WordPress sécurité : Quelle est l'utilité plugins réelle de la sécurité?

Johannes Benz Dernière mise à jour le 20.10.2020
16 Min.
WordPress  Sécurité Sécurité Plugins

Entre-temps, plus de 38 % de l'ensemble des sites web à l'adresse suivante : WordPress . Cela fait de notre CMS préféré une cible populaire pour les pirates et les logiciels malveillants. Mais pas de raison de paniquer ! Parce que WordPress -La sécurité n'est pas magique. Outre les conseils pratiques de sécurité, nous disposons aujourd'hui des trois meilleurs WordPress -Sécurité-Plugins dans vos bagages et vous montrer quand vous en avez vraiment besoin.

Ai-je même besoin d'une sécuritéPlugin? Cette question est régulièrement posée en soutien. Dans l'article suivant, je voudrais vous montrer la valeur ajoutée d'une solution de sécurité.Plugin pour la sécurité de votre WordPress site et quand il est vraiment utile d'en utiliser un.

Dans la deuxième partie, nous comparons les trois plus populaires -la WordPress sécurité-Pluginspour vous donner un aperçu rapide. Vous pouvez ainsi prendre une décision rapide et réfléchie, puis revenir à l'essentiel : votre entreprise.

Pourquoi WordPress - La sécurité est si cruciale

Il y a essentiellement trois raisons pour lesquelles vous devriez vous occuper activement de la sécurité de votre WordPress site et ne pas faire l'autruche.

#1 Votre site web peut devenir inutilisable

Il y a quelques années, nous étions encore dans le domaine des agences. Il était donc tout à fait possible que nous soyons autorisés à entreprendre une refonte complète d'une page parce que la page originale avait été rendue inutilisable par des problèmes de sécurité qui auraient pu être évités.

Aujourd'hui, une personne qui installe des logiciels malveillants sur des sites n'a généralement aucun intérêt à les détruire. Après tout, l'attaquant peut vouloir l'utiliser pour envoyer du spam, diriger les visiteurs vers des pages de spam, intégrer des publicités ou générer de la monnaie cryptée. Outre le fait qu'ils limitent généralement les fonctionnalités de votre site, les logiciels malveillants peuvent également entraîner d'importants problèmes de performances.

#2 Blacklisting et crash dans le classement de Google

Un point encore plus grave à l'heure actuelle est la mise sur liste noire du domaine, en particulier par Google ou Norton. Si Google met votre site web sur liste noire, cela signifie, dans le pire des cas, que votre site web sera banni des résultats de recherche Google.

Il est possible de soumettre à nouveau un scan de la page après une infection par un logiciel malveillant. Toutefois, cela ne garantit pas que vous retrouverez votre ancien classement. Cela peut avoir de graves conséquences économiques, en particulier pour les mots-clés à forte valeur monétaire ou le trafic organique important.

#N°3 : Perte de données

Il est important de protéger les données de vos utilisateursRGPD, en particulier à une époque où le sujet de la protection des données a atteint une nouvelle dimension. Si cela est moins important pour un site d'entreprise normal, c'est encore plus dramatique pour un site de magasin si les informations de paiement ne sont pas suffisamment protégées.

Menaces typiques pour la sécurité de votre site WP

Brute Force Attaques sur la zone de connexion
Avec un Brute Force Attaque un grand nombre de combinaisons de mots de passe sont automatiquement testées pour WordPress accéder au site via le login /wp-admin. Une fois que cela a réussi et que l'WordPress utilisateur dispose de droits d'administration, le site web est presque entièrement sous le contrôle de l'attaquant.

Notre expérience des RAIDBOXES spectacles : Avec un mot de passe fort et la limitation des tentatives de connexion, presque tous les cas de logiciels malveillants peuvent être évités. Mais j'en dirai plus dans un instant.

Exploitation automatisée des vulnérabilités de sécurité
En règle générale, les attaques sur les sites web sont automatisées. WordPress Les pages sont automatiquement scannées par des "crawlers", par exemple pour détecter une faille de Pluginsécurité spécifique. Diverses lacunes en matière de sécurité peuvent être exploitées lors des attaques, par exemple Injections SQL ou Scénario intersites.

Attaques manuelles
Bien entendu, il est également possible d'exploiter manuellement une faille de sécurité. Toutefois, cela est plutôt rare, car l'effort ne serait utile que dans les grands WooCommercemagasins où, par exemple, les données de paiement doivent être effectivement volées.

8 Mesures de sécurité que nous fournissons en tant qu'hébergeur

En principe, les services spécialisés WordPress Hosting augmenter de manière significative la sécurité de votre site web. Au fil des ans, nous avons continuellement élargi le concept de sécuritéRAIDBOXES , de sorte que les cas de logiciels malveillants sont devenus une rareté absolue. L'analyse détaillée des cas de logiciels malveillants permet notamment d'identifier les failles de sécurité fréquemment utilisées et de les prévenir par des mesures appropriées.

#N°1 Des mots de passe forts - la plus importante mesure de sécurité de toutes

L'une des mesures de sécurité les plus importantes est un mot de passe fort pour tous les WordPress utilisateurs. Malheureusement, en tant qu'hébergeurs, nous n'avons qu'une influence limitée sur l'attribution des mots de passe. Surtout en cas de déménagement, nous ne pouvons avoir que peu d'influence sur les mots de passe. Le fait de forcer un mot de passe fort lors de la création d'un BOX (WordPress site web) a permis de réduire considérablement les infections par des logiciels malveillants.

Forcer un mot de passe fort lors de la création d'une page WordPress web
L'application d'un mot de passe fort lors de la création d'un site WordPress web a permis de réduire considérablement le nombre d'infections par des logiciels malveillants.
Pour rappel

Un mot de passe doit être composé de chiffres, de caractères spéciaux et de lettres minuscules d'une longueur minimale de sept caractères. Si ce n'est pas le cas pour vos WordPress utilisateurs, vous devez absolument faire l'étape 1 en premier et changer vos mots de passe immédiatement.

#2 Protection contre les attaques par la force brute

Près d'un milliard de fois par mois, les sites web avec ce qui précède Brute Force Attaques attaqué. Si le vôtre WordPress hoster est déjà pris en charge. Notre Protecteur de connexion RB apparaît devant votre zone de connexion WP et met en liste noire les adresses IP qui tentent de se connecter de manière répétée avec des données de connexion incorrectes.

Dans vos BOXparamètres, vous pouvez définir exactement après combien de tentatives de connexion ce verrouillage doit prendre effet et combien de temps les IP respectives sont bloquées. En combinaison avec un mot de passe fort, il est pratiquement impossible d'accéder au site de cette façon.

#3 Effaceur de session WP

Selon elle, vous RGPD devez sauvegarder le moins de données possible. Nous vous y aiderons ! Notre outil pour plus d'économie de données - le WordPress Session Eraser - supprime les WordPress sessions de tous vos utilisateurs de la base de données après un intervalle défini par vous. Vous pouvez régler cet intervalle dans vos BOXparamètres dans notre tableau de bord pour chacun d'entre euxBOX .

#4 Blocage de la norme XML-RPC

XML-RPC est une interface qui est disponible sur chaque page du WP depuis la version 3WordPress .5. Comme la plupart des webmasters n'utilisent pas XML-RPC de toute façon, il est logique de désactiver cette interface. Parce que : via XML-RPC, les pirates peuvent directement attaquer votre site.

Pour cette raison, XML-RPC est maintenant bloqué par défaut et peut être débloqué via les paramètres du RAIDBOXES tableau de bord.

Bloqueur XML-RPC
Pour cette raison, XML-RPC est maintenant bloqué par défaut et peut être débloqué via les paramètres du RAIDBOXES tableau de bord.

#5 Gestion des mises à jour de sécurité de WordPress

Bien entendu, le plus important est la mise à jour de WordPress . Ici, tous les 2 ou 3 mois, de nouveaux WordPress -Versions publié. Les mises à jour de maintenance, en particulier, comblent d'importantes lacunes en matière de sécurité. Ces mises à jour doivent être installées immédiatement.

Les mises à jour majeures impliquent généralement des changements de code importants, qui peuvent entraîner des incompatibilités. Pour donner aux ThemePluginfabricants suffisamment de temps, nous effectuons toujours les principales mises à jour de notre système après 14 jours. Bien entendu, nous fournissons immédiatement la dernière WordPress version pour les mises à jour manuelles. Bien sûr, il est important que vous fassiez toujours une sauvegarde de votre site avant de le mettre à jour !

#6 Protection sélective de l'écriture - Mesures de WordPress durcissement

Un des axes de la politique de sécuritéPlugins iThèmes Sécurité est de le WordPress rendre plus sûr en protégeant les fichiers. Ce système est également intégré de manière sélective dans notre système. Il est donc plus difficile d'infecter des éléments du site et de les rendre inutilisables. Il faut toujours trouver un équilibre raisonnable entre la flexibilité et la sécurité. Nous maintenons cet équilibre grâce à des options de configuration directement via l'interface utilisateurRAIDBOXES .

Empêcher la modification des dossiers dans WordPress
Au-delà de cela, nous utilisons aussi, bien sûr WordPress Les meilleures pratiques lorsqu'elles ont un sens. Un exemple est le fait de renommer le préfixe de la WordPress -...base de données.

En outre, nous utilisons naturellement aussi WordPress Les meilleures pratiques lorsqu'elles ont un sens. Un exemple est le fait de renommer le préfixe de la WordPress -...base de données. Ce n'est pas accessible via le standard wp_. Toutefois, le renommage du dossier WP-Content, tel que décrit dans iThèmes Sécurité l'expérience a montré qu'elle conduit à des erreurs, car Pluginset Themesne pouvant pas y faire face.

#7 Managed Plugin-Updates from WordPress

Nous devons maintenant fermer la dernière grande porte d'entrée avant les attaques : Pas en cours Plugins. Comme pour WordPress elle-même, il peut y avoir Plugins ...et Themesde se rendre aux brèches de sécurité. Toutes les mises à jour ne comportent pas de fonctions de sécurité. Néanmoins : Tous les Plugins Actuellement, la probabilité de vulnérabilités en matière de sécurité est beaucoup plus faible.

Comme cette caractéristique permet notamment de gagner beaucoup de temps, elle est incluse dans notre FULLY MANAGEDtarif pour 30 euros (net). En tant que lecteur de cet article de blog, vous pouvez profiter du tarif en permanence pour seulement 20 euros à la caisse sous le lien suivant : FULLY MANAGED Spécial.

#8 Mesures concernant les serveurs

Toutes les mesures ci-dessus se protègentWordPress . En outre, il existe bien sûr une liste presque infinie de mesures de sécurité qui affectent le serveur lui-même. Cela commence par des mises à jour de Linux et se WordPress termine par des mises à jour régulières de PHP comme base. Nous nous occupons de la mise à jour automatique des versions PHP périmées (avec bien sûr un délai approprié et un temps de test) sans que vous ayez à vous en occuper vous-même.

Inconvénients de la sécuritéPlugins

Cela étant dit, je voudrais maintenant aborder brièvement les inconvénients de la sécuritéPlugins. Certaines d'entre elles ne sont pas négligeables, surtout du point de vue temporel.

Effort de mise en place

Qui pense que le simple fait d'installer Plugins est fait, est mauvais. Malheureusement, la mise en place d'un système de sécuritéPlugins une certaine quantité de connaissances.

En utilisant l'exemple de la Plugins Sécurité tout-en-un cela devient très clair. C'est l'un des logiciels gratuits Pluginsles plus populaires, qui utilise dans une très large mesure le fichier .htaccess. Mais cela ne Pluginreconnaît même pas s'il s'agit d'un serveur NGINX. Ce concept n'est pas compatible avec celui de .htaccess et est utilisé dans l'WordPress environnement en raison de sa flexibilité.

En outre, bien que les mesures de Pluginsécurité soient divisées en niveaux de difficulté, ce qui est très logique, beaucoup de mesures proposées sont moins utiles. Afin d'évaluer correctement la nécessité des différentes mesures, il faut inévitablement traiter la question de la sécurité.

Entretien et (in)sécurité perçue

Pour notre test, nous avons développé différentes sécuritésPlugins installé. L'un des Plugins a automatiquement utilisé une adresse électronique d'équipe WordPress stockée dans le système et a commencé à envoyer des courriers électroniques avec diligence. Pour le plus grand plaisir de tous les membres de l'équipe...

Ce n'est malheureusement pas du tout rare. Bien sûr, on aimerait rester informé d'une certaine manière. Cependant, dans la plupart des cas, on indique des choses qui ne posent pas du tout de risque pour la sécurité. Au final, vous vous sentez plus en insécurité qu'auparavant, car vous êtes informé de chaque modification de dossier, par exemple, et devez vérifier en cas de doute.

Problèmes de performance

Par défaut, chacun d'entre eux propose Pluginsune analyse des logiciels malveillants ou de sécurité. Le Plugin Wordfence aime régler automatiquement cette heure sur une heure. Cela signifie qu'en cas de doute, toutes les heures ( !) un scan de votre page est effectué par un script automatique (via cronjob). Quiconque a déjà installé un logiciel antivirus sur son ordinateur connaît les histoires de malheur concernant des problèmes de performances parfois massifs.

Dans certaines circonstances, c'est aussi la raison pour laquelle "seulement" 2 millions des plus de 90 millions de téléchargements sont restés actifs en fin de compte.

Coûts

Pour la recherche de cet article, nous n'avons que Plugins qui est également disponible en version gratuite. Néanmoins, il est malheureusement vrai qu'avec de nombreuses WordPress -Sécurité-Plugins que les fonctionnalités vraiment utiles coûtent au moins 80 dollars par an. Si vous ne les utilisez pas, il y a souvent un sentiment d'incertitude.

Quand une WordPress -sécurité-Plugin a-t-elle vraiment un sens ?

Pour tous ceux qui veulent encore aller plus loin, voici quelques exemples de cas où l'on Plugin peut être utile pour la WordPress sécurité. Ces recommandations ne s'appliquent qu'à l'WordPress hébergement spécialisé. Étant donné que d'autres fournisseurs peuvent ne pas avoir mis en place des mesures de sécurité aussi spécifiques et étendues, la sécurité peut généralement êtrePlugin recommandée. Vous voyez, il n'est guère possible de faire une déclaration générale sur les avantages des plugins de sécurité, car les exigences et les circonstances sont différentes.

Piratage manuel au WooCommerce-Shop

C'est l'un des rares exemples où nous avons effectivement recommandé activementPlugin un système de sécurité pour renforcer la sécurité de la boutique en ligne. Le WooCommerceclient a eu l'impression qu'il était attaqué manuellement, ce qui, comme décrit ci-dessus, est très rare.

Dans ce cas, il a pu travailler avec Wordfence et sa fonction de journalisation permettent d'identifier rapidement l'adresse IP de l'attaquant, puis de la bloquer. L'attaque a ainsi pu être efficacement empêchée.

En danger Plugins

Plus le nombre est élevéPlugins, plus la probabilité de risques pour la sécurité est élevée. Surtout si aucun outil n'est utilisé pour la mise à jour, les failles de sécurité existantes restent longtemps inaperçues dans le système et offrent une surface d'attaque. Dans le cas des WooCommercemagasins en particulier, le nombre de vulnérabilités est Plugins généralement inhérent au système et les données sont également plus sensibles. C'est pourquoi la sécuritéPlugin doit être prise en compte ici.

Les trois meilleures sécuritésPlugins pour WordPress

Dans ce qui suit, je voudrais expliquer brièvement pourquoi nous nous limitons à trois Pluginset ne présentons pas dix - ou même les meilleurs 101 - plug-ins de sécuritéWordPress .

Avec la sécurité...Plugins nous nous limitons au TOP 3 WordPress -Plugins dans le monde entier. Nous avons également examiné d'autres aspects de la sécuritéPluginscomme... Sécurité et pare-feu du WP tout-en-un qui, avec 800 000+, est la version purement gratuite Plugin la plus populaire (sans version premium). Cependant, la facilité d'utilisation et en partie les mesures recommandées ne nous ont pas convaincus. En même temps, elle n'est applicable que sur les serveurs web Apache.

C'est à peu près les derniers mètres

Comme nous avons la Plugins plutôt comme un complément à une WordPress Hosting l'objectif est de couvrir les derniers 0,1 % du risque de sécurité. Nous nous limitons donc au professionnel Pluginsqui ont une distribution très élevée.

Mais cette sélection est Plugins également très pertinente pour d'autres hébergeurs non spécialisés. Vous devriez en tout cas aborder plus intensément le thème de la WordPress sécurité.

Aide à la décision rapide

En même temps, il est important pour nous de fournir une aide à la décision rapide. À notre avis, cela est possible avec une présentation de dix Plugins n'est plus possible, car en fin de compte, les dix Plugins doivent être évaluées. A trois. Plugins avec un objectif différent, la décision est plus facile à prendre ici.    

Restriction au tout-en-unPlugins

Bien sûr, il en existe d'innombrablesPlugins, qui sont très utiles pour les fonctions individuelles, comme la limitation des tentatives de connexion (Limit Login Attempts). Mais des fonctions, qui ne sont proposées Plugins que dans les nouvelles PRO versions, peuvent également être Plugins résolues par des versions uniques. Le meilleur exemple est ce Plugin pour l'authentification à deux facteurs.

La distribution et les données sont importantes avec les pare-feux

Les pare-feu appliquent certaines règles pour détecter si quelqu'un agit malicieusement ou ne fait que visiter le site. Si quelqu'un tente d'entrer sur le site, il est bloqué. Les règles sont notamment basées sur la connaissance des failles de sécurité existantes. En même temps, les réseaux d'attaquants peuvent être mieux détectés avec 2 millions de pages dans l'administration et bloqués pour toutes les autres pages qu'avec 10 000 pages. La distribution joue donc un rôle pour la sécuritéPlugins.

Vos favoris personnels sont les bienvenus

Cela ne signifie pas qu'il n'y en a pas d'autres pour plus de PluginsWordPress sécurité. N'hésitez pas à mentionner vos favoris personnels dans les commentaires. Nous garantissons ainsi une égalité des chances encore plus grande pour les nouvelles approches innovantes.

Les trois meilleures sécuritésPlugins dans la vue d'ensemble

Site web de la PluginsWordfenceiThèmes SécuritéSucuri
Sécurité
Lien de téléchargementTéléchargerTéléchargerTélécharger
Featuresiciiciici
Installations activesPlus de 3 millions900.000+700.000+
LanguesAnglais16 langues (également DE)Anglais, espagnol
Testé avec la dernière WordPress versionOuiOuià 5.3.4
Nombre de notations3,5723,830338
Classement (cinq étoiles)4,84,74,4
Version gratuiteOuiOuiOui
Prime (licence annuelle)à partir de 99à partir de 80 dollars $199,99
Suppression des logiciels malveillants de$286.40non offertinclus dans la licence

Dans l'aperçu, il apparaît clairement que chacun d'entre eux a Pluginsune distribution très élevée et est bien noté. Néanmoins Wordfence le leader incontesté du marché et également équilibré en termes de rapport qualité-prix. À l'adresse suivante : Sucuri vous payez directement pour la suppression du logiciel malveillant, mais les prix peuvent être réduits, notamment grâce à un service plus rapide et à des analyses plus fréquentes pour 500 dollars par an s'élever. À l'adresse suivante : Wordfence La suppression professionnelle des logiciels malveillants est appelée service optionnel offert. C'est donc là que tout dépend de vos besoins.

Il est important de savoir qu'il est très peu probable d'attraper des logiciels malveillants avec des mots de passe d'utilisateur WP forts. À notre avis, il n'est pas très logique d'acheter directement la suppression des logiciels malveillants en tant que service.

Sur Wordfence la version gratuite vous donne un accès direct à tout le spectre du pare-feu, contrairement à la iThèmes Sécuritéoù les informations du réseau ne sont accessibles que dans la PROversion

C'est un point important qui ne doit pas être négligé : Wordfence est dans notre exemple le un seul fournisseur indépendantqui se spécialise uniquement dans le domaine de la WordPress sécurité. Sucuri appartient entre-temps au groupe GoDaddy et iThemes a également été acheté par une autre société d'hébergement. Ils sont également actifs dans divers autres domaines, tels que le Themedéveloppement. Derrière Wordfence la société de sécurité est la seule Défiant.

Conclusion provisoire

Notre recommandation en matière de sécuritéPluginest donc très claire Wordfence. Le Plugin propose déjà un pare-feu complet dans la version gratuite et se concentre sur les deux thèmes principaux qui sont importants pour une sécuritéPlugin devrait fournir : un pare-feu et des scanners de sécurité.

De plus, il est rapidement mis en place, clairement exposé et ne se dérègle pas, comme c'est le cas pour d'autres Pluginsqui disposent de trop d'informations techniques.

Pour éviter les problèmes de performance, il convient d'utiliser, parmi les options de balayage, celle de "Low Resource Scanning". Étant donné que les adresses IP sont traitées, vous devez utiliser Wordfence fermer un AV.

Je vais maintenant aborder en détail les différents domaines essentiels d'une sécuritéPlugins afin de mettre en évidence les différences entre les Plugins pour que ce soit clair.

Les Plugincaractéristiques les plus importantes en comparaison

Surveillance et scanners

 WordfenceiThèmes SécuritéSucuri
scans de sécuritéOuiOuiOui
Scans de sécurité programmésPro seulement
Version
Version pro uniquementVersion pro uniquement
Identification des logiciels malveillantsOuiOuiOui
    
Identification des anomalies de sécuritéOuiOuiOui
surveillance de la liste noireGoogle Safe Browsing uniquementVérification du statut de la liste noireOui
Changements de fichiersOuiOuiOui
    
Surveillance du DNSOuiPas clairOui
Surveillance SSLNonOuiOui
NotificationsOuiOuiOui
    
Contrôle du spamPro seulement
Version
OuiOui
journaux de sécuritéOuiOuiDe base

Une partie essentielle de la sécuritéPlugins consiste à vérifier si le site web a été compromis. Étant donné que chaque Pluginfabricant utilise fondamentalement des noms différents pour le même contenu et le présente différemment, il est très difficile de faire une comparaison raisonnable. Le tableau ci-dessus devrait vous donner une vue d'ensemble.

Chacune Pluginoffre une fonction de balayage

Par exemple, les analyses de sécurité, l'identification des logiciels malveillants, l'identification des anomalies de sécurité ou la modification des fichiers sont souvent répertoriés séparément, mais ils ont la même signification. La comparaison de fichiers permet de vérifier si un logiciel malveillant est présent sur la page. Selon notre expérience, il est tout à fait possible qu'un test discret puisse être utilisé pour Sucuri peut encore signifier que des logiciels malveillants sont trouvés sur la page lors d'un balayage plus détaillé ou de l'examen des fichiers individuels.  

Vérification des logiciels malveillants : le site est propre
iThemes Security utilise pour cela l'API de Sucuri.

iThèmes Sécurité utilise simplement l'API de Sucuri. Par conséquent, avec Sucuri et iThemes, vous n'obtenez rien d'autre que la vérification gratuite du siteque l'on peut également trouver sur le site web de Sucuri.

Différences dans la surveillance des listes noires

Outre les scans, la surveillance des listes noires est un facteur important, notamment pour les pertes de classement décrites ci-dessus. Ici, on vérifie Wordfence Selon sa propre représentation, seule la Statut de navigation sécurisée de Google. Si un site web apparaît ici, il est en fait déjà trop tard. Le site web sera très probablement d'abord éliminé des résultats de la recherche. iThèmes Sécurité et Sucuri consultez plusieurs listes noires directement ici. Le résultat est néanmoins identique. Si le site figure sur les listes noires, il est déjà trop tard. C'est précisément pour éviter que cela ne se produise que ces scanners sont effectués.

Securi check : pas de liste noire
Une vérification étendue de la liste noire n'est disponible Wordfence que dans la version Premium.

Une vérification approfondie de la liste noire est disponible à l'adresse suivante Wordfence uniquement disponible dans la version Premium. Ici, on vérifie également l'intérêt de la publicité par spam, qui est facile à reconnaître de l'extérieur et importante pour Google.

Faible pertinence de la surveillance du DNS

Nous considérons que les caractéristiques de la surveillance du DNS et du SSL sont peu pertinentes. Nous n'avons pas connaissance d'un seul cas où des modifications du DNS ou du SSL ont été apportées afin de poursuivre des activités criminelles.

Wordfence scores avec les journaux de sécurité

La base d'une sécuritéPlugins devrait être de présenter les Logins de manière raisonnable. C'est le cas de tous les Plugins donné. Wordfence a quelques longueurs d'avance avec son système de surveillance du trafic en direct. Non seulement les logins sont reconnus, mais le trafic est classé en conséquence. De cette façon, les activités des rampants ou le comportement des visiteurs peuvent être retracés en ce qui concerne les aspects de sécurité. L'outil est donc parfaitement adapté pour prévenir les piratages manuels, par exemple.

Wordfence circulation en direct
Wordfence est en avance de quelques pas avec son système de surveillance du trafic en direct.

Conclusion dans cette catégorie

La qualité du scan est difficile à juger et devrait être évaluée par des cas tests. iThemes Security et Sucuri ont un meilleur contrôle des listes noires. Toutefois, le scan devrait empêcher que la page soit de toute façon mise sur liste noire. La surveillance est particulièrement importante pour la fonction de trafic en direct de Wordfence un gros avantage.

Protection en combinaison avec des pare-feu

 WordfenceiThèmes SécuritéSucuri
Pare-feu pour applications web (WAF)Restreint404 détectionOui
Système de détection des intrusions (IDS)OuiNonOui
Protection contre les DDoSNonNonOui
Brute Force ProtectionOuiOuiOui
Blocage des tentatives de piratageOuiEn partieOui
Protection contre les exploits du jour zéroPas clairNonOui
Protection latérale uniqueNonNonOui
algorithme de corrélation heuristiquePas clairNon 
Équilibrage des charges / basculementNonOuiOui
Blocage des paysOuiNonNon
Blocage manuel avancéOuiNonNon

iThèmes sans véritable pare-feu

En matière de pare-feu, les différences entre les deux sont Pluginsparticulièrement évidentes. En fait, les approches du sujet sont fondamentalement différentes ici. Au sens strict du terme iThèmes Sécurité pas de véritable pare-feu. L'approche de détection 404 pourrait être décrite comme une première approche. Ce système vérifie si un crawler génère et bloque de nombreuses erreurs 404.

Sucuri, y compris le CDN complet

Considérant que pour Wordfence un seul doit être Plugininstallé pour utiliser le pare-feu, doit être installé avec Sucuri le serveur de nom ou un enregistrement A peut être modifié dans les paramètres DNS Il s'agit d'une solution entièrement basée sur le nuage, comprenant un CDN (Content Delivery Network), qui peut également prévenir les attaques DDoS. Dans une attaque DDoS, un botnet est souvent utilisé pour lancer une page avec des requêtes jusqu'à ce que la page ne soit plus accessible parce que le serveur cède.

Les attaques DDoS expliquées

Nick Schäferhoff vous montre ce qu'est exactement une attaque DDoS et comment la prévenir efficacement dans sa contribution.

Le Sucuri-Cette approche conduit également au fait que, contrairement à l'approche Wordfence travaille avec des équilibreurs de charge. Au total Sucuri certains termes tels que l'"algorithme de corrélation heuristique" ont tendance à être basés sur une formulation commerciale et il n'est pas clair s'il s'agit d'une réelle valeur ajoutée, car Wordfence travaille probablement aussi avec des méthodes heuristiques. Si vous n'avez besoin que d'un CDN, vous pouvez aussi Cloudflarele réaliser gratuitement.

Wordfence avec plus de possibilités de configuration

Sur Sucuri beaucoup de choses fonctionnent automatiquement et sans que l'utilisateur n'ait à faire quoi que ce soit. Mais apparemment, on peut en configurer moins ici. Voici comment vous pouvez Wordfence bloquer explicitement les IP des pays individuels et un blocage manuel est également possible. Cela est particulièrement utile pour les piratages manuels.

WordPress Mesures de sécurité

 WordfenceiThèmes SécuritéSucuri
Backups de la base de donnéesNonOuiNon
WordPress rendre plus sûrNonOuiNon
cacher des informationsNonOuiNon
Protection contre l'écritureNonOuiNon
Gestion des mots de passeNonOuiNon
authentification à deux facteursPremiumPremiumNon

iThèmes Sécurité comme le montre le tableau, se concentre sur les mesures de sécurité au sein de WordPress . Au total, 30 points différents sont traités ici, dont la plupart sont très utiles. De nombreux points sont donc déjà inclus dans notre hébergement.

iThèmes Sécurité est donc un excellent moyen d'ajouter plus de sécurité au WordPress niveau d'un hébergement générique "non sécurisé". La version gratuite offre déjà une protection étendue. Dans la version premium, l'authentification à 2 facteurs doit être mise en avant.

Wordfence et Sucuri se concentrer sur le "blindage" de la page. Sont-ils plutôt faibles sur ces points.

Suppression des logiciels malveillants et des performances

 WordfenceiThèmes SécuritéSucuri
Nettoyage des pirates et élimination des logiciels malveillantsFacultatifImpossible à trouverFacultatif
Suppression des avertissements de la liste noireFacultatifImpossible à trouverFacultatif
Limite des demandes de suppression de logiciels malveillantsFacultatifImpossible à trouverFacultatif
Nettoyage automatiqueEn partieImpossible à trouverEn partie
Escalade des analystes de la sécuritéFacultatifImpossible à trouverFacultatif
Nettoyage complet du site webFacultatifImpossible à trouverFacultatif
Combler les lacunes en matière de sécuritéFacultatifImpossible à trouverFacultatif
SauvegardesNonImpossible à trouverOui
rapport post-nettoyageFacultatifImpossible à trouverFacultatif
Journal de bord complet et rapport d'incidentFacultatifImpossible à trouverFacultatif
Suivi des causes profondesFacultatifImpossible à trouverFacultatif

Enfin et surtout, examinons le sujet de la suppression des logiciels malveillants. Voici les prix à Sucuri et Wordfence similaires. Pour un traitement plus rapide, les deux requièrent un coût supplémentaire. Les services offerts sont identiques ici. À l'adresse suivante : iThemes Je n'ai pas pu détecter un service de suppression des logiciels malveillants. La suppression d'un logiciel malveillant peut prendre 2 à 3 heures, avec de grandes fluctuations. Comme nous effectuons également la suppression des logiciels malveillants, les prix sont équitables.

Et qu'en est-il de la représentation ?

Enfin, une note sur les performances. On ne s'attendrait pas à cela dans unePlugincomparaison de sécurité. Mais comme Sucuri offre un CDN et un pare-feu en un, il peut également y avoir une amélioration des performances, en particulier avec les visiteurs internationaux. Avec un CDN, le site web est toujours livré à partir du serveur le plus proche, ce qui présente des avantages particuliers pour les visiteurs étrangers. Toutefois, cela est moins important pour un WooCommercemagasin dont le contenu est peu susceptible d'être mis en cache.

Notre conclusion

Quelle est donc la conclusion générale sur le thème de la WordPress sécurité ? Notre conclusion personnelle peut être bien résumée par le fait suivant : Nous n'utilisons pas la sécuritéPluginpour notre propre RAIDBOXES compte. Nous n'avons jamaisPlugin utilisé un site de sécurité et n'avons jamais eu de problèmes. Tout cela, bien que notre site Internet ait une signification absolument centrale pour nous. Toutefois, les données détaillées sur les clients ne sont pas stockées sur notre WordPress site web. Le risque de perte de performance due à un balayage intensif était trop élevé pour nous et les inconvénients l'emportaient sur les inconvénients.

Néanmoins, un pare-feu augmente la sécurité du site web. Par conséquent, si vous voulez obtenir une sécurité maximale et en accepter les inconvénients en termes de performances et de temps, vous devez choisir unePlugin solution de sécurité.

Une WordPress sécuritéPlugin peut être utile, en particulier pour WooCommerceles magasins ou les sites menacés, qui peuvent avoir eu des problèmes avec des logiciels malveillants. Notre recommandation est donc la suivante :

Wordfence comme la meilleure solution gratuite

Si vous recherchez un pare-feu vraiment solide avec une surveillance étendue Wordfence très bien servi. Ce n'est pas pour rien que c'est la sécuritéPlugin la plus populaire au monde. La version premium complète la fonctionnalité de manière très précise et judicieuse. Lors de la mise en œuvre, il convient de veiller à configurer correctement les processus de balayage pour éviter les problèmes de performance.

iThèmes Sécurité pour les hébergeurs génériques

iThèmes Sécurité prend des mesures de sécurité vraiment raisonnables sur le site web, notamment WordPress Pour les hébergeurs génériques, c'est un excellent moyen d'augmenter le niveau de sécurité, même dans la version gratuite, sans analyse approfondie ni pare-feu.

Sucuri pour les personnes intéressées par le CDN

Pour ceux qui envisagent d'utiliser un CDN de toute façon et pour qui le sujet des attaques DDoS devrait être pertinent, nous recommandons Sucuri recommandé. La seule chose qui reste est l'arrière-goût un peu fade de la société Godaddy.

De quel niveau de sécurité (perçu) avez-vous besoin ?

Comment traitez-vous le thème de la WordPress sécurité ? Comptez-vous sur les mesures de sécurité de votre hébergeur ou laissez-vous simplement un agent de sécurité dormirPlugin tranquillement ? Comme toujours, nous sommes heureux de votre commentaire !

Articles connexes

Commentaires sur cet article

Ecrire un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués par * .