Free Press

Avant de nous plonger dans certains plugins de sécurité WordPress, commençons par un exemple. Disons que vous achetez une nouvelle maison. Ce nouvel investissement passionnant nécessite un acompte important que vous n’avez probablement pas l’habitude de dépenser. Et, bien sûr, vous devez payer des frais d’inspection avant d’acheter. Viennent ensuite les paiements de l’hypothèque et de l’assurance, qui sortent directement de votre poche.

On dit que l’achat d’un bien immobilier est l’un des meilleurs investissements que vous puissiez faire, mais cet investissement est coûteux. Pour un investissement d’une telle valeur (et quelque chose qui pourrait vous faire gagner beaucoup d’argent à l’avenir), ne voudriez-vous pas le protéger au mieux ?

C’est pourquoi vous achetez une assurance et envisagez de mettre en place un système d’alarme ou quelques caméras de sécurité. De nombreux experts suggèrent de placer au moins un panneau de système de sécurité sur votre porte, pour effrayer ceux qui ne veulent pas prendre de risques. Toute cette sécurité est destinée à protéger l’investissement initial, ainsi que le potentiel de cet investissement à l’avenir.

Et vous devriez penser de la même manière lorsqu’il s’agit de votre site Web WordPress.

Démarrer un blog, un site de commerce électronique ou un site de petite entreprise nécessite un investissement initial pour des articles pour des services et des produits comme l’hébergement, les thèmes, les plugins et le développement du site Web. Cela ne comprend pas l’aide que vous devez embaucher, comme les représentants du service à la clientèle ou les vendeurs.

Cet investissement initial seul est suffisant pour sécuriser votre site Web dès le départ. Mais plus important encore, vous vous assurez de ne pas oublier de protéger l’argent potentiel que vous allez gagner à l’avenir.

Par défaut, le noyau de WordPress a quelques mesures de sécurité en place, mais ce n’est rien comparé à ce qu’un plugin de sécurité réputé fait pour vous. Par exemple, les meilleurs plugins de sécurité WordPress offrent ce qui suit :

• Surveillance active de la sécurité
• Analyse des fichiers
• Analyse des logiciels malveillants
• Surveillance des listes noires
• Durcissement de la sécurité
• Actions post.piratage
• Pare-feu
• Protection contre les attaques par force brute
• Notifications lorsqu’une menace de sécurité est détectée
• Bien plus

Votre première priorité devrait être un hébergement sécurisé

La sécurité de votre site est seulement aussi bonne que le backend et la fondation sur lesquels il fonctionne. C’est pourquoi il est important, avant de chercher des plugins de sécurité, que vous choisissiez un hébergeur WordPress qui a des mesures de sécurité déjà en place, comme Kinsta. Beaucoup de ces mesures de sécurité sont effectuées au niveau du serveur, et peuvent être beaucoup plus efficaces, sans nuire aux performances de votre site. Sans parler du fait que vous n’avez pas à passer du temps à tripoter un tas de paramètres de sécurité dans des plugins qui, dans votre cas, ne comprennent peut-être même pas leur fonctionnalité ou leur but.

Voici quelques fonctions de sécurité que Kinsta offre sur tous les plans d’hébergement géré WordPress.

• Kinsta détecte les attaques DDoS, surveille le temps de fonctionnement et bannit automatiquement les IP qui ont plus de 6 tentatives de connexion échouées en une minute.
• Seules les connexions SFTP et SSH cryptées (pas de FTP) sont prises en charge lors de l’accès direct à vos sites WordPress (voici la différence entre FTP et SFTP).
• Des pare-feu matériels, ainsi que des mesures de sécurité actives et passives supplémentaires sont en place pour empêcher l’accès à vos données.
• Nos restrictions open_basedir ne permettent pas non plus l’exécution de PHP dans les répertoires communs qui sont sujets à des scripts malveillants.
• Kinsta utilise des conteneurs Linux (LXC) au-dessus de Google Cloud Platform (GCP) qui fournit une isolation complète non seulement pour chaque compte, mais aussi pour chaque site WordPress séparé. C’est une méthode beaucoup plus sûre que celle proposée par d’autres concurrents. GCP emploie également le cryptage des données au repos.
• Kinsta n’exécute que les versions prises en charge de PHP : 7.2, 7.3 et 7.4. Les versions non prises en charge de PHP sont dangereuses en raison du fait qu’elles ne disposent plus de mises à jour de sécurité et sont exposées à des vulnérabilités de sécurité non corrigées.
• Rien n’est jamais à l’abri d’un piratage à 100 %, et c’est pourquoi Kinsta fournit des correctifs de piratage gratuits pour tous les clients.

Il est important de noter que beaucoup de plugins de sécurité causent des problèmes de performance en raison de leurs fonctionnalités toujours actives et de balayage. C’est pourquoi Kinsta interdit certains plugins de sécurité (pas tous). Kinsta utilise également des équilibreurs de charge avec Google Cloud Platform, ce qui signifie que dans certains cas, les fonctionnalités de blocage d’IP de certains plugins de sécurité ne fonctionneront pas comme prévu.

Si vous êtes un client de Kinsta, nous vous recommandons vivement d’utiliser une solution telle que Cloudflare ou Sucuri, avec Kinsta, si vous avez besoin d’une protection supplémentaire ou d’une aide pour diminuer le trafic des robots et ou des proxy. Consultez notre article de blog sur la façon dont Sucuri a aidé à atténuer facilement une attaque DDoS. Pour les utilisateurs de Cloudflare, ce sont nos paramètres de pare-feu recommandés.

Cependant, tous les hôtes ne vont pas avoir une sécurité aussi serrée en place que Kinsta, et c’est là que les plugins de sécurité WordPress peuvent être très bénéfiques.

Les meilleurs plugins de sécurité WordPress en 2021

Si vous êtes pressé, n’hésitez pas à cliquer sur les liens suivants pour tester les plugins de sécurité et prendre vos propres décisions. Si vous souhaitez voir notre analyse approfondie, continuez à lire!

La plupart des plugins de sécurité valables ont un prix, mais il y en a quelques-uns qui sont livrés avec des fonctionnalités limitées gratuitement.

Nous allons parler du prix, mais il est plus important de comprendre ce que chaque plugin va faire pour vous. En fin de compte, il s’agit de trouver la meilleure façon de garder les méchants loin de votre investissement – et parfois cela signifie dépenser un peu d’argent.

1. Sucuri Security – Audit, scanner de logiciels malveillants et renforcement de la sécurité

Le plugin Sucuri Security propose une version gratuite et une version payante, pourtant la majorité des sites Web devraient s’en sortir avec le plugin gratuit. Par exemple, le pare-feu du site Web nécessite de payer pour un plan Sucuri, mais tous les webmasters ne sentent pas qu’ils ont besoin de ce type de sécurité.

Concernant les fonctionnalités gratuites, le plugin est livré avec un audit des activités de sécurité pour voir comment le plugin protège votre site Web. Il dispose d’une surveillance de l’intégrité des fichiers, d’une surveillance des listes noires, de notifications de sécurité et d’un renforcement de la sécurité. Les plans premium ouvrent des canaux de service à la clientèle et des analyses plus fréquentes. Par exemple, vous pouvez souhaiter qu’une analyse soit effectuée toutes les 12 heures. Pour cela, vous payez environ 17 $ par mois.

Les caractéristiques qui font de Sucuri Security un excellent choix :

• Il offre de multiples variations de certificats SSL. Vous devez payer pour ceux-ci, mais c’est disponible dans les paquets.
• Le service client est disponible sous la forme d’un chat instantané et d’un e-mail.
• Vous recevez des notifications instantanées lorsque quelque chose ne va pas avec votre site Web.
• Une protection DDoS avancée est disponible par le biais de certains plans.
• Si vous ne voulez pas payer d’argent, vous recevez quand même des outils précieux pour la surveillance des listes noires, la recherche de logiciels malveillants, la surveillance de l’intégrité des fichiers et le renforcement de la sécurité.

Lecture complémentaire : Comment configurer le pare-feu Sucuri (WAF) sur votre site WordPress

iThemes Security

Le plugin iThemes Security (précédemment connu sous le nom de Better WP Security) est l’un des moyens les plus impressionnants de protéger votre site Web, avec plus de 30 offres pour empêcher des choses comme les pirates et les intrus indésirables. Il est fortement axé sur la reconnaissance des vulnérabilités des plugins, des logiciels obsolètes et des mots de passe faibles.

Bien que certaines fonctionnalités de sécurité de base soient incluses dans la version gratuite, nous recommandons vivement de passer à iThemes Security Pro pour le prix modique de 80 $ par an. Cela fournit un support par tiquetage, un an de mises à jour du plugin, et un support pour deux sites web. Si vous souhaitez protéger plus de sites, vous avez la possibilité de passer à un plan plus cher.

Concernant les principales fonctionnalités de la version pro, iThemes Security Pro fournit une application forte des mots de passe, le verrouillage des mauvais utilisateurs, des sauvegardes de base de données et une authentification à deux facteurs. Ce ne sont que quelques-unes des façons de protéger votre site avec ce plugin de sécurité WordPress. Vous pouvez activer 30 mesures de sécurité totales, ce qui fait de iThemes Security Pro une valeur sûre.

Les caractéristiques qui font de iThemes Security un excellent choix :

• Le plugin de sécurité offre une détection des changements de fichiers, ce qui est important car la plupart des webmasters ne remarquent pas quand un fichier est modifié.
• Ajoutez une couche supplémentaire de protection à votre connexion en utilisant l’intégration de Google re.
• Le plugin compare vos fichiers de base WordPress avec la version actuelle de WordPress, vous aidant à comprendre si quelque chose de malveillant est placé dans ces fichiers.
• Mettre à jour vos sels et clés WordPress pour ajouter une couche supplémentaire de complexité à vos clés d’authentification.
• Vous pouvez définir un « Away Mode » pour lorsque vous ne faites pas de mises à jour constantes sur votre site et que vous voulez verrouiller complètement votre tableau de bord WordPress de tous les utilisateurs.
• Autres éléments essentiels comme la détection de 404, la protection contre la force brute et l’application de mots de passe forts.

Wordfence Security

Wordfence Security est l’un des plugins de sécurité WordPress les plus populaires, et pour une bonne raison. Ce joyau associe la simplicité à de puissants outils de protection, tels que les robustes fonctionnalités de sécurité de connexion et les outils de récupération des incidents de sécurité. L’un des principaux avantages de Wordfence est le fait que vous pouvez avoir un aperçu des tendances globales du trafic et des tentatives de piratage.

Wordfence a l’une des solutions gratuites les plus impressionnantes, avec tout ce qui va des blocs de pare-feu à la protection contre les attaques par force brute. Cependant, une version premium est vendue à partir d’environ 99 dollars par an pour un site. Les créateurs du plugin font également des économies pour les développeurs, en proposant des remises importantes lorsque vous vous inscrivez pour des clés pour plusieurs sites. Par exemple, si vous achetez plus de 15 licences, vous bénéficiez d’une réduction de 25 %, soit 74,25 $ par licence. Dans l’ensemble, il est payant d’envisager Wordfence si vous développez plusieurs sites Web et souhaitez les protéger tous.

Les caractéristiques qui font de WordFence Security un excellent choix :

• La version gratuite est assez puissante pour les petits sites Web.
• Les développeurs peuvent économiser des tonnes d’argent lorsqu’ils s’inscrivent pour des clés de site multiples.
• Il dispose d’une suite complète de pare-feu avec des outils pour le blocage de pays, le blocage manuel, la protection contre la force brute, la défense contre les menaces en temps réel et un pare-feu d’application Web.
• La partie analyse du plugin combat les logiciels malveillants, les menaces en temps réel et le spam. Il analyse tous vos fichiers pour détecter les logiciels malveillants, pas seulement les fichiers WordPress.
• Le plugin surveille le trafic en direct en visualisant des choses comme l’activité de crawl de Google, les connexions et les déconnexions, les visiteurs humains et les robots.
• Vous avez accès à certains outils uniques comme l’option de vous connecter avec votre téléphone portable et l’audit des mots de passe.
• Le filtre anti-spam pour les commentaires supprime la nécessité d’installer un plugin distinct pour cela.
• Il surveille vos plugins et vous fait savoir s’ils ont été supprimés du dépôt de plugins WordPress (généralement en raison d’un manque de sécurité ou d’un piratage) ne sont plus mis à jour et ont été abandonnés.

WP fail2ban

WP fail2ban délivre une seule fonctionnalité, mais c’est une fonctionnalité assez importante : la protection contre les attaques par force brute. Le plugin adopte une approche différente que beaucoup considèrent comme plus efficace que ce que vous obtenez de certains des plugins de suite de sécurité énumérés ci-dessus. WP fail2ban documente toutes les tentatives de connexion, indépendamment de leur nature ou de leur succès, dans le syslog en utilisant LOG_AUTH. Vous avez la possibilité de mettre en œuvre une interdiction douce ou dure, ce qui est différent de l’approche plus traditionnelle consistant à n’en choisir qu’une seule.

Il n’y a pas grand-chose à savoir en termes de configuration pour le plugin WP fail2ban. En fait, tout ce que vous avez à faire est de l’installer et de le laisser faire sa magie. En outre, le plugin de sécurité par force brute est entièrement gratuit, vous n’avez donc pas à vous soucier de dépenser de l’argent. Ce plugin est vraiment un standout, car les utilisateurs rapportent constamment qu’il fonctionne parfaitement.

Caractéristiques qui font de WP fail2ban un excellent choix :

• Choisissez entre des blocs durs ou mous.
• Intégrer avec CloudFlare et les serveurs proxy.
• Loguer les commentaires pour empêcher le spam ou les commentaires malveillants.
• Le plugin enregistre également des informations sur le spam, les pingbacks et l’énumération des utilisateurs.
• Vous avez également la possibilité de créer un shortcode qui bloque les utilisateurs immédiatement avant même d’avoir une chance d’atteindre le processus de connexion.

All In One WP Security & Firewall

Comme l’un des plugins de sécurité gratuits les plus riches en fonctionnalités, All In One WP Security & Firewall fournit une interface facile et un support client décent sans aucun plan premium. C’est un plugin de sécurité très visuel avec des graphiques et des compteurs pour expliquer aux débutants des métriques comme la force de sécurité et ce qui doit être fait pour rendre votre site plus fort.

Les fonctionnalités sont réparties en trois catégories : Basique, Intermédiaire, et Avancé. Par conséquent, vous pouvez toujours profiter du plugin si vous êtes un développeur plus avancé. Les principales façons dont ce plugin fonctionne est en protégeant vos comptes d’utilisateurs, en bloquant les tentatives de force sur votre connexion, et en améliorant la sécurité de l’enregistrement des utilisateurs. La sécurité des bases de données et des fichiers est également emballée dans le plugin.

Caractéristiques qui font de All In One WP Security & Firewall un excellent choix:

• Le plugin de sécurité WordPress a un outil de liste noire où vous pouvez définir certaines exigences pour bloquer un utilisateur.
• Vous pouvez sauvegarder les fichiers .htaccess et .wp-config. Il y a aussi un outil pour les restaurer si quelque chose ne va pas.
• Le plugin montre un graphique pour spécifier la force de votre site web et un graphique qui désigne les points de certaines zones de votre site. C’est l’une des meilleures fonctionnalités pour l’utilisateur moyen de visualiser ce qui se passe avec la sécurité d’un site.
• Le plugin est gratuit sans aucune upsell en cours de route.

Jetpack

La plupart des gens qui utilisent WordPress connaissent Jetpack, et c’est principalement parce que le plugin a tellement de fonctionnalités, mais c’est aussi parce que le plugin est fait par les gens de WordPress.com. Jetpack est rempli de modules pour renforcer vos médias sociaux, la vitesse de votre site, et la protection contre le spam. Il y a tellement de fonctionnalités dans Jetpack qu’il vaut vraiment la peine de l’explorer.

Certains outils de sécurité sont également inclus avec Jetpack, ce qui en fait un plugin attrayant pour ceux qui veulent économiser de l’argent et s’appuyer sur une solution réputée. Par exemple, le module Protect est gratuit et il bloque toute activité suspecte. La protection contre les attaques par force brute et la liste blanche sont également prises en charge par la fonctionnalité de sécurité de base de Jetpack.

Cela dit, les versions payantes de Jetpack sont plus puissantes en matière de sécurité. Par exemple, le plan de 99 $ par an comprend la recherche de logiciels malveillants, les sauvegardes programmées du site Web et la restauration si quelque chose ne va pas. En outre, le plan de 299 $ par an offre des analyses de logiciels malveillants à la demande et des sauvegardes en temps réel pour une protection ultime.

Les caractéristiques qui font de Jetpack un excellent choix :

• Le plan gratuit fournit une quantité décente de sécurité pour un petit site Web, puis vous pouvez passer aux plans premium à prix raisonnable et obtenir un support complet et un plugin qui est l’un des meilleurs du marché.
• Les plans premium transforment le plugin en plus d’une suite, avec des avantages tels que les sauvegardes, la protection contre le spam et le scan de sécurité.
• Les mises à jour du plugin sont entièrement gérées par Jetpack.
• Vous obtenez également une surveillance des temps d’arrêt.
• Jetpack est également un plugin qui élimine le besoin d’autres plugins. Par exemple, il a des fonctionnalités pour le marketing par courriel, les médias sociaux, la personnalisation du site et l’optimisation.

SecuPress

SecuPress est un plugin de sécurité plus récent sur le marché (initialement publié en freemium en 2016), mais c’est certainement un qui se développe rapidement. Il est en fait développé par Julio Potier, l’un des cofondateurs originaux de WP Media, que vous pourriez reconnaître, car ils développent WP Rocket et Imagify. Il y a à la fois une version gratuite et une version premium qui comprend beaucoup de fonctionnalités supplémentaires.

Si vous voulez un plugin de sécurité qui a une grande interface utilisateur et facile à utiliser, SecuPress est certainement le plugin à aller avec. La version gratuite dispose d’un login anti-brute force, d’IPs bloquées et d’un pare-feu. Elle inclut également la protection de vos clés de sécurité ainsi que le blocage des visites de mauvais bots (ce pour quoi vous devez généralement payer dans d’autres plugins de sécurité).

Si vous voulez encore plus de fonctionnalités, leurs versions premium commencent à 59 $ par an par site et comprennent des fonctionnalités supplémentaires telles que des alertes et des notifications, une authentification à deux facteurs, un blocage GeoIP, des analyses de logiciels malveillants PHP et des rapports PDF.

Les caractéristiques qui font de SecuPress un excellent choix :

• L’interface utilisateur de SecuPress est probablement l’une des meilleures ! Cela le rend très facile à utiliser, même pour les débutants.
• La version premium ajoute définitivement beaucoup de valeur. Vérifiez 35 points de sécurité en 5 minutes, obtenez un beau rapport, puis durcissez votre site WordPress.
• Il inclut la possibilité de modifier votre URL de connexion WordPress afin que les robots ne puissent pas le trouver.
• Il vous aide à détecter les thèmes et les plugins qui sont vulnérables ou qui ont été altérés pour inclure du code malveillant.

BulletProof Security

Le plugin BulletProof Security a des versions gratuites et premium. L’option payante se vend pour un paiement unique de 69,95 $ et est activement développée, mise à jour, et contient probablement plus de fonctionnalités que la plupart des autres plugins de sécurité sur le marché. Ils fournissent une garantie de remboursement de 30 jours, et vous recevez des fonctionnalités pour les quarantaines, les alertes e-mail, l’anti-spam, l’auto-restauration, et plus encore.

Je vous suggère d’essayer d’abord le plugin gratuit, car il offre les outils suivants :

• Sécurité et surveillance de la connexion.
• Sauvegardes et restauration de la base de données.
• Scan Malware Scanner.
• Outils anti-spam et anti-piratage.
• Un journal de sécurité.
• Dossiers de plugins cachés.
• Mode de maintenance.
• Un assistant d’installation complet.

Ce n’est pas le plugin de sécurité WordPress le plus convivial, mais il fait le travail pour les développeurs avancés qui veulent profiter de paramètres et de fonctionnalités uniques comme la garde anti-exploit et le décodeur Base64 en ligne. Il dispose également d’une fonction de correction automatique de l’assistant d’installation pour aider à rendre les choses un peu plus faciles.

Caractéristiques qui font de BulletProof Security un excellent choix :

• Il dispose de certains des outils de sécurité avancés les plus uniques sur le marché, avec des fonctionnalités comme les solutions de cryptage BPS Pro ARQ Intrusion Detection and Prevention System (ARQ IDPS), ainsi que les crons programmés, les analyses cURL, le verrouillage des dossiers et plus encore.
• La version gratuite est remplie de suffisamment de fonctionnalités pour un site web moyen.
• Les sauvegardes de la base de données sont fournies dans la version gratuite.
• Vous pouvez cacher les dossiers individuels du plugin.
• La fonctionnalité de mode de maintenance n’est pas quelque chose que vous trouverez dans la plupart des autres plugins de sécurité.

WPScan – WordPress Security Scanner

Le plugin de sécurité WPScan WordPress adopte une approche différente de la sécurité, car il tire parti d’une base de données de vulnérabilités collectée manuellement et mise à jour quotidiennement par des spécialistes de la sécurité dédiés et la communauté dans son ensemble. Sponsorisée par Automattic, la base de données comprend plus de 21 000 vulnérabilités de sécurité connues.

Grâce à elle, le plugin WPScan est capable d’analyser votre version de base de WordPress, vos plugins et vos thèmes pour détecter les vulnérabilités de sécurité connues.

En outre, le plugin dispose également de divers autres contrôles de sécurité, tels que l’analyse des fichiers journaux de débogage exposés, des fichiers wp-config.php sauvegardés, des utilisateurs avec des mots de passe faibles et plus encore. WPScan a un plan API gratuit qui devrait convenir à la plupart des sites Web WordPress, cependant, a également des plans payants pour les utilisateurs qui peuvent avoir besoin de plus d’appels API.

Les caractéristiques qui font de WPScan un excellent choix :

• Il utilise sa propre base de données de vulnérabilités constamment mise à jour
• Il a des options gratuites et payantes en fonction de vos besoins
• Contrôles de sécurité supplémentaires
• Options pour . envoyer des notifications par courriel lorsque des vulnérabilités sont découvertes
• Vous pouvez programmer des analyses à exécuter à des moments précis

VaultPress

Il est important de ne pas oublier VaultPress, car il fonctionne de manière similaire à des plugins comme iThemes Security Pro et Sucuri Scanner. Vous devez payer afin d’obtenir tout type de protection, mais les plans commencent à seulement 39 $ par an, ce qui en fait l’un des plugins de sécurité premium les plus abordables. Le site Web indique que ce plan est plus pour les petites entreprises et les blogueurs, mais vous avez également la possibilité de passer à un plan plus puissant pour 99 $ par an ou 299 $ par an.

Les sauvegardes quotidiennes et en temps réel sont le pain et le beurre de l’opération, avec une belle vue de calendrier pour spécifier quand vous souhaitez compléter vos sauvegardes. Vous pouvez également effectuer des restaurations de site d’un simple clic de souris. De plus, les fichiers de restauration sont enregistrés dans le tableau de bord, et plusieurs d’entre eux sont stockés afin que vous puissiez choisir celui que vous voulez. La meilleure partie de VaultPress en ce qui concerne les sauvegardes est qu’elles sont incrémentielles. C’est excellent pour les performances.

Les outils de sécurité primaires surveillent les activités suspectes sur votre site Web, avec des onglets pour consulter votre historique et voir quelles menaces ont été traitées ou ignorées. Vous pouvez également vérifier les statistiques et gérer l’ensemble de vos détails de sécurité à partir de la commodité d’un tableau de bord propre.

Les caractéristiques qui font de VaultPress un excellent choix:

• Le prix est meilleur que la plupart des autres plugins de sécurité WordPress premium.
• Le tableau de bord semble propre et facile à comprendre pour tous les utilisateurs.
• Vous pouvez effectuer des sauvegardes en temps réel ou manuelles en utilisant un calendrier.
• L’onglet statistiques révèle des informations sur les heures de visite les plus populaires sur votre site, tout en indiquant les menaces qui se sont produites pendant ces périodes.
• Vous pouvez contacter les experts de VaultPress pour vous aider dans des tâches telles que les restaurations et les sauvegardes de sites.

Si vous souhaitez en savoir plus sur les plugins de sauvegarde les mieux notés, jetez un œil à notre autre guide : 4 Meilleurs plugins de sauvegarde incrémentielle WordPress (gain d’espace et de vitesse)

Google Authenticator – Authentification à deux facteurs

La majorité des plugins qui ont des fonctionnalités de sécurité individuelles n’ont pas beaucoup de sens à installer. La raison en est que vous pouvez généralement aller avec un plugin comme iThemes Security Pro et obtenir cette seule fonctionnalité avec des dizaines d’autres. Cependant, l’authentification à deux facteurs est une autre histoire, car il semble que la plupart des suites de sécurité ne l’incluent pas. Par conséquent, il pourrait être judicieux de renforcer la sécurité de votre connexion avec un plugin comme celui-ci.

Le plugin Google Authenticator ajoute une deuxième couche de sécurité à votre module de connexion, ce qui est plutôt important puisque la majorité des tentatives de piratage se produisent avec la connexion. En plus de votre mot de passe ordinaire, ce plugin envoie soit une notification push sur votre téléphone, soit une autre forme d’authentification comme l’utilisation d’un code QR ou la pose d’une question de sécurité.

De cette façon, votre connexion devient beaucoup moins pénétrable puisque la deuxième couche est très probablement quelque chose que vous seul connaissez ou que vous avez sur vous (comme votre téléphone).

Ce plugin de sécurité WordPress ne nécessite aucun paiement, et l’interface est assez facile à comprendre. En plus de choisir le type d’authentification, une autre fonctionnalité cool vous permet de spécifier quel type de rôle d’utilisateur devrait avoir à passer par l’authentification. Ainsi, vous pouvez permettre aux administrateurs d’entrer plus facilement, mais vous pourriez demander que les auteurs ou d’autres utilisateurs passent par le processus à deux facteurs.

Le seul problème est que l’authentification à deux facteurs rend assez difficile la connexion à votre backend avec un appareil mobile.

Caractéristiques qui font de Google Authenticator un excellent choix :

• Il élimine presque la vulnérabilité qu’est votre zone de connexion.
• Vous pouvez choisir quelle méthode d’authentification à deux facteurs est la plus facile pour vous.
• Vous pouvez sélectionner quels types d’utilisateurs doivent passer par le processus d’authentification.
• Le plugin a un shortcode pour l’utiliser avec des pages de connexion personnalisées.

Security Ninja

Security Ninja existe depuis plus de sept ans. Commençant comme l’un des premiers plugins de sécurité vendus sur CodeCanyon (avec quatre add-ons disponibles), il est passé à un modèle freemium en 2016. Les modules complémentaires ont été abandonnés au profit de deux versions seulement – gratuite et premium. Le module principal (qui est le seul disponible gratuitement) effectue plus de 50 tests de sécurité allant de la vérification des fichiers et des permissions MySQL à divers paramètres PHP.

Security Ninja effectue également une vérification par force brute de tous les mots de passe des utilisateurs pour éliminer les comptes avec des mots de passe faibles tels que « 12345 » ou « password ». Cela permet d’éduquer les utilisateurs sur la sécurité. Il comprend un module de correction automatique, mais pour ceux qui veulent comprendre ce qui se passe, il y a une explication détaillée de chaque test, y compris le code pour corriger manuellement le problème de sécurité. Si vous n’aimez pas que des plugins viennent perturber votre site, Security Ninja offre une alternative intéressante à l’approche habituelle du « cliquez ici pour le réparer ». D’autres modules dans la version payante, commencent à 29 $ par an et par site.

Les caractéristiques qui font de Security Ninja un excellent choix :

• Le module de test de sécurité (disponible dans la version gratuite) effectue plus de 50 tests de sécurité sur l’ensemble de votre site.
• Non féru de technologie ? Pas de problème, le module de fixation automatique peut résoudre tous les problèmes détectés.
• Scanner le noyau de WordPress pour assurer l’intégrité des fichiers de base en les comparant à une copie sécurisée et récente de wordpress.org.
• Scanner les plugins et les thèmes à la recherche de code suspect et de logiciels malveillants.
• Profitez d’une énorme liste de mauvaises IP connues et bloquez-les automatiquement.
• Loguez tous les événements qui se produisent sur votre site WordPress, des utilisateurs qui se connectent aux paramètres modifiés.
• Vous pouvez programmer des analyses régulières.

Defender

Defender est une sécurité WordPress en couches rendue facile, comme stupide, simple. La version gratuite et la version pro commencent toutes deux par une liste des techniques de durcissement les plus efficaces pour mettre instantanément à niveau votre sécurité WordPress.

Vous pouvez exécuter des scans gratuits qui vérifient WordPress à la recherche de code suspect. L’outil d’analyse Defender compare votre installation WordPress avec le répertoire, signale les changements et vous permet de restaurer le fichier original en un clic. Ils proposent également une version pro qui comprend des sauvegardes sur le cloud avec un stockage à distance de 10 Go, des journaux d’audit pour surveiller les changements, des analyses de sécurité automatisées et la surveillance des listes noires. Leurs experts vous aideront même à nettoyer un site piraté.

Caractéristiques qui font de Defender un excellent choix:

• Vérification en 2 étapes de Google.
• Analyse et réparation du fichier central de WordPress.
• Masquage de l’écran de connexion.
• Gestionnaire de liste noire d’IP et journalisation.
• Analyse de fichiers illimités.
• Bouclier d’attaque par force brute à verrouillage programmé pour la protection de la connexion.
• Limiteur 404 pour bloquer les analyses de vulnérabilité.
• Notifications et rapports de verrouillage IP.

Astra Web Security

Astra Web Security est une  » suite de sécurité  » incontournable pour votre site WordPress. Avec Astra, vous n’avez pas à vous soucier des logiciels malveillants, de SQLi, de XSS, des spams de commentaires, de la force brute et de 100+ menaces, ce qui signifie que vous pouvez vous débarrasser des autres plugins de sécurité & et laisser Astra s’occuper de tout. Le tableau de bord super intuitif d’Astra ne vient pas avec une centaine de boutons qui vous donnent l’impression d’être un pilote dans un cockpit !

De nombreuses marques prestigieuses comme Gillette, African Union, Ford et Oman Airways utilisent la solution de sécurité Astra. Leur prix commence à partir de 9 $/m et ils offrent une réduction forfaitaire de 20% si le plan est facturé annuellement. Dans l’ensemble, Astra peut être un bon investissement si vous prévoyez de dépenser de l’argent pour la sécurité de votre site Web.

Les caractéristiques qui font d’Astra Web Security un excellent choix :

• La solution de sécurité Astra est installée comme un plugin WordPress & il n’est pas nécessaire de modifier les paramètres DNS.
• Ils offrent un nettoyage immédiat des logiciels malveillants, un pare-feu solide comme le roc qui arrête les attaques comme SQLi, XSS, Injection de code, Bad Bots, Brute force, spam SEO, et d’autres 100+ cyber-attaques.
• Audit de sécurité complet, y compris la logique d’erreur de l’entreprise pour votre site Web WordPress.
• Un tableau de bord intuitif enregistre toutes les attaques et vous donne une option pour bloquer ou blanchir un pays, une plage d’IP ou une URL, une liste noire continue et une surveillance de la réputation, des notifications de connexion de l’administrateur toutes les heures et bien plus encore.
• Une sécurité communautaire gratuite ou une plateforme de gestion de bug bounty où vous donnez aux pirates un moyen sûr et sécurisé de signaler toute vulnérabilité qu’ils trouvent sur votre site Web. Chaque problème signalé est validé par les ingénieurs d’Astra.

Shield Security

Le rôle numéro un de Shield Security est de prendre en charge votre charge croissante de sécurité du site. Nous manquons tous de temps, nous avons donc besoin de défenses plus intelligentes et d’un plugin de sécurité qui sait comment répondre aux menaces sans vous embêter avec des emails. Adapté aussi bien aux débutants qu’aux avancés, Shield commence à scanner et à protéger votre site dès que vous l’activez. Toutes les options sont entièrement documentées, de sorte que vous pouvez creuser davantage dans la sécurité de votre site à votre guise.

Le noyau de Shield Security est gratuit pour toujours. Les professionnels et les entreprises qui ont besoin d’une protection plus profonde et d’une assistance pratique 24 heures sur 24 à portée de main, peuvent obtenir Shield Pro pour seulement 12 $/site. La mission de Shield Security est la suivante : « aucun site Web n’est laissé pour compte ». L’objectif est de rendre la sécurité de niveau Pro accessible à tous les sites, et non pas seulement aux plus riches. Pro apporte plus de scans, qui s’exécutent plus souvent, des politiques de mot de passe utilisateur, des pistes d’audit plus importantes, le support de WooCommerce, la surveillance du trafic et des fonctionnalités qui rendent les politiques de sécurité plus fluides pour ses utilisateurs.

Les caractéristiques qui font de Shield Security un excellent choix :

• Un des seuls plugins de sécurité qui restreignent l’accès à ses propres paramètres à certains utilisateurs.
• Une protection plus intelligente avec des fonctionnalités qui travaillent inlassablement en arrière-plan sans vous embêter avec des notifications.
• Le seul plugin de sécurité à offrir trois types d’authentification à deux facteurs gratuitement et une option pour sélectionner les utilisateurs qui peuvent l’utiliser.
• Mises à niveau Pro pour tout le monde à 12 $/site – prix de gros sans l’achat en gros.
• Pro offre 6x des analyses puissantes pour détecter les problèmes dans tous les domaines de vos sites.

Hide My WP

Hide My WP est un plugin de sécurité populaire pour WordPress qui cache le fait que vous utilisez WordPress comme votre CMS aux attaquants, aux spammeurs et aussi aux détecteurs de thèmes comme Wappalyzer ou BuiltWith.

Ce plugin de sécurité regroupe un détecteur d’intrusion (IDS) de l’art solide pour bloquer en temps réel les attaques de sécurité comme l’injection SQL, XSS, et autres. Hide My WP est un plugin de sécurité WordPress premium que vous pouvez obtenir à 24 $. Remarque : Certaines fonctionnalités de ce plugin pourraient ne pas fonctionner sur Kinsta.

Caractéristiques qui font de Hide My WP un excellent choix :

• Cache le nom du thème, des plugins, modifie les permaliens, cache wp-admin, l’URL de connexion, et plus encore.
• Bloque l’accès direct aux fichiers PHP, nettoie les noms de classe de WP, désactive le listing des répertoires.
• Notifie de tout mauvais comportement potentiel avec tous les détails de l’attaquant, y compris le nom d’utilisateur, l’adresse IP, la date, etc.
• Inclut un « réseau de confiance2 qui bloque automatiquement le trafic provenant de mauvaises adresses IP sources.
• Facile à utiliser, choisissez parmi les paramètres préétablis pour un déploiement en un clic.
• Compatible avec le multisite, apache, Nginx, IIS, les thèmes premium et d’autres plugins de sécurité.

WebARX

WebARX est une plateforme de sécurité de site web premium qui prend en charge chaque application PHP. WebARX est surtout connu pour son pare-feu avancé de point de terminaison, qui vous permet de contrôler complètement le trafic entre vos sites Web via leur tableau de bord basé sur le cloud. En fait, WebARX dispose d’un pare-feu d’application web géré qui protège votre site des vulnérabilités des plugins, des attaques de robots et du faux trafic.

Ce plugin vous permet de créer vos propres règles de pare-feu, de durcir votre installation WordPress, de créer des sauvegardes, de surveiller le temps de fonctionnement et les problèmes de sécurité, de recevoir des alertes, d’exporter des rapports et bien plus encore. Il est également assez facile à configurer.

Caractéristiques qui font de WebARX un excellent choix :

• Pare-feu de site Web avancé (entièrement personnalisable à partir du portail WebARX).
• Patching virtuel reçoit automatiquement des règles pour corriger les vulnérabilités des plugins et des thèmes.
• Durcissement de l’installation WordPress : 2FA, re, ajout automatique d’en-têtes de sécurité, blocage des attaques par force brute, modification de wp-admin, ajout de cookies, etc.
• Surveillance du temps de fonctionnement : reçoit des alertes slack et e-mail lorsqu’un site tombe en panne.
• Rapports de sécurité PDF personnalisés (personnalisez-les avec votre propre logo pour les envoyer aux clients).
• Sécurité centralisée pour un nombre illimité de sites Web.

Quel plugin de sécurité WordPress est le meilleur pour vous ?

Maintenant que nous avons parcouru les meilleurs plugins de sécurité WordPress, jetez un œil à nos principales recommandations ci-dessous. Cela vous permettra de sélectionner plus facilement un ou deux plugins sans avoir à tester chacun d’entre eux. Rappelez-vous, qu’en fonction de ce que votre hébergeur WordPress offre déjà, les plugins de sécurité peuvent ne pas être nécessaires.

Ces suggestions se concentrent sur certaines situations où vous pourriez choisir un plugin de sécurité plutôt qu’un autre.

• Pour la meilleure valeur – Sucuri Security, SecuPress, Jetpack, iThemes Security, Shield Security et WPScan.
• Si vous voulez un plugin de sécurité WordPress gratuit – All In One WP Security & Firewall, Sucuri Security (version gratuite,) ou Wordfence Security.
• Si vous recherchez un plugin de sécurité pour les débutants – All In One WP Security & Firewall, Security Ninja, ou Defender.
• Lorsque vous avez besoin d’un plugin de protection contre la force brute plus avancé – WP fail2ban ou Astra.
• Si vous souhaitez une authentification à deux facteurs – Google Authenticator – Two Factor Authentication.
• Pour une belle interface – SecuPress ou VaultPress.

En plus d’installer un plugin, vous pouvez prendre d’autres mesures pour améliorer la sécurité de vos sites. Par exemple, la solution de gestion des clés hors site de Lockr (il s’agit d’un service premium) protège contre les vulnérabilités critiques des sites et aide à sécuriser vos données. Une intégration simple est disponible pour WordPress.

Bien sûr, nous ne pouvons pas couvrir tous les plugins existants. Ce sont simplement ceux que nous recommandons sur la base de notre expérience avec les utilisateurs. S’il y en a un qui, selon vous, devrait être inclus dans cette liste, faites-le nous savoir ci-dessous dans les commentaires.

Si vous gérez un site de commerce électronique, assurez-vous de lire notre guide sur la prévention des fraudes de commerce électronique.