L’investissement initial du site web est à lui seul une raison suffisante pour sécuriser votre site dès le départ. Les piratages, les logiciels malveillants, les attaques par porte dérobée et le spam de référencement ne sont que quelques-unes des menaces persistantes qui attendent de profiter de votre serveur, des données de vos visiteurs et de l’infrastructure de votre site web.
Ces menaces de sécurité mettent en danger les profits futurs, la confiance des clients et la stabilité de l’ensemble de votre site. C’est pourquoi nous avons dressé une liste des meilleures extensions WordPress de sécurité pour bloquer tous les intrus potentiels.
Utiliser ces extensions de sécurité sur un site web, c’est comme prendre une assurance et installer un système d’alarme. Ce nouvel investissement passionnant peut nécessiter un acompte important, des frais d’inspection et une hypothèque. Ne voudriez-vous pas le protéger au mieux pour un investissement d’une telle valeur ? C’est précisément ce que nous allons explorer dans cet article !
Plugins WordPress de sécurité
Par défaut, le cœur de WordPress a mis en place certaines mesures de sécurité. Mais elle peut être constamment améliorée avec une extension de sécurité réputée. Les meilleures extensions WordPress de sécurité offrent :
- La surveillance active de la sécurité
- L’analyse des fichiers
- L’analyse des logiciels malveillants
- La surveillance des listes de blocage
- Le renforcement de la sécurité
- Des Actions post-piratage
- Un pare-feu
- Une protection contre les attaques par force brute
- Des notifications en cas de détection d’une menace pour la sécurité
Certaines extensions WordPress de sécurité offrent encore plus d’avantages, mais ceux qui sont énumérés ci-dessus sont les meilleurs.
Votre priorité n°1 : Un hébergement sécurisé
La sécurité de votre site est aussi bonne que la base sur laquelle il fonctionne. C’est pourquoi il est important, avant de chercher les meilleures extensions WordPress de sécurité, que vous choisissiez une plateforme d’hébergement WordPress qui a déjà des mesures de sécurité en place, comme Kinsta (qui fournit des améliorations de sécurité au niveau de l’entreprise pour tous les utilisateurs).
Beaucoup de ces mesures de sécurité sont effectuées au niveau du serveur et peuvent être beaucoup plus efficaces sans nuire aux performances de votre site. Vous n’avez pas besoin de passer du temps à tripoter un tas de réglages de sécurité dans des extensions que vous ne comprenez peut-être même pas.
Voici quelques fonctions de sécurité que Kinsta offre sur tous les plans d’hébergement WordPress infogérés.
- Kinsta détecte les attaques DDoS, surveille le temps de fonctionnement et interdit automatiquement les IP ayant plus de six tentatives de connexion échouées en une minute.
- Seules les connexions SFTP et SSH cryptées (pas de FTP) sont prises en charge pour accéder directement à vos sites WordPress (voici la différence entre FTP et SFTP).
- Des pare-feu matériels et des mesures de sécurité actives et passives supplémentaires sont en place pour empêcher l’accès à vos données.
- Nos restrictions
open_basedir
n’autorisent pas non plus l’exécution de PHP dans des répertoires standard sujets à des scripts malveillants. - Kinsta utilise des conteneurs Linux (LXC) au-dessus de Google Cloud Platform (GCP), ce qui permet une isolation complète pour chaque compte et chaque site WordPress distinct. Il s’agit d’une méthode beaucoup plus sûre que celle proposée par les concurrents. GCP utilise également le cryptage des données au repos.
- Kinsta n’exécute que les versions prises en charge de PHP. Les versions de PHP non prises en charge sont dangereuses car elles ne disposent plus de mises à jour de sécurité et sont exposées à des failles de sécurité non corrigées. Des mises à jour régulières sont votre meilleur atout.
- Kinsta fournit des sauvegardes pour tous les sites sur ses serveurs, créant automatiquement deux semaines de sauvegardes que les propriétaires de sites peuvent restaurer si nécessaire.
- L’authentification à deux facteurs ajoute une couche supplémentaire de sécurité lors du processus de connexion.
- Toutes les nouvelles installations de Kinsta doivent générer un mot de passe solide pour pouvoir continuer.
- Rien n’est jamais à l’abri d’un piratage à 100%, et c’est pourquoi Kinsta fournit des correctifs gratuits pour tous ses clients.
Il est important de noter que de nombreuses extensions de sécurité causent des problèmes de performance puisqu’ils sont toujours en cours d’exécution. C’est pourquoi Kinsta interdit certaines extensions de sécurité (pas toutes). Kinsta utilise également des équilibreurs de charge avec Google Cloud Platform, ce qui signifie que dans certains cas, les fonctions de blocage d’IP de certaines extensions de sécurité ne fonctionneront pas comme prévu.
Si vous êtes un client de Kinsta, nous vous recommandons vivement d’utiliser une solution telle que Cloudflare ou Sucuri, en plus de Kinsta, surtout si vous avez besoin d’une protection supplémentaire ou d’une aide pour diminuer le trafic des robots et/ou des proxy. Sucuri est connu pour sa capacité à aider à atténuer rapidement les attaques DDoS. Vous pouvez également configurer les réglages de pare-feu recommandés si vous utilisez Cloudflare.
Cependant, tous les hébergeurs n’ont pas une sécurité aussi stricte que celle de Kinsta, et c’est là que vous pouvez bénéficier des meilleures extensions WordPress de sécurité.
Les meilleurs plugins WordPress de sécurité en 2024
Si vous êtes pressé, n’hésitez pas à cliquer sur les liens suivants pour tester les extensions de sécurité et prendre vos propres décisions. Si vous souhaitez voir notre analyse approfondie, continuez à lire !
Les meilleurs plugins pour une protection complète du site web et une surveillance active
- Sucuri Security – Auditing, Malware Scanner and Security Hardening
- iThemes Security
- Wordfence Security
- All In One WP Security & Firewall
- BulletProof Security
Les meilleurs pour rechercher et bloquer les logiciels malveillants, les virus et les adresses IP suspectes
- SecuPress
- WPScan – WordPress Security Scanner
- Security Ninja
- MalCare Security
- Security & Malware Scan by CleanTalk
Les meilleurs pour la prévention des spams et des robots
Les meilleurs pour cacher des fichiers aux intrus
Les meilleurs pour la sécurité de l’authentification et de la connexion
Les meilleurs pour la sauvegarde des fichiers du site
Les meilleurs plugins pour la réparation des piratages
Les meilleurs pour exécuter les journaux de sécurité
Les meilleurs pour activer un SSL (secure socket layer)
La plupart des extensions de sécurité utiles ont un prix, mais quelques-unes offrent gratuitement des fonctionnalités limitées.
Nous allons parler du prix, mais il est plus important de comprendre ce que chaque extension fera pour vous. En fin de compte, il s’agit de trouver la meilleure façon d’éloigner les méchants de votre investissement – parfois, cela signifie dépenser un peu d’argent.
Les meilleurs plugins pour une protection complète du site web et une surveillance active
1. Sucuri Security – Auditing, Malware Scanner and Security Hardening
L’extension Sucuri Security propose des versions gratuites et payantes, mais la plupart des sites web devraient se contenter de l’extension gratuite. Par exemple, le pare-feu du site web nécessite que vous payiez pour un plan Sucuri, mais tous les administrateurs de sites web ne ressentent pas le besoin de ce type de sécurité.
En ce qui concerne les fonctionnalités gratuites, l’extension est livrée avec un audit des activités de sécurité pour voir dans quelle mesure l’extension protège bien votre site web.
Elle dispose d’une surveillance de l’intégrité des fichiers, d’une surveillance des listes de blocage, de notifications de sécurité et d’un renforcement de la sécurité. Les plans premium ouvrent des canaux de service client et des analyses plus fréquentes. Par exemple, vous pouvez souhaiter qu’une analyse soit effectuée toutes les 12 heures.
Tarification
Sucuri offre un plan gratuit et une garantie de remboursement de 30 jours si vous passez à un plan supérieur et que vous ne l’aimez pas.
Voici les plans premium :
- Pare-feu de base : 9,99 $ par mois
- Pare-feu Pro : 19,98 $ par mois
- Plateforme de base (nettoyages, analyses, pare-feu et CDN) : 199,99 $ par mois
- Plateforme Pro : 299,99 $ par mois
- Plateforme Business : 499,99 $ par mois
Les caractéristiques qui font de Sucuri Security un excellent choix :
- Elle offre de multiples variantes de certificats SSL. Ceux-ci sont payants, mais ils sont disponibles dans les forfaits.
- Le service clientèle est disponible sous la forme d’un tchat 24/7/365, d’un e-mail et d’un système de tickets.
- Vous recevez des notifications instantanées lorsque quelque chose ne va pas sur votre site web.
- Une protection DDoS avancée est disponible dans certains forfaits.
- Si vous ne voulez pas payer, vous recevez quand même des outils précieux pour la surveillance des listes de blocage, la recherche de logiciels malveillants, la surveillance de l’intégrité des fichiers et le renforcement de la sécurité.
- La plateforme premium offre des rapports de post-nettoyage, un accord de niveau de service pour retirer le matériel, la surveillance de la liste de blocage, la correction des piratages, et plus encore.
Lecture complémentaire : Comment configurer le pare-feu Sucuri (WAF) sur votre site WordPress
2. iThemes Security
L’extension iThemes Security (précédemment connue sous le nom de Better WP Security) est l’un des moyens les plus impressionnants de protéger votre site web, avec plus de 30 offres pour empêcher des choses comme les piratages et les intrus indésirables.
Elle met l’accent sur la reconnaissance des vulnérabilités des extensions, des logiciels obsolètes et des mots de passe faibles, ce qui fait d’iThemes une extension de sécurité complète pour tous les types de sites WordPress.
Bien que certaines fonctions de sécurité de base soient incluses dans la version gratuite, nous vous recommandons vivement de passer à la version iThemes Security Pro. Celle-ci fournit une assistance par tchat, un an de mises à jour de l’extension et un support pour deux sites web. Si vous souhaitez protéger plus de sites, vous pouvez passer à un plan plus coûteux.
En ce qui concerne les principales fonctionnalités de la version pro, iThemes Security Pro fournit une application forte des mots de passe, le verrouillage des mauvais utilisateurs, des sauvegardes de base de données et une authentification à deux facteurs.
Ce ne sont que quelques façons de protéger votre site avec cette extension WordPress de sécurité. Vous pouvez activer 30 mesures de sécurité complètes, ce qui fait de iThemes Security Pro une valeur sûre.
Tarification
La suite de sécurité iThemes Security Pro commence à 80 $ par an. Le prix augmente si vous avez besoin de sécuriser plus de sites. Vous bénéficiez également d’une garantie de remboursement de 30 jours.
Voici les plans de iThemes Security Pro :
- Blogueur : 80 $ par an
- Freelance : 127 $ par an
- Gold : 199 $ par an
- Plugin Suite : 499 $ par an
Profitez de la tranquillité d’esprit avec notre pare-feu Google Cloud et la garantie de réparation des piratages. Essayez Kinsta gratuitement.
Les caractéristiques qui font de iThemes Security un excellent choix :
- L’extension de sécurité offre une détection des modifications de fichiers, ce qui est vital car la plupart des administrateurs web ne remarquent pas quand un fichier est modifié.
- Ajoutez une couche supplémentaire de protection à votre connexion en utilisant l’intégration de Google reCAPTCHA et l’authentification à deux facteurs.
- L’extension compare vos fichiers de base WordPress avec la version actuelle de WordPress, vous aidant à comprendre si quelque chose de malveillant est placé dans ces fichiers.
- Mettez à jour vos sels et clés WordPress pour ajouter une couche supplémentaire de complexité à vos clés d’authentification.
- Vous pouvez définir un « mode absent » pour les cas où vous n’effectuez pas de mises à jour constantes de votre site et où vous souhaitez verrouiller complètement votre tableau de bord WordPress à tous les utilisateurs.
- D’autres éléments essentiels comme la détection des erreurs 404, la protection contre la force brute et l’application d’un mot de passe fort.
- Vous pouvez bannir des utilisateurs et empêcher les attaques par force brute.
- L’extension offre des sauvegardes partielles du site et l’application du SSL.
3. Wordfence Security
Wordfence Security est l’une des extensions WordPress de sécurité les plus populaires, et ce pour une bonne raison. Ce joyau associe la simplicité à de puissants outils de protection, tels que les solides fonctions de sécurité de connexion et les outils de récupération des incidents de sécurité. L’un des principaux avantages de Wordfence est que vous pouvez avoir un aperçu des tendances générales du trafic et des tentatives de piratage.
Wordfence est l’une des solutions de sécurité gratuites les plus impressionnantes, avec tout, du blocage du pare-feu à la protection contre les attaques par force brute.
Tarification
Il existe une version gratuite et une option premium à partir de 99 $ par an pour un site.
Les créateurs de l’extension la rendent également moins cher pour les développeurs, en proposant des remises importantes lorsque vous souscrivez à des clés pour plusieurs sites. Par exemple, si vous achetez plus de 15 licences, vous bénéficiez d’une réduction de 25 %, soit 74,25 $ par licence.
Il est intéressant d’envisager Wordfence si vous développez plusieurs sites web et souhaitez les protéger tous.
Voici la structure complète des remises :
- Licence pour 1 site : 99 $ par an
- Licences 2-4 sites : 89,10 $ par an (10 % de réduction)
- Licences 5-9 sites : 84,15 $ (15 % de réduction)
- Licences 10-14 site : 79,20 $ (remise de 20 %)
- Licences plus de 15 sites : 74,25 $ (25 % de réduction)
Les caractéristiques qui font de WordFence Security un excellent choix :
- La version gratuite est suffisamment puissante pour les petits sites web.
- Les développeurs peuvent économiser beaucoup d’argent en souscrivant à des clés pour plusieurs sites.
- Elle dispose d’une suite complète de pare-feu avec des outils pour le blocage des pays, le blocage manuel, la protection contre la force brute, la défense contre les menaces en temps réel et un pare-feu d’application web.
- La partie analyse de l’extension combat les logiciels malveillants, les menaces en temps réel et le spam. Il analyse tous vos fichiers à la recherche de logiciels malveillants, et pas seulement les fichiers WordPress.
- L’extension surveille le trafic en direct en affichant des éléments tels que l’activité d’exploration de Google, les connexions et déconnexions, les visiteurs humains et les robots.
- Vous avez accès à des outils uniques comme la possibilité de vous connecter avec votre téléphone portable et d’auditer votre site web.
- Le filtre anti-spam pour les commentaires supprime la nécessité d’installer une extension séparée.
- Elle surveille vos extensions et vous fait savoir s’ils ont été supprimés du dépôt d’extensions de WordPress (généralement parce qu’elles sont dangereuses ou piratées), si elles ne sont plus mises à jour ou si elles ont été abandonnées.
4. All In One WP Security & Firewall
All In One WP Security & Firewall est l’une des extensions de sécurité gratuites les plus riches en fonctionnalités. Elle offre une interface intuitive et un support client décent sans prix.
Il s’agit d’une extension de sécurité très visuelle avec des graphiques pour expliquer les mesures de débutant comme la force de sécurité et ce qui doit être fait pour rendre votre site plus fort.
Les fonctionnalités sont réparties en trois catégories : Basique, Intermédiaire, et Avancé. Par conséquent, vous pouvez toujours utiliser l’extension si vous êtes un développeur plus avancé.
Cette extension fonctionne principalement en protégeant vos comptes utilisateurs, en bloquant les tentatives de forçage de votre connexion et en améliorant la sécurité de l’enregistrement des utilisateurs. La sécurité des bases de données et des fichiers est également incluse dans l’extension.
Prix
Gratuit
Caractéristiques qui font de All In One WP Security & Firewall un excellent choix :
- L’extension WordPress de sécurité dispose d’un outil de liste de blocage où vous pouvez définir des conditions spécifiques pour bloquer un utilisateur.
- Vous pouvez sauvegarder .htaccess et des fichiers .wp-config. Il existe également un outil pour les restaurer en cas de problème.
- L’extension affiche un graphique pour préciser la solidité de votre site web et un autre graphique qui indique les zones problématiques particulières de votre site. C’est l’une des meilleures fonctionnalités pour l’utilisateur moyen pour visualiser ce qui se passe avec la sécurité d’un site.
- Il y a un bouton de verrouillage temporaire pour les urgences.
- Vous pouvez exporter et importer certaines fonctions de sécurité.
- Vous pouvez empêcher d’autres sites d’afficher le contenu de votre site grâce à l’utilisation d’iframes.
- Vous pouvez masquer les informations du site aux robots et autres intrus.
- L’extension est gratuite sans aucune vente incitative en cours de route.
5. BulletProof Security
L’extension BulletProof Security est activement développée, mise à jour, et semble contenir plus de fonctionnalités que la plupart des autres extensions de sécurité sur le marché. Vous recevez des fonctions de quarantaine, d’alerte par e-mail, d’anti-spam, d’auto-restauration, et plus encore.
Elle fonctionne plutôt bien en tant qu’extension WordPress de sécurité polyvalente, surtout si l’on considère qu’elle gère les sauvegardes de bases de données et la sécurité des connexions.
Nous vous suggérons d’essayer d’abord l’extension gratuit car elle offre les outils suivants :
- Sécurité et surveillance des connexions.
- Sauvegarde et restauration des bases de données.
- Scanner de logiciels malveillants MScan.
- Des outils anti-spam et anti-hacking.
- Un journal de sécurité.
- Des dossiers d’extensions cachés.
- Un mode de maintenance.
- Un assistant d’installation complet.
Ce n’est pas l’extension WordPress de sécurité la plus conviviale pour les débutants. Néanmoins, elle fait le travail pour les développeurs avancés qui veulent profiter de réglages et de fonctionnalités uniques comme la garde anti-exploit et le verrouillage des fichiers FTP. Il dispose également d’une fonction de correction automatique de l’assistant de configuration pour vous faciliter la tâche.
Tarification
BulletProof Security dispose d’une version gratuite et premium. L’option payante est vendue pour un paiement unique de 69,95 $ et offre une garantie de remboursement de 30 jours.
Caractéristiques qui font de BulletProof Security un excellent choix :
- Elle dispose d’outils de sécurité avancés uniques sur le marché, avec des fonctions comme les solutions de cryptage BPS Pro ARQ Intrusion Detection and Prevention System (ARQ IDPS) et les analyses cron cURL programmées, le verrouillage des dossiers, etc.
- La version gratuite est dotée de suffisamment de fonctionnalités pour un site web moyen.
- Les sauvegardes de la base de données sont fournies dans la version gratuite.
- Vous pouvez masquer les dossiers d’extensions individuelles.
- La fonctionnalité de mode de maintenance n’est pas quelque chose que vous trouverez dans la plupart des autres extensions de sécurité.
- La journalisation de la sécurité et des erreurs HTTP permet de garder un œil sur les vulnérabilités.
- L’extension vous oblige à créer des mots de passe forts.
- Vous recevez des rappels lorsqu’une mise à jour de thème ou d’extensions est disponible.
Les meilleurs pour rechercher et bloquer les logiciels malveillants, les virus et les adresses IP suspectes
6. SecuPress
SecuPress est un choix solide en matière de sécurité globale, mais nous l’apprécions surtout pour sa capacité à bloquer les menaces comme les logiciels malveillants et les virus. Elle est développés par Julio Potier, l’un des co-fondateurs originaux de WP Media, que vous reconnaissez peut-être pour avoir développé WP Rocket et Imagify.
Si vous voulez une extension de sécurité avec une grande interface utilisateur et une interface facile à utiliser, SecuPress est une option à considérer. La version gratuite propose un login anti-brute force, des IP bloquées et un pare-feu.
Elle inclut également la protection de vos clés de sécurité et le blocage des robots (pour lesquels vous devez souvent payer dans d’autres extensions de sécurité). Les analyses de logiciels malveillants recherchent les activités suspectes et bloquent même les intrus si nécessaire.
Si vous voulez encore plus de fonctionnalités, la version premium comprend des alertes et des notifications, une authentification à deux facteurs, un blocage de la géolocalisation IP, des analyses de logiciels malveillants PHP et des rapports PDF.
Tarification
Il existe une version gratuite adaptée à la sécurité standard des sites web, notamment la recherche de logiciels malveillants et le blocage des robots. La version premium débute à 69,99 $ par an et par site. Le prix par site diminue considérablement si vous optez pour 5, 10, 25 ou même 200 sites.
Voici les prix des produits et services supplémentaires de SecuPress :
- Configuration professionnelle : 120
- Suppression des logiciels malveillants : 360 $
- Formation sur la sécurité de WordPress : 449 $
- Maintenance de la sécurité : 39 $
Les caractéristiques qui font de SecuPress un excellent choix :
- L’interface utilisateur de SecuPress est l’une des meilleures ! Cela la rend très facile à utiliser, même pour les débutants.
- L’extension effectue 35 contrôles de sécurité.
- La version premium ajoute beaucoup de valeur avec des alertes de sécurité, une recherche approfondie de logiciels malveillants et l’option de blocage de pays par géolocalisation.
- Elle inclut la possibilité de modifier votre URL de connexion WordPress afin que les robots ne puissent pas la trouver.
- Elle vous aide à détecter les thèmes et les extensions qui sont vulnérables ou qui ont été trafiqués pour inclure du code malveillant.
- Elle détecte et bloque les IP suspectes.
- Elle empêche les connexions par force brute.
- Elle exécute des rapports de sécurité que vous pouvez enregistrer au format PDF ou imprimer.
7. WPScan – WordPress Security Scanner
L’extension WordPress de sécurité WPScan adopte une approche différente de la sécurité. Elle utilise une base de données de vulnérabilités créée manuellement et mise à jour quotidiennement par des spécialistes de la sécurité et la communauté dans son ensemble. Sponsorisée par Automattic, la base de données comprend plus de 21.000 vulnérabilités de sécurité connues.
Grâce à cette base de données, l’extension WPScan peut analyser votre version du cœur de WordPress, vos extensions et vos thèmes à la recherche de vulnérabilités de sécurité connues.
En outre, l’extension dispose d’autres contrôles de sécurité, tels que l’analyse des fichiers journaux de débogage exposés, des fichiers wp-config.php sauvegardés, des utilisateurs avec des mots de passe faibles, et plus encore. WPScan dispose d’un plan API gratuit qui devrait convenir à la plupart des sites web WordPress. Cependant, il existe également des plans payants pour les utilisateurs qui peuvent avoir besoin de plus d’appels API.
C’est votre meilleur pari si vous recherchez des scanners de logiciels malveillants, d’IP et de fichiers.
Tarification
Il existe un plan gratuit permettant d’exécuter jusqu’à 25 requêtes API par jour. Cela devrait suffire pour un site WordPress moyen comportant jusqu’à 22 extensions. Le prix augmente avec les plans premium à mesure que vous ajoutez des demandes d’API.
Voici les plans premium :
- Débutant : 5 $ par mois
- Professionnel : 25 $ par mois
- Entreprise : Prix personnalisé
Les caractéristiques qui font de WPScan un excellent choix :
- Elle utilise sa propre base de données de vulnérabilités constamment mise à jour.
- Exécutez des analyses régulières pour vérifier les fichiers du cœur, les fichiers debug.log, les fichiers de base de données, et plus encore.
- Il existe des options pour envoyer des notifications par e-mail lorsque des vulnérabilités sont découvertes.
- Vous pouvez programmer l’exécution d’analyses à des moments précis.
- L’extension vous informe des mots de passe faibles et vous pousse à les changer.
- Affichez et téléchargez des rapports.
- Recevez des scores de risque pour avoir une meilleure vue de la vulnérabilité de votre site.
- Utilisez le scanner de sécurité pour voir ce que voit un pirate lorsqu’il tente d’attaquer votre site.
- Chaque vulnérabilité découverte offre des liens et des références pour vous guider sur la façon de résoudre le problème.
- Ils ont même un programme de récompenses pour la soumission à leur base de données de vulnérabilités.
8. Security Ninja
Security Ninja est un vétéran dans l’espace de sécurité WordPress. Commençant comme l’un des premières extensions de sécurité vendus sur CodeCanyon (avec quatre modules disponibles), elle est passée à un modèle freemium en 2016.
Les modules ont été abandonnés pour n’avoir que deux versions – gratuite et premium. Le module principal (le seul disponible gratuitement) effectue plus de 50 tests de sécurité allant de la vérification des fichiers pour les logiciels malveillants et des permissions MySQL à divers réglages PHP.
Security Ninja effectue également une vérification par force brute de tous les mots de passe des utilisateurs pour éliminer les comptes dont les mots de passe sont faibles, tels que « 12345 » ou « password »
Cela permet de sensibiliser les utilisateurs à la sécurité. Elle comprend un outil de correction automatique des piratages, mais pour ceux qui veulent comprendre ce qui se passe, il y a une explication détaillée de chaque test, y compris le code pour corriger le problème de sécurité manuellement.
Si vous n’aimez pas que des extensions viennent perturber votre site, Security Ninja offre une excellente alternative à l’approche habituelle du « cliquez ici pour réparer ». Il vous suffit de regarder les avertissements du scanner de vulnérabilité et de choisir ce que vous voulez faire avec les problèmes.
Tarification
Les plans comprennent :
- Gratuit
- Starter : 49,99 $ par an
- Plus : 149,97 $ par an
- Pro : 199,99 $ par an
- Agence : 249,99 $ par an
Vous pouvez également opter pour un plan mensuel à plus court terme (qui commence à 8,99 $ par mois) ou opter pour des forfaits à vie (à partir d’un paiement unique de 139,99 $ pour le plan Starter)
Caractéristiques qui font de Security Ninja un excellent choix :
- Le module de test de sécurité (disponible dans la version gratuite) effectue plus de 50 tests de sécurité sur votre site.
- Vous n’êtes pas doué pour la technologie ? Pas de problème, le module de correction automatique peut résoudre tous les problèmes détectés.
- Analysez le cœur de WordPress pour garantir l’intégrité de vos fichiers en les comparant à une copie sécurisée et récente de WordPress.org.
- Analysez les extensions et les thèmes à la recherche de code suspect et de logiciels malveillants.
- Profitez d’une liste massive de mauvaises IP connues et bloquez-les automatiquement.
- Consignez tous les événements sur votre site WordPress, de la connexion des utilisateurs à la modification des réglages.
- Vous pouvez programmer des analyses régulières.
- Optimisez votre base de données pour améliorer la vitesse du site.
- Exécutez différents tests comme les tests de débogage, de configuration de la base de données et d’options WP.
- Les tests et les analyses sont encore plus approfondis dans la version premium, avec des tests pour la protection X-XSS, les fichiers indésirables dans le dossier racine et la sécurité stricte.
9. MalCare Security
L’extension MalCare Security fournit un scanner de logiciels malveillants basé sur le cloud qui examine l’ensemble de votre site web pour identifier tout, des problèmes d’extensions aux IP à risque. La protection contre les robots est pratique, mais elle excelle dans la recherche rapide de logiciels malveillants.
L’extension dispose d’un outil de suppression en un clic afin que vous puissiez nettoyer votre site avant que les moteurs de recherche ne voient des problèmes avec celui-ci. En outre, le processus d’analyse intelligent utilise les données de milliers de sites web pour approcher ce qui peut affecter le vôtre.
MalCare Security vous envoie également une notification lorsque votre site tombe en panne, ce qui vous laisse suffisamment de temps pour réagir à une attaque. Enfin, MalCare Security fait un travail formidable en restant légère afin de ne pas ralentir votre site web, étant donné que les extensions volumineux sont plutôt la norme dans le domaine de la recherche de logiciels malveillants.
Tarification
Il existe un plan gratuit avec une analyse des logiciels malveillants, un pare-feu pour les extensions, une protection de la connexion et une détection des robots.
Les plans premium offrent des outils supplémentaires comme la suppression instantanée des logiciels malveillants, les mises à jour du pare-feu en temps réel et la possibilité de visualiser les fichiers piratés. Voici les prix :
- Basic : 99 $ par an
- Plus : 149 $ par an
- Pro : 299 $ par an
Le prix comprend le support d’un site web ; les plans augmentent en fonction du nombre de sites ajoutés. Ils proposent également des modules tels que les sauvegardes en temps réel (100 $ par site et par an), les sauvegardes et analyses horaires (500 $ par site et par an), les tests de régression visuelle (100 $ par site et par an) et les environnements de staging premium supplémentaires (20 $ par mois et par environnement au prorata).
Caractéristiques qui font de MalCare un excellent choix
- Un système de recherche de logiciels malveillants basé sur le cloud qui analyse un site entier.
- Une protection contre les bots qui non seulement identifie les bots mais vous aide également à les bloquer.
- Un système intelligent de surveillance des extensions et un pare-feu pour empêcher les intrusions.
- La protection de la connexion combat les pirates sur la page de connexion, élimine les sources de trafic inhabituelles et vous permet de bloquer les IP de certains pays.
- Un bouton de recherche de logiciels malveillants en un clic.
- La technologie Captcha pour renforcer votre page de connexion.
- Le renforcement du site web en un clic qui utilise les meilleures pratiques du secteur et les met en œuvre sur votre site en quelques secondes.
- Surveillance du temps de fonctionnement.
- Protection contre des menaces uniques comme les hacks de virus favicon, le vol de cookies et les hacks de liste de blocage Google.
- Options permettant de visualiser les informations sur les hacks et de supprimer instantanément les problèmes.
10. Security & Malware Scan by CleanTalk
Security & Malware Scan by CleanTalk est une autre excellente solution pour effectuer des vérifications approfondies des logiciels malveillants et identifier les IP et les bots suspects. CleanTalk est un service qui utilise la sécurité dans le cloud pour bloquer automatiquement les menaces des sites web et donner aux propriétaires de sites les informations dont ils ont besoin pour améliorer les mesures de sécurité à l’avenir.
Son extension est gratuite, mais vous devez vous inscrire au service premium de sécurité dans le cloud pour profiter de la plupart des fonctionnalités. En bref, nous aimons l’extension de CleanTalk pour sa surveillance constante des mauvaises adresses IP et des logiciels malveillants.
La connexion dans le cloud permet également de garder la plupart des activités de sécurité hors de vos serveurs, ce qui permet de maintenir des vitesses de site respectables.
L’extension est assez facile à comprendre, affichant une liste de fichiers susceptibles de causer des problèmes. Après cela, vous devez avoir de l’expérience en codage pour ouvrir ces fichiers et voir ce qui ne va pas. Cependant, CleanTalk permet aux utilisateurs payants d’envoyer des fichiers, après quoi, les représentants du service clientèle de CleanTalk les analysent et les nettoient.
Ce n’est pas un système aussi automatisé que certains concurrents, mais vous ne pouvez pas battre l’efficacité et la précision de l’analyseur.
Vous bénéficiez également de plusieurs autres fonctionnalités pour bloquer les attaques par force brute, vérifier les liens sortants, activer l’authentification à deux facteurs, et plus encore.
Tarification
L’extension est gratuite, mais vous devez vous inscrire au service CleanTalk Cloud Security pour que toutes les fonctions fonctionnent.
Voici les tarifs des services de sécurité dans le cloud de CleanTalk :
- 1 site web : 49 $ par an
- 3 sites web : 24 $ par an
- 5 sites web : 36 $ par an
- 10 sites web : 63 € par an
- 20 sites web : 117 $ par an
Le prix va jusqu’à 180 $ par an pour prendre en charge 40 sites, ou vous pouvez opter pour le plan de sites illimités pour 18 $ par mois.
Caractéristiques qui font de Security & Malware Scan de CleanTalk un excellent choix
- Elle fonctionne à l’aide d’un scanner de logiciels malveillants basé sur le cloud, ce qui vous permet de ne pas gaspiller les ressources du serveur.
- La fonctionnalité de détection des logiciels malveillants s’accompagne d’une analyse antivirus.
- Tous les clients reçoivent un pare-feu de sécurité automatique.
- Vous recevez des rapports quotidiens, un journal d’audit et une surveillance du trafic en temps réel.
- L’extension vérifie tous les liens sortants.
- Les analyses s’exécutent automatiquement (tous les jours) et sont stockés sur le cloud pendant plusieurs mois.
- Les non-codeurs peuvent envoyer des fichiers vulnérables pour que l’équipe de CleanTalk puisse résoudre les problèmes.
- L’extension dispose de certaines fonctions de sécurité de connexion comme la protection contre la force brute, les journaux des tentatives de connexion et le blocage des tentatives de connexion provenant de certains pays ou adresses IP.
- Des notifications par e-mail sont envoyées à l’administrateur dès qu’une menace apparaît.
Les meilleurs pour la prévention des spams et des robots
11. Jetpack
La plupart des gens qui utilisent WordPress sont familiers avec Jetpack, et c’est principalement parce que l’extension a tellement de fonctionnalités, mais c’est aussi parce que l’extension est faite par des gens de WordPress.com. Il y a tellement de fonctionnalités dans Jetpack que cela vaut la peine de l’explorer. Jetpack est rempli de modules pour renforcer vos réseaux sociaux et la vitesse de votre site, mais le véritable avantage en matière de sécurité vient de la prévention du spam et des robots.
Certains autres outils de sécurité sont également inclus avec Jetpack, ce qui en fait une extension attrayante pour ceux qui veulent économiser de l’argent et se fier à une solution réputée. Par exemple, le module Protect est gratuit et bloque toute activité suspecte.
La fonctionnalité de sécurité de base de Jetpack prend également en charge la protection contre les attaques par force brute et le allowlisting.
Quant à la protection anti-spam, c’est la meilleure option pour trouver et supprimer automatiquement les commentaires indésirables. L’anti-spam s’intègre à WooCommerce, ainsi qu’à toutes les boutiques eCommerce .
Tarification
Jetpack offre sa célèbre protection anti-spam (telle que propulsée par Akismet) gratuitement. Cependant, la plupart des autres fonctions de sécurité nécessitent un abonnement.
Vous pouvez obtenir des sauvegardes de site pour environ 9 $ par mois, mais les outils de recherche de logiciels malveillants en temps réel et la protection anti-spam pour les formulaires nécessitent le plan de 24,92 $. La bonne nouvelle est que Jetpack propose fréquemment des remises de 50 %.
Il convient de mentionner que la prévention des attaques par force brute est également fournie avec l’extension gratuite.
Caractéristiques qui font de Jetpack un excellent choix :
- Le plan gratuit fournit une quantité décente de sécurité pour un petit site web. Vous pouvez passer aux plans premium à prix raisonnable et bénéficier d’une assistance complète.
- La protection anti-spam est la meilleure que vous puissiez trouver, étant donné qu’Akismet archive des centaines de commentaires indésirables sans que vous le sachiez.
- Les plans premium transforment l’extension en une suite, avec des avantages tels que les sauvegardes et les analyses de sécurité.
- Les mises à jour de l’extension sont entièrement gérées par Jetpack.
- Jetpack est une extension qui élimine le besoin d’autres extensions. Par exemple, elle dispose de fonctions pour le marketing par e-mail, les réseaux sociaux, la personnalisation et l’optimisation du site.
- La protection contre les attaques par force brute est fournie avec le plan gratuit.
- Elle fournit des statistiques sur le site directement sur le tableau de bord principal de WordPress.
- Le réseau de diffusion de contenu (CDN) gratuit permet d’accélérer votre site web.
- Vous bénéficiez également d’une surveillance des temps d’arrêt.
12. Astra Security
Astra Security Suite est un pack de sécurité incontournable pour votre site WordPress. Avec Astra, vous n’avez pas à vous soucier des logiciels malveillants, de SQLi, XSS, des spams de commentaires, de la force brute ou de plus de 100 autres menaces, ce qui signifie que vous pouvez vous débarrasser des autres extensions de sécurité et laisser Astra s’occuper de tout. En outre, le tableau de bord super intuitif d’Astra ne comporte pas une centaine de boutons qui vous font vous sentir dépassé.
Nous apprécions particulièrement AstraWeb Security pour sa protection contre les spams et les robots. Elle donne la priorité au blocage des mauvais bots ainsi que des faux bots de moteurs de recherche.
Elle gère également plusieurs formes de spam en bloquant automatiquement tous les spams tout en minimisant les commentaires indésirables, en corrigeant les spams de référencement, et plus encore.
En plus de lutter contre le spam et les bots, Astra effectue des analyses régulières tout en réparant les piratages après qu’ils se soient produits. Astra couvre une longue liste d’attaques potentielles, notamment les attaques par force brute, les hacks de spam SEO, les injections SQL, les hacks de backdoor WP et les hacks de monétisation.
Tarification
Ce n’est pas une extension gratuite. Bien que vous puissiez l’installer sur votre site web, il ne fera rien tant que vous n’aurez pas souscrit à l’un des plans tarifaires suivants :
- Pro : à partir de 19 $ par mois
- Avancé : 39 $ par mois
- Business : 119 $ par mois
Les caractéristiques qui font d’Astra Web Security un excellent choix :
- Astra Security Suite s’installe comme une extension WordPress, et il n’est pas nécessaire de modifier les réglages DNS.
- Elle offre un nettoyage immédiat des logiciels malveillants, un pare-feu solide comme le roc qui arrête les attaques telles que SQLi, XSS, Code Injection, Bad Bots, Brute force, spam SEO, et plus de 100 autres cyber-attaques.
- La protection contre le spam couvre tout, du spam de référencement au spam de commentaires.
- L’extension offre un suivi cohérent des robots.
- Astra envoie des rapports quotidiens par e-mail contenant des informations sur le nombre d’attaques stoppées, les ouvertures de session par heure, etc.
- Les téléversements de fichiers malveillants sont bloqués automatiquement.
- Audit de sécurité complet, y compris la logique d’erreur commerciale pour votre site WordPress.
- Le tableau de bord intuitif consigne toutes les attaques et vous donne la possibilité de bloquer ou d’autoriser des pays, des plages IP, des URL, et bien plus encore.
- Vous avez accès à une plateforme de gestion des primes où vous donnez aux pirates un moyen sûr et sécurisé de signaler toute vulnérabilité qu’ils trouvent sur votre site web. Les ingénieurs d’Astra valident chaque problème signalé.
13. Stop Spammers Security
Stop Spammers Security est l’une des meilleures extensions WordPress de sécurité pour minimiser le spam, et ce n’est pas seulement pour le spam de commentaires non plus ! L’extension identifie et bloque le spam à travers les extensions, les formulaires, les commentaires, et plus encore.
Vous pouvez configurer des mécanismes de blocage spécifiques avant d’exécuter l’extension, comme en bloquant certains pays, utilisateurs, ou simplement un comportement suspect général.
L’idée derrière cette extension est de créer une formule personnalisée de blocage des spams en fonction des besoins particuliers de votre site web. Cela signifie que vous pouvez choisir parmi différents paramètres et désactiver ceux dont vous n’avez pas besoin.
Pour amplifier cette protection anti-spam, Stop Spammers Security associe ses fonctions de base à des mesures de sécurité de connexion, comme des options permettant d’afficher un Captcha, d’activer un mode réservé aux membres ou de demander un accès chaque fois qu’un utilisateur tente de se connecter au site web.
Tarification
Les fonctions de base (comme la possibilité de bloquer les comportements suspects, les mots de spam, les commentaires de spam et les pays) sont disponibles dans une version gratuite. Vous pouvez passer à une version supérieure pour obtenir plus de fonctionnalités avec la version premium. Elle débute à 29 $ par an et son prix augmente au fur et à mesure que vous ajoutez des licences.
Les fonctionnalités exclusives à la version premium incluent la protection par pare-feu au niveau du serveur, la sécurité des connexions par force brute, les exportations de journaux, la protection de Contact Form 7, et plus encore.
Caractéristiques qui font de Stop Spammer Security un excellent choix
- L’extension dispose d’outils permettant de localiser les comportements et les bots suspects, de mettre en quarantaine les menaces et d’avertir le propriétaire du site.
- Bloquez les pays où vous remarquez une activité suspecte plus fréquente.
- Minimisez tous les types de spam de site web, du type qui arrive par le biais de formulaires au spam de commentaire.
- Bloquez les raccourcisseurs d’URL, les e-mails jetables et autres éléments qui dissimulent l’identité des utilisateurs gênants.
- Vous pouvez bloquer ou autoriser des noms d’utilisateurs, des e-mails et des adresses IP spécifiques sur votre site.
- Forcez certains utilisateurs à demander l’accès à votre site.
- L’extension dispose d’une option permettant de placer un formulaire Captcha sur votre page de connexion.
- Il existe un mode réservé aux membres pour garantir que les seuls utilisateurs qui accèdent au contenu sont ceux que vous avez approuvés.
- Vous pouvez activer un pare-feu avancé dans la version premium.
- Le contrôle des notifications, les réglages d’importation, l’exportation et les pages à thème sont inclus dans la version premium.
- Vous recevez un formulaire de contact intégré et une protection Contact Form 7 lorsque vous vous abonnez à l’extension premium.
14. Titan Anti-spam et Security
Titan Anti-spam and Security rassemble une suite d’outils pour la déduction et la réduction du spam tout en scannant les menaces de sécurité comme les logiciels malveillants. L’extension effectue des audits réguliers et signale chaque fois que quelque chose de suspect tente d’accéder à votre site.
Ces outils sont associés à des règles de pare-feu pour spécifier ce que vous souhaitez bloquer sur votre site web. L’interface est suffisamment simple pour que les débutants puissent la comprendre, étant donné que le tableau de bord sépare chaque fonctionnalité en son onglet.
Par conséquent, les propriétaires de sites peuvent facilement accéder à des éléments comme le pare-feu, le vérificateur de sites et le journal des erreurs en cliquant sur un bouton.
Nous apprécions particulièrement les statistiques anti-spam, qui affichent un graphique de toutes les attaques de spam de la semaine passée. Cela vous aide à comprendre si l’extension fonctionne ou non et montre si votre site est devenu une cible pour le spam en général.
Vous pourriez techniquement utiliser Titan Anti-spam and Security comme une extension de sécurité complète, mais elle brille principalement par son mécanisme d’auto-apprentissage du spam. En bref, vous êtes protégé contre la publication de contenu malveillant sur les fils de commentaires qui pourraient envoyer des attaques gênantes à vos utilisateurs.
Tarification
Il existe une version gratuite avec un blocage standard du spam pour les commentaires. La version premium (avec toutes les fonctionnalités supplémentaires anti-spam) a plusieurs plans tarifaires :
- 1 site : 55 $ par an
- 3 sites : 159 $ par an
- 6 sites : 319 $ par an
Caractéristiques qui font de Titan Anti-spam et Sécurité un excellent choix
- L’extension ne nécessite pas de Captcha, ce qui donne une interface plus propre.
- Elle offre un outil de réduction du spam à apprentissage automatique qui fonctionne en arrière-plan et améliore continuellement son algorithme de détection du spam sur votre site web particulier.
- Tous les commentaires de spam sont immédiatement supprimés de votre site et marqués comme spam.
- Il est possible d’activer des règles de pare-feu et de lancer une analyse des logiciels malveillants.
- Vous pouvez bloquer des adresses IP en temps réel.
- Le journal des attaques enregistre tous les cas d’activité suspecte et vous permet de télécharger le journal pour le partager avec d’autres ou le mettre dans vos propres fichiers.
- Établissez des règles de blocage avancées basées sur le nom d’hôte, l’IP, le nom d’utilisateur, le référent, etc.
- Le scanner de sécurité utilise plus de 1000 signatures, avec jusqu’à 6000 signatures avec la version premium.
- Vous pouvez régler la vitesse d’analyse.
- Des planifications d’analyse sont possibles si vous préférez lancer une analyse tous les mois ou toutes les semaines.
- Tous les utilisateurs peuvent supprimer les fichiers indésirables directement depuis le tableau de bord.
- L’extension exige un mot de passe fort et cache même la zone de connexion de l’auteur pour protéger votre module de connexion. Vous pouvez également masquer la version de WordPress.
Les meilleurs pour cacher des fichiers aux intrus
15. Hide My WP
Hide My WP est une extension de sécurité populaire pour WordPress qui cache le fait que vous utilisez WordPress comme votre CMS aux attaquants, aux spammeurs et aux détecteurs de thèmes comme Wappalyzer ou BuiltWith.
Cette extension de sécurité intègre une détection d’intrusion (IDS) solide pour bloquer les attaques de sécurité en temps réel comme l’injection SQL, XSS, et autres. Elle utilise également un réseau de confiance qui commence à éliminer les attaquants inconnus dès que vous installez l’extension.
Enfin, cette extension est un outil essentiel pour renommer et cacher les dossiers des extensions, les fichiers WordPress et les URL de connexion, rapprochant ainsi votre site de l’invisibilité en ligne.
Prix
Hide My WP est une extension WordPress de sécurité premium que vous pouvez obtenir pour 24 $ sur CodeCanyon. Il s’agit de frais uniques, mais l’assistance continue coûte jusqu’à 17 $ (pour ajouter 12 mois supplémentaires d’assistance et de mises à jour). Il n’y a pas de site de vente directe pour l’extension, mais les développeurs de WPWave ont un site d’information.
Remarque : Certaines fonctionnalités de cette extension peuvent ne pas fonctionner sur Kinsta.
Caractéristiques qui font de Hide My WP un excellent choix :
- Cache le nom des thèmes, des extensions, modifie les permaliens, cache wp-admin, l’URL de connexion, et plus encore.
- Bloque l’accès direct aux fichiers PHP, nettoie les noms des classes WP et désactive le listing des répertoires.
- Notifie tout comportement louche potentiel avec les détails complets de l’attaquant, y compris le nom d’utilisateur, l’adresse IP, la date, et plus encore.
- Comprend un « réseau de confiance » qui bloque automatiquement le trafic provenant de mauvaises adresses IP sources.
- Facile à utiliser : choisissez parmi les réglages préétablis pour un déploiement en un clic.
- Compatible avec multisite, apache, Nginx, IIS, les thèmes premium et d’autres extensions de sécurité.
16. WP Hide and Security Enhancer
WP Hide and Security Enhancer s’infiltre dans vos fichiers WordPress pour masquer des éléments tels que les extensions, les thèmes, la page de connexion et d’autres fichiers principaux. Il s’agit d’un moyen rapide et facile d’empêcher les intrus de découvrir l’identité de votre site et d’utiliser vos fichiers à des fins malveillantes.
Pour faciliter les choses aux utilisateurs, l’extension WP Hide utilise des méthodes de réécriture d’URL pour cacher et traiter vos fichiers au lieu de changer physiquement de répertoire. Tout se fait automatiquement après l’installation de l’extension, ce qui vous permet de cacher les parties les plus critiques de votre site web et de poursuivre votre journée.
Une autre raison pour laquelle WP Hide and Security Enhancer est unique est qu’elle cache et bloque les fichiers WordPress par défaut au lieu de simplement changer les limbes (laissant toujours ces fichiers accessibles aux pirates).
Enfin, les développeurs ont fait en sorte d’éliminer le blocage d’autres extensions, thèmes ou fichiers du cœur qui pourraient entraver la fonctionnalité de votre site. C’est l’une des meilleures extensions WordPress de sécurité pour ceux qui souhaitent masquer les URL, les informations d’identification et les réglages par défaut de WordPress.
Tarification
WP Hide offre une extension gratuite avec le blocage de fichiers, la réécriture d’URL et même une fonctionnalité d’URL de connexion personnalisée. Les développeurs affirment que les sites WordPress de base ne devraient avoir aucun problème avec la version gratuite.
La mise à niveau premium est surtout conseillée si vous utilisez des extensions ou des thèmes complexes sur WordPress, ou si vous utilisez un type de serveur qui n’est pas IIS ou Apache.
Si vous effectuez une mise à niveau à partir de la version gratuite, voici le prix :
- Site unique : 39 $ par an
- Développeur : 130 $ par an
Les meilleurs pour l’authentification et la sécurité de la connexion
17. WP fail2ban
WP fail2ban n’a qu’une seule fonctionnalité principale, mais elle est assez importante : la protection contre les attaques par force brute. L’extension adopte une approche différente que beaucoup considèrent comme plus efficace que ce que vous obtenez de certaines des extensions de suite de sécurité sur le marché.
WP fail2ban documente toutes les tentatives de connexion, quelle que soit leur nature ou leur réussite, dans le Syslog en utilisant LOG_AUTH. Vous avez la possibilité d’implémenter une interdiction douce ou dure, ce qui est différent de l’approche plus traditionnelle qui consiste à n’en choisir qu’une.
Il n’y a pas grand-chose à apprendre en matière de configuration pour le plugin WP fail2ban. Tout ce que vous avez à faire est de l’installer et de le laisser faire sa magie.
Les développeurs ont ajouté de nouvelles fonctionnalités pour compléter sa protection contre les attaques par force brute, comme le support multisite, le filtrage des tentatives de connexion avec des noms d’utilisateur vides, et un outil de configuration pour Cloudflare. Cette extension se démarque, car les utilisateurs rapportent régulièrement qu’elle fonctionne parfaitement.
Prix
Gratuit.
Caractéristiques qui font de WP fail2ban un excellent choix :
- Choisissez entre des blocages durs ou mous.
- Intégrez avec CloudFlare et des serveurs proxy.
- Consignez les commentaires pour éviter les spams ou les commentaires malveillants.
- L’extension enregistre également des informations sur le spam, les pingbacks et l’énumération des utilisateurs.
- Vous avez la possibilité de créer un code court qui bloque les utilisateurs immédiatement avant même d’avoir une chance d’atteindre le processus de connexion.
- Intégrez-la à vos extensions préférées à l’aide de l’API, ou envisagez l’un des modules pour Gravity Forms et Contact Form 7.
- Il y a un widget de tableau de bord pour voir quelles menaces sont régulièrement bloquées.
- Utilisez l’extension dans une configuration multisite.
18. miniOrange’s Google Authenticator – WordPress Two Factor Authentication
La plupart des extensions proposant des fonctionnalités de sécurité individuelles n’ont pas beaucoup de sens à installer. En effet, vous pouvez généralement opter pour une extension comme iThemes Security Pro et bénéficier de cette fonctionnalité ainsi que de dizaines d’autres.
Cependant, l’authentification à deux facteurs est une autre histoire, car il semble que de nombreuses suites de sécurité ne l’incluent pas. Par conséquent, renforcer la sécurité de votre connexion avec une extension comme celle-ci pourrait être judicieux.
L’extension Google Authenticator de miniOrange ajoute une deuxième couche de sécurité à votre module de connexion, ce qui est vital puisque la plupart des tentatives de piratage se produisent lors de la connexion.
En plus de votre mot de passe habituel, cette extension envoie une notification push sur votre téléphone ou une autre forme d’authentification, comme l’utilisation d’un code QR ou la pose d’une question de sécurité.
De cette façon, votre connexion devient beaucoup moins pénétrable puisque la deuxième couche est très probablement quelque chose que vous connaissez uniquement ou que vous avez sur vous (comme votre téléphone).
Outre le choix du type d’authentification, une autre fonctionnalité intéressante vous permet de spécifier quel type de rôle d’utilisateur doit passer par l’authentification. Ainsi, vous pouvez permettre aux administrateurs d’entrer plus facilement, mais vous pouvez demander que les auteurs ou d’autres utilisateurs passent par le processus à deux facteurs.
Prix
L’outil d’authentification à deux facteurs de base est disponible sous forme d’extension gratuite.
Les fonctions et offres plus avancées, telles qu’un nombre illimité de sites/utilisateurs, davantage de méthodes d’authentification, des méthodes de connexion de secours et une connexion sans mot de passe, nécessitent une mise à niveau à l’aide d’un de ces plans :
- Premium Lite : 99 $ par an
- Premium : 199 $ par an
- Enterprise : A partir de 59 $ par an (mais cela augmente avec le nombre d’utilisateurs)
Caractéristiques qui font de Google Authenticator un excellent choix :
- C’est la chose la plus proche que vous pouvez obtenir pour éliminer les vulnérabilités dans votre zone de connexion.
- Vous pouvez choisir la méthode d’authentification à deux facteurs la plus simple pour vous.
- Vous pouvez sélectionner les types d’utilisateurs qui doivent passer par le processus d’authentification.
- L’extension dispose d’un code court à utiliser avec des pages de connexion personnalisées.
- Vous pouvez poser des questions de sécurité ou envoyer une vérification par e-mail dans les versions premium.
- Il est possible d’activer un mot de passe à usage unique par Whatsapp, Telegram, SMS ou e-mail.
- Vous pouvez modifier votre politique de mot de passe pour exiger des mots de passe forts ou opter pour une connexion sans mot de passe.
- Des fonctions de sécurité avancées sont disponibles, comme la protection des fichiers, la surveillance, le blocage de pays, le blocage d’IP, les sauvegardes de base de données et le blocage de navigateur.
- Les développeurs de l’extension vendent plusieurs modules pour la mémorisation des appareils, la gestion des sessions, la restriction des pages, les redirections basées sur les attributs, et plus encore.
19. WP Cerber Security
WP Cerber Security regroupe diverses fonctions de sécurité dans une seule extension, notamment l’anti-spam, la recherche de logiciels malveillants et la protection de la connexion. Il est viable pour une sécurité globale, mais son objectif principal est la protection de la connexion.
En effet, vous pouvez utiliser plusieurs éléments pour bloquer complètement les intrus de la page de connexion, y compris des options pour le reCAPTCHA de Google, la surveillance de l’enregistrement, le suivi des mauvais utilisateurs, les limites de tentative de connexion et le blocage des attaques par force brute.
Vous avez même la possibilité d’activer l’authentification à deux facteurs, en envoyant un code de vérification à une application ou à un e-mail avant de se connecter.
En plus de toute cette sécurité de connexion, nous aimons que WP Cerber offre des outils anti-spam pour les sites WordPress et WooCommerce, avec des options pour protéger les formulaires d’inscription, les formulaires de mot de passe perdu et les zones de commentaires.
Vous pouvez vous intégrer à Cloudflare, exporter toutes les données de sécurité et programmer des analyses régulières pour identifier les logiciels malveillants et autres menaces. De plus, WP Cerber Security supprime les fichiers affectés et récupère les anciennes versions pour rétablir votre site à la normale.
Tarification
WP Cerber Security propose trois plans, dont l’extension gratuite avec protection anti-spam automatisée et sécurité de connexion.
- Gratuit : 0 $ par mois
- Simple : 99 $ par an
- 5 Value Pack : 399 $ par an
Ils vendent l’extension en plans trimestriels ou annuels, et les plans annuels (listés ci-dessus) vous obtiennent le meilleur prix à long terme. La mise à niveau premium vous offre des analyses automatisées de logiciels malveillants, une assistance professionnelle, une protection cloud, une protection anti-spam en couches, et plus encore.
Caractéristiques qui font de WP Cerber Security un excellent choix
- La version gratuite vous permet de limiter les tentatives de connexion ou d’identifier les limites en fonction de l’adresse IP.
- Restreindre les connexions entièrement par adresse IP.
- Générer une URL de connexion personnalisée.
- Exécuter le moteur anti-spam pour bloquer les spams de formulaires de contact et de commentaires.
- Vous pouvez exécuter l’authentification à deux facteurs pour obtenir des codes de vérification envoyés à un appareil avant de se connecter au site.
- L’analyseur de sécurité de l’extension vérifie tous les fichiers principaux du site.
- Toutes les instances d’utilisateurs sont enregistrées, puis le plugin cherche à identifier les comportements suspects et les bots.
- Vous recevez une notification par e-mail dès qu’une modification de fichier ou une activité inhabituelle est remarquée.
- Elle bloque le tableau de bord WordPress (wp-admin) pour tous les utilisateurs non connectés au site.
- Vous pouvez bloquer des utilisateurs individuels ou activer le mode « utilisateurs autorisés uniquement ».
Les meilleurs pour la sauvegarde des fichiers du site
20. VaultPress
Il est important de ne pas oublier VaultPress, car elle fonctionne de manière similaire à des extensions comme iThemes Security Pro et Sucuri Scanner.
Les sauvegardes quotidiennes et en temps réel sont le pain et le beurre de l’opération, avec une belle vue de calendrier pour spécifier quand vous souhaitez compléter vos sauvegardes. Vous pouvez également effectuer des restaurations de site d’un simple clic de souris.
De plus, les fichiers de restauration sont enregistrés dans le tableau de bord, et plusieurs d’entre eux sont stockés afin que vous puissiez choisir celui que vous voulez. La meilleure partie de VaultPress concernant les sauvegardes est qu’elles sont incrémentielles, ce qui est excellent pour les performances.
Les principaux outils de sécurité surveillent les activités suspectes sur votre site web, avec des onglets pour consulter votre historique et voir quelles menaces ont été traitées ou ignorées. Vous pouvez également vérifier les statistiques et gérer l’ensemble de vos détails de sécurité de manière pratique à partir d’un tableau de bord propre.
Tarification
Vous devez payer pour tout type de protection, mais les plans commencent à 9,95 $ par mois et proposent souvent des remises pour la première année.
Les plans supplémentaires comprennent le forfait Sécurité pour 24,95 $ par mois, et le forfait Complet pour 99,95 $ par mois. Ces plans comprennent toutes les fonctions de sauvegarde et des éléments comme la recherche de logiciels malveillants et la protection contre le spam.
Remarque : VaultPress est un produit d’Automattic qui était initialement vendu seul, mais qui est désormais intégré à Jetpack en tant que plan complémentaire. VaultPress fonctionne toujours comme une extension séparée, mais est « propulsée par Jetpack «. Ainsi, vous pouvez installer VaultPress à partir du dépôt WordPress, mais son paiement s’effectue sur le site web de Jetpack. C’est déroutant, mais comme il s’agit d’un module distinct, nous estimons que VaultPress est toujours une extension indépendante en dehors de Jetpack.
Caractéristiques qui font de VaultPress un excellent choix :
- Le prix est meilleur que la plupart des autres extensions WordPress de sécurité premium, notamment pour les sauvegardes.
- Le tableau de bord est propre et facile à comprendre pour tous les utilisateurs.
- Vous pouvez effectuer des sauvegardes en temps réel ou manuelles à l’aide d’un calendrier.
- L’onglet des statistiques révèle des informations sur les heures de visite les plus populaires de votre site, tout en indiquant les menaces qui se sont produites pendant ces périodes.
- Vous pouvez contacter les experts de VaultPress pour vous aider dans des tâches telles que les restaurations et les sauvegardes de sites.
- VaultPress sauvegarde tout, des commentaires aux messages et des extensions aux thèmes.
- Vous pouvez restaurer vos fichiers à un moment antérieur en cliquant sur un bouton.
- Téléchargez les fichiers de sauvegarde et enregistrez-les où vous voulez.
- Les plans de départ vous offrent 10 Go de stockage de sauvegarde et un journal d’activité et une archive de 30 jours.
Bénéficiez d’une tranquillité d’esprit avec notre pare-feu Google Cloud et notre garantie de réparation des piratages. Essayez Kinsta gratuitement.
Si vous souhaitez en savoir plus sur les extensions de sauvegarde les mieux notées, jetez un œil à notre autre guide : 4 meilleurs plugins de sauvegarde incrémentale de WordPress (gain d’espace et de vitesse)
Les meilleurs plugins pour la réparation des piratages
21. Shield Security
Le rôle numéro un de Shield Security est de prendre en charge le fardeau croissant de la sécurité de votre site, et cela signifie activer un outil de protection intelligent avec la réparation de piratage quand nous en avons le plus besoin.
Nous manquons tous de temps, nous avons donc besoin de défenses plus intelligentes et d’un plugin de sécurité qui sait comment répondre aux menaces sans vous ennuyer avec des e-mails.
Convenant aussi bien aux débutants qu’aux utilisateurs avancés, Shield Security commence à scanner et à protéger votre site dès que vous l’activez. Toutes les options sont entièrement documentées, de sorte que vous pouvez creuser davantage dans la sécurité du site à votre guise.
Tarification
Le cœur de Shield Security est gratuit pour toujours. Les professionnels et les entreprises qui ont besoin d’une protection plus poussée et d’une assistance pratique 24/24 peuvent envisager une mise à niveau :
- Shield Pro : 12 $ par mois
- Agence Shield Pro : 60 $ par mois
- Support client Shield : 59 $ supplémentaires par an
La mission de Shield Security est la suivante : « aucun site web n’est laissé pour compte ». L’objectif est de rendre la sécurité de niveau professionnel accessible à tous les sites, et pas seulement aux plus riches. C’est pourquoi un si grand nombre de fonctionnalités se trouvent dans la version gratuite.
La version Pro propose des analyses plus fréquentes, des politiques de mot de passe utilisateur, des pistes d’audit plus importantes, la prise en charge de WooCommerce, la surveillance du trafic et des fonctions qui rendent les politiques de sécurité plus fluides pour ses utilisateurs.
Les fonctions qui font de Shield Security un excellent choix :
- C’est l’une des rares extensions de sécurité qui limite l’accès à ses réglages à certains utilisateurs.
- L’extension protège contre les intrusions, les piratages et les robots.
- Après détection, Shield met automatiquement en place des remèdes, comme la réparation des piratages et le blocage des mauvais robots.
- Elle dispose de fonctions de protection intelligentes qui travaillent sans relâche en arrière-plan, sans notifications gênantes.
- C’est la seule extension de sécurité à proposer gratuitement trois types d’authentification à deux facteurs et une option permettant de choisir parmi eux.
- La version Pro propose des analyses 6 fois plus puissantes pour détecter les problèmes dans tous les domaines de vos sites.
- Vous pouvez ajouter la sécurité aux formulaires de base, comme votre formulaire d’inscription ou le module de réinitialisation de mot de passe.
- L’extension dispose également d’une protection contre la force brute, de règles de sécurité de pare-feu et d’un accès restreint à l’administration.
22. WebARX
WebARX est une plateforme de sécurité de sites web haut de gamme (avec certains outils d’analyse essentiels gratuits) qui prend en charge toutes les applications PHP.
WebARX est principalement connu pour son pare-feu d’extrémité avancé, qui vous permet de contrôler complètement le trafic entre vos sites web via son tableau de bord basé sur le cloud. En fait, WebARX dispose d’un pare-feu d’application web géré qui protège votre site des vulnérabilités des extensions, des attaques de robots et du faux trafic.
C’est également une excellente extension pour réparer les piratages qui se présentent, avec des suggestions de sécurité exploitables, des correctifs virtuels automatiques, des mises à jour automatiques et le durcissement du site.
Cette extension vous permet de créer vos propres règles de pare-feu, de vérifier les analyses, de créer des sauvegardes, de surveiller le temps de fonctionnement et les problèmes de sécurité, de recevoir des alertes, d’exporter des rapports, et plus encore. Elle est également assez facile à configurer.
Tarification
Trois plans sont disponibles (bien que l’option Communauté ne fournisse que la détection et les alertes) :
- Communauté : gratuit
- Professionnel : 14,99 $ par mois
- Entreprise : 799 $ par mois
Gardez l’œil ouvert pour les réductions, il y en a régulièrement. Vous pouvez également payer annuellement pour économiser.
Caractéristiques qui font de WebARX un excellent choix :
- Elle dispose d’un pare-feu avancé pour les sites web (Entièrement personnalisable depuis le portail WebARX).
- Le correctif virtuel utilise automatiquement des règles pour corriger les vulnérabilités des extensions et des thèmes.
- Les suggestions de sécurité apparaissent chaque fois qu’un piratage est détecté.
- Toutes les extensions vulnérables sont mises à jour d’elles-mêmes.
- Le renforcement de l’installation de WordPress bloque les pirates avec 2FA, reCAPTCHA, des en-têtes de sécurité automatiques, le blocage des attaques par force brute et le masquage de wp-admin.
- La surveillance du temps de fonctionnement envoie des alertes par Slack et par e-mail lorsqu’un site tombe en panne.
- Vous obtenez des rapports de sécurité PDF personnalisés (personnalisez-les avec votre logo pour les envoyer aux clients).
- Il y a une sécurité centralisée pour un nombre illimité de sites web.
23. Anti-Malware Security and Brute-force Firewall
Anti-Malware Security and Brute-force Firewall effectue des analyses complètes du site web pour bloquer les menaces de toutes sortes. Les principales fonctionnalités limitent les problèmes tels que les scripts backdoor et les injections dans votre base de données, tout en aidant à réparer les problèmes après qu’ils aient endommagé les fichiers du site.
Cela se fait automatiquement, de sorte que le propriétaire du site n’a pas à se soucier de la suppression des menaces.
Les fonctions de correction de piratage les plus puissantes sont disponibles dans la version premium, avec des options permettant de corriger les problèmes de wp-login et de restaurer l’intégrité des fichiers du cœur de WordPress.
C’est une extension relativement simple à comprendre, avec des options pour afficher les rapports SQL, rechercher les logiciels malveillants en cliquant sur un bouton et afficher toutes les menaces mises en quarantaine.
Tarification
Il existe une extension gratuite qui comprend une analyse approfondie du site web et la suppression automatique d’éléments tels que les scripts de base de données et les injections. Le plugin gratuit vous donne également accès au blocage du pare-feu et à la détection des logiciels malveillants.
Les fonctions premium sont disponibles moyennant un don facultatif au développeur. Elles permettent d’accéder à des fonctions telles que les correctifs avancés, la vérification des fichiers du cœur et les nouvelles définitions des menaces connues.
Caractéristiques qui font d’Anti-Malware Security and Brute-force Firewall un excellent choix
- L’extension protège contre toutes les nouvelles menaces qui arrivent sur votre site web.
- Exécutez un scan de sécurité automatisé ou manuel pour identifier les injections de bases de données et les scripts backdoor.
- Le pare-feu dispose d’outils spécifiques pour protéger certaines extensions de votre site web.
- Vous pouvez mettre à niveau les scripts lorsqu’ils ont des versions vulnérables.
- Vous avez la possibilité de patcher certaines zones de votre site web après des attaques DDoS ou par force brute.
- L’extension vérifie tous les fichiers de base à la recherche de problèmes.
- Téléchargez les définitions des nouvelles menaces courantes pour les sites WordPress.
Les meilleurs pour les journaux de sécurité
24. WP Activity Log
WP Activity Log génère des journaux de tous les processus sur votre site web afin de vérifier si vos utilisateurs sont productifs si quelqu’un tente de pirater votre site et de résoudre les problèmes s’ils surviennent.
C’est également une excellente solution pour gérer votre site et les utilisateurs qui viennent le visiter. Toute la journalisation se fait en temps réel, ce qui vous permet de garder un œil sur ce qui se passe à tout moment.
Plusieurs parties du site web sont enregistrées par cette extension, notamment les étiquettes, les catégories, les widgets, les profils et les modifications effectuées par les utilisateurs. Et vous pouvez vous attendre à voir toutes les modifications de pages, d’articles et de types de publications personnalisés enregistrées dans le journal.
Cela inclut tout, des métadonnées aux champs personnalisés et des URL aux titres. Le journal d’activité de WP sert de moyen de garder les travailleurs à la tâche. Mais c’est aussi une extension essentielle pour savoir si des utilisateurs internes ou externes prévoient d’altérer les fichiers de votre site web.
Tarification
Il existe une extension gratuite qui inclut la grande majorité de toutes les fonctionnalités du journal d’activité. Les fonctionnalités étendues avec la version premium ont les plans tarifaires suivants :
- Starter : 99 $ par an
- Professionnel : 139 $ par an
- Business : 149 $ par an
- Entreprise : 199 $ par an
Caractéristiques qui font de WP Activity Log un excellent choix
- L’extension suit et consigne activement toute activité sur votre site web, en se concentrant sur les articles et les pages.
- Elle consigne les étiquettes, les catégories et les autres changements qui peuvent survenir pour les étiquettes de pages et d’articles.
- Vous pouvez voir les modifications des utilisateurs comme les changements de profil, l’activité et les ajustements des thèmes et des extensions.
- Vérifiez les autres modifications apportées aux widgets, aux menus, aux fichiers centraux de WordPress, à votre réseau multisite, aux formulaires, à la base de données, aux pages de connexion, et bien plus encore.
- Visualisez les informations sur ces changements comme les données, l’heure, l’adresse IP source et l’utilisateur responsable.
- La version premium de l’extension offre des options pour voir quels utilisateurs sont connectés à votre site. Et vous pouvez voir ce qu’ils font tous.
- Vous pouvez recevoir des messages sur les problèmes et relancer les utilisateurs à l’aide d’un bouton.
- Sauvegardez, archivez et envoyez les journaux d’activité.
- Recherchez dans le journal avec des filtres et du texte.
- Miroir de vos journaux dans d’autres logiciels.
Les meilleurs pour activer un SSL (secure socket layer)
25. Really Simple SSL
Really Simple SSL fournit les bases dont vous avez besoin pour migrer votre site WordPress vers un environnement SSL, en le connectant à un certificat SSL (qui sécurise les connexions en ligne et sert principalement à protéger les données transactionnelles et personnelles des pirates sur les sites eCommerce).
L’extension fonctionne en activant SSL dans votre environnement d’hébergement. Ensuite, elle crée automatiquement un certificat SSL pour votre site web, en puisant dans Let’s Encrypt. Vous pouvez ensuite activer le SSL en un seul clic.
L’activation d’un certificat SSL nécessite quelques connaissances techniques (ou un hébergeur qui le fait pour vous). C’est pourquoi l’extension Really Simple SSL est très utile pour les débutants.
Prix
L’extension de base est gratuite et fournit des outils rapides pour détecter un environnement SSL, puis générer un certificat si vous n’en avez pas déjà un.
L’extension premium a les prix suivants :
- Personnel : 29 $ par an
- Professionnel : 69 $ par an
- Agence : 169 $ par an
Les plans premium ajoutent des fonctionnalités supplémentaires comme des listes de préchargement, un fixateur de contenu mixte et des en-têtes de sécurité.
Caractéristiques qui font de Really Simple SSL un excellent choix
- Elle dispose d’un installateur de certificats SSL en un clic.
- Vous pouvez rapidement analyser votre site web pour voir s’il dispose déjà de connexions sécurisées.
- L’analyse est également utile après l’activation d’un SSL, car elle vérifie s’il fonctionne correctement sur toutes les pages.
- Vous pouvez activer la sécurité du transport HTTP strict.
- La version premium analyse et corrige le contenu mixte.
- Implémentez des en-têtes de sécurité avancés en quelques secondes.
- Vous recevez des commentaires et des conseils de sécurité sur votre tableau de bord WordPress.
Quel plugin WordPress de sécurité est le meilleur pour vous ?
Maintenant que nous avons parcouru les meilleures extensions WordPress, de sécurité regardez nos principales recommandations ci-dessous. Cela vous permettra de sélectionner plus facilement une ou deux extensions sans avoir à les tester toutes. N’oubliez pas que les extensions de sécurité peuvent ne pas être nécessaires en fonction de ce que votre hébergeur WordPress offre déjà (comme avec Kinsta).
Ces suggestions se concentrent sur des situations spécifiques où vous pourriez choisir une extension de sécurité plutôt qu’une autre.
- Pour une surveillance active et une sécurité globale : Sucuri Security, iThemes Security, Wordfence Security, All In One WP Security & Firewall, ou BulletProof Security.
- Pour rechercher et bloquer les logiciels malveillants, les virus et les adresses IP suspectes : SecuPress, WPScan, Security Ninja, MalCare Security, ou Security & Malware Scan by CleanTalk.
- Pour la prévention du spam et des robots : Jetpack, Astra Web Security, Stop Spammers Security, ou Titan Anti-spam.
- Pour cacher les fichiers des intrus : Hide My WP ou WP Hide & Security Enhancer.
- Pour l’authentification et la sécurité de connexion : WP fail2ban, miniOrange’s Google Authenticator, ou WP Cerber Security.
- Pour les sauvegardes de fichiers du site : VaultPress.
- Pour la réparation des piratages : Shield Security, Patchstack, ou Anti-Malware Security et Brute-force Firewall.
- Pour l’exécution des journaux de sécurité : WP Activity Log.
- Pour activer un SSL (secure socket layer) : Really Simple SSL.
Outre l’installation d’une extension, vous pouvez prendre d’autres mesures pour améliorer la sécurité de vos sites. Par exemple, la solution de gestion des clés hors site de Lockr (il s’agit d’un service premium) protège contre les vulnérabilités critiques des sites et aide à sécuriser vos données. Une intégration simple est disponible pour WordPress.
Bien sûr, nous ne pouvons pas couvrir toutes les extensions existantes. Ce sont simplement ceux que nous recommandons sur la base de notre expérience avec les utilisateurs. S’il y en a une qui, selon vous, devrait être incluse dans cette liste, faites-le nous savoir ci-dessous dans les commentaires.
Si vous gérez un site de commerce électronique, lisez notre guide sur la prévention de la fraude dans le commerce électronique.
Kinsta propose des plans sans contrat à long terme, des migrations assistées et une garantie de remboursement de 30 jours. Consultez nos plans ou contactez le service commercial pour trouver le plan qui vous convient.
Laisser un commentaire