WordPress est le système de gestion de contenu le plus utilisé au monde, en 2023 il prend à lui seul 64% des parts de marché du Web, l’équivalent de plusieurs millions de sites Web.
Cette popularité n’est pas sans risques, les sites WordPress sont une cible pour les pirates informatiques et autres hackers. Les plugins ajoutent des fonctionnalités supplémentaires aux sites WordPress, mais peuvent parfois présenter des failles de sécurité.
Vous souhaitez sécuriser votre site WordPress ? C’est parti, explorerons ensemble l’importance de la sécurité et des plugins sécurité WordPress. Je vous propose également des conseils et une sélection des meilleurs plugins sécurité pour protéger votre site.
Plugins sécurité WordPress, pourquoi les utiliser ?
Pour faire simple, un plugin est un outil qui étend les fonctionnalités de base du CMS WordPress. Ils permettent d’ajouter des fonctionnalités personnalisées sans avoir à coder manuellement.
La sécurité est une préoccupation majeure pour tout propriétaire de site Web, et pas que dans le contexte WordPress.
Les plugins eux-mêmes peuvent parfois contenir des failles de sécurité qui pourraient être exploitées par des pirates. C’est pourquoi il est crucial de choisir des plugins réputés, maintenus et sécurisés pour protéger au mieux votre site contre les menaces.
Plugins sécurité, lequel choisir ?
Pour faire votre choix parmi les nombreux plugins sécurité que propose WordPress, je vous propose ces quelques conseils.
Vérifier les évaluations et les avis des utilisateurs
Avant d’installer un plugin, consultez les évaluations et les avis d’autres utilisateurs. Cela vous donnera une idée de la réputation du plugin et de son niveau de sécurité.
La bonne maintenabilité du plugin par son auteur
C’est la première information qui devrait attirer votre regard, à quand remonte la dernière mise à jour du plugin ?
Le mieux est d’avoir une dernière mise à jour antérieur à quelques jours, quelques semaine. Au-delà il faudra évaluer l’importance du plugin et son niveau de complexité et nous mettrons en miroir ses évaluations et avis utilisateurs.
Opter pour un plugin populaire et bien soutenu
Les plugins populaires et bien soutenus ont généralement moins de risques de sécurité, car ils sont régulièrement mis à jour et améliorés.
Vérifier la compatibilité et les mises à jour régulières
Assurez-vous que le plugin est compatible avec votre version de WordPress et que les développeurs effectuent des mises à jour régulières pour corriger les failles de sécurité.
Cette compatibilité est d’importance moindre si vous disposez d’un thème WordPress sur-mesure, dès que celui-ci est entièrement autonome et ne nécessite pas de mise à jour particulière autre que le système WordPress lui même.
Vérifier les autorisations d’accès
Vérifiez attentivement les autorisations d’accès demandées par le plugin. Limitez les plugins qui demandent des autorisations excessives, car ils pourraient accéder à des informations sensibles de votre site.
Mon top 5 des plugins sécurité WordPress pour l’année 2023
| Nom du plugin | Qualités | Défauts | Auteur | Tarification |
|---|---|---|---|---|
| iThemes Security | – Protection complète – Prévention des attaques – Détection des tentatives de connexion brut force – Contrôle d’accès utilisateur – Gestion pare-feu de sécurité – Surveillance des fichiers – Sauvegardes de la base de données – Blocage des adresses IP indésirables | – Interface complexe – Certaines fonctionnalités requièrent la version premium | iThemes | Gratuit, et version premium à partir de $80/an |
| Sucuri Security | – Protection contre les attaques DDOS – Analyse de sécurité en temps réel – Pare-feu de sécurité, surveillance du trafic Web – Protection contre les programmes malveillants – Surveillance des fichiers – Analyse de l’historique de l’activité du site | – Certaines fonctionnalités requièrent la version premium | Sucuri | Payant à partir de $199,99/an |
| Wordfence Security | – Pare-feu d’application Web (WAF) – Protection contre les attaques par brut force – Surveillance du trafic et analyse de sécurité en temps réel – Blocage des adresses IP indésirables – Analyse de fichiers malveillants – Protection contre les programmes malveillants | – Scanner de sécurité peut performant sur les charges élevées | Wordfence | Gratuit, et version premium à partir de $99/an |
| All In One WP Security & Firewall | – Interface conviviale – Protection contre les attaques connexion par brut force – Pare-feu de sécurité – Protection contre les attaques par injections SQL – Surveillance du trafic en temps réel – Contrôle d’accès utilisateur – Analyse du niveau de sécurité du mot de passe | – Certaines fonctionnalités peuvent nécessiter des connaissances plus techniques | All In One WP Security & Firewall Team | Payant à partir de $84/an pour 2 sites |
| BulletProof Security | – Protection renforcée du site – Pare-feu de sécurité – Protection contre les attaques par brut force – Sauvegardes de la base de données – Surveillance du trafic en temps réel – Blocage des adresses IP indésirables – Protection contre les programmes malveillants | – Configuration complexe – Certains paramètres peuvent nécessiter des ajustements techniques pour un meilleur fonctionnement | AITpro Website Security | Gratuit, et version premium à partir de $69.95/an |
Quelques bonnes pratiques de sécurité Web
Avant même de penser plugins de sécurité, il existe des bonnes pratiques que vous devriez suivre pour renforcer la sécurité de votre site WordPress :
Mettre à jour régulièrement WordPress et les plugins
Les mises à jour régulières de WordPress et des plugins corrigent les vulnérabilités et améliorent la sécurité globale de votre site.
Utiliser des mots de passe forts
Utilisez des mots de passe forts et uniques pour éviter les accès non autorisés.
Un mot de passe est considéré fort dès lors qu’il se compose de 12 caractères minimum, au moins un nombre entre 1950 et 2049, au moins une majuscule et 1 signe de ponctuation ou caractère spécial.
source : Dashlane
Limiter les accès administrateurs à 1 est le mieux
Limitez les accès administrateurs uniquement aux personnes de confiance pour éviter les abus potentiels.
Ma préconisation est de n’avoir qu’un seul niveau administrateur, sinon un administrateur côté prestataire et un administrateur côté client. Ainsi vous limiterez l’accès à l’ensemble des fonctionnalités plus ou moins critiques à disposition.
Vous pourrez ensuite attribuer le rôle utilisateur à chacun de vos contributeur en fonction de son activité attendue sur le site :
- administrateur : peut effectuer toutes les actions possible depuis l’administration du site
- éditeur : peut écrire, éditer, publier et supprimer des articles
- auteur : peut télécharger des fichiers, écrire, éditer, publier et supprimer ses propres articles
- contributeur : peut écrire, éditer et supprimer ses propres articles uniquement
- abonné : peut uniquement créer et gérer son profil
source : fr.wordpress.org/support/article/roles-and-capabilities/
Sauvegardez régulièrement le site
Effectuez des sauvegardes régulières de votre site pour pouvoir le restaurer en cas de problème, est en effet une sécurité supplémentaire non négligeable.
De manière simple, vous pouvez utiliser l’outil d’export natif de WordPress.
Rendez-vous dans la rubrique « Outils » puis « Exporter », sélectionnez ensuite « Tout le contenu » ou sélectionnez les types de contenu que vous souhaitez exporter puis cliquer sur « Télécharger le fichier d’exportation » et faites-en une archive sur votre ordinateur dans un dossier dédié.
Les plugins sécurité pour votre site WordPress
La sécurité WordPress est un aspect essentiel de la gestion de votre site Web.
En suivant les conseils et en adoptant les bonnes pratiques de sécurité, vous pouvez protéger votre site contre les menaces potentielles.
N’oubliez pas d’utiliser des plugins populaires tels que iThemes Security, Sucuri Security, Wordfence Security, All In One WP Security & Firewall et BulletProof Security pour renforcer la sécurité de votre site.
Crédit photo : unsplash – fly-d