...
vous avez été piraté ? obtenir de l'aide
Benjamin Bueno CEO Textone & WordPress Pirate
Benjamin Bueno

Expert Cybersécurité

11 mars, 2024
plugins sécurité́
WordPress est le CMS le plus utilisé, avec près d’un tiers des sites web. Cette popularité a des avantages : de nombreux plugins sont développés et mis à jour pour les utilisateurs de ce logiciel de création de site internet. Mais elle a aussi des inconvénients : WordPress est l’une des cibles privilégiée des hackers, qui restent à l’affût des failles et vulnérabilités du CMS pour les exploiter rapidement, avant le déploiement de correctifs. Pour assurer la protection de son site web contre la menace réelle des spams, attaques et logiciels malveillants, il est indispensable de prendre des mesures de sécurité. L’une des plus simples est de télécharger un plugin de sécurité. Nos experts WordPress font le point sur les meilleures extensions de sécurité pour WordPress, leurs fonctionnalités et leur efficacité.
Table des matières

L'importance de sécuriser son site WordPress

Même si les sites WordPress sont sécurisés grâce à un certificat SSL, ils restent exposés à plusieurs types de vulnérabilités, que ce soit au niveau de l’interface, de l’administration ou de l’authentification.

Tous les administrateurs WordPress ont installé des extensions ou plugins, qu’il s’agisse d’extensions gratuites ou payantes. Les extensions vous permettent d’améliorer les performances de votre site. Parmi les plus populaires, il y a par exemple Imagify pour réduire le poids des images et booster la vitesse de chargement du site, Yoast SEO pour travailler son référencement, Redirection pour créer des redirections 301, Elementor comme constructeur de site… Malheureusement, la plupart des failles de sécurité se trouvent dans le code des extensions WordPress.

Les failles de sécurité dans le cœur de WordPress ne représentent que 0,58 % des vulnérabilités détectées sur WordPress. En effet, des experts en sécurité travaillent quotidiennement à la maintenance du CMS, et donc, à la correction des éventuelles vulnérabilités. Mais elles existent quand même et les hackers sont constamment à leur recherche.

Chaque nouvelle version de WordPress apporte son lot de correctifs. Or, plus d’un quart des administrateurs de site WordPress n’ont pas installé la dernière version du CMS et s’exposent donc davantage aux attaques des pirates informatiques.

Sécuriser son site WordPress est indispensable pour se protéger de ces failles de sécurité qui sont surveillées de près par les hackers. Un site piraté pourra vous coûter beaucoup d’argent, menacer la sécurité des données de vos utilisateurs et nuire à la réputation de votre entreprise. En l’absence de sauvegarde, vous pourriez avoir à refaire tout votre site de zéro !

IONOS

A quoi sert un plugin de sécurité WordPress ?

Les plugins de sécurité vont vous aider à sécuriser votre site WordPress. Non seulement, ils offrent une protection proactive via un pare-feu (firewall), mais en plus, ils peuvent scanner votre site à la recherche de logiciels malveillants et tentatives d'attaques. Installer un plugin de sécurité vous permettra de limiter les tentatives de connexion à l'administration de votre site WordPress (notamment les attaques par force brute), mais aussi d'analyser les logiciels malveillants en cas de piratage pour réagir plus rapidement et limiter les dégâts sur votre site web.

Les fonctionnalités des plugins de sécurité

Voici les fonctionnalités principales des plugins de sécurité WordPress :

Même si la plupart des plugins de sécurité sont complets, certains sont spécialisés et offrent donc des fonctionnalités spécifiques. Par exemple, un plugin de sécurité peut être dédié à la sécurité des connexions et de l’authentification sur l’interface d’administration.

Les différents types d'extensions de sécurité pour WordPress

Il existe deux types de plugins de sécurité : les extensions dites généralistes, et les extensions spécialisées, avec une fonction plus spécifique. Les plugins de sécurité généralistes permettent plusieurs actions au sein d’une même interface : pare-feu, blocage d’adresses IP, scanner, protection contre les spams et contre les attaques de force brute… Les plugins de sécurité spécifiques permettent d’effectuer seulement une action, comme la mise en place d’un captcha pour renforcer la sécurité de l’authentification, ou encore la sauvegarde de votre site web. 

La plupart des plugins de sécurité possèdent une version gratuite et une version payante. Selon le plugin, la version premium peut proposer différentes offres et prix en fonction du niveau de protection souhaité. 

WordPress est sécurisé… si vous suivez les mesures de sécurité !

Votre site web redirige vers des pages malveillantes, comme des sites de rencontre ou des publicités pour de faux produits ?
La page d’accueil a été modifiée ou a été remplacée par une autre page, comme une page à caractère islamique avec message de rançon ? 

Un code erreur apparait à la place de votre page d’accueil ? 

Les pages de votre site internet sont anormalement lentes ? 

Votre site web mine des crypto monnaies à votre insu ?

1- Wordfence

WordFence Security est l’un des plugins de sécurité les plus populaires avec plus de 4 millions d’installations actives. L’extension est simple à prendre en main car la plupart de ses fonctions sont automatiques, cependant, le tableau de bord est disponible uniquement en anglais. 

WordFence Security propose un scanner de logiciels malveillants ainsi qu’un pare-feu. Il inclut des fonctionnalités comme l’authentification à deux facteurs et le captcha. Il est efficace pour protéger votre site web du spam, mais aussi des types de piratages les plus fréquents : attaques de force brute, cross-site scripting (XSS), attaques par injection SQL… Il est possible aussi de bloquer manuellement certaines adresses IP. En cas de problème de sécurité, vous recevez une alerte par email. 

WordFence Security fonctionne sous le modèle freemium, ce qui signifie qu’il y a une version gratuite basique et une version payante plus complète. Le firewall est disponible dès la version gratuite. Par contre, pour que tous les outils soient déployés dès la détection d’une menace, il faudra opter pour une version payante. Sinon, le délai est de 30 jours. Les tarifs vont de 119$ (pour un seul site) à 950$ par an (pour les sites critiques).

2- iThemes Security

Solid Security (anciennement Better WP Security puis iThemes Security) est l’un des plugins de sécurité les plus anciens puisqu’il existe depuis 2010. Il affiche plus d’un million d’installations actives. La prise en main est simple et modulaire, et le tableau de bord est disponible en français. 

iThemes Security est un outil ultra-complet qui offre de nombreuses fonctionnalités : authentification à deux facteurs, blocage d’adresses IP, protection contre les attaques de force brute et le spam, renforcement des mots de passe, réglages de sécurité en fonction de l’utilisateur, détection de l’altération de fichiers, sauvegarde de la base de données… 

Pour vous y retrouver dans toutes les fonctionnalités du plugin iThemes, vous pouvez utiliser l’assistant de configuration de l’outil, qui vous propose des réglages de sécurité optimaux en fonction du type de site : blog, e-commerce, portfolio…

 Le seul bémol de ce plugin est qu’il ne propose pas de pare-feu applicatif.

La version gratuite est suffisante pour protéger votre site. Sinon, les tarifs de Solid Security démarrent à 199$ par an pour un site.

3- Anti-Malware Security

Avec plus de 200 000 installations actives, le plugin Anti-Malware Security and Brute-Force Firewall propose un scan de tous les fichiers de votre site web pour détecter les malwares. 

Cet outil permet de faire un scan rapide ou un scan complet de votre site. Chaque scan est personnalisé : c’est à vous de choisir les éléments que vous souhaitez analyser. Lors de l’analyse de sécurité, les malwares détectés sont signalés en rouge, mis en quarantaine puis supprimés. Les menaces potentielles sont signalées en jaune.

Le plugin Anti-Malware Security and Brute-Force Firewall permet également de bloquer les attaques par force brute. Enfin, il inclut un pare-feu. 

C’est un plugin de sécurité entièrement gratuit.

4- Sucuri Security

Sucuri Security est un plugin sécurité gratuit. Avec plus de 800 000 installations actives, il permet de mener un audit complet de votre site web à la recherche d’éventuelles failles de sécurité. 

Il analyse tous les fichiers de votre site WordPress et détecte les tentatives de connexion, les logiciels obsolètes et les logiciels malveillants. Vous pouvez configurer des notifications de sécurité par email. 

Certaines fonctionnalités peuvent être activées en un seul clic pour renforcer la sécurité de votre site web : par exemple le blocage de l’exécution de certains fichiers PHP, la suppression de l’affichage de votre version de WordPress, ou encore la mise à jour des clés de sécurité. La version premium propose en plus un pare-feu, le Sucuri firewall. 

Les tarifs commencent à 9,99$/mois (pour le pare-feu uniquement) ou 199$/an (pour les packs de sécurité).

5- All In One WP Security & Firewall

All-in-One Security (AIOS) and Firewall figure parmi les plugins de sécurité les mieux notés de WordPress. Cette extension gérée par UpdraftPlus (un plugin de sauvegarde également très populaire) compte plus d’un million d’installations actives. Ce plugin tout-en-un protège les fichiers et le contenu de votre site web, ainsi que leur accès. 

Parmi les fonctionnalités de All-in-One Security, on retrouve un pare-feu applicatif qui est capable de bloquer les requêtes malveillantes, un scan de malwares, l’authentification à deux facteurs, la protection contre les spams et attaques de force brute, et la programmation de sauvegardes automatiques de votre site. 

En plus de ces fonctions, AIOS propose des options inédites qui permettent de protéger votre contenu. Il est par exemple possible de désactiver le clic droit sur vos pages pour éviter le copier/coller de votre contenu.

Ce plugin tout-en-un est 100% gratuit et ne suffira donc pas pour protéger un site e-commerce ou à fort trafic. En revanche, c’est un plugin très efficace pour assurer la sécurité d’un blog ou d’un site vitrine. Toutefois, il existe maintenant un plan premium à partir de 80$/an qui offre des options plus avancées.

6- Jetpack Security

Jetpack Security est souvent surnommé le couteau-suisse des plugins de sécurité WordPress. C’est l’un des 10 plugins les plus téléchargés de tous les temps avec plus de 5 millions d’installations actives. En effet, ce plugin multi-tâches offre une cinquantaine de modules, activables en un seul clic, qui concernent aussi bien la sécurité que la performance ou le marketing de votre site. 

Jetpack vous protège contre les attaques par force brute et les spams, mais pas seulement. Le plugin surveille également les performances de votre site (temps d’arrêt et disponibilité) et met à jour automatiquement les extensions. Il vous propose aussi la sauvegarde automatique et la restauration en un clic, l’authentification à deux facteurs et le blocage des commentaires et réponses aux formulaires indésirables. Enfin, Jetpack vous permet de consulter le journal d’activités pour connaître toutes les modifications apportées sur votre site. 

L’un des avantages principaux de Jetpack, en plus de ses multiples fonctionnalités, c’est qu’il est développé et maintenu par la société qui dirige WordPress, Automattic. Ainsi, il est régulièrement mis à jour et enrichi de nouvelles options. 

Par contre, seulement quelques options sont gratuites, comme la protection des attaques par force brute ou la surveillance des pannes. Si vous souhaitez bénéficier des autres options proposées par le plugin, vous devrez payer une licence pro, à 25€/mois. Cette licence inclut un firewall, un scanner de malwares et la sauvegarde de votre site.

7- MalCare Security

MalCare Security est un plugin de sécurité généraliste qui compte plus de 400 000 installations actives. Ce plugin propose la suppression de logiciels malveillants automatique et rapide. Il est capable de détecter un grand nombre de types de logiciels malveillants et vérifie la présence des malwares avant de les signaler pour éviter les faux positifs.

L’avantage de ce fonctionnement est double : non seulement, vous êtes averti rapidement en cas de piratage, mais en plus, votre site est nettoyé avant même qu’il soit ajouté à la blacklist de Google ou supprimé par votre hébergeur. Toutefois, dans les faits, nous conseillons toujours de vérifier le nettoyage effectué par le plugin.

MalCare Security ne ralentit pas votre site web malgré une vitesse d’exécution très rapide. Il n’y a pas non plus de limite dans le nombre de nettoyages effectués. En plus, ce plugin est facile à utiliser. Par contre, on déplore l’absence de la prise en charge de la connexion avec authentification à deux facteurs. De plus, le plugin ne se met pas à jour automatiquement. 

La version gratuite de MalCare Security inclut la recherche de malwares et un pare-feu de protection. Les tarifs pour les plans payants démarrent à 8,25$/mois.

8- SecuPress

SecuPress est un plugin de sécurité 100% français qui compte plus de 40 000 installations actives. L’objectif de ce plugin est de sécuriser votre site web tout en optimisant ses performances. Il propose une large gamme de fonctionnalités de protection de site web : génération de captcha, limitation des tentatives de connexion, programmes anti-bots, mises à jour automatiques… Son tableau de bord est simple d’utilisation et tout est en français, de l’interface au support très réactif.

Comme la grande majorité des extensions de sécurité WordPress, SecuPress est disponible en version gratuite et en version payante. Nous déplorons l’absence de certaines fonctionnalités essentielles dans la version gratuite, notamment l’authentification à deux facteurs. Toutefois, les prix de SecuPress sont attractifs et conviendront par exemple aux freelances web, puisqu’il faut compter à partir de 60€/an pour un plan premium.

9- Defender Security

Comme SecuPress, Defender Security est une extension de sécurité moins populaire (90 000 installations actives) mais qui n’en est pas moins efficace. Defender Security offre plusieurs fonctionnalités de sécurisation de votre site web : analyse des logiciels espions, blocage d’adresses IP, protection contre les attaques de force brute, pare-feu intégré, prévention des spams, détection des pages 404 factices, captcha, blocage des utilisateurs malveillants, changement de l’URL de connexion WordPress… 

Vous l’aurez compris, ce plugin est ultra-complet. Et en plus, il est facile à utiliser : un seul clic, suffit pour scanner votre site web à la recherche d’un code suspect ou restaurer la dernière sauvegarde en cas de modifications non reconnues. 

Defender Security est disponible en version gratuite ou payante. La version gratuite est assez efficace mais si vous souhaitez maximiser la protection de votre site, nous vous conseillons d’opter pour la version payante. Celle-ci offre des fonctionnalités supplémentaires vraiment intéressantes, comme les sauvegardes dans le Cloud ou la gestion avancée de la liste noire. Il faut compter à partir de 60€/an en fonction du plan premium choisi.

10- Shield Security

Shield Security compte plus de 50 000 installations actives. Ce plugin de sécurité a pour objectif de protéger votre site des robots et hackers. Il va par exemple empêcher les tentatives de connexion, bloquer les attaques de force brute, ou prévenir les commentaires indésirables. C’est un plugin de prévention et de réparation, qui va chercher à réparer les erreurs qui exposent votre site aux piratages (par exemple, des fichiers WordPress défaillants), et à éviter les intrusions. 

Comme tous les autres plugins de sécurité de notre sélection, Shield Security propose une version gratuite basique et un plan payant à un coût de 79$/an. La version premium offre des fonctionnalités avancées comme l’analyse poussée des malwares, la protection du serveur, ou la détection des spams dans les formulaires.

Benjamin Bueno

05 avril 2024

Nos conseils pour bien choisir votre plugin de sécurité WordPress

Comment faire un choix parmi toutes ces applications ? Il est difficile de choisir son plugin de sécurité en se basant simplement sur une liste de noms dans un article sur Internet.

Tout dépend du type de plugin que vous recherchez. Vous pouvez vous tourner vers un plugin reconnu comme WordFence Security ou Jetpack Security, choisir une extension très bien notée comme All-in-One Security, ou opter pour un service 100 % français avec SecuPress. Quel que soit le plugin choisi, vérifiez toujours les avis des clients pour être sûr de choisir un plugin sécurisé et efficace.

Avant toute chose, faites le point sur vos besoins : niveau de sécurité souhaité en fonction de votre site, options indispensables, accès à un support, mises à jour régulières, pays d’origine du plugin… Dressez une liste des caractéristiques attendues pour votre plugin de sécurité, cela vous permettra déjà d’écarter quelques possibilités.

Nous vous conseillons de ne pas installer plusieurs plugins de sécurité à la fois car cela risque de provoquer des lenteurs ou des problèmes de compatibilité. Tournez-vous donc plutôt vers une application complète, qui réponde à tous vos besoins. 

Vous pouvez tester, l’une après l’autre, plusieurs extensions (en téléchargeant la version gratuite) : si la prise en main ne vous convient pas, vous pourrez toujours en changer. Les outils de notre top 10 sont des plugins qui se prennent en main facilement, sans avoir à toucher au code, et qui proposent des fonctionnalités assez extensives. 

Plugins de sécurité : sont-ils vraiment efficaces ?

Tous ces plugins de sécurité sont des aides intéressantes, mais il est important de garder en tête qu’ils ne sont pas 100 % fiables, surtout dans leurs versions gratuites qui sont toujours limitées.

D’une manière générale, les scans anti-virus des plugins ne sont pas assez fiables pour prouver qu’un site n’est pas infecté. D’autant plus que le niveau de fiabilité dépend aussi du plugin choisi : certains ne vont scanner qu’une partie de votre site (par exemple, les fichiers WordPress) tandis que d’autres vont aussi analyser votre base de données.

De plus, dans la pratique, ces outils génèrent souvent de faux positifs, surtout si vous avez modifié vos fichiers WordPress de base ou customisé du code pour personnaliser votre site web. 

Enfin, comme tous les plugins, il y a toujours la possibilité que votre plugin de sécurité entre en conflit avec d’autres plugins installés dans votre administration WordPress, voire avec votre thème. Or, les conflits entre plugins peuvent générer des failles de sécurité.

Quelles solutions complémentaires aux plugins de sécurité pour protéger votre site ?

Les plugins de sécurité ne sont pas inutiles, au contraire. Ils proposent une surveillance constante de votre site qui est bien plus efficace que de ne rien faire. Toutefois, leur rôle est davantage de vous aider à gérer la sécurité de votre site web et non pas de la prendre en charge complètement. Pour lutter contre les piratages, la méthode la plus secure est de souscrire à une assurance pour votre site WordPress. 

Sécurité WordPress vous propose une assistance complète, qui inclut la sécurisation, la prévention et la réparation de votre site internet en cas de piratage. Notre objectif est de protéger votre site de toutes les attaques, notamment les plus graves comme celles qui conduisent au vol de données sensibles ou à la destruction de votre site. Nous assurons des sauvegardes régulières de votre site et vérifions en temps réel qu’il soit protégé en permanence des piratages. 

Contactez-nous pour toute question sur les conditions et modalités de notre assurance WordPress.

Choisir les meilleurs plugins de sécurité pour WordPress est crucial pour protéger votre site contre les menaces en ligne. Ces plugins offrent une variété de fonctionnalités, de la prévention des hacks au renforcement de l’authentification. Par exemple, des attaques telles que le Keyword Hack Japonais sur WordPress peuvent être évitées en utilisant des plugins de sécurité qui filtrent les tentatives de manipulation de contenu.

Il est également essentiel de maintenir une bonne hygiène de sauvegarde. Les plugins comme UpdraftPlus permettent des sauvegardes régulières et faciles à restaurer, ce qui est vital en cas de piratage ou de dysfonctionnement du site. De plus, la mise à jour des plugins est une étape cruciale dans la maintenance de la sécurité du site. Le guide sur la mise à jour des plugins offre des conseils pratiques pour garder vos plugins à jour et sécurisés.

Enfin, en cas d’attaque ou de problème de sécurité, des plugins spécialisés peuvent aider à réparer un site cassé. Ces outils sont essentiels pour résoudre rapidement les problèmes et minimiser les dommages. La combinaison de ces plugins forme une défense robuste, permettant de sécuriser efficacement votre site WordPress contre diverses menaces.

Nos experts français assurent un support et une prestation de qualité.

je demande de l’AIDE

Recevoir un devis
Demander un devis pour réparer un site

inscrivez vous a la newsletter

Nous vous enverrons des informations utiles et de qualité pour apprendre ainsi à mieux protéger votre site.
newsletter pour actualité WorPress

Partager cet article