Blog GlobalSign

05 févr. 2019

Les meilleurs plug-ins de sécurité WordPress

La popularité de WordPress en tant qu'outil de développement de sites Web peut se mesurer au nombre de ses versions linguistiques. En effet, WordPress est aujourd'hui disponible en 68 langues. Depuis son lancement en mai 2003, ce logiciel open source est devenu l'outil préféré des développeurs Web à travers le monde.

WordPress « propulse » actuellement 75 millions de sites Web. Gratuit à installer et à déployer, WordPress a été utilisé pour développer des milliers de plug-ins et de thèmes gratuits, réduisant ainsi les coûts de développement et de déploiement.

Mais, selon les estimations de professionnels du secteur, plus de 70 % des installations WordPress sont vulnérables aux attaques de pirates et de malwares. En cause : l'exploitation de plug-ins ou de thèmes WordPress obsolètes sur les sites Web. Les propriétaires doivent donc en priorité s’assurer du bon fonctionnement et de la sécurité de leurs sites Web, et les protéger contre diverses menaces — logiciels malveillants, bots, attaques par force brute, etc. Que peuvent-ils faire pour inverser cette tendance ?

Heureusement, l'installation du bon module complémentaire de sécurité WordPress permet d’assurer la sécurité du site Web et une récupération rapide en cas de piratage. Voici un comparatif des meilleurs plug-ins de sécurité WordPress sur le marché.

MalCare

Malcare logo

MalCare utilise ses propres serveurs hors site pour ne pas surcharger les serveurs clients. Le plug-in a été développé par la même équipe qui a conçu BlogVault le célèbre plug-in de sauvegarde de sites Web. En plus d'être un outil intelligent de détection et de suppression des malwares, MalCare ajoute une dimension intuitive à la protection des connexions et aux services de pare-feu pour applications Web. Résultat : il est facilement utilisable même sans connaissances techniques.

Caractéristiques de MalCare

  • Configuration de la détection des malwares en mode automatique et à la demande.
  • Technologie d’analyse basée sur plus d’une centaine de signaux intelligents.
  • Utilisation de serveurs hors site pour la détection et la suppression des malwares pour éviter la surcharge des serveurs clients.
  • Suivi des modifications apportées aux fichiers critiques.
  • Réduction optimale du nombre de faux positifs : MalCare ne se contente pas d’identifier les correspondances avec les signatures des malwares, mais vérifie la présence des malwares avant de les signaler.
  • Suppression automatique des logiciels malveillants en un seul clic.
  • Protection contre les attaques par force brute.
  • Mesures de protection renforcées du site Web.
  • Fonction de sauvegarde intégrée.
  • Gestion des utilisateurs et tableau de bord.
  • Automatisation des opérations de détection quotidiennes ou lancement d'analyses en un seul clic en mode forcé.
  • Fonctionnalité de nettoyage intuitive pour éliminer les malwares en un clic.
  • Protection du backend conforme aux recommandations de sécurité de WordPress : MalCare permet d’exécuter facilement différentes opérations de renforcement de la sécurité des sites Web — changement des clés de sécurité, désactivation de l'éditeur de fichiers, interdiction de l'exécution de PHP dans le dossier Uploads, etc.
  • Pas de ralentissement du site Web WordPress lorsque MalCare est exécuté sur ses propres serveurs avec, en prime, un contrôle des modifications de fichiers et un signalement des malwares sans dégradation des performances du site.
  • Prise en charge multisite, en fonction de la formule WordPress choisie.
  • Prise en charge de la technologie de sauvegarde incrémentielle avancée intégrée, partie intégrante de la restauration d’un site Web après piratage.
  • Pas de prise en charge de l'authentification à deux facteurs pour les connexions utilisateur.
  • Pas de mise à jour automatique (par défaut) du plug-in ou des thèmes.

Avantages de MalCare

  • Automatisation des opérations de détection quotidiennes ou lancement d'analyses en un seul clic en mode forcé.
  • Fonctionnalité de nettoyage intuitive pour éliminer les malwares en un clic.
  • Protection du backend conforme aux recommandations de sécurité de WordPress : MalCare permet d’exécuter facilement différentes opérations de renforcement de la sécurité des sites Web — changement des clés de sécurité, désactivation de l'éditeur de fichiers, interdiction de l'exécution de PHP dans le dossier Uploads, etc.
  • Pas de ralentissement du site Web WordPress lorsque MalCare est exécuté sur ses propres serveurs avec, en prime, un contrôle des modifications de fichiers et un signalement des malwares sans dégradation des performances du site.
  • Prise en charge multisite, en fonction de la formule WordPress choisie.
  • Prise en charge de la technologie de sauvegarde incrémentielle avancée intégrée, partie intégrante de la restauration d’un site Web après piratage.

Inconvénients de MalCare

  • Pas de prise en charge de l'authentification à deux facteurs pour les connexions utilisateur.
  • Pas de mise à jour automatique (par défaut) du plug-in ou des thèmes.

Tarifs

MalCare propose une version gratuite qui inclut la recherche de malwares et un pare-feu de protection. Les versions payantes commencent à 8,25 $ par mois.

Wordfence

wordfence logo

Avec des fonctions de sécurité qui incluent une protection contre les attaques par force brute et l'authentification à deux facteurs, le plug-in de sécurité open source WordFence est très apprécié des utilisateurs de WordPress et comptabilise plus de 2 millions de téléchargements. Parmi les autres fonctionnalités proposées, le Threat Defense Feed renforce le plug-in de sécurité avec les dernières mises à jour sur les pare-feu, signatures de malwares et adresses IP indésirables.

Caractéristiques de WordFence

  • Surveillance en ligne en temps réel grâce à la fonction Threat Defense Feed.
  • Pare-feu d'application Web intégré (WAF, Web Application Firewall).
  • Alertes instantanées des analyses de sécurité.
  • Réparation des fichiers piratés.
  • Blocage des adresses IP indésirables.
  • Fonctionnalité de sécurité multisite.
  • Mise en cache de sites Web.
  • Analyse et reporting des fichiers compromis sur le site Web.
  • Outil de mise en cache côté serveur pour des performances améliorées du site Web
  • Efficacité du pare-feu WordFence pour bloquer les attaques de logiciels malveillants ou les attaques par porte dérobée.
  • E-mails d’alertes aux utilisateurs pour la mise à jour des plug-ins de sécurité ou des thèmes.
  • Statistiques live et temps réel du trafic de votre site Web.
  • Mises à jour régulières du plug-in WordFence.
  • Support client prioritaire réservé aux clients payants ou Premium.
  • Déclenchement de nombreuses notifications pour des problèmes de sécurité mineurs.
  • Surcharge possible des serveurs pendant l’analyse dans la mesure où Wordfence s’exécute sur les serveurs des utilisateurs, avec un impact sur les performances du site Web en environnement d’hébergement mutualisé.
  • Absence de fonctionnalités majeures dans la version gratuite, comme la surveillance en temps réel, l’identification par téléphone portable, la planification des recherches de malwares, le blocage par pays ou l’audit des mots de passe.

Avantages de WordFence

  • Analyse et reporting des fichiers compromis sur le site Web.
  • Outil de mise en cache côté serveur pour des performances améliorées du site Web.
  • Efficacité du pare-feu WordFence pour bloquer les attaques de logiciels malveillants ou les attaques par porte dérobée.
  • E-mails d’alertes aux utilisateurs pour la mise à jour des plug-ins de sécurité ou des thèmes.
  • Statistiques live et temps réel du trafic de votre site Web.
  • Mises à jour régulières du plug-in WordFence.

Inconvénients de WordFence

  • Support client prioritaire réservé aux clients payants ou Premium.
  • Déclenchement de nombreuses notifications pour des problèmes de sécurité mineurs.
  • Surcharge possible des serveurs pendant l’analyse dans la mesure où Wordfence s’exécute sur les serveurs des utilisateurs, avec un impact sur les performances du site Web en environnement d’hébergement mutualisé.
  • Absence de fonctionnalités majeures dans la version gratuite, comme la surveillance en temps réel, l’identification par téléphone portable, la planification des recherches de malwares, le blocage par pays ou l’audit des mots de passe.

Tarifs

Disponibilité d’une version gratuite incluant des fonctions d'analyse et de pare-feu de base. Le prix des versions Premium commence à partir de 99 $ par an.

Sucuri

Sucuri logo

Parmi les sociétés spécialisées dans la sécurité en mode cloud, Sucuri propose une gamme de produits et de services compatibles avec les sites WordPress, Joomla, Drupal, PHP,.NET et HTML. Avec sa fonction de journal de surveillance active dans le cloud, ce plug-in de sécurité détecte les menaces de sécurité potentielles et les attaques de malwares.

Caractéristiques de Sucuri

  • Surveillance de l'intégrité des fichiers et retrait des sites mis sur listes noires avec système d’alerte.
  • Fonction de journal de surveillance active (Active Monitoring Log).
  • Analyse à distance des logiciels malveillants.
  • Mesures de renforcement de la sécurité du site Web.
  • Prise en charge multisite.
  • Mise en œuvre d’actions de sécurité après le piratage de votre site.
  • Notifications instantanées des menaces pour la sécurité.
  • Pare-feu d'applications Web intégré (WAF, Web Application Firewall).
  • Système de prévention des intrusions (IPS, Intrusion Prevention System).
  • Réseau de distribution de contenu (CDN, Content Distribution Network).
  • Services de sauvegarde de sites Web dans le cloud.
  • Réduction des attaques DDoS en temps réel.
  • Détection et blocage efficaces des attaques DDoS.
  • Sécurité renforcée des sites Web grâce aux fonctionnalités WAF et IPS.
  • Simplicité et rapidité de nettoyage et de récupération des sites piratés.
  • Réduction des temps de chargement des pages grâce aux services de mise en cache CDN avec, en prime, une amélioration des performances du site.
  • Recherches de problèmes de sécurité potentiels de WordPress et signalement dans la banque de connaissances Sucuri par l’équipe Sucuri qui permet ainsi aux propriétaires de sites de suivre l'actualité « sécurité » de WordPress.
  • Fonctions de pare-feu et de planification des analyses de malwares réservées aux clients de la version Premium.
  • Coûts des analyses et procédures de nettoyage pouvant atteindre 500 $.

Avantages de Sucuri

  • Détection et blocage efficaces des attaques DDoS.
  • Sécurité renforcée des sites Web grâce aux fonctionnalités WAF et IPS.
  • Simplicité et rapidité de nettoyage et de récupération des sites piratés.
  • Réduction des temps de chargement des pages grâce aux services de mise en cache CDN avec, en prime, une amélioration des performances du site.
  • Recherches des problèmes de sécurité potentiels de WordPress et signalement dans la banque de connaissances Sucuri par l’équipe Sucuri qui permet ainsi aux propriétaires de sites de suivre l'actualité « sécurité » de WordPress.

Inconvénients de Sucuri

  • Fonctions de pare-feu et de planification des analyses de malwares réservées aux clients de la version Premium.
  • Coûts des analyses et procédures de nettoyage pouvant atteindre 500 $.

Tarifs

Sucuri propose une version gratuite qui inclut des fonctions comme l’analyse, l'audit et le renforcement de la sécurité des sites Web. La version Premium ou payante coûte environ 200 $ pour une année.

iThemes Security

ithemes security logo

Également connu sous le nom de Better WP Security, iThemes Security offre une protection contre plus de 40 types de vulnérabilités. Certaines fonctionnalités incluent le verrouillage du site Web WordPress, des correctifs pour les vulnérabilités courantes, le blocage des attaques automatisées et le renforcement des informations d'identification utilisateur (nom d'utilisateur et mot de passe de connexion).

Caractéristiques de iThemes Security

  • Authentification à deux facteurs.
  • Protection contre les attaques par force brute.
  • Suivi de toute modification apportée aux fichiers core.
  • Détection des menaces pour la sécurité.
  • Enregistrement des actions des utilisateurs.
  • Masquage des données et récupération des bases de données.
  • Compatibilité avec plusieurs sites.
  • Détection des erreurs 404 cachées sur le site Web.
  • Sauvegardes des bases de données.
  • Didacticiels sur la sécurité.
  • Protection efficace du site Web grâce à des procédures comme le renommage des dossiers dont les contenus sont vulnérables, le changement des préfixes des tables de bases de données et des URL de connexion.
  • Utilisation renforcée de la dernière version la plus à jour des plug-ins et des thèmes WordPress.
  • Application de mots de passe forts pour tous les comptes utilisateur.
  • Mode vacances permettant de bloquer les bots et codes malveillants dès la page de connexion.
  • Suivi des modifications de fichiers.
  • Prévention des attaques par force brute grâce à l’authentification à deux facteurs pour les connexions utilisateur, aux fonctions Google CAPTCHA et au bannissement des utilisateurs ou des bots après plusieurs échecs de connexion répétés.
  • Suivi de l’ensemble des activités utilisateur, de la connexion à la déconnexion.
  • Détection et correction rapide des vulnérabilités du site Web.
  • Prévention de toute modification non autorisée des fichiers core.
  • Système de tickets de support réservé aux clients Premium.
  • Certaines fonctions, comme la planification des analyses, l'authentification à deux facteurs et la définition de dates d'expiration pour les mots de passe, sont exclusivement réservées aux clients Premium.

Avantages de iThemes Security

  • Protection efficace du site Web grâce à des procédures comme le renommage des dossiers dont les contenus sont vulnérables, le changement des préfixes des tables de bases de données et des URL de connexion.
  • Utilisation renforcée de la dernière version la plus à jour des plug-ins et des thèmes WordPress.
  • Application de mots de passe forts pour tous les comptes utilisateur.
  • Mode vacances permettant de bloquer les bots et codes malveillants dès la page de connexion.
  • Suivi des modifications de fichiers.
  • Prévention des attaques par force brute grâce à l’authentification à deux facteurs pour les connexions utilisateur, aux fonctions Google CAPTCHA et au bannissement des utilisateurs ou des bots après plusieurs échecs de connexion répétés.
  • Suivi de l’ensemble des activités utilisateur, de la connexion à la déconnexion.
  • Détection et correction rapide des vulnérabilités du site Web.
  • Prévention de toute modification non autorisée des fichiers core.

Inconvénients de iThemes Security

  • Système de tickets de support réservé aux clients Premium.
  • Certaines fonctions, comme la planification des analyses, l'authentification à deux facteurs et la définition de dates d'expiration pour les mots de passe, sont exclusivement réservées aux clients Premium.

Tarifs

Le prix des versions payantes commence à partir de 80 $ par an. Vous retrouverez la version gratuite dans le répertoire WordPress.

SecuPress

Secupress logo

SecuPress, de WP Media, simplifie la sécurité du site Web, sa performance, la vitesse de chargement et l'utilisation de la mémoire grâce à un tableau de bord clair et intuitif. Le plug-in est capable de réparer automatiquement par lui-même les problèmes de fichiers après analyse. SecuPress protège également vos données de backend.

Caractéristiques de SecuPress

  • Recherches automatiques et planifiées de malwares.
  • Sauvegardes régulières des fichiers et des bases de données.
  • Détection automatique des plug-ins et thèmes vulnérables.
  • Fonction anti-spam.
  • Fonction de sauvegarde intégrée.
  • Protection des clés de sécurité.
  • Supplément de 149 € pour chaque demande de suppression de malwares.
  • Supplément de 99 € pour une configuration professionnelle de SecuPress.
  • Utilisation sur plusieurs sites réservée aux clients Premium.

Avantages de SecuPress

  • Alertes email en continu en cas d'attaque par force brute.
  • Déplacement automatique de la page d'authentification vers une autre adresse si détection d'une attaque par force brute.
  • Application de mots de passe d'utilisateur forts, double authentification des utilisateurs, protection des pages de profil et mise à jour des plug-ins WordPress.
  • Fonctions de renforcement de la sécurité avec, entre autres, la désactivation des fichiers de téléchargement .zip, des plug-ins et des thèmes, du XML-RPC et des liens dynamiques pour protéger le backend du site Web des pirates et des bots.

Inconvénients de SecuPress

  • Supplément de 149 € pour chaque demande de suppression de malwares.
  • Supplément de 99 € pour une configuration professionnelle de SecuPress.
  • Utilisation sur plusieurs sites réservée aux clients Premium.

Tarifs

SecuPress propose une version gratuite ainsi qu'une version premium à partir de 59 $ par an.

SiteLock

Sitelock logo

SiteLock est un produit de sécurité dans le cloud qui protège automatiquement le site Web grâce à ses nombreuses fonctionnalités : pare-feu au niveau du DNS qui recherche automatiquement les malwares et améliore la vitesse et les performances globales du site Web. SiteLock peut aussi générer des rapports en cas de détection de malwares pour que l’utilisateur puisse réagir immédiatement.

Caractéristiques de SiteLock

  • Analyses quotidiennes du site pour rechercher les éventuels malwares.
  • Détection et suppression automatiques des logiciels malveillants.
  • Pare-feu d'applications Web (WAF) intégré.
  • Retrait du site des listes noires.
  • Protection contre les attaques DDoS.
  • Large gamme de produits de sécurité pour les sites Web WordPress.
  • Analyses répétées du site Web afin de détecter et de supprimer les logiciels malveillants.
  • Analyse des pages Web en mode brouillon.
  • Efficacité des tests en boîtes blanches pour l'analyse de sites Web.
  • Blocage des requêtes nuisibles par le pare-feu d’applications Web.
  • Pas de fonctions majeures de renforcement de la sécurité comme le changement des clés de sécurité ou la désactivation complète de l'accès au backend.
  • Aucune version gratuite disponible.

Avantages de SiteLock

  • Large gamme de produits de sécurité pour les sites Web WordPress.
  • Analyses répétées du site Web afin de détecter et de supprimer les logiciels malveillants.
  • Analyse des pages Web en mode brouillon.
  • Efficacité des tests en boîtes blanches pour l'analyse de sites Web.
  • Blocage des requêtes nuisibles par le pare-feu d’applications Web.

Inconvénients de SiteLock

  • Pas de fonctions majeures de renforcement de la sécurité comme le changement des clés de sécurité ou la désactivation complète de l'accès au backend.
  • Aucune version gratuite disponible.

Tarifs

SiteLock propose une version premium à partir de 30 $ par mois. L’entreprise propose également une consultation gratuite.

Conclusion

Devant la complexité des cybermenaces, la plupart des propriétaires de sites Web jugent difficile de répondre aux besoins de sécurité de leurs sites Web. Une bonne façon d’aborder le problème consiste à commencer par choisir le plug-in de sécurité le mieux adapté à leur site Web. Nous espérons que cet article vous donnera un bon aperçu de vos différentes possibilités. N’hésitez pas à nous indiquer quel est le service de sécurité que vous appréciez et utilisez !

Note de la rédaction : la sécurité des sites Web est un vaste sujet et même si les plug-ins évoqués dans cet article couvrent un grand nombre de points, nous ne voudrions pas être taxés de négligence en omettant de rappeler à nos lecteurs l'importance du HTTPS. En effet, les sites HTTP sont maintenant signalés comme n’étant « pas sécurisés ». Pour éviter d’en arriver là sur votre site, consultez notre guide ici - Guide pas à pas pour choisir votre certificat SSL.

À propos de l'auteur

Je suis Akshat Choudhary, fondateur et PDG de BlogVault, MigrateGuru et MalCare. Passionné par la création de produits qui apportent une réponse aux vrais problèmes des « vrais » gens, je crée des systèmes et des produits depuis 2005. Lorsque je conçois un produit, je m'assure avant toute chose que l'utilisateur final n'aura pas besoin d'assistance, et si c’était le cas, je tiens à ce qu’il soit assisté de la meilleure façon possible.

Partager ce blog

Comprendre le piratage éthique