La sécurité de WordPress est comme une bombe à retardement. On ne peut jamais savoir quand ça va exploser. Des milliers de sites WordPress sont piratés chaque jour. C’est un problème sérieux qui doit être étouffé dans l’œuf avant qu’il ne se transforme en une menace sérieuse !

Il y a deux façons principales de protéger votre site WordPress : premièrement, optez pour un service d’hébergement sécurisé qui a fait ses preuves en suivant les meilleures pratiques du secteur. Deuxièmement, renforcez la sécurité de votre site grâce à un service de sécurité tiers dédié.

Avec la sécurité WordPress, Wordfence et Sucuri sont deux des options les plus populaires. Ils sont tous deux dotés d’un solide ensemble de dispositifs de sécurité pour assurer la sécurité de votre site web. À bien des égards, ils sont identiques, mais différents.

Wordfence ou Sucuri ? Si vous vous demandez lequel de ces deux éléments sera le mieux adapté à votre site web, cet article vous aidera à prendre une décision décisive. J’ai beaucoup utilisé ces deux outils pour les comparer en fonction de leurs caractéristiques, de leurs performances, de leur prix et de la valeur totale qu’ils offrent.

Vous pouvez utiliser ces informations pour choisir l’option qui vous convient le mieux.

Ça vous paraît bien ? Commençons !

Introduction à la sécurité de WordPress

WordPress est le plus populaire système de gestion de contenu (CMS) dans le monde. Il est si populaire qu’il propulse plus de 35 % des sites web. Et avec une grande popularité viennent de grands ennuis !

WordPress est constamment menacé par les pirates informatiques. Selon un rapport de GoDaddy Security, 90 % de toutes les plateformes CMS piratées en 2018 étaient des sites WordPress. Google seul met sur liste noire 10 000 sites web par jour pour l’hébergement et la diffusion de logiciels malveillants, et ces sites sur liste noire peuvent perdre jusqu’à 95 % de leur trafic organique.

Statistiques sur la sécurité de WordPress
Statistiques sur la sécurité de WordPress

41 % des sites WordPress piratés le sont en raison de vulnérabilités dans la plateforme d’hébergement. Ainsi, vous pouvez éviter bien des problèmes avec une plateforme d’hébergement WordPress sécurisée dès le départ.

Il est encore plus étonnant de constater que 60 % des petites entreprises ferment dans les 6 mois suivant une cyberattaque. Étant donné que la grande majorité des tentatives de piratage concernent les petites et moyennes entreprises, la sécurisation de votre site web est d’autant plus essentielle.

Comment les pirates informatiques pénètrent dans les sites WordPress

Seulement 36,7 % des sites WordPress piratés l’ont été par des versions vulnérables et obsolètes de WordPress. Les principaux vecteurs d’attaque pour les sites WordPress sont ses composants extensibles, à savoir les extensions et les thèmes.

Comment WordPress est compromis
Comment WordPress est compromis (Source de l’image : Wordfence)

Les extensions sont surtout le plus grand risque ! Comme l’indique Kinsta dans cet article sur la sécurité de WordPress, les extensions présentant des vulnérabilités connues et inconnues constituent l’essentiel des piratages de WordPress. Une étude de Wordfence a révélé qu’elles représentent 55,9 % de toutes les portes dérobées connues.

Les attaques de force brute pour deviner des mots de passe faibles sont le prochain grand vecteur d’attaque, représentant 16,1 % du total des tentatives de piratage. La même étude a révélé une autre statistique choquante : 61,5 % des propriétaires de sites web piratés ne savaient même pas que leur site était compromis.

Comment sécuriser votre site WordPress

Il y a trois grandes étapes pour protéger votre site WordPress des cyberattaques :

Les 3 piliers de la sécurité du web
Les 3 piliers de la sécurité du web

Prévention

Qu’il s’agisse d’une maladie biologique ou d’un logiciel malveillant numérique, mieux vaut prévenir que guérir !

Alors que WordPress est gratuit, le Le coût de la construction d’un site WordPress, puis de sa sécurisation et de sa maintenance, ne l’est pas. Mais malheureusement, la sécurité est souvent au dernier rang des priorités lors de la création d’un site web.

L’équipe centrale de WordPress fait un travail remarquable en assurant la sécurité de WordPress. Mais comme nous l’avons déjà mentionné, la plupart des piratages de WordPress ne résultent pas du cœur du logiciel.

La prévention vise à empêcher les codes malveillants de pénétrer sur vos sites WordPress. Elle se fait généralement au moyen de pare-feu, de programmes antivirus, de solutions de filtrage du courrier électronique, de protections contre les attaques DDoS et les mauvais robots, etc.

Détection

La détection consiste à être informé des incidents de sécurité dès qu’ils se produisent, afin que vous puissiez prendre des mesures immédiates et sécuriser votre site web avant qu’il ne subisse des dommages importants.

Cela comprend des outils tels que les systèmes de détection d’intrusion, le balayage de réseau, la surveillance de l’intégrité, etc.

De nombreux propriétaires de sites WordPress piratés ne savent même pas que la sécurité de leur site est violée. Il est donc essentiel de mettre en place des systèmes de détection robustes, en particulier au niveau de l’hébergement. Les extensions de sécurité telles que Sucuri ou Wordfence sont de bons ajouts.

Réponse et récupération

Espérer le meilleur, mais toujours se préparer au pire ! Le programme de réponse et récupération vise à traiter rapidement et efficacement les incidents de sécurité.

Un bon processus de récupération ne doit pas se contenter de nettoyer après une attaque, mais doit également inclure des fonctions de sauvegarde et de police scientifique. Cela permet de s’assurer que vous arrêtez les incidents similaires sur leur chemin avant qu’ils ne se produisent.

C’est une raison majeure pour laquelle vous devez effectuer une recherche approfondie sur l’engagement de votre société d’hébergement en matière de sécurité avant de vous engager avec elle. Par exemple, si votre site WordPress est piraté alors qu’il est hébergé chez Kinsta, les spécialistes de la sécurité de Kinsta travaillent avec vous pour identifier et supprimer les logiciels malveillants.

Les services de sécurité comme Sucuri ou Wordfence proposent des services de réponse aux incidents dans le cadre de leurs offres professionnelles.

Sucuri vs Wordfence

Sucuri et Wordfence vous aident tous deux à sécuriser votre site WordPress, mais leur approche est différente. Voici une rapide comparaison :

Sucuri Wordfence
Prix des pare-feux (WAF) À partir de 9,99 $ / mois À partir de 99 $ /an
Prix de l’élimination des logiciels malveillants À partir de 199,99 $ /an – nombre de nettoyages illimité 179 $ par nettoyage
Extension gratuite disponible Oui Oui
Pare-feu pour applications web (WAF) Oui, mais uniquement pour les clients Premium Oui, c’est gratuit
Analyse de l’intégrité des sites web Oui Oui
Prise en charge des certificats SSL (sur WAF) Oui Non
Protection contre les attaques DDoS Oui Non
Prévention d’exploits Zero-Day Oui Non
CDN pour une meilleure performance Oui Non
Plateforme en ligne Oui, analyse à distance Non
Plateforme auto-hébergée Non Oui, analyse locale
Ajustements de la sécurité du système Non Oui

 

Le tableau ci-dessus présente les principales différences entre Sucuri et Wordfence. Maintenant, creusons plus profondément !

Revue Sucuri

Sucuri Security est une extension de sécurité gratuite pour WordPress
Sucuri Security est une extension de sécurité gratuite pour WordPress

Introduction à Sucuri

Sucuri est un outil de sécurisation de sites web basé sur le cloud pour sécuriser les sites web. Il filtre tout le trafic vers votre site web avant même qu’il n’atteigne votre serveur d’hébergement.

Ses principales caractéristiques sont la détection des logiciels malveillants, la surveillance de l’intégrité et le renforcement de la sécurité. Sucuri scanne tout à distance, c’est pourquoi il n’effectue pas d’analyse approfondie au niveau du serveur.

Sucuri promet de protéger les sites web, d’améliorer les performances, de surveiller les indicateurs de piratage et offre une assistance illimitée pour les incidents de sécurité (pour les utilisateurs Premium uniquement).

Sucuri Security a obtenu une note de 4,4 étoiles avec plus de 600 000 installations actives
Sucuri Security a obtenu une note de 4,4 étoiles avec plus de 600 000 installations actives

Vous devez noter que Sucuri n’est pas une solution miracle pour tous vos besoins en matière de sécurité des sites web. Il est conçu pour compléter la sécurité actuelle de votre site web. Toutefois, Sucuri vous fournit de nombreux outils pour réduire les risques, vous offrant une plus grande tranquillité d’esprit et une meilleure sensibilisation à la sécurité.

Comment fonctionne Sucuri

Lorsqu’on parle du fonctionnement de Sucuri, il est préférable de faire la différence entre ses trois niveaux :

  1. Sucuri Security est une extension gratuite qui est fournie avec les fonctions standard de renforcement de la sécurité de WordPress. La version gratuite de l’extension n’inclut pas de pare-feu.
  2. Le pare-feu Sucuri (WAF) est un service payant que vous pouvez intégrer avec l’extension gratuite Sucuri Security. Vous pouvez également utiliser le pare-feu sans l’extension. Il comprend des fonctions de protection des sites web telles que le pare-feu pour les applications web (WAF), le CDN pour l’optimisation des performances, l’équilibrage de charge pour la haute disponibilité, le système de détection des intrusions (IDS), l’atténuation des DDoS et une foule d’autres outils.
  3. La plateforme Sucuri est une suite de services de sécurité haut de gamme basés sur le cloud. Elle comprend tout ce qui est inclus avec le pare-feu Sucuri, plus d’autres fonctionnalités importantes telles que la surveillance, la détection et la réponse aux incidents. En vous inscrivant à la plateforme Sucuri, vous pouvez demander à l’équipe Sucuri de « supprimer tous les logiciels malveillants et les avertissements de la liste noire » pour votre site web.
Comment fonctionne le pare-feu d'application web Sucuri (WAF)
Comment fonctionne le pare-feu d’application web Sucuri (WAF)

Pour mieux comprendre, voici une brève vidéo de Sucuri au travail :

Sucuri suit chaque modification de votre site web et enregistre les journaux sur ses propres serveurs de cloud. Vous pouvez vérifier ces journaux pour savoir exactement ce qui s’est passé et où. Cela permet de régler les problèmes de sécurité rapidement et efficacement.

Réglages et fonctions de sécurité disponibles

Vous pouvez diviser l’offre WordPress de Sucuri en deux produits principaux : une extension gratuite appelée Sucuri Security, et une version premium de pare-feu Sucuri (WAF).

Examinons d’abord l’extension gratuite.

Le tableau de bord de Sucuri Security est doté d’une interface simple qui vous donne une vue d’ensemble de ses contrôles de sécurité.

Sa tâche principale est de vous informer sur l’intégrité de vos fichiers du cœur de WordPress. Il vous avertira s’il trouve des fichiers compromis. Vous pouvez alors prendre une mesure appropriée : soit remplacer les fichiers infectés par les fichiers originaux, soit les marquer comme faux positifs.

Sous l’onglet « Journaux d’audit », vous trouverez tous les changements qui se sont produits sur votre site web. De même, sous les onglets iFrames, Liens et Scripts, vous pouvez trouver toutes les instances de scripts et de liens sur votre site web.

Le tableau de bord de Sucuri Security. Notez l'avertissement en haut à droite
Le tableau de bord de Sucuri Security. Notez l’avertissement en haut à droite

Dans mon cas, l’avertissement était un faux positif. Je l’ai donc marqué comme étant réparé manuellement. Sucuri se souviendra de ce correctif la prochaine fois qu’il effectuera une analyse.

Vous pouvez apprendre à Sucuri à ignorer les faux avertissements positifs
Vous pouvez apprendre à Sucuri à ignorer les faux avertissements positifs

Le panneau des réglages comporte de nombreux onglets permettant de personnaliser la façon dont Sucuri protège votre site web. Sous l’onglet des Réglages généraux, vous trouverez votre clé API, les répertoires de stockage des données et d’autres réglages tels que l’exportateur de journaux, le proxy inversé, le découvreur d’adresses IP et le contournement de fuseau horaire.

Vous pouvez également importer ou exporter les réglages généraux de Sucuri à partir d’ici.

L'onglet des réglages généraux dans Sucuri Security
L’onglet des réglages généraux dans Sucuri Security

Ensuite, passons à l’onglet « Scanner ». Ici, vous pouvez voir les tâches programmées de Sucuri, les réglages de l’utilitaire WordPress Integrity Diff (pour comparer les fichiers sur votre serveur avec les fichiers originaux), et une liste de faux positifs.

Si vous souhaitez ignorer certains fichiers et répertoires de votre serveur de l’analyse de Sucuri, vous pouvez les définir ici. Cet outil est utile pour ignorer les fichiers et répertoires non liés au code qui peuvent être trop lourds à scanner, tels que les dossiers comportant de nombreux fichiers média, des sauvegardes, etc.

Définissez les réglages de votre analyse à partir d'ici
Définissez les réglages de votre analyse à partir d’ici

L’onglet Renforcement vous permet d’appliquer un ensemble de méthodes standard de renforcement de la sécurité de WordPress et de PHP. Mais vous pouvez utiliser les réglages de la liste blanche des fichiers PHP bloqués pour omettre certains des fichiers PHP de ces restrictions rigides.

Appliquer les règles standard de renforcement de la sécurité
Appliquer les règles standard de renforcement de la sécurité

En cas d’attaque ou de violation, l’onglet « Post-Piratage » sera très utile. Ici, vous pouvez mettre à jour les clés secrètes, réinitialiser le mot de passe de l’utilisateur, réinitialiser les extensions installées et appliquer toutes les mises à jour d’extensions et de thèmes disponibles.

Des outils rapides pour renforcer la sécurité si vous avez été piraté
Des outils rapides pour renforcer la sécurité si vous avez été piraté

L’onglet Alertes vous permet de définir le destinataire des alertes, les adresses IP de confiance, le sujet de l’alerte, les alertes par heure. Vous pouvez définir les types d’alertes de sécurité qui déclencheront le mécanisme d’alerte, et les types ignorés (généralement ceux des extensions tierces). C’est une excellente fonction de détection à avoir.

Sucuri Security vous permet de personnaliser les alertes
Sucuri Security vous permet de personnaliser les alertes

L’onglet API de communication est simple et direct. Il s’agit principalement pour les développeurs d’accéder à distance à l’API du service Sucuri.

Communiquez à distance avec l’API du service de Sucuri à partir d'ici
Communiquez à distance avec l’API du service de Sucuri à partir d’ici

Enfin, l’onglet « Informations sur le site web » répertorie presque tout ce que vous souhaitez savoir sur votre site web et le serveur web sur lequel il est hébergé. Ici, dans la section Intégrité du fichier d’accès, vous pouvez vérifier l’intégrité de votre fichier .htaccess.

Cela ne devrait pas être un souci si votre site est propulsé par une plateforme d’hébergement comme Kinsta, car Kinsta n’utilise pas cPanel et utilise son propre outil personnalisé appelé MyKinsta.

L'onglet Informations sur le site web énumère les caractéristiques de votre site et de votre serveur
L’onglet Informations sur le site web énumère les caractéristiques de votre site et de votre serveur

Le pare-feu de Sucuri, basé sur le cloud, est un service haut de gamme. C’est bien de filtrer le trafic indésirable, les attaques DDoS et les mauvais robots.

Il peut opérer sa magie même sans l’extension (c’est la façon recommandée). Il vous suffit de pointer le nom de votre hôte DNS vers ses serveurs de noms.

Sucuri WAF protège vos sites contre les attaques malveillantes
Sucuri WAF protège vos sites contre les attaques malveillantes

Lisez l’article de Kinsta sur un guide approfondi du pare-feu Sucuri pour mieux comprendre toutes ses fonctionnalités.

La plupart des hébergeurs de sites web, dont Kinsta, ont mis en place des dispositifs de sécurité supplémentaires pour bloquer et / ou filtrer les adresses IP indésirables et les mauvais robots. Kinsta dispose même de réglages de sécurité permettant de limiter l’IP.

Toutefois, un service professionnel de WAF comme Sucuri, dont le modèle d’entreprise est principalement axé sur l’élimination des mauvais trafics, permettra un contrôle plus granulaire.

Il n’est pas rare que les utilisateurs s’inscrivent au pare-feu dans le cloud de Sucuri comme sauvegarde et n’y passent qu’en cas d’attaque. Sucuri rend cela super facile.

CDN Sucuri : Les POPs sont placés dans le monde entier (Source de l'image : Sucuri)
CDN Sucuri : Les POPs sont placés dans le monde entier (Source de l’image : Sucuri)

Tout bien considéré, Sucuri est plus qu’une simple extension de sécurité ou un pare-feu. Il s’agit d’une solution complète de sécurité web pour protéger vos sites contre pratiquement toute attaque malveillante.

Facilité d’utilisation

Sucuri est simple à utiliser. L’interface utilisateur est au point. Si Sucuri vous recommande d’appliquer des réglages de renforcement de la sécurité, il suffit d’un simple clic pour les activer.

Une fois l’extension installée, vous devez générer sa clé API gratuite, ce que vous pouvez faire directement depuis votre tableau de bord WordPress.

Sucuri automatise la plupart de ses fonctions de sécurité, de sorte que vous pouvez les définir une fois pour toutes et les oublier à jamais. Vous n’avez pas non plus à vous soucier de la mise à jour ou de la maintenance de l’extension.

Sucuri vous avertira s’il détecte une brèche. Mais au cas où vous voudriez prendre le contrôle manuellement, il vous offre de nombreuses options. Et comme le WAF de Sucuri est basé sur le cloud, il ne nécessite aucune maintenance technique de votre part.

Dans l’ensemble, j’ai trouvé que Sucuri était un jeu d’enfant à mettre en place et à utiliser.

Les performances de Sucuri en matière de sécurité web

Prévention

L’extension gratuite Sucuri Security permet de garder un œil sur votre site WordPress et d’appliquer certaines mesures de sécurité standard. Mais elle n’est pas conçue pour empêcher les attaques majeures contre votre site web.

Si vous cherchez une solution de sécurité WordPress gratuite, je ne vous recommande pas Sucuri Security. Ne comptez pas sur elle pour sécuriser votre site web.

D’autre part, le pare-feu Sucuri fait un excellent travail contre les attaques DDoS, les robots abusifs et la compromission des données des clients. La plateforme de sécurité Sucuri va plus loin et ajoute encore plus de mesures préventives.

Pour vous donner un exemple tiré d’une des études de cas de Kinsta, l’ajout du pare-feu Sucuri à un petit site de commerce électronique bombardé par des attaques DDoS a mis fin à tous les problèmes de sécurité dans l’heure qui a suivi son activation.

Détection

L’extension gratuite de Sucuri permet de détecter les moindres changements sur votre site web. Si elle constate des anomalies, elle vous alertera rapidement afin que vous puissiez prendre les mesures appropriées.

Même si un pirate vous a interdit l’accès à votre site, vous pouvez vérifier les journaux enregistrés sur les serveurs dans le cloud de Sucuri pour savoir ce qui s’est passé et comment reprendre le contrôle.

Cependant, c’est la plateforme de sécurité premium Sucuri qui brille vraiment par sa surveillance et sa détection. Elle est dotée de diverses fonctionnalités supplémentaires, telles que des analyse de sécurité régulières côté serveur, la surveillance des listes noires, la surveillance du SSL, les notifications instantanées et l’intégration de la corrélation des journaux (SIEM).

Réponse et récupération

Une plateforme de sécurité web est incomplète si elle ne vous offre pas un moyen de nettoyer un site web piraté.

Heureusement pour moi, je n’ai jamais eu d’incident de sécurité sur mes sites web alors que Sucuri les protégeait. Mais nombreux sont ceux qui ont eu un problème sérieux, et ils ont partagé leurs expériences sur des sites d’avis comme G2.com.

Sucuri bénéficie d'une note de 4 étoiles sur G2.com
Sucuri bénéficie d’une note de 4 étoiles sur G2.com

Voici une propriétaire d’un site web qui partage son avis positif avec Sucuri.

« Lorsque j’ai soudain pris conscience que mon site web, principalement utilisé par les enseignants et les enfants, avait été piraté, il fallait que le problème soit résolu au plus vite. Sucuri a remis mon site web en état dans la demi-heure qui a suivi le signalement du problème et l’inscription au service. Je ne laisserai plus jamais mon site web sans protection, et j’ai été heureux que Sucuri s’occupe de cette sécurité ».

Janice P, éducatrice maritime

Et voici une conceptrice web qui partage son expérience positive avec Sucuri qui l’a aidé à nettoyer les sites WordPress de ses clients.

« Mes clients avaient des problèmes avec leurs sites web WordPress. Depuis que mes clients se sont inscrits – il n’y a eu aucun problème de piratage du site web ».

Melissa C, chef d’enreprise

Vous devez noter qu’il existe un certain nombre d’avis où les utilisateurs se plaignent du temps que Sucuri prend pour répondre aux tickets. Comprendre la stratégie de tarification de Sucuri peut aider à expliquer cette question.

Tarification Sucuri

J’en viens maintenant au point le plus important, la tarification.

Ventilation des prix et des fonctionnalités du pare-feu Sucuri
Ventilation des prix et des fonctionnalités du pare-feu Sucuri

Le pare-feu Sucuri (WAF) commence à partir de 9,99 $ / mois, tandis que la plate-forme Sucuri commence à partir de 199,99 $ / an. L’inscription à la plateforme Sucuri vous donne également un accès illimité à la suppression des logiciels malveillants et au nettoyage des piratages.

Toutes les offres premiums de Sucuri sont assorties d’une garantie de remboursement de 30 jours.

Sucuri n’exclut aucune caractéristique de sécurité de ses offres de niveau inférieur, à l’exception de la prise en charge des certificats SSL sur votre serveur d’origine (qui est réservée à la deuxième offre la moins cher).

Au lieu de cela, Sucuri utilise les scanners et la priorité de réponse pour vous inciter à vous inscrire à leurs offres supérieures.

Ventilation des prix et des caractéristiques de la plate-forme Sucuri
Ventilation des prix et des caractéristiques de la plate-forme Sucuri

Cette stratégie tarifaire offre à tous les clients de Sucuri les mêmes fonctions de prévention et de détection, mais pour les analyses et la suppression des logiciels malveillants, les clients qui ont souscrit à des offres plus élevées bénéficient de la plus haute priorité.

Tout le monde recevra son ticket en temps voulu, mais si vous êtes au niveau le plus bas, dans la plupart des cas, la réponse ne sera pas immédiate. Si vous avez besoin d’une résolution plus rapide, vous avez la possibilité d’opter pour leurs offres supérieures. À titre de comparaison, la solution de sécurité équivalente de Cloudflare coûte 200 $ / mois.

Je peux comprendre que cette approche puisse frustrer certains utilisateurs, surtout lorsqu’ils ont affaire à un site web piraté et qu’ils cherchent une solution rapide. Mais compte tenu de la valeur totale que vous en tirez, cela fonctionne mieux pour une majorité d’utilisateurs de Sucuri sur le long terme.

Maintenant que nous avons couvert Sucuri, passons à Wordfence et voyons comment il se compare.

Revue Wordfence

Wordfence Security est une extension de sécurité gratuite pour WordPress
Wordfence Security est une extension de sécurité gratuite pour WordPress

Introduction à Wordfence

Wordfence est une extension WordPress gratuite de sécurité gratuit qui comprend un pare-feu d’extrémité (WAF) et un scanner de logiciels malveillants.

Elle comporte d’autres mesures de sécurité telles que la sécurité de connexion (2FA, page de connexion CAPTCHA, limitation des tentatives de connexion), trafic en direct et blocage avancé basé sur des règles.

Wordfence a une note de 4,8 étoiles avec plus de 3 millions d'installations actives
Wordfence a une note de 4,8 étoiles avec plus de 3 millions d’installations actives

Contrairement à Sucuri, Wordfence est un pare-feu localisé. Il reste sur votre serveur web et n’est pas un service dans le cloud. Ainsi, elle peut effectuer des analyses côté serveur à un niveau plus profond et fournir un cryptage complet de bout en bout.

Mais cet avantage vient au prix de la performance.

Pourquoi ? En effet, les ressources de votre serveur analyseront le trafic, vérifieront l’absence de toute intention malveillante et, si nécessaire, élimineront le trafic. Si vous hébergez votre site web sur un serveur disposant de moins de ressources (par exemple, hébergement partagé et plans d’hébergement gérés bon marché), votre site peut être rapidement saturé.

Dans le cas d’une attaque DDoS, c’est-à-dire un flot de trafic malveillant, cela peut submerger les ressources de votre serveur. Aucune extensions de sécurité locale ne peut résister à cela. C’est la plus grande faiblesse de Wordfence par rapport à Sucuri.

En revanche, si vous avez activé le WAF de Sucuri, tout trafic malveillant vers votre site web est filtré dans le cloud avant qu’il n’atteigne votre serveur.

Mais le WAF localisé de Wordfence est une fonction intégrée gratuite, tandis que le WAF en nuage de Sucuri est une offre premium.

Comment fonctionne Wordfence

Le pare-feu de Wordfence est alimenté par son flux de défense contre les menaces, qui est un terme fantaisiste pour désigner sa collection de règles de pare-feu, d’adresses IP malveillantes et de signatures de logiciels malveillants.

Le flux de défense contre les menaces est intégré à l’extension Wordfence installée sur votre site WordPress. Il est alimenté par votre serveur.

Comment fonctionne le pare-feu Wordfence (WAF)
Comment fonctionne le pare-feu Wordfence (WAF)

Avec Wordfence Premium, vous obtenez des mises à jour en temps réel du flux de défense contre les menaces. Il comprend des caractéristiques telles que :

  • Mises à jour en temps réel de la liste noire des IP, des règles de pare-feu et des signatures de logiciels malveillants.
  • Support Premium.
  • Vérifications de la réputation des sites/IP.
  • Blocage au niveau du pays.

Les utilisateurs gratuits ne reçoivent les mises à jour essentielles qu’après 30 jours de mise en ligne. Ils n’obtiennent pas non plus de liste noire d’adresses IP en temps réel. Bien que cette option semble intéressante pour les sites web personnels, elle peut être un facteur de rupture si vous hébergez une entreprise ou un site web de commerce électronique.

Un pare-feu d’extrémité présente un avantage par rapport aux pare-feu de cloud. Comme il est entièrement alimenté par votre serveur, il ne peut théoriquement pas faire fuir de données, ni être contourné. En revanche, un pare-feu dans le cloud peut faire fuir des données, ou être contourné si l’attaquant connaît l’adresse IP de votre serveur.

Pare-feu dans le cloud contre pare-feu d'extrémité
Pare-feu dans le cloud contre pare-feu d’extrémité (Source de l’image : Wordfence)

Réglages et fonctions de sécurité disponibles

Wordfence vit sur votre serveur web. Ainsi, vous pouvez trouver tous ses réglages dans votre tableau de bord WordPress.

Le tableau de bord est propre et informatif. Il vous fournit des informations essentielles et des avertissements en un coup d’œil.

Le tableau de bord de Wordfence
Le tableau de bord de Wordfence

Le scanner de Wordfence effectue un contrôle d’intégrité de chaque fichier sur votre serveur. Il vous avertira s’il ne s’agit pas d’un fichier du cœur de WordPress ou d’un thème/extension officiels.

Il fera correspondre le texte des fichiers de votre serveur avec celui des logiciels malveillants connus. S’il trouve quelque chose de similaire, même s’il s’agit d’une ligne ou deux, il vous avertira par une notification. Vous recevrez également des notifications si l’un de vos thèmes ou extensions a une mise à jour disponible.

Passons maintenant au panneau de pare-feu de Wordfence. Ici, vous pouvez gérer les réglages du WAF de Wordfence et optimiser sa configuration.

Les réglages du pare-feu de Wordfence sont pour la plupart automatisés
Les réglages du pare-feu de Wordfence sont pour la plupart automatisés

Lorsque vous installez Wordfence pour la première fois, son WAF sera par défaut en mode apprentissage pendant une semaine. Cela lui permet d’étudier votre site et vos visiteurs de manière approfondie, afin de comprendre les règles à appliquer pour ne laisser passer que le trafic légitime à travers le pare-feu.

La fonction de liste noire d’adresses IP en temps réel n’est disponible que pour les utilisateurs Premium.

Avec la protection « Brut Force » activée, Wordfence vous protège des agresseurs en verrouillant leur compte après quelques tentatives infructueuses pour deviner le mot de passe. Il vous oblige également à changer votre mot de passe s’il pense qu’il est trop faible pour être deviné facilement.

Gérez les règles de blocage de votre site à partir de l'onglet Blocage
Gérez les règles de blocage de votre site à partir de l’onglet Blocage

Sous l’onglet Blocage, vous pouvez bloquer le trafic en fonction des adresses IP, de la plage d’IP, du navigateur, du nom d’hôte et du référent. Toutefois, le blocage au niveau national est une fonction réservée aux pays. Vous pouvez combiner toutes les différentes règles de blocage et les enregistrer sous forme de Type de blocage.

Activez la limitation des taux et les règles de blocage avancées à partir d'ici
Activez la limitation des taux et les règles de blocage avancées à partir d’ici

Dans la section Options de pare-feu, vous pouvez mettre en liste blanche les adresses IP et les services, définir des adresses IP à ignorer pour les alertes WAF, configurer la limitation de débit et mettre en liste blanche les URL.

Wordfence vous permet également de bloquer les IP qui accèdent à certaines URL. Cela est utile si quelqu’un sonde votre site web de manière répétée à la recherche de vulnérabilités connues.

Ensuite, passons à l’onglet des réglages du scanner.

Gérez vos réglages d’analyse Wordfence à partir d'ici
Gérez vos réglages d’analyse Wordfence à partir d’ici

Ici, vous trouverez les tâches d’analyse de Wordfence. Les trois premiers tests sont des contrôles de spam et de liste noire, et ils sont réservés aux utilisateurs Premium.

Si le scanner détecte quelque chose qui sort de l’ordinaire, il vous avertira.

Dans la section Options et planification d’analyse, vous pouvez régler la sensibilité et la fréquence d’analyse, ainsi que les fichiers de la liste blanche. Vous pouvez également optimiser les analyses pour les performances de votre installation.

Wordfence dispose de nombreuses options d’analyse et de planification
Wordfence dispose de nombreuses options d’analyse et de planification

Wordfence est livré avec un tas d’autres outils pratiques.

L’outil Trafic en direct vous permet de voir ce qui se passe sur votre site web en temps réel. Vous pouvez le filtrer en ne tenant compte que du trafic lié à la sécurité. Cela vous montrera toutes les connexions d’utilisateurs, les tentatives de piratage et les requêtes malveillantes.

Le trafic en direct est la fonctionnalité la plus cool de Wordfence, mais aussi la plus gourmande en ressources
Le trafic en direct est la fonctionnalité la plus cool de Wordfence, mais aussi la plus gourmande en ressources

Bien que cette fonction soit intéressante, le trafic en direct consomme une grande partie des ressources de votre serveur. Je vous recommande de l’éteindre lorsqu’il n’est pas utilisé.

Les autres outils comprennent la recherche Whois, l’importation/exportation des options et les diagnostiques.

Vous pouvez également activer l’authentification à deux facteurs (2FA) pour toutes les connexions sur votre site WordPress avec le module de sécurité de connexion de Wordfence. Auparavant, il s’agissait d’une fonction premium, mais elle est désormais disponible gratuitement.

Permettre l'authentification à deux facteurs sur votre site facilement
Permettre l’authentification à deux facteurs sur votre site facilement

Vous pouvez utiliser des applications mobiles gratuites telles que Google Authenticator, FreeOTP, ou Authy (ma recommandation personnelle) pour mettre en place la 2FA.

L'onglet des réglages de sécurité de connexion de Wordfence
L’onglet des réglages de sécurité de connexion de Wordfence

Vous pouvez activer 2FA pour tous les rôles d’utilisateur. C’est un excellent moyen de vous protéger, vous et vos utilisateurs, contre les attaques par la force brute, comme la devinette de mots de passe et le bourrage d’identification (credential stuffing).

Vous pouvez établir une liste blanche d’IP pour 2FA, afin que certaines IP n’aient pas à subir de contrôles de sécurité supplémentaires lors de leur connexion. Si vous travaillez principalement à partir d’un seul endroit, cette fonction vous permet d’éviter de passer par le 2FA chaque fois que vous vous connectez.

Parmi les autres dispositifs de sécurité de connexion permettant de mettre un terme aux attaques par force brute, citons

  • Limiter le nombre de tentatives de « mot de passe oublié » et d’échecs de connexion. Après un certain nombre d’essais, l’utilisateur est bloqué.
  • Appliquer des mots de passe forts à l’ensemble du site.
  • Empêcher les enregistrements d’utilisateurs avec certains noms d’utilisateur (par exemple admin)
  • Bloquez immédiatement les personnes qui tentent de se connecter avec des noms d’utilisateur spécifiques (par exemple, admin, votresite_admin, etc.).
  • Désactiver l’authentification XML-RPC, un vecteur d’attaque commun utilisé pour injecter des logiciels malveillants.

Enfin, Wordfence comprend un panneau Toutes les options où vous pouvez trouver tous les réglages de Wordfence. Compte tenu des nombreuses options disponibles dans le cadre de Wordfence, c’est très utile.

Voir toutes les options de Wordfence dans le panneau Toutes les options
Voir toutes les options de Wordfence dans le panneau Toutes les options

Facilité d’utilisation

En ce qui concerne la convivialité, Wordfence est comparable à Sucuri Security et est super simple à utiliser. Après avoir installé et activé l’extension, Wordfence passera immédiatement en mode apprentissage pendant une semaine.

En fonction de la configuration de votre serveur et du trafic, il appliquera automatiquement les réglages recommandés pour le pare-feu et l’analyse. Selon mon expérience, ces réglages sont plus que suffisants pour vous protéger contre la plupart des attaques.

Les dispositifs de sécurité de connexion sont faciles à mettre en place et à appliquer.

Si votre site web fait l’objet d’une attaque DDoS, Wordfence peut faire parcourir votre serveur. Dans les cas les plus extrêmes, le serveur peut être tellement surchargé qu’il vous empêchera d’accéder à votre tableau de bord d’administration WordPress.

Comme Wordfence est une solution localisée, vous avez le contrôle total de ses réglages. Bien que cela puisse être utile si vous êtes techniquement compétent, pour la plupart des utilisateurs de WordPress, cela peut être un problème.

Dans l’ensemble, je trouve que Wordfence est simple comme bonjour, tant qu’il fonctionne comme prévu.

Les performances de Wordfence en matière de sécurité web

Prévention

Contrairement à la solution gratuite de Sucuri qui ne comprend pas de pare-feu, Wordfence a des moyens de stopper la plupart des attaques. Non seulement il applique des mesures de renforcement de la sécurité standard, mais il est également doté d’un WAF côté serveur.

Mais les dernières mises à jour des menaces ne sont disponibles que pour les utilisateurs Premium. Les utilisateurs gratuits reçoivent les mises à jour 30 jours après la mise en ligne. Et comme votre serveur web alimente Wordfence (et non le cloud), même avec le choix premium, vous êtes laissé à vous-même face à une attaque DDoS.

Je peux comprendre le besoin commercial qui sous-tend cette décision, mais pour la sécurité, je pense que l’approche « tout ou rien » de Sucuri est meilleure. Au moins, vous ne pensez pas que vous êtes protégé contre les menaces les plus populaires alors que ce n’est pas le cas.

Cela étant dit, la version premium de Wordfence fait un bon travail de prévention de la plupart des attaques de sécurité. Leur blog et Les chaînes YouTube sont des ressources précieuses pour se tenir au courant des dernières menaces à la sécurité de WordPress.

Détection

L’extension gratuite Wordfence fonctionne assez bien pour détecter la plupart des problèmes de sécurité. Mais vous avez besoin de son paquet premium pour les dernières menaces.

Mais si un pirate informatique a réussi à vous bloquer l’accès à votre site web, il n’y a aucun moyen de vérifier les journaux comme dans Sucuri. Il est donc beaucoup plus difficile d’enquêter sur le piratage.

Vous n’aurez aucun autre recours que de contacter votre fournisseur d’hébergement ou un service de sécurité tiers, ce qui, ironiquement, inclut également Wordfence.

Par rapport à Sucuri, Wordfence dispose d’une fonction de personnalisation des alertes de base, et il fait bien son travail. Il vous alertera rapidement au cas où il trouverait une anomalie de sécurité.

Réponse et récupération

Comme nous l’avons déjà dit, vous pouvez prendre soin de vous avec la version gratuite de Wordfence. Mais même avec le forfait premium, Wordfence n’offre aucun service de réponse et de récupération.

Voici une citation tirée directement des conditions d’utilisation de Wordfence :

« Notre support offert pour Wordfence Premium est limité à 2 heures par incident. Nous nous réservons le droit de refuser toute aide supplémentaire ou de facturer une aide supplémentaire au-delà des 2 heures d’aide ».

Pour une résolution complète, vous devez vous adresser à leur service distinct appelé WordPress Site Cleaning. Son prix est de 179 $ par instance (plus les frais de surcharge en fonction de la demande).

Service Wordfence de nettoyage de site WordPress
Service Wordfence de nettoyage de site WordPress

Leur service de nettoyage de site WordPress comprend :

  • Nettoyage du site infecté en supprimant tous les codes et liens malveillants.
  • Chercher à savoir comment le site a été infecté.
  • Fournir un rapport approfondi de l’enquête et de l’élimination de l’infection.
  • Apple le site de retrait des listes noires anti-malware et anti-spam.
  • Fournir une liste de contrôle pour éviter de futures attaques.

Je n’ai pas encore utilisé leur service de nettoyage de site, mais il semble assez complet. Voici quelques bonnes critiques que j’ai trouvées sur Twitter :

David Miles, rédacteur en chef, Global Politics
David Miles, rédacteur en chef, Global Politics
Rachel Bustin, blogueuse sur le mode de vie familial
Rachel Bustin, blogueuse sur le mode de vie familial

Comparé au service de nettoyage de Sucuri, qui est inclus dans la plateforme premium Sucuri, le service de nettoyage du site de Wordfence semble plus coûteux.

Et avec Sucuri, vous bénéficiez d’une élimination illimitée des logiciels malveillants pendant la durée de votre abonnement, alors que le service d’élimination des logiciels malveillants de Wordfence est destiné à un seul travail. Si votre site est à nouveau infecté par un logiciel malveillant quelques mois plus tard, vous devrez à nouveau payer les mêmes frais de suppression.

Tarification Wordfence

Vous pouvez télécharger gratuitement l’extension de sécurité de Wordfence. À l’heure actuelle, il s’agit de l’extension de sécurité la mieux classée et la plus installée du répertoire d’extensins WordPress.

Wordfence premium commence à 99 $ / an pour un site. Vous bénéficiez d’une réduction si vous ajoutez des sites à votre commande. Plus vous ajoutez de sites, plus la réduction est importante !

Tarification de Wordfence Premium
Tarification de Wordfence Premium

Impact des extensions de sécurité sur les performances du site

Les extensions WordPress sont non seulement les plus grands risques de sécurité, mais ils sont aussi l’un des principaux tueurs de performance. Les extensions de sécurité sont particulièrement coupables, grâce à leur exigence de disponibilité permanente et à leurs fonctions d’analyse.

Toutefois, les solutions de sécurité basées sur le cloud, comme le pare-feu Sucuri ou Cloudflare sont superbes si vous avez besoin d’une protection supplémentaire, surtout si vous êtes confronté à des robots et au trafic de proxy.

Résumé

Sucuri vs Wordfence. Quel est le meilleur choix ?

D’une part, Sucuri est la meilleure solution des deux pour la sécurité et les performances du web, surtout si vous gérez un site web d’entreprise ou de commerce électronique essentiel.

Mais si vous cherchez un pare-feu gratuit, Wordfence est une solution plus solide. Si c’est votre choix, je vous suggère de l’associer à un CDN gratuit, comme Cloudflare.

En fin de compte, tout se résume à votre hébergement. Un excellent fournisseur d’hébergement s’occupera de la plupart des mesures de sécurité pour vous. Ils comprennent que les performances de leurs serveurs et de leurs services, obtenues grâce à des extensions tierces, n’en valent pas la peine.

Idéalement, votre hébergeur devrait verrouiller le code pour qu’il ne soit exécutable que dans des endroits et des instances limités. Et ils limiteraient les téléversements en écriture à leur répertoire respectif. Avec quelques mesures supplémentaires de renforcement de la sécurité au niveau du serveur, cela rendrait les extensions de sécurité de WordPress superflues.

En fin de compte, la sécurité des sites web est un voyage et non une destination. Je vous recommande de prendre le meilleur chemin pour avancer !

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.