8 meilleurs plugins de sécurité WordPress pour verrouiller votre site

WordPress alimente plus de 35% de tous les sites Web sur Internet, ce qui en fait une cible juteuse pour les acteurs malveillants du monde entier.

Si vous souhaitez sécuriser votre site Web ou les sites Web de vos clients, un plugin de sécurité dédié peut faire le gros du travail pour vous.

Pour vous aider à choisir le meilleur plugin de sécurité WordPress pour vos besoins, nous avons rassemblé huit excellentes options qui peuvent vous aider à renforcer la sécurité, les pare-feu et l'analyse des logiciels malveillants.

Commençons par un aperçu rapide de ce que font réellement la plupart des plugins de sécurité WordPress.

La sécurité WordPress est un sujet assez vaste, donc quand je dis « plugin de sécurité WordPress », cela peut englober une gamme de fonctionnalités différentes.

Donc, avant d'entrer dans les plugins, voyons quelles sont ces différentes fonctionnalités de haut niveau afin que vous sachiez ce que fait chacun de ces outils.

Le renforcement de la sécurité de base est une sorte de fourre-tout pour les « modifications de configuration ou les outils qui rendent votre site Web WordPress plus sécurisé ».

Par exemple, les plugins de sécurité vous aideront généralement à sécuriser votre page de connexion avec des fonctionnalités telles que :

• Limiter les tentatives de connexion
• Authentification à deux facteurs
• Modification de l'URL de connexion WordPress
• Appliquer des mots de passe forts
• Définition de l'expiration des mots de passe
• Ajouter un CAPTCHA

Ce sont toutes des tactiques de durcissement.

D'autres stratégies de renforcement populaires incluent la surveillance des fichiers WordPress de base pour détecter si quelque chose a été modifié, la désactivation des fonctionnalités WordPress telles que XML-RPC, l'arrêt de l'énumération des utilisateurs, etc.

Une autre tactique que vous verrez souvent mentionnée est un pare - feu.

Essentiellement, un pare-feu de site Web est quelque chose qui se trouve entre votre site WordPress et ses visiteurs. Les visiteurs réguliers n'ont aucun problème à utiliser votre site, mais si le pare-feu détecte une activité malveillante (via l'adresse IP, les actions, etc.), il bloquera ce visiteur avant qu'il ne puisse causer un problème.

Avec WordPress, vous verrez ce qu'on appelle un pare - feu d'application Web ou WAF.

Il est important de noter que tous les pare-feu ne sont pas identiques. C'est-à-dire que ce n'est pas parce que deux plugins offrent tous deux un « pare-feu » que ces outils sont automatiquement égaux, car un pare-feu n'est aussi bon que les règles qu'il suit.

Certains plugins de sécurité WordPress, comme Wordfence, mettent constamment à jour leurs règles de pare-feu en temps réel pour s'adapter aux menaces de sécurité émergentes. D'autres sont essentiellement un ensemble de règles statiques qui ne changent jamais. Les deux peuvent être utiles - c'est juste que l'un sera plus efficace pour vous protéger contre de nouveaux types de vulnérabilités.

Une autre partie populaire des plugins de sécurité WordPress est l'analyse des logiciels malveillants. Vous connaissez probablement ce concept en exécutant des analyses sur votre propre ordinateur.

Fondamentalement, l'outil analysera votre site à la recherche de code malveillant et renverra un rapport sur tout ce qu'il trouvera.

Encore une fois, l'efficacité de l'analyse des logiciels malveillants dépend de ses règles et de son approche. C'est-à-dire que ce n'est pas parce que deux plugins effectuent tous deux une « analyse des logiciels malveillants » qu'ils sont égaux.

Tout d'abord, tout comme avec les pare-feu, vous avez des différences dans les règles de détection. Un scanner de logiciels malveillants s'appuie sur des « signatures de logiciels malveillants » pour identifier les logiciels malveillants. Ainsi, si votre scanner de logiciels malveillants n'a pas de signature pour une menace émergente, il pourrait ne pas être en mesure de la détecter.

Deuxièmement, vous avez l'approche. Certains plugins/outils, comme le populaire outil Sucuri SiteCheck, n'analysent que le front-end de votre site. Cela peut détecter les logiciels malveillants détectables à partir du front-end de votre site Web, mais il ne détecterait pas les logiciels malveillants cachés sur votre serveur.

Pour détecter les logiciels malveillants qui ne se manifestent pas sur le front-end de votre site, vous devez utiliser un scanner de logiciels malveillants qui analyse tous les fichiers de votre serveur.

Avec cette introduction à l'écart, laissez-nous vous aider à choisir le meilleur plugin de sécurité WordPress pour vos besoins.

Voici les huit plugins que nous allons examiner :

1. Sucuri
2. Sécurité des iThèmes
3. Sécurité et pare-feu WP tout en un
4. Sécurité pare-balles
5. Jetpack
6. SecuPress
7. Cerbère Sécurité
8. Wordfence

Sucuri est un autre outil de sécurité de site Web populaire. Il y a deux parties à Sucuri :

1. Un plugin gratuit sur WordPress.org
2. Un pare-feu, une surveillance et un service de nettoyage de piratage payant

Le plugin gratuit de WordPress.org vous aide principalement à renforcer la sécurité de base.

Il vous donnera diverses règles et astuces que vous pouvez appliquer, telles que la désactivation du plugin dans le tableau de bord et l'édition de thèmes et le blocage de l'exécution de PHP dans certains répertoires sensibles.

Les autres fonctionnalités de sécurité incluent la possibilité de :

• Surveiller l'intégrité des fichiers pour les fichiers principaux
• Suivre les tentatives de connexion infructueuses
• Recevez des notifications d'alerte de sécurité pour diverses actions
• Répertoriez les scripts et les iframes sur votre site.

Au-delà de cela, le plugin est également livré avec le service Sucuri SiteCheck pour l'analyse des logiciels malveillants. Cependant, il est important de comprendre que ce service analyse simplement le front-end de votre site à la recherche de problèmes - il n'analyse pas les fichiers sur votre serveur comme d'autres analyses de logiciels malveillants. Vous n'avez pas non plus besoin du plugin pour utiliser cet outil - vous pouvez l'exécuter à partir du site Web de Sucuri.

Pour plus de sécurité, le plugin peut vous aider à vous connecter au service de pare-feu payant Sucuri. Ce pare-feu est un WAF basé sur le cloud avec des règles régulièrement mises à jour par l'équipe Sucuri. Le pare-feu vous permet également :

• Liste blanche ou liste noire de certaines adresses IP
• Bloquer des pays entiers
• Sécurisez les zones sensibles (comme votre tableau de bord/connexion WordPress) avec des CAPTCHA, une authentification à deux facteurs ou des mots de passe supplémentaires.

Le service payant Sucuri peut également aider à protéger votre site contre les attaques DDoS.

Prix ​​: Le plugin Sucuri est 100% gratuit. Le pare-feu Sucuri coûte 19,98 $ par mois et l'ensemble de la plate-forme Sucuri (qui inclut la détection et le nettoyage des logiciels malveillants) coûte 299,99 $ par an.

iThemes Security est un plugin de sécurité freemium de… iThemes – d'où son nom. Si vous n'êtes pas familier, iThemes est un développeur populaire derrière une gamme de plugins, y compris BackupBuddy. iThemes a été acquis par Liquid Web en 2018.

iThemes Security se concentre sur le renforcement de la sécurité de WordPress. Il vous permet de vous connecter au service Sucuri SiteCheck pour la détection frontale des logiciels malveillants, mais vous pouvez simplement exécuter cette fonctionnalité à partir du site Web de Sucuri, il ne s'agit donc pas vraiment d'une analyse intégrée des logiciels malveillants.

Il n'annonce pas de pare-feu, mais il inclut des fonctionnalités qui vous permettent de bloquer certains robots et adresses IP. Il existe également une fonctionnalité de « protection contre la force brute du réseau » qui peut bloquer automatiquement les adresses IP qui ont tenté de forcer par force brute d'autres sites WordPress.

En ce qui concerne le renforcement de la sécurité, iThemes Security peut vous aider à sécuriser votre processus de connexion avec des fonctionnalités telles que :

• Limiter les tentatives de connexion
• Changer l'URL de connexion WordPress
• Google reCAPTCHA (payant)
• Authentification à deux facteurs (payante)
• Application de mot de passe fort
• Expiration du mot de passe (payant)

Il offre également un mode « Absent » par lequel vous pouvez essentiellement verrouiller votre site pendant les périodes où vous n'y accédez pas.

Les autres fonctionnalités de renforcement de la sécurité incluent :

• Détection de changement de fichier
• Changer le préfixe de la base de données
• Désactiver l'édition de fichiers dans le tableau de bord
• Journalisation des actions de l'utilisateur ( payant )
• Changer le chemin wp-content

Si vous devez gérer plusieurs sites WordPress, il dispose également d'une intégration avec iThemes Sync.

Prix ​​: Version gratuite sur WordPress.org. La version payante commence à 80 $.

All In One WP Security & Firewall est un plugin de sécurité WordPress populaire et 100% gratuit.

Il vous aide à mettre en œuvre une tonne de différentes fonctionnalités de renforcement de la sécurité telles que :

• Changer le préfixe de la base de données WordPress
• Surveiller les autorisations de fichiers
• Désactiver l'édition de fichiers dans le tableau de bord
• Surveillance de l'intégrité des fichiers
• Masquer le numéro de version de WordPress

Il comprend également des fonctionnalités pour sécuriser votre processus de connexion telles que :

• Limiter les tentatives de connexion
• Forcer la déconnexion des utilisateurs après un certain temps
• Ajouter reCAPTCHA pour la protection de connexion
• Liste blanche de certaines adresses IP
• Arrêter l'énumération des utilisateurs

Il vous donnera également un « mètre de force de sécurité » pour vous aider à améliorer la sécurité de votre site.

All In One WP Security & Firewall inclut ce qu'il appelle un pare-feu, mais il n'est pas aussi robuste que quelque chose comme Wordfence ou Sucuri. C'est plus un ensemble de règles statiques - il ne s'adapte pas aux menaces émergentes comme ces autres plugins.

Prix ​​: 100 % gratuit sur WordPress.org.

BulletProof Security est une autre option qui offre une approche tout-en-un de la sécurité WordPress avec :

• Durcissement
• Pare-feu
• Analyse des logiciels malveillants

La version gratuite propose un durcissement de base tel que :

• Sécurité de connexion
• Changer le préfixe de table de base de données
• Journalisation de la sécurité
• Sauvegarde de la base de données

Il comprend également l'analyse des logiciels malveillants dans la version gratuite, tandis que la version payante comprend une protection en temps réel avec le système de détection et de prévention des intrusions AutoRestore|Quarantine de BulletProof Security (ARQ IDPS).

La version payante ajoute également d'autres fonctionnalités telles que :

• Surveillance de la base de données et vérification différentielle
• Protection de téléchargement
• Pare-feu de plug-in

L'interface utilisateur a l'air assez datée et n'est pas aussi agréable que d'autres outils, mais BulletProof Security est bien considéré en ce qui concerne son efficacité.

Prix ​​: Version gratuite sur WordPress.org. La version payante commence à 69,95 $.

Jetpack est un plugin tout-en-un populaire d'Automattic, les mêmes personnes derrière WordPress.com et WooCommerce.

Contrairement à tous les autres plugins de cette liste, Jetpack ne se concentre pas uniquement sur la sécurité de WordPress, mais il inclut de nombreuses fonctionnalités de sécurité dans ses forfaits gratuits et payants.

La version gratuite permet de sécuriser votre connexion WordPress avec une protection contre la force brute et la possibilité d'utiliser une connexion sécurisée WordPress.com. Autrement dit, vous pouvez vous connecter à votre propre site WordPress en utilisant vos informations d'identification WordPress.com.

Avec les forfaits payants, vous avez également accès aux sauvegardes et aux analyses de logiciels malveillants (ces fonctionnalités s'appelaient auparavant VaultPress. Désormais, VaultPress a fusionné avec Jetpack).

Les fonctionnalités de sauvegarde et d'analyse sont liées, ce qui les rend uniques. Avec la plupart des outils d'analyse de logiciels malveillants, l'outil analyse les fichiers sur votre serveur WordPress actuel. C'est bon pour attraper les logiciels malveillants, mais cela consomme également des ressources sur le serveur de votre site Web en direct.

Avec Jetpack, Jetpack sauvegarde d'abord votre site vers un emplacement hors site. Ensuite, il analyse la copie de sauvegarde de votre site à la recherche de logiciels malveillants, ce qui signifie que cela n'affectera pas les performances de votre site Web en direct.

Dans le cadre de ses scans, Jetpack recherche :

• Modifications apportées aux fichiers WordPress principaux
• Shells Web
• Vulnérabilités TimThumb

Si Jetpack trouve quelque chose de malveillant, cela peut vous aider à réparer le problème.

Prix ​​: Certaines fonctionnalités sont disponibles dans la version gratuite. L'analyse des logiciels malveillants est disponible sur le plan Premium et supérieur, qui commence à 9 $ par mois. Cela vous donne également accès à de nombreuses autres fonctionnalités Jetpack.

SecuPress est un autre plugin de sécurité WordPress bien connu, disponible en version gratuite et payante.

SecuPress a été initialement lancé par WP Media, la même société derrière le populaire plugin WP Rocket. Cependant, WP Media a plus tard cédé la propriété au propriétaire actuel (qui était l'un des co-fondateurs de WP Media). Fondamentalement, c'est un long chemin pour dire que vous verrez des similitudes de conception avec WP Rocket, mais les deux ne sont plus la même entité.

Avec la version gratuite, vous pouvez :

• Bloquer les adresses IP et les bad bots
• Protégez votre connexion contre les attaques par force brute
• Masquer la page de connexion
• Cachez vos versions WordPress et WooCommerce
• Gérer XML-RPC et REST API
• Enregistrer les actions importantes de l'utilisateur

Vous obtenez également un pare-feu dans la version gratuite.

La version premium ajoute des fonctionnalités supplémentaires telles que :

• Authentification à deux facteurs pour sécuriser votre connexion
• Fonctionnalités antispam
• Sauvegarde de la base de données et des fichiers
• Détection de thèmes ou de plugins avec des vulnérabilités de sécurité connues
• Analyse des logiciels malveillants PHP
• Blocage de pays (géolocalisation)
• Planification des tâches

L'interface est une caractéristique remarquable de SecuPress. Il possède l'interface la plus agréable de tous les outils de cette liste, ce qui est particulièrement agréable si vos clients le voient un jour. Encore une fois, vous pouvez certainement voir l'influence de WP Rocket dans l'interface.

Prix ​​: Version gratuite sur WordPress.org. La version payante commence à 65 $.

Cerber Security est un autre plugin de sécurité WordPress tout-en-un populaire qui comprend :

• Renforcement de la sécurité
• Pare-feu
• Analyse des logiciels malveillants

Tout d'abord, il regorge de règles de renforcement de la sécurité telles que :

• Modification de la page de connexion WordPress
• Désactiver PHP dans le dossier uploads
• Arrêt de l'énumération des utilisateurs
• Limiter les tentatives de connexion
• Surveillance de l'intégrité des fichiers
• Authentification à deux facteurs

Vous pouvez également définir des règles, comme bloquer automatiquement toute adresse IP qui tente de se connecter avec un nom d'utilisateur inexistant. Vous pouvez également créer des stratégies personnalisées basées sur les rôles, comme exiger deux facteurs pour les utilisateurs administrateurs et les déconnecter automatiquement après un certain laps de temps.

Dans le cadre du pare-feu, vous disposez d'un inspecteur de trafic en temps réel où vous pouvez voir tout ce qui se passe sur votre site, y compris la surveillance des sessions de connexion et des visiteurs. Vous obtenez également des règles de blocage géographique.

Enfin, vous obtenez des analyses de logiciels malveillants, y compris la possibilité de planifier des analyses pour qu'elles s'exécutent automatiquement.

Si vous devez gérer plusieurs sites, il comprend également une fonctionnalité Cerber.Hub qui vous permet de gérer plusieurs sites à partir d'un seul tableau de bord. Ce tableau de bord est auto-hébergé, contrairement à Wordfence. Vous désignerez un site WordPress comme « Maître », puis « Esclave » d'autres installations sur ce tableau de bord principal.

Prix ​​: Version gratuite sur WordPress.org. La version payante commence à 99 $.

Tout d'abord, WordPress inclut des tonnes d'outils pour vous aider à renforcer la sécurité de base de WordPress, tels que :

• Désactiver l'exécution du code dans le répertoire uploads
• Cacher votre version WordPress
• Arrêt de l'énumération des utilisateurs

Vous obtenez également un onglet Sécurité de connexion dédié à partir duquel vous pouvez contrôler les mesures de sécurité de connexion telles que :

• Utilisation de l'authentification à deux facteurs (pour tous les utilisateurs ou uniquement pour certains rôles d'utilisateur)
• Désactiver l'authentification XML-RPC
• Ajout de reCAPTCHA sur la page de connexion
• Limiter les tentatives de connexion échouées (cela fait partie du pare-feu)
• Appliquer des mots de passe forts

Wordfence comprend également son propre WAF . L'équipe de Wordfence ajoute continuellement de nouvelles règles en temps réel pour s'adapter aux menaces émergentes. Vous pouvez également configurer le fonctionnement du pare-feu, comme la liste blanche de certaines adresses IP et services.

Vous pouvez également bloquer immédiatement les adresses IP qui tentent d'accéder à certaines URL sensibles. Et avec la version premium, vous pouvez bloquer des pays entiers avec le ciblage géographique.

Enfin, vous obtenez également des analyses détaillées des logiciels malveillants. Ces analyses peuvent analyser tous les fichiers de votre serveur, ainsi que rechercher d'autres problèmes de sécurité tels que :

• Liens malveillants dans les commentaires
• Utilisateurs administrateurs nouvellement créés
• Thèmes ou plugins obsolètes
• Mots de passe faibles

C'est donc une sorte de « analyse générale des faiblesses de la sécurité WordPress » qui inclut également l'analyse des logiciels malveillants.

Vous obtenez également des règles pour configurer la fréquence et la profondeur des analyses, ce qui peut vous aider à contrôler les ressources du serveur consommées par vos analyses.

Si vous gérez de nombreux sites WordPress ( comme des sites clients ), Wordfence inclut également un outil Wordfence Central qui vous permet de gérer la sécurité de tous vos sites à partir d'un emplacement central. Vous pouvez également créer des modèles de paramètres Wordfence que vous pouvez appliquer rapidement à de nouveaux sites et recevoir des alertes lorsque quelque chose se produit sur l'un de vos sites.

Le plugin principal de Wordfence et la plupart des fonctionnalités sont gratuits. Cependant, il existe une différence notable en ce qui concerne les règles utilisées par Wordfence pour ses analyses de pare-feu et de logiciels malveillants.

Avec la version premium, vous obtenez des mises à jour en temps réel de ces règles. Ainsi, dès que Wordfence détecte une menace ( ce dont il est assez proactif ), Wordfence ajoute immédiatement ces règles à votre site.

Cependant, avec la version gratuite, ces mises à jour de règles sont retardées de 30 jours.

Prix ​​: Wordfence est disponible gratuitement sur WordPress.org. La version payante commence à 99 $ pour une utilisation sur un seul site, avec des remises sur volume pour un plus grand nombre de sites.

Non! Pas de loin.

Bien que tous ces plugins de sécurité aident certainement à sécuriser votre site Web, la sécurité de WordPress n'est pas aussi simple que d'installer un plugin et de l'appeler un jour.

Cela ne signifie pas que les plugins de sécurité ne sont pas utiles – cela signifie simplement que si vous ne faites pas les petites choses correctement, même un plugin de sécurité ne pourra pas vous sauver.

L'une des choses les plus importantes que vous puissiez faire est de mettre à jour rapidement le logiciel principal de WordPress , vos plugins et votre thème, en particulier pour les versions de sécurité mineures (par exemple WordPress 5.4.X ).

Selon le rapport 2019 de Sucuri sur le site Web piraté , environ la moitié de tous les sites WordPress exécutaient une version obsolète du logiciel principal lorsque leur site a été infecté. De plus, 44% des sites Web piratés exécutaient un plugin obsolète.

Pour faire court, les actions suivantes sont tout aussi importantes, sinon plus, que d'utiliser un plugin de sécurité WordPress :

• Mise à jour rapide de votre site et de ses extensions pour les versions de sécurité.
• Faites attention aux extensions que vous choisissez (et n'installez jamais de plugins nulled provenant de sources douteuses).
• Utiliser des mots de passe forts, en particulier sur les comptes administrateur.

Pour plus de conseils, consultez notre guide complet sur la façon de sécuriser votre site WordPress .

Et si vous ne savez pas quel plugin choisir, vous ne vous tromperez certainement pas avec Wordfence comme première option.