Plugins de sécurité WordPress : 9 signes qu'un plugin est excellent Mise à jour le 20 août 2024 par InMotion Hosting 9 minutes, 50 secondes pour lire Il existe un plugin pour tous les types de fonctions : Sécurité WordPress , optimisation des moteurs de recherche (SEO), accessibilité, expression du fandom de Phil Collins, et même frayer des licornes. Si l'on s'en tient à la sécurité des sites Web, les cybercriminels disposent de nombreux vecteurs d'attaque, notamment : Hameçonnage Logiciels malveillants Mauvaise configuration Mots de passe faibles Déni de service (DoS) Faible ou absence de cryptage De plus, ton cyber-risque peut être accru par les plugins que tu utilises ou par le fait d'en avoir trop. L'un ou l'autre cas peut détériorer les performances globales et augmenter ta surface d'attaque, c'est-à-dire le nombre de façons dont un attaquant peut s'infiltrer dans un système. C'est pourquoi la meilleure pratique consiste à surveiller attentivement l'utilisation des plugins. N'installe que des plugins qui remplissent des fonctions que tu ne peux pas faire toi-même de manière plus efficace. Un plugin de sécurité WordPress aux fonctionnalités complètes est l'un d'entre eux. Comme les brèches peuvent être effectuées par des personnes ou des bots automatisés, tu as besoin de quelque chose qui peut t'aider à sécuriser les données de façon proactive afin que tu passes moins de temps à réagir aux tentatives d'intrusion. Les excellents plugins de sécurité reprennent là où la sécurité des serveurs s'arrête. Ci-dessous, nous aborderons : Ce que les plugins de sécurité WordPress devraient faire Sauvegardes Authentification multi-facteurs (MFA) Géo-blocage Modifier la page de connexion Empêcher l'énumération des utilisateurs Analyse antivirus (AV) Protection contre les spams Permissions Gestion des informations et des événements de sécurité (SIEM) Revue des plugins Est-il mis à jour ? Réputation Premium ou gratuit Test en phase d'essai Les meilleurs plugins de sécurité WordPress Table des matières Ce que les plugins de sécurité WordPress devraient faire Sauvegardes Authentification multi-facteurs (MFA) Géo-blocage Modifier la page de connexion Empêcher l'énumération des utilisateurs Analyse antivirus (AV) Protection contre les spams Permissions Gestion des informations et des événements de sécurité (SIEM) Revue des plugins Est-il mis à jour ? Réputation Premium ou gratuit Test en phase d'essai Les meilleurs plugins de sécurité WordPress Ce que les plugins de sécurité WordPress devraient faire Pendant ta lecture, garde à l'esprit que tu ne trouveras peut-être pas un seul plugin qui fasse bien toutes ces choses. Nous expliquerons quand c'est le cas ainsi que les options réputées, mais tu devrais lire jusqu'à la fin pour mieux comprendre ce qui convient le mieux à tes besoins. Sauvegardes Pourquoi les sauvegardes sont-elles les premières de cette liste ? Parce que rien d'autre ci-dessous n'a d'importance une fois qu'un pirate informatique obtient un accès non autorisé à l'intérieur de ton système. Certaines fonctionnalités telles que l'analyse des journaux et le géo-blocage peuvent les ralentir. Cependant, dans la plupart des cas, pour un seul serveur web Linux, il vaut mieux que tu restaures une sauvegarde connue et que tu vérifies tesmesures de sécurité WordPress . Sinon, ils pourraient simplement surveiller tes tentatives de suppression en temps réel et ajuster leur plan de jeu en conséquence. Les meilleurs plugins de sauvegarde te permettront de : Créer des sauvegardes manuellement Télécharger les sauvegardes complètes de WordPress Planifie les sauvegardes à des heures où le trafic est faible (généralement la nuit). Parce que les sauvegardes comportent de nombreux aspects importants, il peut être préférable d'utiliser un plugin de sauvegarde dédié tel que Total Upkeep ou UpdraftPlus. Backup Manager est le moyen le plus simple de protéger tes données Garde une longueur d'avance sur les problèmes inattendus des sites Web. Backup Manager garde automatiquement tes fichiers, bases de données et courriels en sécurité et récupérables. Obtenir le Backup Manager Authentification multi-facteurs (MFA) Les tables arc-en-ciel sont des bases de données de mots de passe que l'on peut utiliser pour des attaques de mot de passe par force brute et pour connaître la fréquence d'utilisation d'un mot de passe. Elles sont faciles à trouver. Le meilleur exemple blanc que je connaisse est HaveIBeenPwned.com (HIBP) qui te permet de voir combien de brèches ont inclus ton adresse électronique, ton domaine et ton mot de passe. L'authentification à deux facteurs (TFA) garantit que même si quelqu'un devine correctement ton nom d'utilisateur et ton mot de passe WordPress , il devra avoir accès à un deuxième vecteur d'attaque pour reprendre l'attaque. Il s'agit généralement d'un compte de messagerie ou d'un appareil mobile configuré pour recevoir des mots de passe à usage unique basés sur le temps (TOTP). TFA / MFA est utile lorsque la force du mot de passe n'est pas assez élevée. N'oublie pas de faire attention aux escroqueries par hameçonnage de l'AMF. Géo-blocage Le MFA est plus fort lorsque tu peux également bloquer les tentatives de connexion basées sur l'adresse IP et la géolocalisation. Une fonction de pare-feu permettant de s'authentifier là où tu te trouves offre une option alternative aux méthodes courantes d'authentification à trois facteurs: Quelque chose que tu sais Quelque chose que tu as Quelque chose que tu es Modifier la page de connexion Les logiciels malveillants WordPress ciblent généralement le code "/wp-admin" et "/wp-login" car il s'agit de la page de connexion par défaut. Un bon plugin de sécurité WordPress te permettra de bloquer ces pages et les IP qui tentent d'y accéder. Tu pourras alors créer une URL de connexion personnalisée et obscure à la place. Loginizer est populaire parce qu'il met l'accent sur cette fonctionnalité. Les erreurs de connexion à WordPress peuvent exposer les informations des utilisateurs Empêcher l'énumération des utilisateurs L'énumération des utilisateurs est une tentative de découvrir les noms d'utilisateur de connexion. La façon la plus simple de le faire dans WordPress est avec les pages d'auteur (/?author=[numéro]) et l'API REST. Il existe des moyens d'empêcher l'énumération des utilisateurs sans plugin, cette fonctionnalité n'est donc pas indispensable. Cependant, un plugin de sécurité WordPress qui facilite cette opération et redirige les tentatives vers une page 404 mérite d'être pris en considération. Points bonus si le plugin de sécurité WordPress supprime la notification d'erreur de connexion qui vérifie si un nom d'utilisateur existe. Analyse antivirus (AV) Même si tu prends des mesures pour sécuriser ton PC, il se peut que ton scanner AV ne détecte pas tout. D'autres personnes ayant accès au téléchargement de fichiers sur ton site Web peuvent ne pas avoir d'analyseur de fichiers du tout. Un scanner de sécurité WordPress peut compléter ou même remplacer le scanner AV de ton serveur s'il le peut : Effectuer des contrôles d'intégrité avec la gestion des modifications de fichiers (généralement via la somme de contrôle). Mets en quarantaine les fichiers suspects et répare les fichiers centraux de WordPress Ignore les fichiers qui sont modifiés régulièrement Affiche l'historique des résultats des scans précédents Programme les analyses à des moments où les sauvegardes n'ont pas lieu et où la charge du serveur est encore faible. Comme pour les sauvegardes, il peut être bénéfique d'installer un plugin de scanner dédié tel que WPScan. Il se connecte à WPvulnDB.com pour rassembler les rapports de vulnérabilité de diverses sources, y compris Common Vulnerabilities and Exposures (CVE). Protection contre les spams Les commentaires, les formulaires de contact et les forums sont des moyens faciles d'intégrer un code malveillant s'il n'y a pas de validation des données saisies. Akismet et les options natives de modération des commentaires, c'est bien. La possibilité d'ajouter reCAPTCHA ou hCaptcha sans plugin autonome : c'est mieux. Permissions C'est une fonction rare, mais certains plugins te permettent d'ajuster les permissions des fichiers au niveau de la racine de ton site sans te connecter à Secure Shell(SSH) ou à cPanel. L'avantage ici est que tu peux restreindre les fichiers des mauvais agents utilisateurs en tant que contrôle d'accès obligatoire (MAC). Gestion des informations et des événements de sécurité (SIEM) Enfin, ta suite de sécurité WordPress devrait inclure des fonctions d'analyse des journaux pour suivre les changements liés aux fonctionnalités mentionnées ci-dessus. Ceci est distinct des applications et des plugins d' analyse web qui suivent principalement les actions des visiteurs sur ton site web. La haute disponibilité (HA) signifie simplement que la tolérance aux pannes n'est pas totale. S'il y a un problème sur ton serveur web, ton site web risque de tomber en panne. Tu as un problème qui nécessite une attention particulière si ton site Web tombe constamment en panne avec la fameuse erreur WordPress : Erreur lors de l'établissement d'une connexion à la base de données Tu peux résoudre ce problème en paramétrant ton fichier wp-config.php pour qu'il répare automatiquement la base de données. Cependant, tu devrais noter quand et à quelle fréquence ce problème et d'autres problèmes similaires se produisent afin de déterminer les schémas qui conduisent à des temps d'arrêt. Cela peut t'aider à décider si tu dois nettoyer ta base de données, mettre à niveau ton plan d'hébergement Web ou configurer la mise en cache. Ton plugin de sécurité WordPress devrait avoir la possibilité de t'alerter par email en indiquant : Quand ton site est tombé en panne Quand il est remonté Combien de temps est-il resté en panne ? Une brève explication de la raison pour laquelle il pourrait être en panne Selon l'erreur, tu devras peut-être ajuster les paramètres de mise en cache, contacter ton hébergeur au sujet des attaques DoS ou prendre d'autres mesures proactives pour sécuriser tes données. Dis adieu aux temps de chargement lents et bonjour aux sites web performants avec nos nouveaux plans d'hébergementWordPress VPS. Fais l'expérience de vitesses de chargement de pages WordPress 40x plus rapides sur des serveurs spécialement conçus qui garantissent un temps de disponibilité de 99,99 %. VPS haute performance Assistance entièrement gérée SSL gratuit et IP dédiée Mise en cache avancée du serveur WordPress géré Revue des plugins Voici quelques facteurs à prendre en compte lorsque tu parcours les plugins de sécurité WordPress Est-il mis à jour ? Lorsque tu examines les pages des plugins de sécurité WordPress , vérifie les lignes "Dernière mise à jour" et "Testé jusqu'à". WP Content Security Plugin te permet de créer un en-tête HTTP CSP. Cependant, en date de janvier 2021, la page du plugin indique : Ce plugin n'a pas été testé avec les 3 dernières versions majeures de WordPress. Il se peut qu'il ne soit plus maintenu ou pris en charge et qu'il présente des problèmes de compatibilité lorsqu'il est utilisé avec des versions plus récentes de WordPress. Cela représente potentiellement trois versions de vulnérabilités de sécurité du noyau de WordPress , et les avantages n'en valent pas la peine. Dans ce cas, tu devrais plutôt utiliser le plugin HTTP Headers. Réputation Combien d'installations actives le plugin a-t-il ? Que disent les commentaires ? Combien de sujets dans les forums sont résolus ou au moins traités ? Ces facteurs permettent de déterminer si le développeur assure activement la maintenance du plugin. Premium ou gratuit Si un plugin de sécurité WordPress possède à la fois une version gratuite et une version premium, cela devrait signifier que le développeur est suffisamment bien rémunéré pour maintenir les deux versions pendant longtemps. Puisqu'il existe d'excellents plugins de sécurité disponibles gratuitement, la question devient : qu'est-ce que la version payante d'un plugin a de spécial ? Les caractéristiques premium peuvent inclure : Aide au nettoyage des logiciels malveillants Assistance en cas d'incident après un piratage Audit de sécurité approfondi Mises à jour plus rapides des signatures AV Ensuite, tu dois te demander à quel point tu peux faire confiance à l'équipe de développement pour tes informations personnelles identifiables (PII), les infos de ta carte de débit et tes données privées. De plus, il se peut que tu aies déjà un abonnement pour gérer cela, comme le pare-feu d'application web (WAF) de Sucuri. Test en phase d'essai L'endroit le meilleur et le plus sûr pour faire un examen du plugin est un site de mise à l'essai ou un environnement de développement local. Si tu n'as pas l'un d'entre eux, teste le plugin pendant un temps d'arrêt ou une session de maintenance programmée. Vérifie si le plugin entre en conflit avec d'autres plugins que tu as installés : Les éléments de la page ne se comportent pas comme prévu "La page blanche de la mort" Erreurs obscures Tu peux résoudre les problèmes en privé avant de l'intégrer sur ton site en direct. Les meilleurs plugins de sécurité WordPress En général, tu ne devrais pas utiliser plus d'un plugin de sécurité WordPress . Cependant, comme nous l'avons mentionné avec les scanners et les gestionnaires de sauvegarde, il peut être bénéfique d'utiliser plusieurs plugins qui améliorent la sécurité mais de manière non liée. Sécurité Cerber - Anciennement connue sous le nom de WP Cerber, la version gratuite couvre les fonctionnalités de durcissement évoquées ci-dessus et plus encore. Cela comprend l'antispam, le reCAPTCHA, les analyses et bien plus encore. Tu obtiens les fonctionnalités attendues dans la version payante. Wordfence - Ce plugin couvre les mêmes fonctionnalités que Cerber Security mais avec une interface plus conviviale. Tu bénéficies des fonctionnalités attendues et des mises à jour en temps réel des paramètres de la liste noire et du pare-feu dans la version payante. VaultPress - Ce plugin est un plugin payant de sécurité et de sauvegarde populaire pour sa facilité d'utilisation. Les menus et les écrans sont simples à parcourir pour les utilisateurs non techniques. Cependant, ce n'est pas un excellent choix pour le multisite (MU) pour deux raisons. Premièrement, chaque site nécessite l'achat d'une licence distincte. Deuxièmement, le plugin ne sauvegarde que les fichiers communs lorsqu'il s'agit d'un réseau avec plusieurs sites. Jetpack - Non seulement Jetpack s'intègre à VaultPress, mais c'est aussi une excellente option pour de nombreuses fonctions différentes. Jetpack peut t'aider à créer et à concevoir ton site, à l'optimiser pour les clients mobiles et à le garder sécurisé. En ce qui concerne la sécurité, Jetpack est excellent pour arrêter les attaques par force brute et t'informera également des temps d'arrêt du site Web, que tu pourras ensuite surveiller pour voir s'ils sont dus à des problèmes de serveur ou à un véritable piratage. Sucuri Security - L'une des caractéristiques qui en font un si bon choix est qu'il te permet de rechercher en permanence (et à distance) les problèmes de logiciels malveillants sur ton site Web. Contrairement à de nombreux plugins, il te propose également des actions que tu peux entreprendre si un pirate informatique parvient à passer. Pare-feu BBQ - Anciennement connu sous le nom de "Block Bad Queries", il bloque simplement les requêtes malveillantes telles que les URL comprenant des injections SQL et des exécutables (.exe). Il fonctionne bien avec d'autres suites de sécurité mais peut s'avérer inutile en fonction de ton principal plugin de sécurité. En-têtes HTTP - Comme mentionné précédemment, ce plugin t'aide à créer et à gérer les en-têtes HTTP pour améliorer la sécurité, la confidentialité et les performances sans avoir besoin de modifier le fichier .htaccess. Comme BBQ Firewall, il fonctionne de manière transparente avec d'autres plugins de sécurité. Pour annuler l'utilité de ce plugin, tu devras modifier ton fichier .htaccess manuellement. Ma recommandation : Installe Cerber Security ou Wordfence Installe Total Upkeep ou un autre plugin de sauvegarde Planifie des sauvegardescPanel et/ou des instantanés en fonction de l'environnement de ton serveur. Installe le plugin HTTP Headers et configure tous les en-têtes HTTP de sécurité. Assure-toi d'utiliser la dernière version de PHP et prépare-toi à PHP 8. Trouver un moyen d'intégrer les extensions de sécurité DNS (DNSSEC) Améliore l'authentification des courriels Mettre en place des indicateurs de marque pour l'identification des messages (BIMI) En savoir plus sur les plugins de sécurité WordPress recommandés. Ou découvre d'autres possibilités grâce à nos autres tutorielsWordPress . Partager cet article Articles connexes Comment protéger le VPS des attaques DDoS ? La panne d'AWS le montre clairement - La diversité des infrastructures est importante Agence de marketing Cybersécurité : protéger les sites des clients à grande échelle Architecture Zero Trust : un guide pratique pour les environnements hébergés et les équipes numériques en pleine croissance Durcissement du serveur : Un cadre complet Le guide ultime de la sécurité des sites Web WordPress : Protège ton site comme un pro Plugins périmés : Un guide complet pour sécuriser et mettre à jour ton site web WordPress Journée Safer Internet - Mets de l'ordre dans ton jeu de sécurité Pourquoi dois-tu sauvegarder ton site Web ? Que faire si ton site est victime d'un ransomware ?
