dans

Quels plugins WordPress pour sécuriser votre site ?

Si le CMS WordPress alimente 35 % des sites web sur Internet, c’est principalement parce qu’il est très facile à utiliser, même pour les non-développeurs.

Et la cerise sur le gâteau, WordPress propose plus de 50 000 plugins pour personnaliser les sites.

Et il s’avère que parmi ces modules, certains permettent de sécuriser votre site. Voici donc les meilleurs plugins et services de sécurité pour WordPress.

La plupart d’entre eux sont payants, mais ils en valent la peine !

Wordfence

Wordfence est sorti de nulle part il y a quelques années et a pris d’assaut le monde de WordPress. Avec plus de 3 millions d’installations actives, près de 3 500 commentaires et une moyenne de cinq étoiles, et près de 200 000 téléchargements rien que la semaine dernière, le plugin Wordfence est un succès.

La version commerciale (oui, il existe une version légère gratuite) est idéale pour gérer plusieurs sites web. Wordfence ne se contente pas de rechercher les logiciels malveillants, mais construit son propre pare-feu pour prévenir le piratage.

C’est une solution de premier ordre pour une couverture de bout en bout des sites WordPress.

Sucuri

Le plugin Sucuri recherche régulièrement les logiciels malveillants et la société propose un pare-feu applicatif web conçu pour bloquer les attaques au niveau des applications, plutôt qu’au niveau des paquets que votre pare-feu matériel est censé traiter. . Comme pour Wordfence (et la plupart de ces produits), Sucuri propose à la fois un plugin gratuit avec plus de 600 000 installations actives et un service payant de qualité supérieure.

Jetpack, le plugin d’Automattic

En tant que gestionnaire de site WordPress, je ne suis pas du tout d’accord avec la politique de Jetpack.

Il s’agit d’un gigantesque ensemble de fonctions et de caractéristiques supplémentaires de WordPress offertes par Automattic, la société commerciale à l’origine de WordPress.

L’idée de Jetpack est de permettre aux nouveaux gestionnaires de sites d’accéder plus facilement à un large éventail de fonctions utiles. Mais c’est un énorme plugin qui ajoute une tonne de possibilités à votre interface, et parfois cela crée beaucoup de confusion.

Cela dit, avec plus de cinq millions d’installations actives, c’est un plugin définitivement populaire. Il offre une protection contre les attaques par force brute, un filtrage du spam, une surveillance des temps d’arrêt, une sauvegarde du site, une mise à niveau de la connexion sécurisée, une analyse des logiciels malveillants et un journal de toutes les modifications apportées au site.

Et ce ne sont là que les fonctions de sécurité offertes ! Etant donné qu’il est proposé par la société qui developpe WordPress, vous pouvez être sûr qu’il est robuste. Si vous ne savez pas quoi faire pour protéger votre site, vous pourriez faire bien pire que d’installer Jetpack, d’activer certaines de ses fonctionnalités et d’acheter l’un des plans les moins chers.

Two Factor et Google Authenticator

WordPress ne propose pas d’authentification à deux facteurs dès le départ. Lorsque vous vous connectez à l’interface de gestion back-end, tout ce dont vous avez besoin est un nom d’utilisateur ou une adresse e-mail et un mot de passe fort.

Heureusement, il est assez facile d’ajouter une authentification à deux facteurs en utilisant soit Two Factor soit Google Authenticator. L’installation et la configuration de l’un ou l’autre de ces plugins ajoute rapidement une couche de sécurité supplémentaire à votre site.

La version gratuite de Two Factor compte plus de 10 000 sites actifs, et il n’y a pas de mise à niveau Premium. Elle est simplement gratuite. Google Authenticator est un outil très complet qui propose de nombreuses options de mise à niveau payantes, allant des méthodes d’authentification supplémentaires aux fonctions d’authentification et de gestion des utilisateurs au niveau de l’entreprise.

ManageWP, le roi de la gestion des mises à jour

ManageWP, propriété de GoDaddy, est ma solution pour maintenir mes sites à jour. Il existe des options premium (et je paie pour certaines de ces fonctionnalités pour certains de mes sites), mais vous pouvez obtenir gratuitement une solide gestion des mises à jour et des sauvegardes avec ManageWP.

Vous installez un plugin ManageWP Worker (plus de 900 000 installations actives), qui communique avec le service ManageWP. Toute la magie se produit dans l’interface web de ManageWP.com.

Je l’utilise comme l’un de mes principaux outils de sauvegarde et elle effectue une sauvegarde quotidienne ou mensuelle de mes sites vers le stockage cloud de mon choix.

Certains de mes sites ne changeront plus jamais, c’est pourquoi la sauvegarde mensuelle gratuite me convient parfaitement. Mais le vrai secret, c’est la gestion des mises à jour.

Plutôt que de devoir me connecter à l’interface d’administration de tous mes sites, je n’ai qu’à me connecter une seule fois à ManageWP, cliquer sur « Update », croiser les doigts et attendre que tous mes sites, tous mes thèmes, tous mes plugins et tous mes fichiers WordPress soient mis à jour automatiquement.

Limit Login Attempts Reloaded

Il existe un plugin appelé Limit Login Attempts, mais il n’a pas été mis à jour depuis un certain temps.

Limit Login Attempts Reloaded est un fork de ce projet open source original qui a été maintenu à jour par ses développeurs. Ce plugin gratuit (avec plus d’un million d’installations actives) fait une chose et le fait bien (et gratuitement) : Il bloque les tentatives de connexion par force brute.

Si un pirate informatique tente de se connecter à votre site, Limit Login Attempts Reloaded cessera de répondre après un certain nombre de tentatives.

Comme les plugins 2FA et ManageWP mentionnés ci-dessus, il s’agit d’une installation simple.

Même si vous n’êtes pas prêt à dépenser un centime pour la sécurité, vous pouvez réduire considérablement votre profil de menace grâce à cette installation.

All In One WP Security & Firewall

Des tonnes de fonctionnalités, une interface utilisateur propre et totalement gratuite. Plus de 800 000 installations.

iThemes Security

Un autre plugin de sécurité complet d’une société qui vend des modules complémentaires pour WordPress depuis des années.

La version gratuite compte plus de 900 000 installations actives. C’est un bon achat si vous utilisez d’autres produits iThemes, en particulier BackupBuddy.

SecuPress

Développé par des développeurs de modules complémentaires WordPress bien connus, SecuPress (avec plus de 20 000 installations actives) possède l’une des interfaces utilisateur les plus propres de cette catégorie. Relativement récent, mais il vaut le coup d’œil.

Plugin SiteGuard WP

Avec plus de 200 000 installations actives, SiteGuard ajoute beaucoup de fonctions de sécurité, mais se concentre sur les connexions. Il est gratuit et un peu difficile à installer, mais les paramètres par défaut fonctionneront pour la plupart des sites.

Sécurité anti-malware et pare-feu Brute- Force

La version gratuite contient plus de 200 000 installations actives et presque tous les commentaires sont cinq étoiles. Elle offre une protection de base pour la connexion, la recherche de logiciels malveillants et à la recherche de certaines vulnérabilités historiques propres à WordPress. C’est une approche intelligente de la défense de WordPress.

BulletProof Security

Il est en fin de liste car bien qu’il fasse son travail, il est un peu difficile à utiliser. La version premium est payante.

La sécurité de WordPress n’est pas un sujet amusant, mais comme il s’agit de l’un des environnements de création de sites web les plus populaires, c’est une cible très tentante.

Les cyber-attaques contre les joueurs sont en augmentation depuis le début de la pandémie