La sécurité de votre site WordPress est primordiale. Aujourd’hui nous vous présentons 9 extensions WordPress essentielles (et gratuites) pour améliorer la sécurité de votre site. Dans nos prochains articles, nous aborderons les autres mesures à mettre en place, ainsi que les outils pour tester la sécurité de votre site internet.
Note importante: aucune des suggestions et recommandations de cet article ne demande de savoir coder.
A. Extension de sauvegarde WordPress (backup)
Les sauvegardes sont votre première défense contre toute attaque WordPress.
Car c’est impossible de sécuriser un site à 100%. Même les plus grands de ce monde se font pirater. Il faut donc être capable de se remettre sur pied le plus rapidement possible.
Pour cela, s’assurer que votre hébergement ait une politique de sauvegarde solide est important, sur le serveur et hors serveur.
Mais avoir sa propre sauvegarde donne des options supplémentaires. En particulier, votre hébergeur ne peut pas garder des mises à jour quotidiennes pour les 30 derniers jours. Et croyez-moi, cela peut être utile, car on ne se rend pas nécessairement compte immédiatement qu’on a un problème.
Votre hébergeur n’aura sans doute pas les sauvegardes de votre site d’il y a 15, 25 ou 30 jours!
C’est pourquoi des sauvegardes faites avec l’extension (plugin) UpdraftPlus et stockées sur un service Cloud comme Amazon, Dropbox ou Google Drive, c’est vraiment une superbe solution! On peut garder autant de sauvegardes qu’on veut. Vous pouvez paramétrer une sauvegarde automatique une fois par jour ou des sauvegardes en temps réel. Il suffit d’avoir assez d’espace disque pour stocker toutes ces copies.
UpdraftPlus: + 3 million d’installations, note 5 sur 5
Ou si vous n’avez pas assez d’espace disque, et que vous ne voulez pas acheter de l’espace supplémentaire, vous pouvez quand même faire des sauvegardes hebdomadaires, bi-mensuelles ou mensuelles. Leur fréquence dépend aussi de la fréquence des changements que vous faites sur votre site.
Un point important dans le choix de la solution à utiliser, c’est la facilité de restaurer le site à partir d’une sauvegarde. En effet, si, par exemple, vous dépendez de votre hébergeur pour restaurer votre site, et qu’il ne vous assiste pas, vous êtes dans une position “compliquée”.
Avec une extension comme UpDraftPlus, restaurer une sauvegarde se fait en un seul “click”!
B. Extension de sécurité WordPress
Une extension de sécurité vous protégera de nombreuses attaques, tentatives de connexion, insertion de code malveillant, attaques par force brute, le vol de données, etc. Certaines extensions offrent une protection pour certaines de ces attaques, et d’autres adressent des problèmes spécifiques.
Cela inclut la surveillance de l’intégrité des fichiers, les tentatives de connexion infructueuses, l’analyse des logiciels malveillants, etc.
Mentionnons donc WordFence et Sucuri.
Sucuri: +700,000 installations, note 4,5 ; Wordfence: + 4 millions installations, note 4,5
Si vous cherchez une extension facile à configurer, à utiliser et qui offre une protection complète, considérez Wordfence et Sucuri. Mais quelle est la meilleure?
Voici un article qui a fait une analyse comparative des deux: “Wordfence ou Sucuri – Lequel est le meilleur? (comparaison)” (Wordfence vs Sucuri – Which One is Better? (Compared)).
Cet article (en anglais) est intéressant car il vous donne des informations pratiques sur l’installation et la configuration des deux extensions.
Mais voyons les grandes lignes de ce que vous apportent ces deux plugins.
Que vous offre-t-on les extensions Wordfence ou Sucuri?
-
Un pare-feu d’application de site Web (WAF)
Sucuri et Wordfence offrent un pare-feu d’application Web, c’est-à-dire une surveillance du trafic de votre site Web et un blocage des menaces de sécurité courantes.
Sucuri a l’avantage d’être basé sur le Cloud, ce qui signifie qu’il bloque le trafic suspect avant même qu’il n’atteigne votre serveur d’hébergement. Cela permet d’économiser beaucoup de ressources serveur et améliore instantanément la vitesse de votre site Web. Les serveurs CDN de Sucuri sont situés dans différentes régions, ce qui ajoute encore à la vitesse de votre site internet.
Par contre, vous devrez modifier les paramètres DNS de votre nom de domaine pour utiliser le pare-feu de Sucuri. Ainsi tout le trafic de votre site Web passera par les serveurs de Sucuri. Et le pare-feu Sucuri fait partie du service payant.
-
Une surveillance et des alertes de sécurité
Les extensions Wordfence et Sucuri offrent toutes les deux des options de notifications, en cas d’événements comme des tentatives de piratage et des attaques, des tentatives de connexion utilisateurs, etc. Elles sont accessibles dans la zone administrative de WordPress mais plus important encore, par l’envoi de notifications par e-mails.
Pour cela, assurez-vous que votre site WordPress envoie correctement des emails. Vous pouvez utiliser un service SMTP pour améliorer la déliverabilité des e-mails envoyés par votre site WordPress.
Les infolettres de ces compagnies sont aussi très instructives pour connaître les dernières vulnérabilités ou attaques majeures sur l’internet.
-
Un scan de logiciels malveillants
Les deux plugins scannent votre site WordPress pour détecter les logiciels malveillants, les fichiers modifiés et le code malveillant. Sucuri a l’avantage d’utiliser moins de ressources de votre serveur, ce qui est particulièrement utile si vous avez un hébergement mutualisé.
Sucuri vous indique aussi si des fichiers du logiciel de base de WordPress ont été modifiés. Cela peut être utile, mais sachez que parfois de telles modifications sont normales.
Wordfence vous montre les fichiers auxquels les pirates (hackers) ont tenté d’accéder (de quoi faire peur!) et le nombre de “brute force attacks” que votre site a subi au cours de la dernière journée, semaine ou mois. Vous voulez ainsi mettre en place des mesures pour éviter ces attaques, en particulier en limitant les tentatives de connexion.
-
Le nettoyage de site Web piraté
Il n’est pas facile de supprimer les logiciels malveillants ou infections et de nettoyer les fichiers affectés par un piratage, même pour votre développeur web.
Un tel nettoyage n’est donc pas offert dans les versions gratuites de Wordfence ou de Sucuri.
Wordfence l’offre comme un service séparé. Ils analysent le site, font le nettoyage, examinent comment les pirates ont eu accès au site et donnent des suggestions de mesures de prévention à mettre en place pour l’avenir.
Avec leurs plans payants, Sucuri offre également le nettoyage de sites piratés. Cela comprend le nettoyage du site, la suppression de la liste noire, la réparation du spam SEO (SEO spam repair) et la protection WAF (web application firewall, pare-feu) pour une prévention future.
Quelle est la meilleure des extensions de sécurité : Wordfence ou Sucuri?
L’article d’analyse comparative mentionné ci-dessus conclut qu’elles sont toutes les deux excellentes mais que Sucuri est la meilleure des deux extensions de sécurité.
Ses avantages importants incluent son pare-feu basé sur le Cloud qui améliore la performance du site Web tout en bloquant les attaques par force brute et le trafic malveillant, et les scans côté serveur.
Par contre ce pare-feu ne fait pas partie de la version gratuite de Sucuri et le CDN Clouflare (gratuit) inclut aussi un pare-feu hors serveur et améliore en même temps la performance de votre site, grâce au caching de certains éléments (images, etc.). Un CDN est particulièrement utile si vos visiteurs viennent de différentes zones géographiques, dont certaines peuvent être à une grande distance de votre serveur.
Pour plus d’information, voir notre article (à venir) : Comment configurer Sucuri dans votre site WordPress?
C. Extension pour surveiller la santé de votre site WordPress
L’extension Wordfence vous donne un certain nombre d’informations sur la santé de votre site WordPress, soit dans le back-office ou grâce aux notifications par e-mail.
Mais dans cette section, parlons de ManageWP, qui a un rôle particulier, parmi les extensions présentées dans cet article.
En effet, grâce à cette extension, vous savez immédiatement quels thèmes et extensions ont des vulnérabilités connues.
Mais ManageWP a beaucoup d’autres avantages. Elle vous permet de :
Image: ManageWP
- Connecter tous vos sites WordPress à votre compte ManageWP et ainsi gérer tous vos sites à partir d’un seul tableau de bord. J’utilise cette extension depuis plusieurs années, et elle facilite beaucoup le travail de suivi des installations WordPress. La seule crainte que j’ai, est que des pirates aient accès au back-office de tous mes sites WordPress, simplement en ayant piraté mon compte ManageWP!
- Scanner vos sites WP pour du code malveillant
- Faire des mises à jour de tous vos sites en un seul clic (par exemple, vous pouvez sélectionner le nombre de sites de votre choix et mettre à jour le logiciel de base WordPress en un clic. Même chose pour le thème de votre choix, ou l’extension de votre choix. Vous pouvez même sélectionner tous vos sites, pour une mise à jour de tous les thèmes et les extensions (prudence ici: assurez-vous d’avoir les sauvegardes adéquates).
- Optimiser les bases de données, les révisions d’articles et les commentaires de chaque site
- Paramétrer une sauvegarde mensuelle gratuite des sites (la version payante permet des sauvegardes plus fréquentes)
- Restaurer une sauvegarde en un clic
- Tester la performance de vos installations WP.
Bref, c’est une extension fort utile.
D. Extension de pare-feu d’application Web (WAF)
Nous avons déjà mentionné les pare-feux dans la section précédente sur les extensions de sécurité. Un pare-feu bloque le trafic malveillant.
Il peut être mis en place au niveau DNS, c’est-à-dire avant d’atteindre votre serveur d’hébergement, ou au niveau de l’application, c’est-à-dire une fois que le trafic a atteint le serveur mais avant de télécharger les scripts WordPress.
Un pare-feu au niveau DNS a l’avantage de réduire les ressources nécessaires chez votre hébergeur.
Sucuri et Cloudflare offrent tous les deux des pare-feux au niveau DNS. Et avec l’extension Wordfence, vous pouvez configurer un pare-feu au niveau de WordPress.
E. Extensions pour protéger des connexions d’utilisateurs non désirées
Les tentatives de piratage WordPress les plus courantes utilisent des mots de passe volés.
Il y a plusieurs façons de protéger votre site que nous abordons ici.
En premier lieu, assurez-vous que vos identifiants et vos mots de passe soient sécuritaires (complexes) et limitez les permissions de vos utilisateurs.
Ensuite, limitez les connexions frauduleuses grâce à ces extensions :
-
Extension Wordfence
Une des fonctionnalités offerte par cette extension est le fait de bloquer les IPs qui font des tentatives répétées de se connecter à la zone administrative (back-office) de WordPress. Vous pouvez paramétrer comme vous le souhaitez : par exemple bloquer immédiatement ceux qui utilisent un identifiant qui n’existe pas, limiter le nombre de tentatives avec des mots de passe erronés, définir la durée du blocage, etc.
Il existe d’autres extensions pour bloquer les connexions frauduleuses, mais attention, certaines n’ont pas été mises à jour depuis longtemps, et je ne suis pas certaine qu’elles offrent un avantage par rapport à Wordfence.
-
Extension d’authentification à double facteur (two-factor authentification)
Qu’est-ce qu’une extension d’authentification à deux facteurs (ou double facteur)?
C’est tout simplement ce que vous utilisez déjà quand vous vous connectez à votre compte en banque en ligne et qu’on vous demande d’entrer un code que vous recevez sur votre téléphone mobile.
Vous pouvez mettre en place cette protection avec l’extension Two Factor Authentication.
Pour plus d’information, voir notre article (à venir) : Comment installer et paramétrer l’authentification à deux facteurs dans WordPress?
-
Extension de questions supplémentaires lors de connexion
Si vous ne souhaitez pas mettre en place l’authentification à double facteur, vous pouvez considérer l’extension WP Security Questions qui vous permet d’ajouter une question de sécurité au moment de la connexion.
Attention: au moment où nous écrivons cet article, l’extension n’a pas été mise à jour depuis 12 mois.
-
Extension pour déconnecter automatiquement les utilisateurs inactifs
Votre banque vous déconnecte automatiquement lorsque votre session en ligne est inactive pendant 10 minutes, par exemple. Elle le fait car une session “ouverte” est un risque à la sécurité. Un hacker peut accéder à votre compte, faire des modifications, changer des mots de passe, etc.
Dans WordPress, vous pouvez installer et activer l’extension Inactive Logout.
Vous pouvez ensuite paramétrer la durée d’inactivité de l’utilisateur ainsi que le message de déconnexion.
Avec ces extensions en place, vous aurez nettement amélioré la sécurité de votre site WordPress et WooCommerce.
Ajoutons maintenant deux extensions indispensables pour stopper ou éliminer les commentaires indésirables (spam).
-
Extension pour se protéger des commentaires indésirables (spam)
Si ceux-ci ne mettent pas véritablement à risque la sécurité de votre site, ils sont quand même particulièrement nuisibles. En effet, ils peuvent littéralement envahir votre liste d’envoi d’infolettres, ou les commentaires d’un article et encore plus ennuyeux, les avis clients sur vos produits.
-
-
Extension Askimet
-
Askimet est une extension anti-spam pré-installée avec WordPress, qui filtre les commentaires sur votre site et détecte les commentaires indésirables.
Pour l’activer, il faut vous inscrire pour obtenir une clé API. Askimet est gratuit pour les blogs personnels et les petits sites.
-
-
Extension ReCAPTCHA
-
Il existe un certain nombre d’extensions pour mettre en place un ReCAPTCHA pour filtrer vos commentaires, vos avis clients et les inscriptions à votre infolettre.
Le ReCAPTCHA est une technologie qui permet de différencier les robots des utilisateurs humains. CAPTCHA est un acronyme pour “Completely Automated Public Turing test to tell Computers and Humans Apart” (test complètement automatisé pour distinguer les ordinateurs et les humains).
Pour sélectionner une des ces extensions, vous pouvez faire une recherche sur le site WordPress.org. Regardez si elle a été récemment mise à jour, si elle est compatible avec la version la plus récente de WordPress, combien de fois elle a été installée (sa popularité) et la note moyenne qu’elle a reçue.
Au moment où nous écrivons cet article, l’extension Login No Captcha reCAPTCHA répond à ces critères.
Conclusion
Aujourd’hui, vous ne devez pas négliger la sécurité de votre site WordPress ou de votre boutique en ligne WooCommerce. Votre site est essentiel au succès de votre entreprise.
Même si vous ne savez pas coder, vous pouvez mettre en place les extensions que nous avons présentées dans cet article pour améliorer la sécurité de votre site.
Dans un prochain article, nous aborderons les autres mesures que vous pouvez mettre en place pour la sécurité de votre site et des tests disponibles pour vérifier l’état de santé de votre site.
N’oubliez pas de vous inscrire à notre infolettre pour recevoir nos prochains articles.
Si vous avez besoin d’aide pour améliorer la sécurité de votre site, contactez-nous. Nous sommes là pour vous aider.
À lire également : notre article sur les statistiques de vulnérabilités du logiciel WordPress, des thèmes et extensions.