March 2017

3 plugins de sécurité WordPress

Pourquoi utiliser un plugin de sécurité WordPress ?

La sécurité de votre site WordPress est un aspect très important qu’il ne faut pas négliger sous peine de voir votre site non disponible, ou être victime d’un préjudice portant atteinte à votre positionnement SEO sur les moteurs de recherche.

On retrouve toujours des sites WordPress professionnels avec la page d’administration accessible et/ou l’identifiant Admin de base qui amènera certainement quelques personnes à faire une attaque BruteFore sur votre page d’administration.Mais qui sont donc toutes ces personnes qui en ont après moi ? Votre concurrent qui souhaite prendre votre place sur les moteurs de recherche, un ado de 15 ans Geek passionné par la sécurité informatique, des hackers souhaitant avoir accès à votre serveur dans le but d’utiliser sa puissance de calcul BruteForce, attaque DDos.

Un petit tour sur le site de Norse vous montrera en temps réel les attaques DDOS dans le monde, impressionnant !

C’est la raison pour laquelle je vais vous parler de 3 plugins de sécurité WordPress connus et reconnu par la communauté WordPress

Je tiens à souligner le fait que ces plugins ont beau avoir étaient réalisés avec le plus grand soin si votre hébergement Web n’est pas de qualité ou que vous manquez de bon sens cela ne vous protégera pas…

Un problème récurent aux plugins de sécurité WordPress est bien la complexité des options proposées ainsi que l’interface utilisateur qui parfois se révèle déroutante. Il ne suffit pas d’installer le plugin et d’appuyer sur tout les boutons sans savoir à quoi cela correspond sous peine de casser votre site.

Chose dite voyons en détailles les “plugins de sécurité sélectionnés pour cette article : SecuPress, Itheme, Wordfence.

SecuPress

Si je commence par SecuPress le nouveau de Wp-Media c’est bien à cause de 2 raisons simples :

  1. Ce plugin a été réalisé par Julio Potier Expert en sécurité informatique (si vous avez assisté à l’une de ses conférences ou vu son travaille cela devrait vous convaincre.)
  2. Certainement l’une des plus belle interface de plugin de sécurité WordPress en mode Apple ( regardez les tweets de Mathieu vous comprendrez…..)

SecuPress est un plugin de sécurité qui existe en deux version l’une gratuite et vous l’aurez devinez l’autre payante. La prise en main est relativement intuitive pour un plugins offrant autant d’options de sécurité.

Tout d’abord il vous est proposé de réaliser un scan de votre installation afin de lister l’ensemble des points pouvant compromettre votre site Web. L’analyse est vraiment complète apportant par ailleurs des points d’informations.

Dans la version gratuite vous pouvez voir après analyse l’ensemble des points à corriger ce qui est fort intéressant autant pour les novices afin de les sensibiliser mais aussi aux développeur expérimentés qui pourront appliquer par eux-même les recommandations faites.

Dans la version payante après analyse de votre site le plugin vous propose de régler l’ensemble des corrections automatiquement. Vous devrez pour cela vérifier que vous ayez bien les droits d’écriture pour que les modifications puissent se réaliser.

Tout cela pour un prix  de 5,99$ par mois ou 57,60$ par ans. Si vous avez plusieurs sites ou travaillez comme freelance ou agence il existe une licence illimité à 479$ à l’année qui s’avère très intéressante en rapport qualité/prix.

Itheme

Itheme, probablement le plugin de sécurité WordPress le plus connu qui par ailleurs est le plus réputé, est un peu la référence WordPress. Bien qu’il ne fasse pas tout il se remarque par certaines fonctionnalités que vous devriez apprécier

  • Vérification du mot de passe
  • Vérification de l’absence d’utilisateur nommé admin
  • Bannissements des utilisateurs indésirables
  • Cache l’espace d’administration de WordPress
  • Détection d’intrusion
  • Limitation des connexions
  • Planificateur de sauvegardes
  • etc…

L’évolution du plugin comporte plusieurs nouveautés intéressantes, parmi lesquelles :

  • Le scanner jQuery vous informera si votre thème est basé sur une version obsolète et vulnérable de jQuery
  • Une nouvelle option pour désactiver l’exécution de PHP dans le dossier uploads
  • La possibilité d’ajouter plusieurs adresses email pour les sauvegardes et les notifications
  • Paramètres de configuration simplifiés
  • Intégration complète avec BackupBuddy

Moi je ne suis pas très fan du Dashboard, au niveau de l’expérience utilisateur il y a mieux cependant ce plugin reste complet pour un prix de 80$ pour 2 sites à 150$ par an en illimité donc vraiment accessible à tous.

Wordfence

Wordfence Security est un scanner en ligne. Ce plugin vous permet de scanner le  répertoires wp-content afin de détecter des fichiers malveillants, la modification des fichiers et thèmes de WordPress ainsi que les plugin non mis à jour. Ce plugin vous envoie automatiquement un email si des utilisateurs se connectent au tableau de bord WordPress.

J’aime assez l’interface présenté par Wordfence qui offre une vision globale sur plusieurs points. Ici la politique de prix est un peu spéciale, cela fonctionne selon le nombre de licence et le nombre d’année bref de 99$/an par site à 9,89$ par an par site pour 1000 sites pendant 5 ans…..

Le mot de la fin

En plus des points de sécurité classiques, il me paraît utile de vous rappeler que la sécurité de votre site WordPress passe également par certains aspects de bon sens  :

  • Un mot de passe fort
  • Une sauvegarde régulière de l’ensemble de votre site WordPress
  • Une mise à jour régulière des plugin et de WordPress
  • Un hébergement WordPress de qualité (WPEngine, Digital Ocean, Kyup…)
  • Une sécurisation des données de base (répertoires, fichier wp-config.php, etc…)

Pour une liste de sécurité c’est plutôt court néanmoins c’est déjà mieux que rien ! Pour plus d’informations sur le sujet je vous conseil de voir les recommandations de sécurité WordPress sur OWASP


Liste des sites recommandés pour aller plus loin :

  • OWASP : Références des mesures de sécurité
  • Boite à Web : Site de Julio Potier Expert en sécurité informatique
  • WordPress.org : WordPress expliqué par WordPress