Sécurité WordPress : quelle est l'utilité réelle des plugins de sécurité?

Johannes Benz Dernière mise à jour : 20.10.2020
16 Min.
WordPress  Sécurité Sécurité Plugins

En attendant, plus de 38 % de l'ensemble des sites web à consulter sur WordPress . Cela fait de notre CMS préféré une cible populaire pour les pirates et les logiciels malveillants. Mais il ne faut pas paniquer ! Parce que la sécurité de WordPress n'est pas de la sorcellerie. En plus des conseils pratiques de sécurité, nous avons aujourd'hui les trois meilleurs WordPress sécuritéPlugins dans le sac et vous montrons quand vous en avez vraiment besoin.

Ai-je encore besoin d'une sécuritéPlugin? Nous recevons régulièrement cette question dans le support. Dans l'article suivant, je voudrais vous montrer quelle est la valeur ajoutée d'une sécuritéPlugin pour la sécurité de votre site WordPress et quand il est vraiment judicieux d'en utiliser une.

Dans la deuxième partie, nous comparons les trois plus populaires WordPress -sécurité-Plugins pour vous donner un aperçu rapide. Ainsi, vous pouvez prendre une décision ciblée et rapide et vous consacrer ensuite à l'essentiel : votre entreprise.

Pourquoi la sécurité de WordPress est si cruciale

Fondamentalement, il y a trois raisons principales pour lesquelles vous devriez vous préoccuper activement de la sécurité de votre site WordPress et ne pas faire l'autruche.

#N°1 Votre site web peut devenir inutilisable

Il y a quelques années, nous étions encore dans le domaine des agences. Il se trouve que nous avons été autorisés à entreprendre une refonte complète d'un site parce que le site original était devenu inutilisable en raison de problèmes de sécurité qui auraient pu être évités.

Or, une personne qui installe des logiciels malveillants sur des pages n'a généralement pas envie de les détruire. Après tout, l'agresseur veut envoyer du spam, diriger les visiteurs vers des pages de spam, intégrer des publicités ou générer de la cryptocourant. Outre la restriction générale des fonctionnalités de votre site, les logiciels malveillants peuvent également entraîner d'importants problèmes de performances.

#2 Blacklisting et crash dans le classement de Google

Un problème encore plus grave à notre époque est la mise sur liste noire du domaine, en particulier par Google ou Norton. Si Google place votre site web sur une liste noire, cela signifie dans le pire des cas que votre site web sera retiré des résultats de recherche Google.

Il est possible de soumettre à nouveau une analyse du site après une attaque de logiciel malveillant. Toutefois, cela ne garantit pas que vous retrouverez votre ancien classement. Cela peut avoir de graves conséquences économiques, en particulier pour les mots-clés monétaires importants ou le trafic organique élevé.

#N°3 : Perte de données

En particulier à l'heure où RGPD, où le thème de la protection des données a atteint une nouvelle dimension, il est important de protéger les données de vos utilisateurs. Si cela est moins important pour un site d'entreprise normal, c'est encore plus dramatique pour un site de magasin si les informations de paiement ne sont pas suffisamment protégées.

Menaces typiques pour la sécurité de votre site WP

Brute Force Attaques sur la zone de connexion
Dans le cas d'une Brute Force attack un grand nombre de combinaisons de mots de passe sont automatiquement essayées afin d'accéder au site via le login /wp-admin de WordPress . Une fois que cela a été réalisé et que l'utilisateur de WordPress a des droits d'administration, le site web est presque entièrement sous le contrôle de l'attaquant.

Notre expérience sur RAIDBOXES le montre : En utilisant un mot de passe fort et en limitant les tentatives de connexion, il est possible d'éviter presque tous les cas de logiciels malveillants. Mais j'en dirai plus dans un instant.

Exploitation automatisée des vulnérabilités de sécurité
En règle générale, les attaques sur les sites web sont automatisées. Les pages de WordPress sont automatiquement scannées par des "crawlers", par exemple, pour un site Plugin spécifique, qui présente une faille de sécurité. Diverses failles de sécurité peuvent être exploitées dans les attaques, comme dans le cas Injections SQL ou Cross-Site-Scripting.

Attaques manuelles
Bien entendu, il est également possible d'exploiter manuellement une faille de sécurité. Toutefois, cela est plutôt rare, car l'effort ne vaudrait la peine que pour les grands magasins WooCommerce où, par exemple, les données de paiement doivent être effectivement volées.

8 mesures de sécurité que nous fournissons en tant qu'hébergeur

En principe, la sécurité de votre site web peut être WordPress Hosting peut accroître considérablement la sécurité de votre site web. Au fil des ans, nous avons continuellement élargi le concept de sécurité de RAIDBOXES , de sorte que les cas de logiciels malveillants sont devenus une rareté absolue. L'analyse détaillée des cas de logiciels malveillants permet notamment de détecter les failles de sécurité fréquemment utilisées et de les prévenir par des mesures appropriées.

#N°1 Des mots de passe forts - la plus importante mesure de sécurité de toutes

L'une des mesures de sécurité les plus importantes est un mot de passe fort pour tous les utilisateurs de WordPress . Malheureusement, en tant qu'hébergeur, nous n'avons qu'une influence limitée sur l'attribution des mots de passe. En particulier dans le cas des délocalisations, nous ne pouvons exercer que peu d'influence sur les mots de passe. L'application d'un mot de passe fort lors de la création d'un BOX (WordPress -site web) a permis de réduire considérablement l'infestation de logiciels malveillants.

Forcer un mot de passe fort lors de la création d'un site web WordPress
L'application d'un mot de passe fort lors de la création d'un site web WordPress a permis de réduire considérablement l'infestation de logiciels malveillants.
Pour rappel

Un mot de passe doit être composé de chiffres, de caractères spéciaux et de lettres minuscules d'une longueur minimale de sept caractères. Si ce n'est pas le cas pour vos utilisateurs de WordPress , vous devez absolument commencer par l'étape 1 et changer vos mots de passe immédiatement.

#2 Protection contre les attaques par la force brute

Près d'un milliard de fois par mois, des sites web sont attaqués avec les moyens décrits ci-dessus Brute Force Attaques décrit ci-dessus. C'est bien si votre hébergeur WordPress s'est déjà occupé de cela. Notre protecteur de connexion RB préviendra votre zone de connexion WP et mettra surliste noireles adresses IP qui tentent à plusieurs reprises de se connecter avec de faux identifiants de connexion.

Dans les paramètres de votre BOX , vous pouvez définir exactement après combien de tentatives de connexion ce blocage doit prendre effet et combien de temps les IP concernées sont bloquées. En combinaison avec un mot de passe fort, il est pratiquement impossible d'accéder au site web de cette manière.

#3 Effaceur de session WP

Selon RGPD , vous devez stocker le moins de données possible. Nous vous y aidons ! Notre outil pour plus d'économie de données - le WordPress Session Eraser - supprime de la base de données les sessions WordPress de tous vos utilisateurs après un intervalle défini. Vous pouvez définir cet intervalle individuellement pour chaque BOX dans vos paramètres BOX dans notre tableau de bord.

#4 Blocage par défaut du XML-RPC

XML-RPC est une interface qui est disponible sur chaque page du WP depuis WordPress 3.5. Étant donné que la grande majorité des webmasters n'utilisent pas le XML-RPC de toute façon, il est logique de désactiver cette interface. Parce que : les pirates peuvent attaquer directement votre site via XML-RPC.

Pour cette raison, XML-RPC est maintenant bloqué par défaut et peut être activé via les paramètres du tableau de bord RAIDBOXES .

Bloqueur XML-RPC
Pour cette raison, XML-RPC est maintenant bloqué par défaut et peut être activé via les paramètres du tableau de bord RAIDBOXES .

#5 Gestion des mises à jour de sécurité de WordPress

Bien sûr, la mise à jour de WordPress est très importante. Tous les 2 ou 3 mois, de nouveaux WordPress -versions sont publiés. Les mises à jour de maintenance, en particulier, comblent d'importantes lacunes en matière de sécurité. Ces mises à jour doivent être installées immédiatement.

Les mises à jour majeures impliquent généralement des changements de code importants, c'est pourquoi des incompatibilités peuvent survenir. Afin de laisser suffisamment de temps aux fabricants de Theme et Plugin, nous effectuons toujours les principales mises à jour de notre système après 14 jours. Bien entendu, nous fournissons immédiatement la dernière version de WordPress pour une mise à jour manuelle. Bien sûr, il est important de toujours faire une sauvegarde de votre site avant de le mettre à jour !

#6 Protection sélective de l'écriture - WordPress Mesures de durcissement

Une priorité de la sécuritéPlugins iThèmes Sécurité est de rendre WordPress plus sûr en protégeant les fichiers. Ce dernier est également intégré de manière sélective avec nous. Il est donc plus difficile d'infecter des éléments du site et de les rendre inutilisables. Il doit toujours y avoir un équilibre raisonnable entre la flexibilité et la sécurité. Nous le maintenons grâce à des options de configuration directement via l'interface utilisateur RAIDBOXES .

Prévention des modifications de dossier dans WordPress
En outre, nous utilisons également les meilleures pratiques du site WordPress lorsqu'elles ont un sens. Un exemple est le renommage du préfixe de la base de données WordPress .

En outre, nous utilisons également les meilleures pratiques du site WordPress lorsqu'elles ont un sens. Un exemple est le renommage du préfixe de la base de données WordPress . Ce n'est pas accessible via le standard wp_. En revanche, le renommage du dossier WP-Content, comme l'a fait iThèmes Sécurité a montré qu'il y avait des erreurs, car Plugins et Themes ne savent pas comment les traiter.

#7 Géré Plugin- Mises à jour de WordPress

Il faut maintenant fermer la dernière grande porte d'accès aux attaques : Pas à jour Plugins. Comme pour WordPress lui-même, des vulnérabilités de sécurité peuvent se produire avec Plugins et Themes . Toutes les mises à jour ne comportent pas de fonctions de sécurité. Néanmoins : si tous les Plugins sont à jour, la probabilité de vulnérabilités de sécurité est nettement plus faible.

Comme cette fonction permet notamment de gagner beaucoup de temps, elle est incluse dans notre tarif Fully Managed pour 30 euros (net). En tant que lecteur de cet article de blog, vous pouvez profiter du tarif en permanence pour seulement 20 euros au lien suivant à la caisse : Fully Managed Spécial.

#8 Mesures concernant les serveurs

Toutes les mesures ci-dessus protègent WordPress lui-même. En outre, il existe bien sûr une liste presque infinie de mesures de sécurité qui affectent le serveur lui-même. Cela commence par les mises à jour de Linux et se termine par la mise à jour régulière de PHP qui sert de base à WordPress . Nous nous occupons de la mise à jour automatique des versions PHP périmées (avec bien sûr un délai approprié et un temps de test) sans que vous ayez à vous en occuper vous-même.

Inconvénients de la sécuritéPlugins

C'est pourquoi je voudrais maintenant aborder brièvement les inconvénients de la sécurité -Plugins . Elles sont en partie non négligeables, notamment du point de vue du temps.

Effort de mise en place

Si vous pensez que la simple installation d'un Plugins suffit, vous vous trompez. Malheureusement, la mise en place d'une sécuritéPlugins nécessite également certaines connaissances.

En utilisant l'exemple de la Plugins All-in-One-Security cela devient très clair. C'est l'un des sites gratuits les plus populaires Plugins, qui utilise le fichier .htaccess dans une très large mesure. Cependant, le Plugin ne reconnaît même pas s'il s'agit d'un serveur NGINX. Ce concept n'est pas compatible avec celui de .htaccess et est utilisé dans l'environnement WordPress en raison de sa flexibilité.

De plus, bien que les mesures de sécurité soient divisées en niveaux de difficulté, ce qui est très logique, beaucoup de mesures proposées par Plugin sont moins utiles. Afin d'évaluer correctement la nécessité des différentes mesures, il faut inévitablement se familiariser avec la question de la sécurité.

Entretien et (in)sécurité perçue

Pour notre test, nous avons installé diverses sécuritésPlugins . L'un des Plugins a automatiquement utilisé une adresse électronique de l'équipe stockée dans WordPress et a commencé à envoyer des courriels avec diligence. Pour le plus grand plaisir de tous les membres de l'équipe...

Malheureusement, ce n'est pas du tout rare. Bien sûr, on aimerait rester informé à certains égards. Cependant, dans les cas les plus fréquents, on signale des choses qui ne représentent pas du tout un risque pour la sécurité. Au final, vous vous sentez plus en insécurité qu'auparavant, car vous êtes informé de chaque modification de dossier, par exemple, et devez vérifier en cas de doute.

Problèmes de performance

Par défaut, chacun des sites Plugins propose une analyse des logiciels malveillants ou de sécurité. Le Plugin Wordfence aime régler automatiquement cette heure sur une heure. Cela signifie qu'en cas de doute, toutes les heures ( !), un scan de votre site passe par un script automatique (via cronjob). Quiconque a déjà installé un logiciel antivirus sur son ordinateur connaît les récits de malheurs liés à des problèmes de performances parfois massifs.

Cela peut également expliquer pourquoi "seulement" 2 millions de téléchargements sur plus de 90 millions sont restés actifs au final.

Coûts

Pour la recherche de cet article, nous avons seulement évalué Plugins , qui sont également disponibles en version gratuite. Néanmoins, il est regrettable qu'avec de nombreux WordPress -Security-Plugins les fonctionnalités vraiment utiles coûtent au moins 80 dollars par an. Si vous ne les utilisez pas, vous éprouvez souvent un sentiment d'insécurité.

Quand un WordPress -Security-Plugin a-t-il vraiment un sens ?

Pour ceux qui veulent aller plus loin, voici quelques exemples de cas où Plugin peut être utile pour la sécurité de WordPress . Ces recommandations ne s'appliquent qu'à l'hébergement spécialisé de WordPress . Étant donné que d'autres fournisseurs peuvent ne pas avoir mis en place des mesures de sécurité aussi spécifiques et étendues, une sécuritéPlugin peut y être recommandée en général. Comme vous pouvez le constater, il n'est guère possible de faire une déclaration générale sur l'utilité des plugins de sécurité, car les exigences et les circonstances sont différentes.

Piratage manuel à la boutique WooCommerce

C'est l'un des rares exemples où nous avons effectivement recommandé activement une sécuritéPlugin pour renforcer la sécurité de la boutique en ligne. Le client de WooCommerce avait l'impression d'être attaqué manuellement, ce qui, comme décrit ci-dessus, est très rare.

Dans ce cas, il a pu utiliser Wordfence et sa fonction de journalisation pour identifier rapidement l'adresse IP de l'attaquant et la bloquer. L'attaque a ainsi pu être efficacement stoppée.

En danger Plugins

Plus le nombre de Plugins est élevé, plus la probabilité de risques pour la sécurité est grande. En particulier, si aucun outil n'est utilisé pour la mise à jour, les failles de sécurité existantes restent longtemps inaperçues dans le système et offrent une surface d'attaque. Surtout avec les boutiques WooCommerce, le nombre de Plugins est généralement intrinsèquement élevé et les données sont également plus sensibles. Il convient donc d'envisager ici une sécuritéPlugin .

Les trois meilleures sécuritésPlugins pour WordPress

Dans ce qui suit, je voudrais expliquer brièvement pourquoi nous nous limitons à trois Plugins et ne présentons pas dix - ou même les meilleurs 101 WordPress - plugins de sécurité.

Avec la sécurité -Plugins nous nous limitons au TOP 3 WordPress -Plugins mondial. Nous avons également examiné d'autres aspects de la sécuritéPlugins, tels que All In One WP Sécurité et pare-feu qui est le site Plugin (sans version premium) le plus populaire, purement gratuit, avec plus de 800.000 utilisateurs. Cependant, nous n'avons pas été convaincus par la facilité d'utilisation et en partie par les mesures recommandées ici. Dans le même temps, elle ne s'applique qu'aux serveurs web Apache.

Il s'agit des derniers mètres

Comme nous considérons le site Plugins davantage comme un complément à un site déjà sécurisé WordPress Hosting l'objectif est de couvrir les derniers 0,1 % de risque de sécurité. Ainsi, nous nous limitons aux professionnels Plugins, qui ont une très forte diffusion.

Cependant, cette sélection de Plugins est également très pertinente pour d'autres hébergeurs non spécialisés. Vous devriez de toute façon aborder plus intensivement le sujet de la sécurité sur WordPress .

Aide à la décision rapide

En même temps, il est important pour nous de fournir une aide à la décision rapide. À notre avis, cela n'est plus possible avec une présentation de dix Plugins , car les dix Plugins doivent alors être évalués à nouveau en fin de compte. Avec trois Plugins avec un objectif différent, la décision est plus facile à prendre ici.    

Restriction au tout-en-unPlugins

Bien sûr, il existe d'innombrables Plugins, qui reprennent de grandes fonctions individuelles, par exemple, limiter les tentatives de connexion (Limit Login Attempts). Mais aussi des fonctions, que le Plugins ne propose que dans les versions PRO , peuvent être résolues via le Plugins individuel. Le meilleur exemple est ce Plugin pour l'authentification à 2 facteurs.

La distribution et les données sont importantes pour les pare-feux

Les pare-feu appliquent certaines règles pour détecter si quelqu'un agit de manière malveillante ou ne fait que visiter le site. Si quelqu'un tente d'entrer sur le site, il est bloqué. En particulier, les règles sont basées sur la connaissance des vulnérabilités existantes. En même temps, les réseaux d'attaquants peuvent être mieux détectés et bloqués pour tous les autres sites lorsque l'administration compte 2 millions de sites que lorsqu'elle en compte 10 000. La distribution joue donc un rôle pour la sécuritéPlugins .

Vos favoris personnels sont les bienvenus

Cela ne veut pas dire qu'il n'y a pas d'autres grands Plugins pour plus de sécurité WordPress . N'hésitez pas à partager vos favoris personnels dans les commentaires. De cette façon, nous garantissons une égalité des chances encore plus grande pour les nouvelles approches innovantes également.

Les trois meilleures sécuritésPlugins dans la vue d'ensemble

Site web de la PluginsWordfenceiThèmes SécuritéSucuri
Sécurité
Lien de téléchargementTéléchargerTéléchargerTélécharger
Fonctionnalitésiciiciici
Installations activesPlus de 3 millions900.000+700.000+
LanguesAnglais16 langues (également DE)Anglais, espagnol
Testé avec la dernière version WordPressOuiOuià 5.3.4
Nombre de notations3,5723,830338
Classement (cinq étoiles)4,84,74,4
Version gratuiteOuiOuiOui
Prime (licence annuelle)à partir de 99à partir de 80 $199,99
Suppression des logiciels malveillants de$286.40non offertinclus dans la licence

Dans l'aperçu, il est clair que chacun des Plugins a une très forte prévalence et est bien noté. Néanmoins Wordfence le leader incontesté du marché et également équilibré en termes de rapport qualité-prix. À l'adresse suivante : Sucuri vous payez directement pour la suppression des logiciels malveillants, mais ici les prix peuvent être augmentés, notamment grâce à un service plus rapide et à des scannages plus fréquents, pour 500 dollars par an par an. À l'adresse suivante : Wordfence la suppression professionnelle des logiciels malveillants est proposée en tant que service optionnel offert comme service optionnel. Tout dépend donc de vos besoins.

Il est important de savoir qu'il est très peu probable d'attraper des logiciels malveillants avec des mots de passe d'utilisateur WP forts. À notre avis, il est donc peu judicieux d'acheter directement la suppression des logiciels malveillants en tant que service.

À l'adresse suivante : Wordfence vous obtenez un accès direct à l'ensemble du spectre du pare-feu dans la version gratuite, contrairement, par exemple, à iThèmes Sécuritéoù les informations du réseau ne sont accessibles que dans la version PRO .

Un point important sur lequel il ne faut pas non plus éternuer : Wordfence dans notre exemple, est la seul fournisseur indépendantqui s'est spécialisé uniquement dans le thème de la sécurité WordPress . Sucuri appartient au groupe GoDaddy et iThemes a également été acheté par une autre société d'hébergement. Ils sont également actifs dans divers autres domaines, tels que le développement de Theme. Derrière Wordfence est exclusivement la société de sécurité Le défi.

Résumé intermédiaire

Notre sécurité -Plugin- la recommandation est donc très claire Wordfence. Le site Plugin propose déjà un pare-feu complet dans la version gratuite et se concentre sur les deux thèmes principaux qu'unPlugin devrait fournir : un pare-feu et des analyses de sécurité.

De plus, il est mis en place rapidement, reste clair et ne prête pas à confusion, comme c'est le cas pour d'autres Plugins aux informations trop techniques.

Pour éviter les problèmes de performance, il convient d'utiliser, parmi les options de balayage, celle de "Low Resource Scanning". Étant donné que les adresses IP sont traitées, vous devez utiliser Wordfence fermer un AV.

Dans ce qui suit, je vais détailler les différents domaines fondamentaux d'une sécuritéPlugins afin de bien faire comprendre les différences entre le Plugins .

Les principales caractéristiques de Plugin en comparaison

Surveillance et scannage

 WordfenceiThèmes SécuritéSucuri
scanners de sécuritéOuiOuiOui
Scans de sécurité programmésVersion pro
uniquement
Version Pro uniquementVersion Pro uniquement
Identification des logiciels malveillantsOuiOuiOui
    
Identification des anomalies de sécuritéOuiOuiOui
Suivi de la liste noireGoogle Safe Browsing uniquementVérification du statut de la liste noireOui
Modifications de fichiersOuiOuiOui
    
Surveillance du DNSOuiPas clairOui
Surveillance SSLNonOuiOui
NotificationsOuiOuiOui
    
Contrôle des spamsVersion pro
uniquement
OuiOui
journaux de sécuritéOuiOuiDe base

Une partie essentielle de la sécurité dePlugins est de vérifier si le site web a été compromis. Comme chaque vendeur de Plugin utilise fondamentalement des noms différents pour le même contenu et le présente différemment, il est très difficile de faire une comparaison raisonnable. Le tableau ci-dessus devrait fournir une vue d'ensemble ici.

Chaque Plugin offre une fonction de balayage

Par exemple, les analyses de sécurité, l'identification de logiciels malveillants, l'identification d'anomalies de sécurité ou les modifications de fichiers sont souvent répertoriées séparément, mais elles ont la même signification. La comparaison des fichiers permet de vérifier si un logiciel malveillant est présent sur la page. D'après notre expérience, il peut arriver qu'un test discret à Sucuri peut toujours signifier qu'un logiciel malveillant est présent sur le site, si une analyse plus détaillée ou un examen des fichiers individuels est effectué.

Vérification des logiciels malveillants : le site est propre
iThemes Security utilise ici l'API de Sucuri.

iThèmes Sécurité utilise simplement l'API de Sucuri. En conséquence, vous n'obtenez à la fois Sucuri et iThemes rien d'autre que le vérification gratuite du siteque l'on peut également trouver sur le site web de Sucuri.

Différences dans la surveillance des listes noires

Outre les scanners, la surveillance des listes noires est un facteur important, notamment pour les pertes de classement décrites ci-dessus. Ici, on vérifie Wordfence selon sa propre présentation ne vérifie que les Statut de navigation sécurisée de Google. Si un site web se présente ici, il est en fait déjà trop tard. Le site web sera très vraisemblablement éliminé des résultats de la recherche en premier lieu. iThèmes Sécurité et Sucuri consultez plusieurs listes noires directement ici. Le résultat est toujours le même. Si le site figure sur les listes noires, il est déjà trop tard. C'est précisément pour éviter cela que ces scanners sont effectués.

Chèque sécurisé : pas de liste noire
Une vérification étendue de la liste noire est disponible sur Wordfence uniquement dans la version Premium.

Un contrôle étendu de la liste noire est uniquement disponible Wordfence uniquement disponible dans la version Premium. Ici, on vérifie également l'intérêt de la publicité pourriel, qui peut être facilement reconnue de l'extérieur et qui est importante pour Google.

Faible pertinence de la surveillance du DNS

Nous considérons que les caractéristiques de la surveillance du DNS et du SSL sont peu pertinentes. Nous n'avons pas connaissance d'un seul cas où des changements de DNS ou de SSL ont été effectués afin d'enquêter sur des activités criminelles.

Wordfence marque des points avec les journaux de sécurité

La base d'une sécuritéPlugins devrait être d'afficher les logins de manière raisonnable. C'est le cas de tous les Plugins . Wordfence fait quelques pas en avant avec sa surveillance du trafic en direct. Non seulement les logins sont reconnus, mais le trafic est classé en conséquence. De cette façon, les activités des rampants et le comportement des visiteurs peuvent être suivis en ce qui concerne les aspects de sécurité. L'outil est donc idéal pour prévenir les piratages manuels, par exemple.

Wordfence Trafic en direct
Le siteWordfence a quelques longueurs d'avance grâce à son système de surveillance du trafic en direct.

Conclusion dans cette catégorie

La qualité du scan est difficile à juger et devrait être évaluée au moyen de cas tests. iThemes Security et Sucuri ont un meilleur contrôle des listes noires. Toutefois, le scan devrait empêcher que la page ne finisse sur la liste noire. En ce qui concerne le suivi, la fonction de trafic en direct de Wordfence est un grand plus.

Protection en combinaison avec des pare-feu

 WordfenceiThèmes SécuritéSucuri
Pare-feu pour applications web (WAF)Restreint404 détectionOui
Système de détection des intrusions (IDS)OuiNonOui
Protection DDoSNonNonOui
Brute Force ProtectionOuiOuiOui
Blocage des tentatives de piratageOuiPartielOui
La protection des exploits du jour zéroPas clairNonOui
Protection latérale uniqueNonNonOui
Algorithme de corrélation heuristiquePas clairNon 
Équilibrage des charges / basculementNonOuiOui
blocage par paysOuiNonNon
Blocage manuel avancéOuiNonNon

iThèmes sans pare-feu approprié

En ce qui concerne les pare-feu, les différences entre le site Plugins sont particulièrement évidentes. Les approches du sujet sont ici fondamentalement différentes. Au sens strict du terme iThemes-Sécurité n'utilise pas de véritable pare-feu. On pourrait appeler l'approche de détection 404 une première approche. Ici, on regarde si un crawler génère beaucoup d'erreurs 404 et est bloqué.

Sucuri, y compris le CDN complet

Considérant que pour Wordfence un seul Plugin doit être installé pour utiliser le pare-feu, avec Sucuri vous devez changer le serveur de noms ou un enregistrement A dans les paramètres DNS. Pour cela, il s'agit d'une solution entièrement basée sur le cloud, comprenant un CDN (content delivery network), qui peut également prévenir les attaques DDoS. Dans une attaque DDoS, un botnet est souvent utilisé pour lancer une page avec des requêtes jusqu'à ce que la page ne soit plus accessible parce que le serveur cède.

Les attaques DDoS expliquées

Dans son article, il explique ce qu'est exactement une attaque DDoS et comment la prévenir efficacement, en vous montrant Nick Schäferhoff .

Le Sucurisignifie également qu'elle fonctionne avec des équilibreurs de charge plutôt qu'avec Wordfence travaille avec des équilibreurs de charge. Dans l'ensemble, avec Sucuri est plutôt un terme de marketing, tel que "Algorithme de corrélation heuristique", et il n'est pas clair s'il s'agit d'une réelle valeur ajoutée, car Wordfence fonctionne vraisemblablement aussi avec des méthodes heuristiques. Toutefois, ceux qui n'ont besoin que d'un CDN peuvent également les mettre en œuvre gratuitement via Cloudflare .

Wordfence avec plus d'options de configuration

À l'adresse suivante : Sucuri beaucoup de choses fonctionnent automatiquement et sans l'intervention de l'utilisateur. Mais ici, apparemment, moins peut être configuré. Vous pouvez donc bloquer Wordfence bloquer explicitement les IP des pays individuels et le blocage manuel est également possible. Cela est particulièrement utile pour les piratages manuels.

WordPress Mesures de sécurité

 WordfenceiThèmes SécuritéSucuri
Backups de la base de donnéesNonOuiNon
WordPress make saferNonOuiNon
masquer les informationsNonOuiNon
Protection contre l'écritureNonOuiNon
Gestion des mots de passeNonOuiNon
l'authentification à deux facteursPremiumPremiumNon

iThèmes Sécurité se concentre sur les mesures de sécurité au sein de WordPress comme le montre le tableau. Au total, 30 points différents sont traités ici, dont la plupart ont beaucoup de sens. De nombreux points sont donc déjà inclus dans notre hébergement.

iThèmes Sécurité est donc un excellent moyen d'ajouter plus de sécurité au niveau de WordPress à un hébergement générique "non sécurisé". La version gratuite offre déjà une protection étendue. Dans la version premium, l'authentification à deux facteurs doit être mise en avant.

Sync and corrections by n17t01 Wordfence et Sucuri se concentrer sur le "blindage" du côté. Sont-ils plutôt faibles sur ces points.

Suppression des logiciels malveillants et des performances

 WordfenceiThèmes SécuritéSucuri
Nettoyage des pirates et élimination des logiciels malveillantsFacultatifIntraçableFacultatif
Suppression des avertissements de la liste noireFacultatifIntraçableFacultatif
Limite des demandes de suppression de logiciels malveillantsFacultatifIntraçableFacultatif
Nettoyage automatiquePartielIntraçablePartiel
Escalade des analystes de la sécuritéFacultatifIntraçableFacultatif
Nettoyage complet du site webFacultatifIntraçableFacultatif
Combler les lacunes en matière de sécuritéFacultatifIntraçableFacultatif
SauvegardesNonIntraçableOui
Rapport post-nettoyageFacultatifIntraçableFacultatif
Journal de bord complet et rapport d'incidentFacultatifIntraçableFacultatif
Suivi des causes profondesFacultatifIntraçableFacultatif

Enfin et surtout, examinons la suppression des logiciels malveillants. Voici les prix à Sucuri et Wordfence sont similaires. Pour un traitement plus rapide, les deux sont payants. Les services offerts ici sont identiques. À l'adresse suivante : iThemes Je n'ai pas pu découvrir un service de suppression des logiciels malveillants. La suppression des logiciels malveillants peut prendre de 2 à 3 heures, avec toutefois de grandes fluctuations. Comme nous faisons également de la suppression de logiciels malveillants, les prix sont équitables.

Et qu'en est-il des performances ?

Enfin, une note sur les performances. On ne s'attendrait pas à cela d'une comparaison de sécuritéPlugin. Mais comme Sucuri offre un CDN et un pare-feu en un, il peut y avoir une amélioration des performances, en particulier pour les visiteurs internationaux. Avec un CDN, le site web est toujours livré à partir du serveur suivant, ce qui présente des avantages, notamment pour les visiteurs étrangers. Cependant, pour une boutique WooCommerce avec peu de contenu cachable, c'est moins crucial.

Notre conclusion

Quelle est donc la conclusion générale sur le sujet de la sécurité de WordPress ? Notre conclusion personnelle peut être résumée par le fait suivant : Nous n'utilisons pas une sécuritéPlugin pour notre propre site RAIDBOXES. Nous n'avons jamais utilisé une sécuritéPlugin et n'avons jamais eu de problèmes. Tout cela, bien que notre page web ait une signification absolument centrale pour nous. Toutefois, les données détaillées sur les clients ne sont pas stockées sur notre site web WordPress . Pour nous, le risque d'une perte de performance due à des mesures de balayage étendues était trop élevé et les inconvénients l'emportaient sur les avantages.

Néanmoins, un pare-feu augmente la sécurité du site web. Par conséquent, si vous souhaitez obtenir une sécurité maximale et en accepter les inconvénients en termes de performances et de temps, vous devez utiliser une sécuritéPlugin .

En particulier pour WooCommerce-Shops ou sites en danger, qui ont peut-être déjà eu des problèmes avec des logiciels malveillants, un WordPress -Security-Plugin peut être utile. Notre recommandation est donc la suivante :

Wordfence comme la meilleure solution gratuite

Qui veut un pare-feu vraiment très solide avec une surveillance étendue, est avec Wordfence est très bien servi. Ce n'est pas pour rien qu'il s'agit de la sécurité la plus populairePlugin dans le monde. La version Premium complète les fonctionnalités de manière très précise et judicieuse. Lors de la mise en œuvre, il est essentiel de s'assurer que les processus de balayage sont correctement mis en place afin de prévenir les problèmes de performance.

iThemes Sécurité pour les hébergeurs génériques

iThèmes Sécurité prend des mesures de sécurité très utiles sur le site web, en particulier WordPress . Pour les hébergeurs génériques, c'est un excellent moyen d'augmenter le niveau de sécurité sans avoir à effectuer des analyses approfondies et à mettre en place un pare-feu, même dans la version gratuite.

Sucuri pour les personnes intéressées par le CDN

Pour ceux qui envisagent d'utiliser un CDN de toute façon et pour qui le sujet des attaques DDoS devrait être pertinent, nous recommandons ce qui suit Sucuri est recommandé. La seule chose qui reste est l'arrière-goût un peu fade de la corporation Godaddy.

De quel niveau de sécurité (perçu) avez-vous besoin ?

Comment traitez-vous la question de la sécurité de WordPress ? Comptez-vous sur les mesures de sécurité de votre hébergeur ou est-ce que seule une sécurité -Plugin vous permet de dormir tranquillement ? Comme toujours, nous attendons avec impatience vos commentaires !

Articles connexes

Commentaires sur cet article

Laisse un commentaire

Ton adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.