August 2017

Services de sécurité Web WordPress

La sécurité informatique de votre site WordPress est un élément relativement important qui se doit d’être pensée dés le début de chaque projet Web. La sécurité Web WordPress est un sujet relativement large qui demande beaucoup de temps et surtout de la pratique. C’est la raison pour laquelle je souhaitais vous présenter quelques services se chargeant de maintenir votre site Web WordPress à l’abri d’attaques pouvant nuire à votre positionnement.

Service de sécurité Web WordPress Cloudflare Pro

Vous connaissez certainement le service proposé gratuitement par Cloudflare, toutefois si vous n’avez jamais utilisé les services payants de Cloudflare vous ne pouvez pas bénéficier des services pro comprenant une protection WAF ainsi que plusieurs règles vous permettant de gérer plus finement le traffic de votre site.

En utilisant les bases de données du projet Honeypot, et ses propres systèmes de détection d’attaques de botnet et de spam, Cloudflare est capable de bloquer ces ordinateurs à la source. Cela signifie que si un botnet vous attaque ou qu’un spammeur souhaite vous nuire, il sera directement bloqué par Cloudflare. Cela ne fonctionne que si l’attaquant pointe ses armes vers votre nom de domaine et non directement vers l’ip de votre serveur. C’est le cas de la plupart des attaques de botnet.

Avantages de CloudFlare Pro

La version pro de Cloudflare propose un firewall qui est capable de bloquer les attaques automatisées, les injections SQL et XSS…etc etc. Hormis cela, vous pouvez également activer certaines options tel que l’optimisation de votre site comme par exemple l’auto-minify des CSS, JS et HTML. En d’autres mots, les CSS, JS, HTML que Cloudflare enverra, seront optimisés pour en réduire le temps de chargement. Par ailleurs vous pouvez consulter les attaques bloquées.

Enfin, une des options intéressante:  le preloader. En effet, après le chargement de la première page, le preloader va commencer à charger les ressources statiques des pages linkées pour donner l’impression aux visiteurs que la page se charge très vite.

  • Protection Waf
  • Pages Rules
  • CDN avancé
  • Optimisations CDN Argo

Service de sécurité Web WordPress Sucuri

Sucuri est certainement l’une des sociétés de sécurité Web la plus connue aujourd’hui rachetée par Godaddy. Sucuri est également une des organisations qui sponsorise Wpscan .

Le plus grand avantage de Sucuri c’est la garantie de sécurité de votre site web. En plus de cela, le pare-feu rend votre site plus rapide étant couplé à un CDN, et permet d’éviter des panne du serveur.

Dès que le pare-feu Sucuri est activé, vous commencez à voir la différence au niveau de vos performance. Aujourd’hui, la plupart des possesseurs de site Web pensent que ce type de service correspond seulement à de grosses sociétés.

Or les petits sites constituent des cibles plus faciles pour les pirates, justement parce qu’ils ne prennent pas de précautions de sécurité. Au moment même où vous lisez cette article, votre site est probablement sujet à des attaques sans que vous n’en soyez au courant.

Sucuri Firewall

Proposé à partir de 10€/mois vous permet de bénéficier d’un plugin de sécurité renfermant un ensemble d’options. Le étant but d’accroître votre protection ainsi que vos performances. Un fois installé le plugin Sucuri vous demande de renseigner votre API Key pour activer les fonctionnalités.

  1. L’installation de Sucuri: Afin d’installer les nouveaux paramètres de configuration vous devez installer le plugin de Sucuri que vous trouverez dans le répertoire de WordPress.
  2. L’utilssation du Firewall demandera quelques manipulation chez votre fournisseur de noms de domaines afin de pointer votre site vers l’ip du Firewall ainsi que le changement des serveurs DNS si vous désirez utiliser le service gratuit de CDN. ( Vous avez la possibilité d’utiliser uniquement le service de FireWall et utiliser votre fournisseur de CDN habituel.)
  3. Réglages: lorsque votre plugin est installé vous devez copier et coller votre clé API Firewall.
  4. Tel que SecuPress de WP-Media, vous avez la possibilité de fortifier votre installation ( Hardening).
CDN Sucurimore
Certificat SSL & Optionsmore
Sécurité Sucurimore

Web Security Plateform

C’est un service proposé par Sucuri à partir de 199€/an dans le cas où votre site a été piraté. Cet offre vous permet :

  • nettoyer votre site WordPress des Malwares.
  • enlever votre site de la blacklist Google.
  • veiller à votre site en temps réel.

Web Security Plateform se charge de veiller au bon fonctionnement de votre site en réalisant un monitoring continu de votre site Web. Vous bénéficiez par ailleurs des services de l’offre Sucuri firewall avec une protection WAF ainsi qu’une optimisation de vos performances grâce à un CDN optimisé contre les attaques DDOS.

De plus, vous avez la possibilité de prendre uniquement l’offre comprenant le Firewall offrant un service CDN gratuit. J’utilise personnellement ManageWP pour analyser mes sites. ManageWp se connecte à 9 plateformes pour vérifier votre site.

Si vous utilisez ManageWP n’oubliez pas d’indiquer à Sucuri les IP à mettre en Whitelist sinon vous risquez d’ëtre bloqué.Par  ailleurs si vous utilisez le service de Uptime chez ManageWP vous deez Whitelister les Adresses IP des Bots Uptimes qui sont gérés par une autre société afin de ne pas avoir une fausse alerte de Downtime

Liste des services consultés :

Google Safe Browsing En savoir plus….
Norton Safe Web En savoir plus….
Phish tank En savoir plus….
Opera browser En savoir plus….
SiteAdvisor En savoir plus….
Sucuri Malware Labs blacklist En savoir plus….
SpamHaus DBL En savoir plus….
Yandex (via Sophos) En savoir plus….

Le mot de la fin

Il existe un ensemble de sociétés proposant des services de CDN et des protections WAF. Toutefois je souhaitais partager principalement ces 2 entreprises qui restent les plus connues et reconnues. En effet, la sécurité web WordPress de votre site est une processus se devant d’être opéré dés le début de tout projet Web. La sécurité n’est pas un produit, c’est un procédé qui évolue au fil du temps. Faire appel à des professionnels est un gain de temp et d’argent considérable. Une bonne alternative reste SecuPress, un plugin de sécurité qui ne se chargera pas de proposer une protection WAF néanmoins grâce à l’ensemble de ces fonctions votre site sera fortement protégé.

Dans le cas où vous le désirez une option intéressante qui de plus est utilisé par Sucuri reste Wp-Hardening. Cet application est offert gracieusement sur GitHub. C’est une application en ligne de commande vous permettant de fortifier votre site.

Thierry Gustin

Consultant WordPress spécialisé en référencement naturel se charge d'accompagner les petites et grandes entreprises afin de gagner en visibilité sur les moteurs de recherche.Optimisation du Google Crawl Budget, analyse sémantique, stratégie SEO