin se trompent. Malheureusement, l'installation d'un plugin de sécurité requiert également certaines connaissances.

En prenant l'exemple du plugin All-in-One Security C'est très clair. C'est l'un des plugins gratuits les plus populaires, qui utilise le fichier .htaccess dans une très large mesure. Cependant, le plugin ne reconnaît pas du tout s'il s'agit d'un serveur NGINX. Celui-ci ne supporte pas le concept de fichier .htaccess. NGINX est cependant utilisé dans l'environnement WordPress en raison de sa flexibilité.

De plus, bien que les mesures de sécurité soient classées par niveau de difficulté, ce qui est logique, de nombreuses mesures proposées par le plugin sont moins utiles. Pour évaluer correctement la nécessité des différentes mesures, il faut inévitablement s'intéresser à la matière de la sécurité.

Entretien et (in)sécurité perçue

Pour notre test, nous avons installé différents plugins de sécurité. L'un des plugins s'est servi automatiquement d'une adresse e-mail d'équipe enregistrée dans WordPress et a commencé à envoyer des e-mails de manière assidue. A la grande joie de tous les membres de l'équipe...

Malheureusement, ce n'est pas du tout rare. Bien sûr, on aimerait rester informé à certains égards. Cependant, dans les cas les plus fréquents, on signale des choses qui ne représentent pas du tout un risque pour la sécurité. Au final, vous vous sentez plus en insécurité qu'auparavant, car vous êtes informé de chaque modification de dossier, par exemple, et devez vérifier en cas de doute.

Problèmes de performance

Par défaut, chacun des plugins propose un scan de malware ou de sécurité. Le plugin Wordfence aime les automatiser en les fixant à une heure. Cela signifie qu'en cas de doute, toutes les heures ( !), un scan de ton site est effectué par un script automatique (via Cronjob). Si tu as déjà installé un logiciel antivirus sur ton ordinateur, tu connais les histoires de souffrance de problèmes de performance parfois massifs.

C'est peut-être aussi la raison pour laquelle, sur plus de 90 millions de téléchargements, "seulement" 2 millions sont finalement restés actifs.

Coût

Pour la recherche de cet article, nous n'avons évalué que les plugins qui existent aussi en version gratuite. Malheureusement, pour de nombreux plugins de sécurité WordPress, les fonctionnalités vraiment utiles coûtent au moins 80 dollars par an. Si tu ne les utilises pas, il te reste souvent un sentiment d'insécurité.

Quand un plugin de sécurité WordPress est-il vraiment utile ?

Pour ceux qui veulent faire le mille supplémentaire, voici quelques exemples de cas où un plugin de sécurité WordPress peut être utile. Ces recommandations ne concernent que l'hébergement spécialisé de WordPress. Comme d'autres hébergeurs peuvent ne pas avoir de mesures de sécurité aussi spécifiques et étendues, un plugin de sécurité WordPress peut être recommandé. Comme tu peux le constater, il n'est guère possible de faire une déclaration générale sur l'utilité des plugins de sécurité, car les exigences et les circonstances sont différentes.

Piratage manuel de la boutique WooCommerce

C'est l'un des rares exemples où nous avons effectivement recommandé activement un plugin de sécurité pour améliorer la sécurité de la boutique en ligne. Le client WooCommerce a eu l'impression d'être attaqué manuellement, ce qui, comme décrit ci-dessus, est très rare.

Dans ce cas, il a pu utiliser Wordfence et sa fonction de logging identifient rapidement l'adresse IP correspondante et la bloquent ensuite. L'attaque a ainsi pu être efficacement stoppée.

En danger Plugins

Plus le nombre de plugins est élevé, plus la probabilité de risques de sécurité est grande. Surtout si aucun outil de mise à jour n'est utilisé, les failles de sécurité existantes restent longtemps inaperçues dans le système et offrent une surface d'attaque. En particulier pour les boutiques WooCommerce , le nombre de plugins est généralement élevé en raison de la nature de WooCommerce et les données sont en même temps plus sensibles. C'est pourquoi il est préférable de penser à un plugin de sécurité.

Les trois meilleurs plugins de sécurité pour WordPress

Ci-dessous, je voudrais expliquer brièvement pourquoi nous nous limitons à trois plugins et ne présentons pas dix - ou même les 101 meilleurs - plugins de sécurité WordPress.

Pour les plugins de sécurité, nous nous limitons au top 3 des plugins WordPress dans le monde. Nous avons également examiné d'autres plugins de sécurité, comme All In One WP Security & Firewall qui, avec 800.000+, est le plugin purement gratuit le plus populaire (sans version premium). Cependant, l'ergonomie et les mesures recommandées ne nous ont pas convaincus. De plus, il n'est utilisable que sur les serveurs web Apache.

Tout se joue dans les derniers mètres

Comme nous considérons les plugins plutôt comme un complément à un hébergement WordPress déjà sécurisé, il s'agit de couvrir les derniers 0,1% de risque de sécurité. Nous nous limitons donc aux plugins professionnels qui sont très répandus.

Mais cette sélection de plugins est également très importante pour d'autres hébergeurs non spécialisés. Dans ce cas, tu devrais de toute façon t'intéresser de plus près à la sécurité de WordPress.

Aide à la décision rapide

En même temps, il est important pour nous de fournir une aide à la décision rapide. À notre avis, cela n'est plus possible avec une présentation de dix Plugins , car les dix Plugins doivent alors être évalués à nouveau en fin de compte. Avec trois Plugins avec un objectif différent, la décision est plus facile à prendre ici.    

Limitation aux plugins tout-en-un

Bien sûr, il existe d'innombrables plugins qui prennent en charge de grandes fonctions individuelles, par exemple limiter les tentatives de connexion (Limit Login Attempts). Mais même les fonctions que les plugins ne proposent que dans les versions PRO peuvent être résolues par des plugins individuels. Le meilleur exemple est ce plugin pour l'authentification à deux facteurs.

La distribution et les données sont importantes pour les pare-feux

Les pare-feu appliquent certaines règles pour reconnaître si quelqu'un agit de manière malveillante ou s'il ne fait que visiter le site. Si quelqu'un essaie de pénétrer sur le site, il est bloqué. Les règles sont notamment basées sur la connaissance des failles de sécurité existantes. En même temps, il est plus facile de détecter les réseaux d'attaquants sur 2 millions de pages dans l'administration et de les bloquer pour toutes les autres pages que sur 10 000 pages. C'est pourquoi la diffusion joue un rôle pour les plugins de sécurité.

Tes favoris personnels sont les bienvenus

Cela ne veut pas dire qu'il n'y a pas d'autres plugins géniaux pour améliorer la sécurité de WordPress. N'hésite pas à mentionner tes favoris personnels dans les commentaires. Ainsi, nous garantissons une égalité des chances pour les nouvelles approches innovantes.

Les trois meilleurs plugins de sécurité en un coup d'œil

Site web de la PluginsWordfenceiThèmes SécuritéSucuri
Sécurité
Lien de téléchargementTéléchargementTéléchargementTéléchargement
Fonctionnalitésiciiciici
Installations activesPlus de 3 millions900.000+700.000+
LanguesAnglais16 langues (également DE)Anglais, espagnol
Testé avec la dernière version WordPressOuiOuià 5.3.4
Nombre de notations3,5723,830338
Classement (cinq étoiles)4,84,74,4
Version gratuiteOuiOuiOui
Prime (licence annuelle)à partir de 99à partir de 80 $199,99
Suppression des logiciels malveillants de$286.40non offertInclus dans la licence

Dans l'aperçu, il est clair que chacun des plugins a une très grande diffusion et est bien évalué. Cependant, il est Wordfence est le leader incontesté du marché et présente un bon rapport qualité-prix. Chez Sucuri, on paie directement l'élimination des logiciels malveillants, mais ici les prix peuvent monter jusqu'à 500 dollars par an , notamment grâce à un service plus rapide et des scans plus fréquents. Chez Wordfence L'élimination professionnelle des logiciels malveillants est proposée en tant que service optionnel. Tout dépend donc de tes besoins.

Il est important de savoir qu'il est très peu probable d'attraper des logiciels malveillants avec des mots de passe d'utilisateur WP forts. À notre avis, il est donc peu judicieux d'acheter directement la suppression des logiciels malveillants en tant que service.

Avec Wordfence Contrairement à iThemes Security, par exemple, où les informations du réseau ne sont accessibles que dans la version PRO, tu as directement accès à l'ensemble du pare-feu dans la version gratuite.

Un point important qu'il ne faut pas non plus négliger : Wordfence est dans notre exemple le seul fournisseur indépendant qui se spécialise uniquement dans la sécurité de WordPress. Sucuri fait désormais partie du groupe GoDaddy et iThemes a également été racheté par une autre société d'hébergement. Ils sont également actifs dans d'autres domaines, comme le développement de thèmes. Derrière Wordfence La société de sécurité Defiant est la seule à être derrière.

Résumé intermédiaire

Notre recommandation de plugin de sécurité est donc très claire. Wordfence. Le plugin offre déjà un pare-feu complet dans sa version gratuite et se concentre sur les deux thèmes principaux qu'un plugin de sécurité WordPress devrait offrir : un pare-feu et des scans de sécurité.

De plus, il est rapide à mettre en place, clair et n'est pas déstabilisant, comme c'est le cas pour d'autres plugins avec des informations trop techniques.

Pour éviter les problèmes de performance, il faut utiliser "Low Resource Scanning" dans les options de scan. Comme les adresses IP sont traitées, tu devraisfermer un AV avec Wordfence .

Ci-dessous, je reviens en détail sur chacun des domaines clés d'un plugin de sécurité WordPress afin de mettre en évidence les différences entre les plugins.

Comparaison des principales fonctionnalités des plugins

Surveillance et scannage

 WordfenceiThèmes SécuritéSucuri
scanners de sécuritéOuiOuiOui
Scans de sécurité programmésVersion pro
uniquement
Version Pro uniquementVersion Pro uniquement
Identification des logiciels malveillantsOuiOuiOui
    
Identification des anomalies de sécuritéOuiOuiOui
Suivi de la liste noireGoogle Safe Browsing uniquementVérification du statut de la liste noireOui
Modifications du fichierOuiOuiOui
    
Surveillance du DNSOuiPas clairOui
Surveillance de SSLNonOuiOui
NotificationsOuiOuiOui
    
Contrôle des spamsVersion pro
uniquement
OuiOui
journaux de sécuritéOuiOuiDe base

Une partie essentielle d'un plugin de sécurité WordPress est de vérifier si le site web a été compromis. Comme il n'y a pas d'utilisation uniforme des termes et que des termes et des explications différents sont souvent utilisés pour le même contenu, il est très difficile de faire une comparaison raisonnable. Le tableau ci-dessus devrait permettre d'y voir plus clair.

Chaque plugin offre une fonction de scan

Bien que les scans de sécurité, l'identification des logiciels malveillants, l'identification des anomalies de sécurité ou les modifications de fichiers soient souvent mentionnés séparément, il s'agit de la même chose. La comparaison des fichiers permet de vérifier si des logiciels malveillants sont présents sur le site. D'après notre expérience, il peut arriver qu'un test discret sur Sucuri signifie que des logiciels malveillants sont présents sur le site, si l'on effectue un scan plus détaillé ou si l'on regarde les fichiers individuels.  

Vérification des logiciels malveillants : le site est propre
iThemes Security se sert ici de l'API de Sucuri.

iThemes Security utilise simplement l'API de Sucuri. Le résultat, tant chez Sucuri que chez iThemes, n'est rien d'autre que le Sitecheck gratuit, qui se trouve également sur le site web de Sucuri.

Différences dans la surveillance des listes noires

En plus des scans, le suivi des listes noires est un facteur important, notamment pour les pertes de classement décrites ci-dessus. Ici, on vérifie Wordfence Selon sa propre présentation, il ne s'agit que du statut de navigation sécurisée de Google. Si un site web apparaît ici, il est en principe déjà trop tard. Il est fort probable que le site web soit d'abord éjecté des résultats de recherche. iThemes Security et Sucuri vérifient directement plusieurs listes noires. Le résultat est néanmoins identique. Lorsque le site web apparaît sur les listes noires, il est déjà trop tard. C'est précisément pour éviter cela que ces scans sont effectués.

Chèque sécurisé : pas de liste noire
Une vérification avancée des listes noires n'est disponible sur Wordfence que dans la version Premium.

Une vérification avancée des listes noires est disponible chez Wordfence disponible uniquement dans la version Premium. Ici, le point de la publicité spam, bien reconnaissable de l'extérieur et important pour Google, est également vérifié.

Faible pertinence de la surveillance DNS

Nous considérons que les caractéristiques de la surveillance du DNS et du SSL sont peu pertinentes. Nous n'avons pas connaissance d'un seul cas où des changements de DNS ou de SSL ont été effectués afin d'enquêter sur des activités criminelles.

Wordfence marque des points avec les journaux de sécurité

La base d'un plugin de sécurité WordPress devrait être d'afficher les logins de manière raisonnable. C'est le cas de tous les plugins. Wordfence prend quelques longueurs d'avance avec sa surveillance du trafic en direct. Non seulement les logins sont détectés, mais le trafic est catégorisé en conséquence. Il est ainsi possible de suivre l'activité des robots d'exploration ou le comportement humain en ce qui concerne les aspects de sécurité. Cet outil est donc idéal pour empêcher les piratages manuels.

Wordfence Trafic en direct
Le siteWordfence a quelques longueurs d'avance grâce à son système de surveillance du trafic en direct.

Conclusion dans cette catégorie

La qualité du scan est difficile à évaluer et devrait être évaluée par des cas tests. iThemes Security et Sucuri ont une meilleure surveillance de la liste noire. Cependant, le scan devrait de toute façon empêcher que la page se retrouve sur la liste noire. En ce qui concerne la surveillance, la fonction Live Traffic de Wordfence est un grand plus.

Protection en combinaison avec des pare-feux

 WordfenceiThèmes SécuritéSucuri
Pare-feu pour applications web (WAF)RestreintDétection des 404Oui
Système de détection des intrusions (IDS)OuiNonOui
Protection DDoSNonNonOui
Brute Force ProtectionOuiOuiOui
Blocage des tentatives de piratageOuiPartielOui
La protection des exploits du jour zéroPas clairNonOui
Protection latérale uniqueNonNonOui
Algorithme de corrélation heuristiquePas clairNon 
Équilibrage des charges / basculementNonOuiOui
blocage par paysOuiNonNon
Blocage manuel avancéOuiNonNon

iThèmes sans pare-feu approprié

En ce qui concerne le pare-feu, les différences entre les plugins sont particulièrement évidentes. Les approches du sujet sont en effet fondamentalement différentes. En fait, iThemes-Security n'utilise pas vraiment de pare-feu. La détection 404 pourrait être considérée comme une première approche. Il s'agit de voir si un crawler génère beaucoup d'erreurs 404 et de les bloquer.

Sucuri, y compris le CDN complet

Tandis que pour les Wordfence il suffit d'installer un plugin pour utiliser le pare-feu, Sucuri nécessite de modifier le serveur de noms ou un enregistrement A dans les paramètres DNS. En revanche, il s'agit d'une solution entièrement basée sur le cloud, y compris un CDN (Content Delivery Network), qui peut également prévenir les attaques DDoS. Lors d'une attaque DDoS, un botnet alimente souvent un site avec des demandes jusqu'à ce que le site ne soit plus accessible parce que le serveur cède.

L'approche Sucuri fait aussi en sorte que, contrairement à Wordfence fonctionne avec les load balancers. Dans l'ensemble, pour certains termes comme "algorithme de corrélation heuristique", Sucuri est plutôt une formulation marketing et il n'est pas certain qu'il s'agisse d'une réelle valeur ajoutée, étant donné que les termes "algorithme de corrélation heuristique" et "algorithme de corrélation heuristique" ne sont pas identiques. Wordfence travaille probablement aussi avec des méthodes heuristiques. Pour ceux qui n'ont besoin que d'un CDN, Cloudflare pourrait également le faire gratuitement.

Wordfence avec plus d'options de configuration

Chez Sucuri, beaucoup de choses se font automatiquement et sans intervention de l'utilisateur. En revanche, il semble y avoir moins de possibilités de configuration. Ainsi, chez Wordfence Il est possible de bloquer explicitement les IP de certains pays et de les bloquer manuellement. C'est particulièrement utile en cas de piratage manuel.

WordPress Mesures de sécurité

 WordfenceiThèmes SécuritéSucuri
Backups de la base de donnéesNonOuiNon
WordPress make saferNonOuiNon
masquer les informationsNonOuiNon
Protection contre l'écritureNonOuiNon
Gestion des mots de passeNonOuiNon
Authentification à deux facteursPremium,Premium,Non

Comme tu peux le voir dans le tableau, iThemes Security se concentre sur les mesures de sécurité au sein de WordPress. Au total, 30 points différents sont traités ici, dont la plupart sont très utiles. De nombreux points sont donc déjà inclus dans notre hébergement.

iThemes Security est donc une excellente façon de compléter un hébergement générique "peu sûr" avec plus de sécurité au niveau de WordPress. La version gratuite offre déjà une protection complète. Dans la version premium, il faut souligner l'authentification à deux facteurs.

Puisque Wordfence et Sucuri mettent l'accent sur le "blindage" de la page. Ils sont plutôt faibles sur ces points.

Suppression des logiciels malveillants et des performances

 WordfenceiThèmes SécuritéSucuri
Nettoyage des pirates et élimination des logiciels malveillantsFacultatifIntraçableFacultatif
Suppression des avertissements de la liste noireFacultatifIntraçableFacultatif
Limite des demandes de suppression de logiciels malveillantsFacultatifIntraçableFacultatif
Nettoyage automatiquePartielIntraçablePartiel
Escalade des analystes de la sécuritéFacultatifIntraçableFacultatif
Nettoyage complet du site webFacultatifIntraçableFacultatif
Combler les lacunes en matière de sécuritéFacultatifIntraçableFacultatif
SauvegardesNonIntraçableOui
Rapport post-nettoyageFacultatifIntraçableFacultatif
Journal de bord complet et rapport d'incidentFacultatifIntraçableFacultatif
Suivi des causes profondesFacultatifIntraçableFacultatif

Pour finir, nous nous penchons sur le thème de la suppression des logiciels malveillants. Ici, les prix sont les mêmes chez Sucuri et Wordfence Les résultats sont similaires. Pour un traitement plus rapide, les deux demandent un supplément. Les services proposés sont ici identiques. Chez iThemes, je n'ai pas trouvé de service d'élimination des logiciels malveillants. Une suppression de malware peut prendre 2 à 3 heures, avec toutefois de grandes variations. Comme nous effectuons également la suppression de logiciels malveillants, les prix sont justes.

Et qu'en est-il des performances ?

Pour finir, une remarque sur les performances. On ne s'en douterait pas en comparant les plugins de sécurité. Mais comme Sucuri offre à la fois un CDN et un pare-feu, il peut y avoir une amélioration des performances, surtout pour les visiteurs internationaux. Avec un CDN, la page web est toujours livrée depuis le serveur suivant, ce qui présente des avantages pour les visiteurs d'outre-mer. Pour une boutique WooCommerce avec peu de contenu à mettre en cache, c'est moins important.

"*" indique les champs requis

Je souhaite m'abonner à la newsletter pour être informé des nouveaux articles de blog, des ebooks, des fonctionnalités et des nouvelles de WordPress. Je peux retirer mon consentement à tout moment. Merci de prendre connaissance de notre politique de confidentialité.
Ce champ sert à la validation et ne doit pas être modifié.

Notre conclusion

Quelle est la conclusion générale sur la sécurité de WordPress ? Notre conclusion personnelle peut être résumée par le fait suivant : Nous n'utilisons pas de plugin de sécurité pour notre propre site Raidboxes . Nous n'avons jamais utilisé de plugin de sécurité et n'avons jamais eu de problèmes. Et ce, bien que notre site web soit d'une importance capitale pour nous. Nous ne stockons pas non plus de grandes quantités de données clients sur notre site WordPress. Le risque d'une perte de performance due à un scan important était trop élevé pour nous et les inconvénients l'emportaient sur les avantages.

Néanmoins, un pare-feu augmente la sécurité du site. Par conséquent, ceux qui ont pour objectif d'atteindre une sécurité maximale et qui sont prêts à accepter les inconvénients en termes de performance et de temps devraient se tourner vers un plugin de sécurité.

Un plugin de sécurité WordPress peut être utile, en particulier pour les boutiques WooCommerce ou les sites Web vulnérables qui ont peut-être déjà eu des problèmes avec des logiciels malveillants. Notre recommandation est donc la suivante :

Wordfence comme la meilleure solution gratuite

Si tu souhaites un pare-feu vraiment très solide avec une surveillance complète, tu seras parfaitement servi avec Wordfence . Ce n'est pas pour rien qu'il est le plugin de sécurité WordPress le plus populaire au monde. La version premium complète la fonctionnalité de manière précise et judicieuse. Lors de l'implémentation, il faut absolument veiller à configurer correctement les processus de scan afin d'éviter les problèmes de performance.

iThemes Sécurité pour les hébergeurs génériques

iThemes Security exécute des mesures de sécurité vraiment utiles sur le site Web, qui concernent notamment WordPress lui-même. Pour les sites hébergés par des hébergeurs génériques, c'est une excellente façon d'augmenter le niveau de sécurité, même dans la version gratuite, sans avoir recours à des analyses poussées et à un pare-feu.

Sucuri pour CDN

Pour ceux qui envisagent d'utiliser un CDN et si le thème des attaques DDoS est pertinent, Sucuri est recommandé. Il ne reste que l'arrière-goût un peu fade du groupe GoDaddy.

De quel niveau de sécurité (perçu) avez-vous besoin ?

Comment gères-tu la sécurité de WordPress ? Est-ce que tu t'appuies sur les mesures de sécurité de ton hébergeur ou est-ce que seul un plugin de sécurité WordPress te permet de dormir sur tes deux oreilles ? Comme toujours, nous sommes heureux de recevoir tes commentaires.

As-tu aimé cet article ?

Tes évaluations nous permettent d'améliorer encore plus notre contenu.
Les commentaires sont désactivés.