Plugins WordPress

Les meilleurs plugins pour renforcer la sécurité de WordPress

Publié le par Steve Chevillard
Les meilleurs plugins de sécurité pour WordPress
Les extensions WordPress sont des outils qui peuvent se révéler efficaces pour assurer la sécurité de votre CMS WordPress. De quoi est-il question au juste ? Les plugins sont comme des logiciels de sécurité que l’on adjoint à WordPress pour procéder à un ajout de fonctionnalités ou à une extension ou correction de fonctionnalités déjà intégrées au programme. Hormis pour la sécurité de votre site ou blog WordPress, les plugins peuvent être utilisés à d’autres fins utiles : SEO, affichage (ex: modifier les menus d’administration de WordPress), édition (désactiver Gutenberg dans WordPress), etc… Et pour couronner le tout, l’installation de plugins WordPress est un jeu d’enfant, même pour les néophytes. Parmi les plugins existants, certains sont gratuits d’autres sont payants tandis que certains sont mixtes (des fonctionnalités de base gratuites, d’autres plus avancées sont payantes). Les extensions augmentent ainsi les possibilités de votre site web WordPress.

L’essentiel à retenir ℹ️

Pour sécuriser votre site WordPress, installez un plugin de sécurité adapté à vos besoins. Les extensions freemium comme Wordfence, Solid Security ou Sucuri Security offrent déjà de nombreuses protections en version gratuite : blocage d’IP, pare-feu, scan de malwares et protection contre les attaques par force brute. Complétez avec des mises à jour régulières de WordPress, de vos plugins et de votre thème.

Pourquoi utiliser un plugin de sécurité pour WordPress ?

Comme je l’ai déjà évoqué dans l’article traitant de la sécurité sur WordPress, l’utilisation d’extensions de sécurité est importante pour renforcer la sécurité de WordPress. Car comme c’est le système de gestion de contenus le plus utilisé dans le monde pour la création de sites web, WordPress est la cible privilégiée des pirates et des hackers. WordPress est aussi open source, c’est-à-dire que son code est ouvert et donc disponible pour tous. Des failles de sécurité sont régulièrement trouvées puis généralement corrigées rapidement. D’où l’importance de mettre à jour WordPress régulièrement (voire mettre à jour WordPress automatiquement)  pour éviter que des hackers utilisent les failles non corrigées par les mises à jour. Les plugins de sécurité sont un bon moyen de renforcer la sécurité de WordPress en rajoutant des fonctionnalités qui n’existent pas dans la version basique de WordPress : blocage d’adresses IP suspectes, protection contre les attaques XSS ou MITM, protection de l’administration (backoffice) de WordPress, customisation du fichier .htaccess etc…
LIRE AUSSI  Comment désactiver l'éditeur Gutenberg dans WordPress
Découvrons maintenant ensemble les différentes catégories de plugins de sécurité qui existent sur le marché.

Les extensions de sécurité WordPress en version gratuite et payante

Découvrez ci-dessous, notre sélection des meilleurs plugins WordPress proposant des versions Freemium (plugin gratuit avec des fonctionnalités bridées ou en version d’essai) et Premium (plugin payant avec accès à toutes les fonctionnalités). Cela vous offre la possibilité de tester le plugin avant de décider de payer la version complète.

Sucuri Security

Le plugin de sécurité pour WordPress Sucuri Security
Capture d’écran du plugin Sucuri Security
Le plugin Sucuri Security existe en version payante et gratuit. Il faut noter néanmoins que la plupart des sites peuvent fonctionner avec la version gratuite du plugin. Un audit de l’activité de sécurité accompagne la version gratuite du plugin Securi Security. Au sein de ce plugin, sont présentes les fonctionnalités suivantes : la supervision des fichiers (indique par exemple si un fichier du système a été modifié), la supervision des listes noires (blacklists), le renforcement de la sécurité du backoffice etc… Parmi les fonctionnalités les plus remarquables de Sucuri Security, on peut noter la recherche de malwares, la mise en place rapide de conseils de sécurité, la réception de notifications instantanées, etc… La version payante ajoute quant à elle un pare-feu pour votre site web qui relèvera et protègera votre site des attaques. Gros point noir de ce plugin : il n’est pas traduit en français, il vous vous faudra donc être familier avec la langue de Shakespeare pour l’utiliser convenablement.
Sucuri Security – Auditing, Malware Scanner and Security Hardening

Solid Security (ex-iThemes Security)

L'extension de sécurité pour WOrdPress iThemes Security Le plugin Solid Security (anciennement iThemes Security, lui-même anciennement Better WP Security) est très performant pour la protection d’un site web avec pas moins de 30 fonctionnalités qui permettent de contrer les intrusions malveillantes. Ce plugin permet par exemple d’identifier les faiblesses des plugins, les plugins dépassés (c’est-à-dire qui ne sont plus mis à jour) et les mots de passe peu complexes. Il permet même de sauvegarder votre base de données et de planifier l’exécution automatique de sauvegardes de votre base de données. Les fonctionnalités de sécurité de base existent au niveau de la version gratuite. Vous pourrez ainsi mettre en place des règles de blocage d’utilisateurs (ou robots) qui essaient de forcer l’entrée de votre administration (protection contre les attaques de force brute) ou qui cherchent à exploiter les failles de certains plugins WordPress. Solid Security ajoute également de nombreuses règles de protection à votre fichier .htaccess pour plus de sécurité. Avec la version premium payante, il est possible de bénéficier d’un service de support privé, de mettre en place l’authentification à deux facteurs, une analyse programmée des logiciels malveillants et l’intégration de Google reCAPTCHA.
iThemes Security (anciennement Better WP Security)

Wordfence Security

Le tableau de bord de l'extension Wordfence Security
Le tableau de bord de l’extension Wordfence Security
Wordfence Security est un plugin pour site WordPress assez populaire compte tenu de ses nombreuses fonctionnalités. Je ne sais pas si c’est le meilleur plugin de sécurité mais c’est en tout cas mon extension de sécurité préférée avec Solid Security. Son dispositif de sécurité allie simplicité et puissance. Avec là encore de nombreuses fonctionnalités pour protéger efficacement votre site web. Exemples : détection et correction des faiblesses de sécurité grâce à un audit performant, une surveillance du trafic en temps réel, un firewall efficace. Le tout avec des outils et options de protection simples à configurer et à utiliser.
LIRE AUSSI  Comment installer une extension WordPress
L’un de ses atouts principaux est qu’il permet d’avoir une vue sur le volume du trafic ainsi que les velléités de piratage de la part de potentiels hackers. En version gratuite, Wordfence offre déjà beaucoup de fonctionnalités de sécurité qui devraient vous satisfaire. J’aime particulièrement la fonctionnalité qui permet de recevoir un email si votre version de WordPress, de votre thème ou plugins n’est plus à jour. C’est une bonne façon d’être tenu informé qu’il y a des mises à jour à effectuer. Ce qui est, je le rappelle encore une fois, la base de la sécurité de WordPress. La version payante (Premium) de Wordfence Security ajoute notamment l’authentification à deux facteurs (technique de sécurisation courante et efficace contre le vol de son compte utilisateur ou administrateur) et le blocage par pays (blocage des adresses IP). Cela peut être utile pour vous protéger contre une attaque massive depuis une zone géographique précise.
Wordfence Security – Firewall & Malware Scan

Jetpack

Jetpack, une extension de sécurité... mais pas que ça !
L’interface Sécurité de Jetpack
Le plugin Jetpack n’est pas à proprement parlé une extension de sécurité. Mais Jetpack compte beaucoup de fonctionnalités, c’est un véritable couteau suisse pour WordPress. Il est particulièrement adapté à WordPress compte tenu du fait qu’il a été conçu par les développeurs de WordPress (regroupés maintenant dans la société Automattic). Jetpack comporte des fonctionnalités permettant de publier sur les réseaux sociaux,d’ améliorer la vitesse du site,  de lutter contre les spams ou encore de protéger des attaques par force brute. Il existe là aussi différentes versions de Jetpack : une version gratuite mais aussi plusieurs licences payantes mensuelles ou annuelles. Les versions payantes permettent la sauvegarde automatique quotidienne, l’archivage sur 30 jours, le support prioritaire. La recherche de programmes malveillants (malwares) automatisée et les correctifs de sécurité automatiques ne sont disponibles qu’avec les versions Premium et Pro.
Jetpack par WordPress.com

SecuPress

SecuPress, une extension pour renforcer la sécurité de WordPress
Capture d’écran du premier scan réalisé par SecuPress
SecuPress est un modèle de plugin récent disponible sur le marché depuis 2016. La version gratuite et la version premium contiennent toutes les deux de nombreux modules. C’est un plugin agréable à utiliser. SecuPress se distingue particulièrement par la qualité de son interface qui facilite sa manipulation bien que l’extension ne soit pas traduite en français. Ce plugin vous donne notamment la faculté de modifier l’URL de connexion WordPress. Le but étant de rendre invisible aux robots l’administration de votre backoffice. La version Pro du plugin (payante bien sûr) ajoute plus d’une trentaine d’options de sécurité à la trentaine disponible dans la version gratuite. Comme par exemple le changement du préfixe des tables de la base de données, la planification des tâches de sécurité, la protection des clés de sécurité du fichier de configuration de WordPress, etc….
SecuPress Free — Sécurité WordPress

BulletProof Security

L'assistant de configuration de l'extension BulletProof Security
L’assistant de configuration de l’extension BulletProof Security
L’extension BulletProof Security fait l’objet de mises à jour régulières comme la plupart de ses concurrents. Il propose une garantie de remboursement d’un mois si vous n’êtes pas satisfait de l’extension. Il est également possible d’avoir une alerte par mail, l’anti-spam, etc.
LIRE AUSSI  Comment importer des articles Word dans WordPress ?
Le plugin gratuit offre également de nombreuses fonctionnalités classiques :
  • l’ajout de règles de sécurité au fichier .htaccess
  • le scan de malwares, une sécurité renforcée pour l’identification utilisateur
  • la sauvegarde de la base de données
  • la journalisation des erreurs HTTP
  • etc…
BulletProof Security

Les plugins de sécurité WordPress 100% gratuits

Retrouvez notre sélection des plugins WordPress 100% gratuits pour renforcer la sécurité de votre site tournant sur le CMS le plus utilisé dans le monde.

WP fail2ban

La fonctionnalité de ce plugin de sécurité se limite à la protection contre les attaques par force brute. Le plugin WP fail2ban vous renseigne par exemple toutes les fois où il y a des tentatives de connexion suspectes. L’installation de ce plugin est relativement simple notamment en termes de configuration.
WP fail2ban

All In One WP Security & Firewall

All In One WP Security & Firewall est un plugin de sécurité gratuit complet. Il propose ainsi de nombreuses fonctionnalités dont disposent également les plugins freemium. Ce plugin possède une interface simple. L’interface de ce plugin est très agréable avec une mesure du degré de protection de votre site. Ce plugin comporte trois niveaux : basique, intermédiaire et avancé. Malheureusement cette extension n’est pas encore traduite en français.
All In One WP Security & Firewall

Google Authenticator – Two Factor Authentification

Google Authenticator – WordPress Two Factor Authentication (2FA)
Google Authenticator – WordPress Two Factor Authentication (2FA)
Ce plugin permet de renforcer la sécurité de la connexion à votre administration en mettant en place la fonctionnalité d’authentification à deux facteurs. Le plugin Google Authenticator ajoute une vérification supplémentaire au système d’identification/connexion.
Google Authenticator – WordPress Two Factor Authentication (2FA)
Cette liste n’est bien sûr pas complète. Il existe ainsi des dizaines d’extensions WordPress pour renforcer la sécurité de votre site ou blog WordPress. N’hésitez pas à me signaler vos plugins de sécurité préférés via les commentaires. J’essaierai tant bien que mal de mettre à jour cet article si un plugin le mérite !

Foire aux questions

Quel est le meilleur plugin de sécurité gratuit pour WordPress ?

Wordfence Security et All In One WP Security & Firewall sont deux des meilleurs choix gratuits. Wordfence propose un pare-feu et un scanner de malwares, tandis que All In One offre une interface simple avec un score de sécurité visuel.

Faut-il installer plusieurs plugins de sécurité en même temps ?

Non, installer plusieurs plugins de sécurité peut créer des conflits et ralentir votre site. Choisissez un seul plugin complet et complétez avec de bonnes pratiques : mots de passe forts, mises à jour régulières, sauvegardes.

Les plugins de sécurité WordPress ralentissent-ils le site ?

Un plugin de sécurité bien conçu a un impact minimal sur les performances. Certains comme Wordfence peuvent légèrement augmenter l’utilisation mémoire à cause du pare-feu applicatif, mais le gain en sécurité compense largement.

Comment choisir entre un plugin gratuit et un plugin premium ?

La version gratuite suffit pour la plupart des sites personnels et des petits blogs. Optez pour la version premium si vous avez besoin de l’authentification à deux facteurs, du support prioritaire ou de scans automatisés de malwares.

Un plugin de sécurité suffit-il à protéger WordPress ?

Non, un plugin est une couche de protection parmi d’autres. Maintenez WordPress à jour, utilisez un hébergeur fiable, changez le préfixe des tables de la base de données et configurez des sauvegardes automatiques.

SecuPress est-il un bon choix pour un site WordPress en français ?

SecuPress est développé par une équipe française et son interface est traduite. C’est un bon choix si vous cherchez un plugin facile à utiliser avec un scan de sécurité clair et des recommandations en français.

Articles en relation

Interface de l'éditeur CodeLobster IDE pour WordPress avec coloration syntaxique PHP

CodeLobster IDE : l’éditeur de code PHP pensé pour WordPress

Les bonnes raisons de mettre à jour son site ou blog sous WordPress

Pourquoi mettre à jour vos plugins WordPress

Aperçu de l'éditeur Gutenberg (WordPress 5)

Comment désactiver l’éditeur Gutenberg dans WordPress

Steve Chevillard

A propos de Steve Chevillard

Je suis responsable du numérique pour Philo éditions (Philosophie magazine, Sciences Humaines, Philonomist) et j'utilise WordPress depuis la fin des années 2000. J'ai créé astuceswp.fr en 2018 pour partager mon expérience et aider ceux qui veulent se lancer sur WordPress ou aller plus loin avec leur site. Je publie des tutoriels pratiques sur WordPress, l'hébergement, le SEO et les outils numériques, en essayant de rester le plus clair et accessible possible. Mon objectif : vous donner les clés pour être autonome sur votre site, sans vous noyer dans le jargon technique.