5 Plugins de Sécurité WordPress pour Bien Protéger votre Blog

Saviez-vous que la sécurité de votre blog ou site WordPress est aussi importante au même titre que le référencement naturel SEO ? Si vous ne le saviez pas, votre blog est le reflet de qui vous êtes, ou de ce qu’est votre entreprise. Il est donc de la plus haute importance prendre soins de cette image en utilisant un ou plusieurs plugins de sécurité WordPress nécessaires au bon fonctionnement de votre site ou blog.

Malheureusement, même après avoir pris conscience de l’importance de la sécurité du blog, beaucoup d’entre nous n’y prêtent toujours pas suffisamment d’attention.

Nous prenons la sécurité de notre blog pour acquise, en pensant que rien ne se passera.

C’est généralement quand nous voyons notre blog sujet d’une attaque par injection SQL, ou attaque DDoS, ou encore une attaque par force brute que nous prenons conscience du danger qui était là et de l’importance de la sécurité WordPress.

De fois on peut perdre tous les fruits de nos efforts, et l’image de notre entreprise avec (pour le cas d’entreprise).

Heureusement… Il y a un moyen de s’en sortir surtout si on a mis en place tous les dispositifs de sécurité WordPress dès la création du blog tout juste après l’achat du nom de domaine + Hébergement.

En théorie, il y a beaucoup de choses que vous pouvez faire pour protéger votre blog contre les attaques.

Il existe différents types d’attaques auxquelles votre blog est vulnérable, et beaucoup de choses peuvent être améliorées pour le garder en sécurité.

D’une part, garder votre noyau WordPress à jour est un moyen sécurisé votre blog.

Mais toutes ces mesures se résument en fin de compte à une seule : Utiliser les bons plugins de sécurité WordPress qui permettent de rendre plus sûr la santé de votre blog.

Quid sur la Sécurité WordPress

La sécurité WordPress est l’ensemble des techniques, d’outils et des méthodes à mettre en place pour rendre plus sûr… C’est-à-dire moins vulnérable aux attaque un site ou blog utilisant WordPress comme Système de gestion de contenu.

Et d’ailleurs en parlant sécurité, saviez-vous qu’un site WordPress est en moyenne attaqué 44 fois par jour ?

Eh bien, si vous ne le saviez-pas… Certaines personnes ont déjà écrit des codes pour automatiser ce processus de recherche de cibles et de piratage.

Ce qui revient à vous dire que si vous ne prenez pas à cœur la sécurité de votre blog WordPress… Personne ne le fera à votre place.

Il est vrai que l’installation d’un grand nombre de plugins WordPress ralentissait un blog et qu’il faut en utiliser le moins possible.

Mais si vous vous posez des questions du genre :

• Le CMS WordPress n’est-il pas assez sécurisé ? ou encore ;
• Ai-je besoins des plugins de sécurité WordPress pour rendre mon blog plus sûr ?

Eh bien, sachez que nous allons le découvrir ensemble et surtout voir à quel plugin de sécurité on peut faire plus confiance.

WordPress n’est-il pas assez sécurisé ?

Il est logique de s’interroger sur le niveau de sécurité du CMS sur lequel vous mettez toute votre entreprise.

La réponse en un seul mot est donc :

« OUI, WORDPRESS EST SUFFISAMMENT SÉCURISÉ ».

Les développeurs de WordPress sont assez intelligents pour sécuriser le CMS, et il s’améliore à chaque mise à jour.

Trouver des vulnérabilités dans WordPress n’est pas une tâche facile. Mais, le noyau de WordPress n’est pas le seul code qui fait fonctionner votre site ou votre blog.

Nous utilisons des suppléments tels que des extensions ou plugins, des thèmes, un hébergement web externe, etc. Et lorsque nous utilisons tout ce code externe, il est tout à fait possible que des vulnérabilités de sécurité les accompagnent.

En dehors de cela, il se peut que nous utilisions des mots de passe et des noms d’utilisateur faciles à déchiffrer, ce qui rend encore notre blog plus vulnérable, c’est-à-dire moins sécurisé. Ainsi, comme vous l’avez bien compris, Le noyau WordPress est suffisamment sûr mais votre site web n’est totalement

En dehors de cela, il se peut que nous utilisions des mots de passe et des noms d’utilisateur faciles à déchiffrer, ce qui rend encore notre blog plus vulnérable, c’est-à-dire moins sécurisé.

Ainsi, comme vous l’avez bien compris, Le noyau WordPress est suffisamment sûr mais votre site web n’est totalement pas sécurisé.

Et c’est là que ces plugins de sécurité entrent en jeu. Ils travaillent sur ces vulnérabilités et ajoutent une couche de sécurité supplémentaire à votre blog.

5 meilleurs plugins de sécurité WordPress gratuits

Nous venons de voir ensemble que si on dépendait entièrement de WordPress et n’utilisions pas d’autres suppléments technologiques venant d’ailleurs tels que les thèmes, les extensions ou même des mauvais mots de passe, nous n’aurions pas besoins des plugins de sécurité WordPress.

Mais comme ce n’est pas le cas examinons maintenant les plugins de sécurité WordPress les plus populaires (et les plus utiles) qui existent pour votre protéction.

1.      Sucuri : l’un des meilleurs plugins de sécurité pour WordPress

Sucuri est probablement le plugin de sécurité WordPress le plus populaire sur le marché. Il est également très bien noté par la communauté WordPress avec une moyenne de 4,4/5 étoiles.

Sucuri a une interface assez propre pour son tableau de bord et montre toutes les choses importantes que vous devez savoir, dans le tableau de bord du plugin.

Le tableau de bord se compose essentiellement de journaux d’audit, de liens, d’iframes et de tous les scripts JS exécutés sur le serveur, et c’est logique car ce sont tous les codes externes qui peuvent contenir des failles de sécurité.

A part cela, le tableau de bord Sucuri montre les résultats des scans, quelques informations de base sur le noyau de WordPress, et des recommandations pour augmenter la sécurité.

Bien que la version gratuite soit assez basique… La vraie valeur est lorsque vous achetez la version payante car vous avez plus de fonctionnalités.

Caractéristiques du plugin de sécurité WordPress Sucuri

• La récupération d’un blog piraté : Avant tout, Sucuri prend soin de votre blog mais en cas de piratage si vous ne l’utilisiez pas avant, il peut vous aider à le récupérer si vous avez optez pour une version payante du plugin. Bon, il est possible aussi de payer spécifiquement pour récupérer votre blog piraté.

Signalons cependant, que je n’ai jamais utilisé cette fonctionnalité, je n’ai donc pas d’idées sûres sur l’efficacité de cette dernière.

• CDN ; Sucuri fournit l’accélération du site web, la mise en cache et un CDN afin que tout votre trafic passe par son serveur et que le trafic malveillant soit déjà contourné. Sucuri est présent sur la liste des plugins qui permettent de bloquer les spams sous WordPress.
• Un pare-feu basé sur le cloud : Son pare-feu vous protège contre tous les types d’attaques de sécurité telles que DDOS, Brute force, SQL Injection, XSS, etc.
• Correctifs des vulnérabilités de sécurité : Sucuri s’occupe aussi de la correction des vulnérabilités lorsqu’elles sont rencontrées sur votre blog WordPress.
• Interface utilisateur propre et tableau de bord informatif :  Il fournit également une interface utilisateur très propre, et les statistiques les plus importantes sont présentes dans le tableau de bord, comme expliqué précédemment.

Coût d’acquisition de Sucuri

Sucuri dispose d’une version gratuite qui peut être installée directement en utilisant l’option de plugin WordPress.

La version payante est fournie avec les plans Basic, Professional et Business et coûte respectivement 199$, 299$ et 499$ chacun.

2.      Google Authenticator : Pour sécuriser WordPress avec l’identification à 2 facteurs

Le plugin Google 2 Factor de MiniOrange est un autre excellent plugin disponible dans le dépôt WordPress. Même s’il offre de nombreuses options de sécurité, la raison pour laquelle il est utilisé (et très populaire) est la fonction d’authentification à deux facteurs.

Cette fonction vous permet d’ajouter une couche supplémentaire de sécurité à votre page de connexion. Le point essentiel de cette fonctionnalité est que vous pouvez ajouter un ensemble de questions de sécurité. Ces questions seront posées à l’utilisateur au moment de la connexion.

Si vous ne répondez pas à ces questions, un système de vérification basé sur l’OTP vous permet d’y accéder. L’OTP est affiché sur une application externe que vous téléchargez sur votre téléphone.

À mon avis, c’est une fonctionnalité assez cool qui protège le site contre l’attaque par force brute qui est la plus populaire. Elle rend la connexion par un pirate informatique presque impossible, même dans le cas d’utilisation d’un nom d’utilisateur ou un mot de passe qui ne respecte pas les critères d’un bon mot de passe.

En outre, il fournit également un pare-feu pour bloquer les adresses IP, limite les demandes provenant d’une adresse IP particulière. Il permet aussi de mettre les adresses IP sur liste noire ou blanche.

Examinons quelques caractéristiques de ce plugin de sécurité WordPress.

Caractéristiques de Google Authenticator

• L’identification à deux facteurs : C’est la principale raison pour laquelle il fait partie des plugins de sécurité WordPress populaires. Cette extension ajoute une couche de sécurité contre les attaques par force brute. Ce plugin protège également le blog au cas où votre mot de passe serait compromis.
• Blocage d’adresses IP : Il permet de bloquer et de débloquer des IP, mais aussi d’ajouter une limite au nombre de requêtes provenant d’une IP.
• Analyse des suppléments malveillants : Ce plugin analyse également les thèmes, les plugins et le code externe de votre site web à la recherche de vulnérabilités, et vous fournit des rapports pertinents.

Ce qui est intéressant avec ce plugin est que toutes ces fonctionnalités sont disponibles dans la version gratuite. L’utilisation de la version gratuite en vaut donc vraiment la peine.

Coût

La version gratuite du plugin comporte également de nombreuses options de sécurité et propose trois méthodes d’authentification. En dehors de cela, il existe des versions payantes avec plus de fonctionnalités et plus de méthodes d’authentification.

3.      WordFence : un autre parmi les plugins de sécurité WordPress très populaires

Wordfence est à nouveau un plugin de sécurité très populaire pour WordPress. Il se présente en deux parties, l’une pour le pare-feu et la recherche de logiciels malveillants, l’autre pour la sécurité des connexions.

La version pour la sécurité de la connexion vous permet d’activer l’authentification à deux facteurs, la connexion et l’enregistrement CAPTCHA, et offre également une protection XML-RPC.

La version pour la recherche de logiciels malveillants et le pare-feu protège contre d’autres types d’attaques comme les attaques DDOS, l’injection SQL, etc.

WordFence protège également le site en détectant le code malveillant existant et en protégeant le site contre les intrusions d’initiés.

Bien que le pare-feu de Wordfence soit extrêmement efficace, il présente un inconvénient :

il est doté d’un pare-feu de point de terminaison au lieu d’un pare-feu de nuage, ce qui peut rendre les requêtes un peu lentes, mais selon Wordfence, il rend le site plus sûr, donc il fonctionne dans les deux sens.

Caractéristiques de l’extension de sécurité WordFence

• Protection contre les fuites de mots de passe : WordFence vérifie à partir d’une liste de mots de passe violés publiquement disponibles, et vous informe si votre mot de passe fait partie de cette liste.
• Réparation des fichiers malveillants : WordFence vous aide à prévenir une attaque, et aussi à vous remettre d’une attaque, en réparant les fichiers malveillants.
• Authentification à deux facteurs – Tout comme les autres plugins, WordFence fournit également le Two Factor Authentication pour protéger votre site contre les attaques à Force Brute et les identifiants de connexion compromis.
• Analyse d’applications malveillantes – C’est assez évident, mais Wordfence effectue des analyses de logiciels malveillants à l’intérieur de votre base de code et vous avertit en cas de vulnérabilités.

Coût

WordFence est disponible en version gratuite et en version premium. La version premium ajoutant des fonctionnalités supplémentaires comme la liste noire des IP en temps réel, le support premium, le blocage de pays, les contrôles de réputation, etc.

La licence premium est disponible pour 99$/an.

4.      All in One WP Security : Un plugin de sécurité efficace pour votre blog WordPress

All in one WP Security est un autre excellent plugin de sécurité. Il a une pléthore d’options personnalisables pour prendre le contrôle de la sécurité de votre blog.

Cette extension de sécurité possède de nombreuses fonctionnalités telles que la journalisation des données WordPress… L’audit de sécurité, la recherche des logiciels malveillants et un pare-feu.

All in One WP possède également une section dédiée à la sécurité des bases de données et des systèmes de fichiers, ce qui est très agréable.

L’option de sécurité de la base de données vous permet de changer le préfixe DB de la valeur par défaut à autre chose, afin qu’il soit à l’abri d’attaques automatisées.

De même, l’option de sécurité du système de fichiers vous permet de gérer l’accès à divers fichiers différents, par des plugins et par d’autres utilisateurs.

Cela ajoute une autre couche de sécurité.

Elle offre également une protection contre le spam, qui vous permet d’ajouter un captcha aux commentaires de votre blog, et empêche les soumissions des commentaires par des robots.

Caractéristiques du plugin de sécurité All in One WP Security :

• Classification des dispositifs de sécurité : il classe les mesures de sécurité comme étant de base, intermédiaires et avancées en fonction de l’échelle à laquelle elles fonctionnent et de la possibilité qu’elles brisent ou non une fonctionnalité.
• Score de sécurité : Le tableau de bord vous indique un score de sécurité, où vous pouvez voir quel est votre score actuel et quel est le score maximum réalisable.
• État des fonctionnalités critiques : Il vous indique toutes les fonctionnalités de base que vous devriez avoir sur votre site web pour atteindre au moins un niveau de sécurité minimal.

Coût

La sécurité et le pare-feu “All in one WP Security” sont disponibles gratuitement sur WordPress.ORG.

5.      iThèmes Sécurity

Finissont cette liste des cinq meilleurs plugins de sécurité WordPress avec iThemes Security qui est une autre option que vous pouvez utiliser.

Cette extension de sécurité est assez soignée. ITheme Security possède plus de 30 manières de protéger votre site WordPress contre les attaques.

Le plugin iThemes Security enregistre également les activités de tous les utilisateurs, protège votre site contre les attaques par force brute avec l’authentification à deux facteurs, recherche les logiciels malveillants. Et fait toutes les choses de base et avancées que vous attendez d’un plugin de sécurité.

L’avantage de cette extension est qu’il applique automatiquement les paramètres de base en un seul clic, et qu’ils peuvent être modifiés ultérieurement en fonction des besoins.

Caractéristiques :

• Nettoyage des plugins et détection des 404 ;
• Cette extension vous permet de limiter le nombre des tentatives de connexion
• Authentification à deux facteurs
• Une analyse le code à la recherche de logiciels malveillants et de menaces potentielles pour la sécurité
• Alertes automatiques par courrier électronique, en cas de tentative d’intrusion, ou en cas de téléchargement d’un fichier malveillant sur le serveur

Coût

Une version gratuite de iThemes security est disponible sur la boutique de plugins WordPress. Une version pro avec des fonctionnalités supplémentaires peut être aussi achetée sur le site web de iThemes pour 64$ par an et par site.

Conclusion et avis sur les extensions de sécurité

Voici donc les 5 plugins de sécurité WordPress gratuits que je considère comme suffisants. Il est maintenant assez clair que presque toutes les extensions de sécurité fournissent des fonctionnalités de base comme l’analyse des logiciels malveillants, la protection par pare-feu, la sécurité des connexions, etc.

Une chose qui fait la différence, c’est l’assistance que vous obtenez lorsque vous utilisez le plugin et si votre site web est piraté.

En dehors de cela, il existe certaines petites fonctionnalités, qui sont présentes dans certains plugins de sécurité WordPress, et qui manquent dans d’autres.

Vous pouvez donc examiner les différentes options, puis prendre une décision. Si vous avez des questions, faites-le nous savoir dans la section des commentaires.