Quels sont les meilleurs plugins pour renforcer la sécurité de son WordPress ?

Les extensions WordPress sont des outils qui peuvent se révéler efficace pour assurer la sécurité de votre CMS WordPress. De quoi est-il question au juste ? Les plugins sont comme des logiciels de sécurité que l’on adjoint à WordPress pour procéder à un ajout de fonctionnalités ou à une extension ou correction de fonctionnalités déjà intégrées au programme. Hormis pour la sécurité de votre site ou blog WordPress, les plugins peuvent être utilisés à d’autres fins utiles : SEO, affichage (ex: modifier les menus d’administration de WordPress), édition (désactiver Gutenberg dans WordPress), etc… Et pour couronner le tout, l’installation de plugins WordPress est un jeu d’enfant, même pour les néophytes. Parmi les plugins existants, certains sont gratuits d’autres sont payants tandis que certains sont mixtes (des fonctionnalités de base gratuites, d’autres plus avancées sont payantes). Les extensions augmentent ainsi les possibilités de votre site web WordPress.

Pourquoi utiliser un plugin de sécurité pour WordPress ?

Comme je l’ai déjà évoqué dans l’article traitant de la sécurité sur WordPress, l’utilisation d’extensions de sécurité est indispensable pour renforcer la sécurité de WordPress. Car comme c’est le système de gestion de contenus le plus utilisé dans le monde pour la création de sites web, WordPress est la cible privilégiée des pirates et des hackers.

De plus, WordPress est open source, c’est-à-dire que sont code est ouvert et donc disponible pour tous. Des failles de sécurité sont régulièrement trouvées puis généralement corrigées rapidement. D’où l’importance de mettre à jour WordPress régulièrement (voire mettre à jour WordPress automatiquement)  pour éviter que des hackers utilisent les failles non corrigées par les mises à jour.

Les plugins de sécurité sont un bon moyen de renforcer la sécurité de WordPress en rajoutant des fonctionnalités qui n’existent pas dans la version basique de WordPress : blocage d’adresses IP suspectes, protection contre les attaques XSS ou MITM, protection de l’administration (backoffice) de WordPress, customisation du fichier .htaccess etc…

Découvrons maintenant ensemble les différentes catégories de plugins de sécurité qui existent sur le marché.

Les extensions de sécurité WordPress en version gratuite et payante

Découvrez ci-dessous, notre sélection des meilleurs plugins WordPress proposant des versions Freemium (plugin gratuit avec des fonctionnalités bridées ou en version d’essai) et Premium (plugin payant avec accès à toutes les fonctionnalités). Cela vous offre la possibilité de tester le plugin avant de décider de payer la version complète.

Sucuri Security

Le plugin de sécurité pour WordPress Sucuri Security
Capture d’écran du plugin Sucuri Security

Le plugin Sucuri Security existe en version payante et gratuit. Il faut noter néanmoins que la plupart des sites peuvent fonctionner avec la version gratuite du plugin. Un audit de l’activité de sécurité accompagne la version gratuite du plugin Securi Security.

Au sein de ce plugin, sont présentes les fonctionnalités suivantes : la supervision des fichiers (indique par exemple si un fichier du système a été modifié), la supervision des listes noires (blacklists), le renforcement de la sécurité du backoffice etc… Parmi les fonctionnalités les plus remarquables de Sucuri Security, on peut noter la recherche de malwares, la mise en place rapide de conseils de sécurité, la réception de notifications instantanées, etc…

La version payante ajoute quant à elle un pare-feu pour votre site web qui relèvera et protègera votre site des attaques. Gros point noir de ce plugin : il n’est pas traduit en français, il vous vous faudra donc être familier avec la langue de Shakespeare pour l’utiliser convenablement.

Sucuri Security – Auditing, Malware Scanner and Security Hardening

iThemes Security

L'extension de sécurité pour WOrdPress iThemes Security

Le plugin iThemes Security (anciennement connu sous le nom de Better WP Security) est très performant pour la protection d’un site web avec pas moins de 30 fonctionnalités qui permettent de contrer les intrusions malveillantes. Ce plugin permet par exemple d’identifier les faiblesses des plugins, les plugins dépassés (c’est-à-dire qui ne sont plus mis à jour) et les mots de passe peu complexes. Il permet même de sauvegarder votre base de données et de planifier l’exécution automatique de sauvegardes de votre base de données.

Les fonctionnalités de sécurité de base existent au niveau de la version gratuite. Vous pourrez ainsi mettre en place des règles de blocage d’utilisateurs (ou robots) qui essaient de forcer l’entrée de votre administration (protection contre les attaques de force brute) ou qui cherchent à exploiter les failles de certains plugins WordPress. iThemes Security ajoute également de nombreuses règles de protection à votre fichier .htaccess pour plus de sécurité.

Avec la version premium payante, il est possible de bénéficier d’un service de support privé, de mettre en place l’authentification à deux facteurs, une analyse programmée des logiciels malveillants et l’intégration de Google reCAPTCHA.

iThemes Security (anciennement Better WP Security)

Wordfence Security

Le tableau de bord de l'extension Wordfence Security
Le tableau de bord de l’extension Wordfence Security

Wordfence Security est un plugin pour site WordPress assez populaire compte tenu des multiples qualités du programme. Je ne sais pas si c’est le meilleur plugin de sécurité mais c’est en tout cas mon extension de sécurité préférée avec iThemes Security. Son dispositif de sécurité allie simplicité et puissance. Avec là encore de nombreuses fonctionnalités pour protéger efficacement votre site web. Exemples : détection et correction des faiblesses de sécurité grâce à un audit performant, une surveillance du trafic en temps-réelle, un firewall efficace. Le tout avec des outils et options de protection simples à configurer et à utiliser.

L’un de ses atouts principaux est qu’il permet d’avoir une vue sur le volume du trafic ainsi que les velléités de piratage de la part de potentiels hackers. En version gratuite, Wordfence offre déjà beaucoup de fonctionnalités de sécurité qui devraient vous satisfaire. J’aime particulièrement la fonctionnalité qui permet de recevoir un email si votre version de WordPress, de votre thème ou plugins n’est plus à jour. C’est une bonne façon d’être tenu informé qu’il y a des mises à jour à effectuer. Ce qui est, je le rappelle encore une fois, la base de la sécurité de WordPress.

La version payante (Premium) de Wordfence Security ajoute notamment l’authentification à deux facteurs (technique de sécurisation courante et efficace contre le vol de son compte utilisateur ou administrateur) et le blocage par pays (blocage des adresses IP). Cela peut être utile pour vous protéger contre une attaque massive depuis une zone géographique précise.

Wordfence Security – Firewall & Malware Scan

Jetpack

Jetpack, une extension de sécurité... mais pas que ça !
L’interface Sécurité de Jetpack

Le plugin Jetpack n’est pas à proprement parlé une extension de sécurité. Mais Jetpack compte beaucoup de fonctionnalités, c’est un véritable couteau suisse pour WordPress. Il est particulièrement adapté à WordPress compte tenu du fait qu’il a été conçu par les développeurs de WordPress (regroupés maintenant dans la société Automattic). Jetpack comporte des fonctionnalités permettant de publier sur les réseaux sociaux,d’ améliorer la vitesse du site,  de lutter contre les spams ou encore de protéger des attaques par force brute.

Il existe là aussi différentes versions de Jetpack : une version gratuite mais aussi plusieurs licences payantes mensuelles ou annuelles. Les versions payantes permettent la sauvegarde automatique quotidienne, l’archivage sur 30 jours, le support prioritaire.
A noter toutefois que la recherche de programmes malveillants (malwares) automatisée et les correctifs de sécurité automatiques ne sont disponibles qu’avec les versions Premium et Pro.

Jetpack par WordPress.com

SecuPress

SecuPress, une extension pour renforcer la sécurité de WordPress
Capture d’écran du premier scan réalisé par SecuPress

SecuPress est un modèle de plugin récent disponible sur le marché depuis 2016. La version gratuite et la version premium contiennent toutes les deux de nombreux modules. C’est un plugin agréable à utiliser. SecuPress se distingue particulièrement par la qualité de son interface qui facilite sa manipulation bien que l’extension ne soit pas traduite en Français. Ce plugin vous donne notamment la faculté de modifier l’URL de connexion WordPress. Le but étant de rendre invisible aux robots l’administration de votre backoffice.

La version Pro du plugin (payante bien sûr) ajoute plus d’une trentaine d’options de sécurité à la trentaine disponible dans la version gratuite. Comme par exemple le changement du préfixe des tables de la base de données, la planification des tâches de sécurité, la protection des clés de sécurité du fichier de configuration de WordPress, etc….

SecuPress Free — Sécurité WordPress

BulletProof Security

L'assistant de configuration de l'extension BulletProof Security
L’assistant de configuration de l’extension BulletProof Security

L’extension BulletProof Security fait l’objet de mises à jour régulières comme la plupart de ses concurrents. Il propose une garantie de remboursement d’un mois si vous n’êtes pas satisfait de l’extension. Il est également possible d’avoir une alerte par mail, l’anti-spam, etc.

Le plugin gratuit offre également de nombreuses fonctionnalités classiques :

  • l’ajout de règles de sécurité au fichier .htaccess
  • le scan de malwares, une sécurité renforcée pour l’identification utilisateur
  • la sauvegarde de la base de données
  • la journalisation des erreurs HTTP
  • etc…

BulletProof Security

Les plugins de sécurité WordPress 100% gratuit

Retrouvez notre sélection des plugins WordPress 100% gratuits pour renforcer la sécurité de votre site tournant sur le CMS le plus utilisé dans le monde.

WP fail2ban

La fonctionnalité de ce plugin de sécurité se limite à la protection contre les attaques par force brute. Le plugin WP fail2ban vous renseigne par exemple toutes les fois où il y a des tentatives de connexion suspectes. L’installation de ce plugin est relativement simple notamment en termes de configuration.

WP fail2ban

All In One WP Security & Firewall

All In One WP Security & Firewall est un plugin de sécurité gratuit complet. Il propose ainsi de nombreuses fonctionnalités dont disposent également les plugins freemium.

Ce plugin possède une interface simple. L’interface de ce plugin est très agréable avec une mesure du degré de protection de votre site. Ce plugin comporte trois niveaux : basique, intermédiaire et avancé. Malheureusement cette extension n’est pas encore traduite en français.

All In One WP Security & Firewall

Google Authenticator – Two Factor Authentification

Google Authenticator – WordPress Two Factor Authentication (2FA)
Google Authenticator – WordPress Two Factor Authentication (2FA)

Ce plugin permet de renforcer la sécurité de la connexion à votre administration en mettant en place la fonctionnalité d’authentification à deux facteurs. Le plugin Google Authenticator ajoute une vérification supplémentaire au système d’identification/connexion.

Google Authenticator – WordPress Two Factor Authentication (2FA)

Cette liste n’est bien sûre pas exhaustive. Il existe ainsi des dizaines d’extensions WordPress pour renforcer la sécurité de votre site ou blog WordPress. N’hésitez pas à me signaler vos plugins de sécurité préférés via les commentaires. J’essaierai tant bien que mal de mettre à jour cet article en cas de plugin remarquable !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *.
Les commentaires sont publiés après modération.