Il y a encore quelques années, il était nécessaire d’installer de nombreux plugins pour assurer la sécurité de son site. Aujourd’hui, les plugins ont fortement évolué, et la plupart des mesures de sécurité qu’il est possible de prendre peuvent être activées par un seul plugin « universel ». Voici la liste des meilleurs plugins de sécurité actuels.
Les Plugins de sécurité tout-en-un
WordFence
Avec plus d’un million d’installations, WordFence est le plugin de securité le plus populaire. Wordfence scanne votre blog toutes les heures.
Fonctionnalités :
- Scanne les fichiers du core de wordpress, les thèmes et les plugins pour vérifier leur intégrité.
- Scanne d’éventuelles backdoors, malwares, tentatives de phishing et virus.
- Inclut un firewall pour stopper les scans mal intentionnés de hackers et de botnets.
- Limite le nombre d’essais pour se connecter au site
- Exclut les adresses IP qui tentent des attaques de force brute.
- Permet de créer une liste blanche d’adresses IP ou de bloquer des adresses IP.
- Surveille l’espace disque pour éviter des attaques DDoS.
- Envoie des alertes par emails au moindre problème critique.
- Permet de vous authentifier en deux fois via SMS.
- Vous pouvez aussi bloquer tout le trafic venant d’un pays donné
- Scanne vos posts et commentaires pour trouver d’éventuels codes infectés.
- Fonctionne aussi sur une installation multi-site.
- Vous pouvez surveiller le trafic sur votre site en temps réel, pour voir qui visite, qui est bloqué et ce que les visiteurs et les robots font sur votre site!
Points forts : Wordfence est une solution Anti-Virus et Firewall complete. L’interface est très facile a utiliser. Wordfence peut rendre votre site jusqu’a 50 fois plus rapide qu’une installation WordPress standard, en installant le système “Falcon Engine”!
Téléchargez WordFence (gratuit)
iThemes Security (formerly Better WP Security)
iThemes Security vous propose plus de 30 façons de sécuriser votre site. Avec la nouvelle option One-click Secure, vous pouvez sécuriser votre site en un seul clic ! iThemes Security est un excellent plugin, robuste, et avec un tableau de bord très facile à utiliser.
Ce plugin fonctionne selon le quadruple principe de la Dissimulation (de votre accès admin), de la Protection (contre toutes les attaques), de la Détection (des infections et des vulnérabilités) et de la Récupération (des données, en faisant un backup régulier de votre base de données).
Fonctionnalités :
- Scanne votre site pour détecter les vulnérabilités et les réparer rapidement.
- Dissimule votre accès administrateur
- Change le préfixe de votre base de donnée de “wp_” en un autre préfixe.
- Change le chemin pour “wp-content”.
- Empêche les attaques de force brute en excluant les utilisateurs qui se connectent trop souvent de manière invalide.
- Désactive la rédaction des fichiers depuis le tableau de bord administrateur.
- Bannit les adresses IP qui tentent des attaques de force brute.
- Intègre Google reCAPTCHA pour empêcher le spam dans vos commentaires.
- S’intègre parfaitement avec BackupBuddy.
- Surveille votre site et enregistre tous les changements faits dans la base de données et les fichiers.
Points forts : iThemes Security combine les meilleures fonctionnalités en un seul plugin, de sorte qu’un maximum de failles de sécurité puissent être comblées en un seul clic! Ce plugin est excellent pour les débutants comme pour les utilisateurs avancés, qui peuvent eux paramétrer plus d’options depuis leur tableau de bord.
Téléchargez iThemes security (gratuit)
All In One WP Security & Firewall
Ce plugin propose les fonctions “Basique”, “Intermédiaire” ou “Avancée”. Activer les fonctions Basiques ne « cassera » jamais votre site. Cependant, les fonctions Intermédiaire et Avancée peuvent créer des conflits avec certains éléments de votre site, en fonction des plugins que vous utilisez.
L’interface de ce plugin n’est pas aussi facile à utiliser que celle d’iThemes Security, mais offre certaines options qui peuvent être plus utiles selon les sites. Sinon, All in One WP Security & Firewall propose la plupart des mêmes fonctions que iThemes Security.
Fonctionnalités :
- Teste la complexité de votre mot de passe pour assurer la sécurité de votre connexion
- Inclut une fonction de blocage de votre accès administrateur qui bloque les adresses IP qui tente des attaques de force brute
- La fonction Firewall bloque les scripts infectés avant qu’ils affectent le code de votre site WordPress.
- Vous permet d’empêcher le lien direct vers des images externes, de même que d’empêcher de faux Googlebots de parcourir votre site.
- Ce plugin dispose d’un compteur dans le tableau de bord qui vous donne un score permettant d’évaluer le niveau de sécurité de votre site. En activant différentes options de sécurité, vous pouvez augmenter votre score.
Points forts : Ce plugin a une interface très facile à utiliser, un réel avantage pour les utilisateurs qui ne sont pas habitués aux paramètres de sécurité avancés !
Téléchargez All In One WP Security & Firewall (gratuit)
Guide d’installation sur le Site officiel
BulletProof Security
Ce plugin fournit également la possibilité de sécuriser votre site en un seul clic. Ainsi, vous obtenez toutes les protections d’un seul coup (protection firewall, protection d’accès et protection de la base de données). Cependant, ceci est un plugin au design et à la technologie plus ancienne. BulletProof Security utilise principalement le fichier .htaccess pour améliorer la sécurité de votre site.
Fonctionnalités :
- Ajoute une protection firewall, protection de la base de données, protection de l’accès administrateur et d’autres options.
- Bloque les tentatives infructueuses d’accéder à votre compte admin, le faux trafic et les scanners de code.
- Vérifie continuellement le code du core de WordPress, de ses thèmes et de ses plugins. En cas d’infection reconnue, il le signale à l’administrateur.
- Contribue à l’optimisation de votre site en ajoutant un cache.
- Sécurise votre site contre les hacks tels que RFI, CRLF, CSRF, Base64, XSS, Injection de Code et SQL injection et d’autres.
- Ce plugin s’auto-actualise pour détecter toutes les nouvelles vulnérabilités qui apparaissent.
- Utilise une protection .htaccess pour protéger des fichiers indispensables, tels que wp-config.php, php.ini, php5.ini et d’autres fichiers WordPress sensibles.
- Vous alerte par email quand il détecte une activité mal intentionnée ou une infection.
- Protège votre installation WordPress contre les attaques de force brute.
- Interdit l’accès aux répertoires.
- Permet de mettre en place un Mode Maintenance (HTTP 503), avec un compte à rebours.
Points forts : L’installation se fait en un seul clic, rapide et facile. Le plugin est fiable et s’utilise facilement. Il existe également un mode pour les utilisateurs avancés.
Téléchargez BulletProof Security (gratuit)
Achetez BulletProof Security Pro!
Sucuri Security
Fournit un audit de sécurité, surveille l’intégrité des fichiers, scanne d’éventuels malwares et sert de firewall pour votre installation WordPress. Sucuri incorpore plusieurs moteurs de protection comme Google Safe Browsing, Sucuri Labs, Norton, McAfee Site Advisor et d’autres.
Sucuri est principalement un outil de surveillance des changements d’activité qui peuvent endommager votre site WordPress. Parce qu’il requiert une compréhension et une familiarité des codes systèmes de fichiers à l’intérieur de WordPress, ce plugin est plutôt destiné pour les développeurs et les administrateurs qui savent déjà analyser ces informations.
Fonctionnalités :
- Protège votre site des attaques DDOS, des attaques de force brute et autres attaques par des scanners.
- Conserve une trace de toutes vos activités dans le Sucuri Cloud.
- Scanne vos le core de WordPress pour détecter toute éventuelle anomalies. Si Sucuri trouve quelque chose d’anormal, vous pouvez rapidement restaurer une copie de ce fichier dans son état originel.
- Suggère un certain nombre d’actions à prendre pour améliorer votre sécurité. La plupart de ces actions ne requièrent qu’un seul clic !
- Inclut le scan de malware, la mise sous surveillance de programmes infectés sur liste noire, et les actions correctives après un éventuel hack.
Points forts : Sucuri est une entreprise de sécurité internet réputée et dispose d’une équipe d’experts de haut niveau. Cela signifie que vous bénéficiez d’un meilleur service et de meilleurs conseils. Ce plugin n’est qu’un de leurs nombreux produits de protection – en plus de leurs services premium, ils offrent ce plugin gratuit.
Téléchargez Sucuri Security (gratuit)
Les Plugins de sécurité additionnels (gratuits)
Google Authenticator
Google Authenticator vous fournit une protection supplémentaire à travers l’authentification en deux étapes. Cette application existe pour Windows, iPhone et Android.
Fonctionnalités :
- Met en place l’authentification en deux étapes
- Génère de nouvelles clés secrètes à chaque fois, pour éviter tout risque.
- Une fois que vous avez installé et configuré ce plugin sur votre site WordPress, vous pouvez mettre en place un code QR avec la clé secrète.
- Ensuite, téléchargez l’application Google Authenticator sur votre smartphone et entrez ce code QR code. Cela reliera votre site WordPress avec votre application mobile.
- Lorsque vous vous connectez à votre compte admin WordPress (tableau de bord), vous devrez ouvrir l’application Google Authenticator dans votre smartphone.
- Cela génère un code d’identification que vous devrez entrer dans le champ Google Authenticator a chaque fois que vous voulez vous connecter à votre tableau de bord admin. De cette façon, WordPress reconnait que c’est vraiment vous qui essayez d’accéder au tableau de bord administrateur !
Téléchargez Google Authenticator (gratuit)
Explications pour l’installation
Clef Two-Factor Authentication
Avec l’augmentation du nombre d’attaques visant à pirater les données, l’authentification en deux étapes devient de plus en plus indispensable. Clef est un système d’authentification très sûr et en même temps très simple. Il vous permet d’éviter entièrement d’utiliser et de gérer des mots de passe.
Vous n’avez qu’à télécharger l’application Clef sur votre smartphone. Après avoir entré les coordonnées de votre site et vos mots de passe dans l’application, celle-ci vous montre une vague animée dans votre navigateur, qui sera générée pour cette session uniquement. Sur votre smartphone, vous ouvrez alors l’application Clef, vous vous authentifiez avec Touch ID (ou un code PIN) et pointez la caméra de votre smartphone vers l’écran. En scannant la vague animée, Clef montre que vous êtes effectivement assis en face de votre navigateur, et votre compte admin s’ouvre en une seconde.
Clef est configuré de telle manière que vous pouvez l’utiliser même lorsque vous êtes sur Wifi (et non seulement sur réseau cellulaire), contrairement aux applications qui vérifient votre identité en envoyant un code par SMS !
Téléchargez Clef Two-Factor Authentication (gratuit)
WP Security Audit Log
Ce plugin conserve une trace de tous les changements qui se produisent à l’intérieur de votre installation WordPress, pour détourner toutes attaques de hackers sur votre site WordPress. WP Security Audit Log est la solution la plus complète pour surveiller tous les évènements qui se produisent sur votre installation WordPress. Ainsi, il devient très facile de suivre les activités suspectes de n’importe quel utilisateur avant que celles-ci deviennent un problème ou un danger. Une alerte est envoyée par le plugin lorsque :
Fonctionnalités :
- Un nouvel utilisateur est créé via l’enregistrement sur le site ou par un autre utilisateur.
- Un utilisateur change le rôle, le mot de passe ou d’autres paramètres de profil d’un autre utilisateur.
- Un utilisateur sur un réseau WordPress multisite est ajouté ou enlevé d’un site.
- Un utilisateur télécharge ou efface un fichier, change un mot de passe ou une adresse email.
- Un utilisateur installe, active, désactive, surclasse ou désinstalle un plugin
- Un utilisateur crée un nouveau post, une page, une catégorie, ou un autre type d’entrée.
- Un utilisateur modifie un post, une page, une catégorie ou une autre entrée
- Un utilisateur crée, modifie ou efface un champ personnalisé d’un post, une page ou une autre entrée.
- Un utilisateur ajoute, change, modifie ou efface un widget
- Un utilisateur installe ou active un nouveau thème WordPress
- Un utilisateur change des paramètres WordPress tels que des permaliens ou un email administrateur.
Téléchargez WP Security Audit Log (gratuit)
Conclusion : Vraiment facile de protéger son site wordpress avec de tels plugins
Rappelez-vous, vous ne pouvez pas utiliser tous les plugins en même temps sur le même site ! Veuillez passer soigneusement en revue tous ces plugins et leurs caractéristiques, et faites votre choix d’après vos besoins.
Ne négligez pas non plus la qualité de votre hébergeur. Un bon hébergeur prendra généralement des mesures supplémentaires pour assurer la sécurité de votre site.
Et enfin, au cas où votre plugin de protection et de sécurité échoue à protéger votre site, n’oubliez pas que la meilleure protection s’accompagne toujours d’un backup régulier et complet de votre installation !
Inscris-toi à ma newsletter ou ne t'inscris pas, il n'y a pas d'essai.