Top 13 des plugins et services de sécurité WordPress pour protéger votre site

En matière de sécurité, ce n'est pas assez. C'est pourquoi vous devriez toujours opter pour un plugin/service de sécurité WordPress premium.

Il est indéniable que dans l'ensemble, les plugins WordPress premium offrent beaucoup plus de valeur que les plugins gratuits. Mais même parmi les plugins premium, il y en a qui sont au sommet de la chaîne alimentaire. Ils peuvent être coûteux, mais ils ont un impact unique sur votre entreprise, et tout site Web WordPress digne de ce nom ne peut s'en passer.

Cet article concerne quatre de ces plugins et services incroyables. Mais d'abord, prenons un peu de recul et parlons de cet art sombre connu sous le nom de sécurité Web.

Pourquoi devrais-je me soucier de la sécurité Web ?

Hum, bonne question.

Il est difficile de se passionner pour la sécurité lorsque votre entreprise se développe et que votre site Web se porte bien mois après mois. Maintenant, vous savez que votre entreprise est 100 % numérique - ces quelques fichiers résidant quelque part sur un ordinateur public sont ce qui fait de votre entreprise tout ce qu'elle est.

Et croyez-le ou non, c'est une base très superficielle sur laquelle miser tout votre avenir. De nouvelles bibliothèques, logiciels et fonctionnalités sont déployés chaque semaine, mais l'état de la sécurité est à peu près ce qu'il était il y a dix ans (il existe encore plusieurs façons désagréables de faire tomber une application Web).

C'est particulièrement vrai pour WordPress, qui n'a pas d'architecture inspirant confiance du point de vue de la sécurité.

Pour vous, propriétaire d'entreprise, le risque est colossal : perdre tout ce que vous avez construit au fil des ans en quelques secondes. Pensez-y : l'entreprise s'arrêtera brutalement (ou silencieusement), les plaintes et la colère des clients augmenteront de façon exponentielle, et il n'y aura rien à faire.

Même si vous avez des sauvegardes multiples et fréquentes de tout et pouvez restaurer le site, les dommages à votre réputation seront irréversibles.

En d'autres termes, s'il vous plaît, s'il vous plaît, pour le bien de votre entreprise et de sa réputation, agissez avant qu'il ne soit trop tard. En utilisant une ou plusieurs des suggestions de cet article, vous pourrez vous occuper de 99% des maillons faibles de votre chaîne de défense (comme pour les 1% restants, tout le monde en a). Prenez en charge la sécurité de votre site Web WordPress.

Agir maintenant!

Bon, assez de motivation enragée ; passons aux suggestions.

SUCURI

SUCURI est un pare-feu cloud, un CDN, une surveillance et une protection DDoS ; tout en un.

Il s'agit d'un service découplé et indépendant de la plate-forme qui fonctionne avec n'importe quel CMS ou configuration Web, notamment WordPress, Joomla, Drupal et Magento.

Rendez-vous sur leurs plans tarifaires et vous trouverez de belles offres. Ce qui a attiré mon attention, c'est le plan de 199,99 $ par an, qui contient tout ce que vous pouvez demander (analyse des piratages, surveillance de la liste noire, protection DDoS, CDN, SSL, pare-feu), ainsi qu'un temps de réponse de douze heures et une garantie de remboursement de 30 jours. ! :-O

Coûteux?

Pour un site Web qui gagne quelques milliers de dollars par mois (ou par an) et peut à tout moment tout perdre à cause d'une attaque stupide et automatisée ? Pas du tout!

Wordfence

Wordfence est une sorte de nom familier maintenant, étant l'un des meilleurs plugins freemium là-bas. Même après plus de 2 millions d'installations actives, il conserve une note presque parfaite et est la première chose à installer pour les administrateurs WordPress expérimentés.

Mais la vraie joie de ce plugin se trouve dans la version premium, où vous obtenez un pare-feu très utile et de bonnes fonctionnalités (filtrage IP, blocage de pays, analyse de porte dérobée, pour n'en nommer que quelques-unes).

La cerise sur le gâteau est le tableau de bord des rapports qui est disponible directement à partir de votre menu d'administration WordPress.

Prix? 99 $ par site Web par an. Allez, vous vous moquez de moi ?!

Sécurité des iThèmes

iThemes est un nom connu dans l'hébergement WordPress géré, mais ils ont également un incroyable plugin de sécurité premium appelé iThemes Security. Il s'agit d'une autre offre avec batteries incluses qui contient des fonctionnalités uniques et utiles. Je me sens obligé de faire une pause et d'en discuter rapidement quelques-uns.

Détection de changement de fichier : WordPress est (presque) tout sur les fichiers et ce qu'ils contiennent. Lorsqu'un plugin est ajouté, il ajoute ses fichiers ; lorsque le noyau est mis à jour, plusieurs fichiers sont remplacés ; etc. Cela signifie que si quelqu'un a accédé à votre site Web et installe un code malveillant, les modifications de fichiers sont l'une des premières choses à rechercher.

Détection 404 : la plus grande menace pour la plupart des sites Web ne vient pas des pirates informatiques déterminés, mais des robots qui persistent avec leurs attaques insensées mais approfondies. Par exemple, un bot WordPress conçu pour pirater commencerait par rechercher des URL clés dans une configuration qui peut être compromise.

Par exemple, il peut rechercher /admin, /members-only, /private, etc., dans l'espoir de trouver une page qui autorise l'accès au site une fois le mot de passe cassé. Mais comme ce bot ne peut que deviner et parcourir les options une par une, il générera beaucoup de requêtes 404 (introuvables) sur le serveur.

En d'autres termes, il demande à être bloqué, ce que iThemes Security fait bien.

Honnêtement, le nombre de fonctionnalités est trop grand pour être discuté ici, je vous encourage donc à visiter le site et à jeter un coup d'œil.

Si vous êtes un développeur WordPress indépendant, vous pouvez protéger jusqu'à 10 sites Web pour 127 $ par an. C'est 12,7 $ par an pour un site. Impossible à croire !

Cloudflare

Il ne fait aucun doute que vous avez déjà entendu parler de Cloudflare ; c'est l'un des meilleurs (ou les meilleurs ?) noms en matière de CDN hautes performances. Je veux dire, à moins que vous n'ayez fait vous-même des recherches sur les CDN, Cloudflare est probablement la première chose qui vous vient à l'esprit, ou le prénom que quelqu'un recommande, lorsqu'il s'agit d'un CDN.

Ce que vous ne savez peut-être pas, cependant, c'est que le plan pro est une offre de sécurité de niveau industriel qui est utilisée par Discord, Crunchbase, Udacity, ZenDesk, Cisco. . . Bon, j'arrête avant que mon cerveau n'explose !

Cloudflare n'est pas lié uniquement à WordPress mais fonctionne avec tous. Il s'agit d'une offre extrêmement sérieuse et performante pour les entreprises dont les choses bougent à une échelle folle et qui ne peuvent se permettre aucune faiblesse, quelle que soit la minute.

Les forfaits pro sont chers, le forfait de base étant à 20 $ par mois, mais contient des fonctionnalités intéressantes telles que l'optimisation de l'image et l'optimisation mobile. Donc, si vous êtes à une échelle où les lois de la physique (informatique) ne sont plus respectées, et rien de moins qu'un obusier ne le fera, Cloudflare est la réponse.

Malveillance

Gardez votre site Web WordPress exempt de logiciels malveillants avec le plugin Malcare.

Être infecté par diverses menaces est relativement facile de nos jours avec le nombre croissant de pirates et de sites de spam, il est donc toujours bon d'être préparé. Heureusement, des plugins tels que MalCare suppriment instantanément les logiciels malveillants de vos sites, manuellement ou automatiquement, selon vos préférences.

La grande chose à propos de ce plugin est qu'il est opérationnel en une minute. Et en plus de cela, cela ne ralentira pas votre site Web car il effectue les analyses sur leurs serveurs.

Même si votre site Web est déjà piraté et infecté, MalCare peut le réparer en moins d'une minute sans manipuler aucun de vos fichiers propres. Comme il vaut mieux prévenir que guérir, leur algorithme peut détecter même les menaces les plus sophistiquées qui pourraient devenir un danger considérable pour vos données et vos actifs. Il les bloque en temps réel dès la détection effectuée.

Outre ces fonctionnalités, il comporte également des extras qui peuvent s'avérer très utiles pour vous, tels que :

• Mise à jour en masse du site Web, qui comprend le thème, les plugins et autres
• Renforcement de votre site Web en utilisant les meilleures pratiques de sécurité
• Collaboration avec les membres de l'équipe pour de meilleures actions de protection
• Connexion intelligente basée sur Captcha pour empêcher les mauvais robots d'essayer d'intervenir

Ajoutez ce plugin fiable à votre site Web WordPress et asseyez-vous, sachant que les pirates n'ont aucune chance de manipuler votre propriété.

Authentificateur Google

Google Authenticator pour WordPress est un plugin simple qui vous permet d'activer l'authentification à deux facteurs. L'application d'authentification est disponible pour les appareils iPhone et Android.

Vous pouvez activer l'authentification à deux facteurs par utilisateur en plus d'un mot de passe normal.

Journal d'audit de sécurité WP

WP Security Audit Log aide à enregistrer chaque événement sur votre site Web. Il fonctionne également avec WordPress multisite. En utilisant ce plugin, vous pouvez assurer la sécurité, la productivité et organiser votre flux de travail.

Le plugin compte plus de 70 000 installations actives et est un outil indispensable pour les administrateurs WordPress et les professionnels de la sécurité.

Caractéristiques

• Suit presque toutes les activités sur votre site WordPress
• Suit les activités des utilisateurs telles que le changement de mot de passe.
• Les rapports sont précis à la milliseconde près.
• Enregistre l'adresse IP.

WPS Masquer la connexion

WPS Hide est un plugin léger qui vous permet de modifier facilement l'URL de connexion administrateur. La désactivation du plugin ramène votre site exactement à l'état où il était avant.

Changer une URL d'administration serait une bonne idée pour masquer la page de connexion à un attaquant afin d'éviter les attaques automatiques par force brute.

Sécurité pare-balles

BulletProof Security propose un scanner de logiciels malveillants, un pare-feu, une sécurité de connexion, une sauvegarde de base de données, un anti-spam et bien plus encore.

Ce plugin dispose d'un assistant de configuration en un clic où vous pouvez sécuriser votre site en quelques clics.

Points forts

• Scanner de malware MScan
• .htaccess protection
• Déconnexion de session inactive
• Surveillance, journalisation et sécurité des connexions
• Protection anti-spam JTC
• Pare-feu intégré

Le plugin BulletProof a également une version PRO avec plus de couverture de sécurité.

Cerbère Sécurité

Cerber Security protège votre site contre les attaques de pirates, le spam, les chevaux de Troie et les logiciels malveillants.

Atténuez les attaques par force brute en limitant le nombre de tentatives de connexion via le formulaire de connexion XML-RPC / requêtes API REST ou en utilisant des cookies d'authentification.

Points forts

• Autorise ou limite l'accès par liste d'accès IP blanche et liste d'accès IP noire avec une seule adresse IP, plage d'adresses IP ou sous-réseau.
• Détecte et déplace automatiquement les commentaires de spam dans la corbeille ou les nie complètement.
• Mode Citadelle pour les attaques massives par force brute.
• Protection contre les attaques DDOS.
• Cache wp-login.php et wp-signup.php des attaques possibles.
• Bloque immédiatement une IP ou un sous-réseau lors d'une tentative de connexion avec un nom d'utilisateur inexistant.

Le plugin est gratuit.

Bloquer les mauvaises requêtes

Block Bad Queries ou BBQ vérifie tout le trafic entrant et bloque discrètement les mauvaises requêtes contenant des éléments désagréables comme eval(, base64_ et des chaînes de requête excessivement longues.

Il s'agit d'une solution simple mais parfaite pour les sites qui ne peuvent pas utiliser un pare-feu .htaccess puissant.

Certaines des fonctionnalités clés sont :

• Aide à bloquer les attaques par injection SQL.
• Il analyse tout le trafic entrant et bloque les mauvaises requêtes.
• Fournit des statistiques telles que le nombre de coups pour chaque modèle et graphique à barres de toutes les données de comptage.
• Aide à bloquer les attaques de traversée de répertoire.

Sécurité anti-malware et pare-feu Brute-Force

Anti-Malware Security et Brute-Force Firewall exécutent une analyse complète pour supprimer automatiquement les menaces de sécurité connues et les scripts de porte dérobée.

Il dispose d'un pare-feu qui empêche SoakSoak et d'autres logiciels malveillants d'exploiter Revolution Slider et d'autres plugins.

Points forts

• Désactiver XMLRPC
• Empêcher les attaques par force brute et DDoS
• Contrôles d'intégrité des fichiers de base

Anti-Malware Security et Brute-Force Firewall sont des logiciels open source et donc gratuits à utiliser.

Sécurité et pare-feu WP tout en un

All In One WP Security & Firewall est un plugin WordPress complet, facile à utiliser, stable et bien pris en charge qui ajoute une sécurité et un pare-feu supplémentaires à votre site en utilisant différents outils qui appliquent de bonnes pratiques de sécurité.

Points forts

• Appliquer pour autoriser uniquement un mot de passe fort
• Arrêtez les mauvais robots
• Verrouillage de connexion basé sur l'IP ou l'action
• Protection contre la force brute, XSS

et beaucoup plus.

Conclusion

Pour conclure, vous ne pouvez vous tromper avec aucun de ces plugins/services ici. Pour certains, une combinaison de Wordfence et Cloudflare fonctionne mieux, tandis que d'autres sont heureux d'activer SUCURI et n'ont pas à se soucier du nombre total d'attaques bloquées en une journée.

Mon conseil?

La même chose ennuyeuse que je dis toujours : ne soyez pas pressé et prenez toujours les critiques avec une pincée de sel. Même le mien.

Optez d'abord pour la version gratuite/la moins chère, essayez-la activement pendant un certain temps sur différents cas d'utilisation, puis effectuez le changement seulement.

Puissiez-vous avoir un déploiement WordPress sécurisé et prospère !