Les meilleures extensions pour sécuriser son site WordPress

Publié le15 mai 2022parDavid FARDEAU

Sécuriser son site WordPress est donc devenu un critère prépondérant et prioritaire. En effet, depuis son lancement en 2003, le CMS WordPress a parcouru un long chemin. Il alimente désormais 43 % de tous les sites web dans le monde ce qui représente environ 75 millions de sites actifs. Cependant, sa grande popularité en fait également une cible de choix pour les pirates. On considère que 100 000 sites sont piratés chaque jour. Dans tous les cas, ce type de mésaventure impacte non seulement la notoriété de l’utilisateur mais également le référencement naturel.

Quelles sont les types de vulnérabilité WordPress ?

Bien que WordPress soit régulièrement mis à jour par une équipe d’experts pour corriger les bugs et et les failles de sécurité, des vulnérabilités existent et sont découvertes régulièrement. La communauté WordPress joue un rôle essentiel pour prévenir et s’assurer que les failles soient corrigées le plus rapidement possible par les experts.

Voici les principales vulnérabilités pouvant affecter WordPress :

Backdoors

On peut traduire « Backdoor » par porte dérobée. Il s’agit d’un bout de code développé dans le but de mettre en place un accès administrateur pour contrôler votre site WordPress à distance, contournant ainsi les processus sécurisés d’authentification habituels.

Tentatives de connexion par force brute

Les tentatives de connexion par force brute sont des attaques utilisées le plus souvent grâce à un script ou un bot dans le but d’exploiter les mots de passe faibles et accéder ainsi à votre site.

Plusieurs moyens permettent de lutter contre ce type d’attaque comme :

L’authentification en deux étapes
La limitation des tentatives de connexion
la surveillance des connexions non autorisées
le blocage des adresses IP
l’utilisation de mots de passe forts

Pharma Hacks

L’attaque intitulée «Pharma Hack» ou «Pharma SEO Spam» est un code malicieux inséré dans des versions obsolètes de sites et d’extensions WordPress dans l’optique de rediriger vos pages vers des publicités de produits pharmaceutiques : Viagra, Cialis sont les plus courants

Il est assez facile de lutter contre ce type de menace en optant pour des hébergeurs WordPress de qualité et en effectuant régulièrement des mises à jours de votre thèmes extensions WordPress.

Redirections malveillantes

Un hack de redirection de malware WordPress est un type d’attaque utilisant des protocoles FTP, SFTP, wp-admin, que l’on rencontre assez fréquemment qui redirige les visiteurs d’un site Web infecté vers des sites de phishing ou des sites Web malveillants. Ces redirections sont souvent insérées dans votre vos fichiers WordPress comme .htaccess sous forme codée.

Deni de service

L’attaque de dénis de service (DDos) est considérée comme la plus dangereuse. Elle est conduite par un réseau de machines contrôlé à la base par un hacker qui utilise des malwares etdes logiciels malveillants. Elle vise à submerger la mémoire des systèmes d’exploitation des sites web.

Cross-site Scripting (XSS)

Le Cross-Site Scripting (XSS) est une attaque très courante qui peut être caractérisée par l’injection d’un script dans un site Web. Le pirate l’utilise pour envoyer un code malveillant, généralement des scripts côté navigateur, à l’utilisateur final sans qu’il le sache. Son but est généralement de récupérer des cookies ou des données de session ou peut-être même de réécrire du HTML sur une page.

Les bons réflexes à adopter pour lutter contre ces types d'attaque

Voici une liste de recommandations à adopter pour sécuriser son site WordPress

Choisir un hébergement fiable
Utiliser une version php récente
Opter pour des identifiants et mots de passe complexes
Mettre à jour régulièrement ses extensions et son thème WordPress
Assurer la protection de l’administration WordPress en changeant l’adresse de connexion
Mettre en place une authentification à deux facteurs
Installer un certificat SSL afin de maintenir une connexion sécurisée entre votre site web et les navigateurs.
Déplacer le fichier wp-config.php
Mettre à jour les clés de sécurité WordPress
Désactiver XML – RPC
Cacher la version de WordPress afin de ne pas renseigner les personnes sur votre configuration
Ajouter les derniers headers de sécurité HTTP
Vérifier les permissions des fichiers et du serveur
Désactiver l’édition de fichiers dans le tableau de bord WordPress
Renforcer la sécurité des bases de données

Naturellement, le risque zéro n’existe pas même en effectuant les bonnes procédures. Le plus important est de procéder à des contrôles réguliers et réduire de ce fait les risques de devenir une cible privilégiée pour les hackers

Sélection des meilleurs plugins WordPress pour sécuriser son site WordPress

Fort heureusement, afin d’éviter ce mauvais scénario et vous protégez des attaques par force brute, il existe des extensions gratuites fiables et plutôt faciles à mettre en place. Voici une sélection qui vous aideront à protéger efficacement votre site WordPress

Cet article comprend différents liens conduisant vers différentes ressources relatives à la sécurité . En résumé, si vous achetez un de ces plugins WordPress, Riviera Web Design percevra ainsi une commission qui lui permettra de rémunérer le travail de recherche et de rédaction.

1. WordFence Security

WordFence est un excellent plugin de sécurité basé sur un modèle Freemium. Cette solution complète intègre un pare-feu de point de terminaison sur votre serveur afin de bloquer le trafic malveillant. WordFence offre également la possibilité de visualiser en temps réel les activités sur votre site.

Principales caractéristiques :

Protection contre les attaques par force brute
Blocage automatiques des IPs
Authentification à deux facteurs
Possibilité de scanner les logiciels malveillants

2. iThemes Security

Anciennement appelé Better WP Security, Ithème Security est un plugin de sécurité incontournable pour WordPress. Avec plus d’un million d’installations actives à la rédaction de cet article, il s’impose comme une solution de sécurité très fiable et embarque plus de 30 outils pour assurer la protection de votre site. Bien que la version gratuite soit déjà très fournie, la version pro au tarif de 80 $ par an, rajoute certaines fonctionnalités très utiles comme l’application de mots de passe forts, le blocage des mauvais utilisateurs, les sauvegardes de base de données et l’authentification à deux facteurs.

Détection de changement dans les fichiers, permettant d’être informé lorsque l’un d’eux est endommagé
Intégration de Google Recaptcha
Comparaison de vos fichiers WordPress avec la version actuelle de WordPress
Détection des erreurs 404
Mise à jour de vos salts et clés WordPress pour renforcer la complexité de vos clés d’authentification.

3. Hide My WP

Hide My WP fait partie des best sellers sur Code Canyon avec environ 30 000 ventes. Ce plugin de sécurité permet de cacher entièrement un site WordPress aux yeux des pirates, spammeurs ou bien détecteurs de thèmes comme Wappalyzer ou BuiltWith.

Permet de masquer entièrement le nom du thème, les plugins, les changements de permaliens, cache wp-admin, l’URL de connexion …
Blocage de l’accès direct aux fichiers PHP,
Nettoyage des noms de classes WP
Désactivation de la liste des répertoires
Notifications sur les détails des attaquants : nom d’utilisateur, l’adresse IP, la date, etc.
Réseau de confiance intégré destiné à bloquer automatiquement le trafic provenant de mauvaises adresses IP sources.

4. All In One WP Security

All In One WP Security est sans nul doute l’une des extensions gratuites de sécurité les plus populaires et complètes. Son interface utilisateur simple et bien pensée facilite le paramétrage du plugin. Vous pouvez visualiser par exemple le niveau de sécurité de votre site sous forme de compteurs et graphiques dans le but de vous inciter à appliquer les bonnes pratiques dans le but d’améliorer la sécurité de votre site.

Liste noire permettant de définir certaines exigences pour bloquer un utilisateur.
Sauvegarde et restauration des fichiers .htaccess et wp-config

5. WP Cerber Security, Antispam & Malware Scan

Dans la série des plugins de sécurité, WP Cerber Security est une solution très efficace pour renforcer la sécurité de votre site WordPress. Il permet non seulement de lutter contre toutes les sortes d’attaques : spams, chevaux de troie, logiciels marveillants mais aussi de surveiller l’intégralité de votre site grace à son scanner intégré.

Protection contre les attaques courantes, notamment l’injection de code, l’API REST et les énumérations d’utilisateurs ordinaires, etc.
Pare-feu d’application Web
Limitation et surveillance des tentatives de connexion
Mise en place de listes blanches IP ou de listes noires dans le but de restreindre l’accès
Modification de l’URL de votre page de connexion.
Possibilité d’utiliser l’authentification à deux facteurs
Désactivation des API XML-RPC et REST

6. Shield Security

Shield Security est une autre solution tout aussi robuste et efficace pour lutter contre les pirates et les robots malveillants. Il permet de limiter le nombre de tentatives de connexion et bloquer les attaques par force brute tout en optimisant les performances de votre site afin que ce dernier ne subisse aucun ralentissement.

Identification des robots malveillants et sécurité des formulaires sans intégration de captchas parfois ennuyants pour les utilisateurs
Restriction et verrouillage de l’administration WordPress par l’ajout d’une autre couche de sécurité
Blocage automatique des IPs malveillantes afin de se débarrasser des visiteurs malsains

7. Defender Security

Développé par WPMUDEV, Defender Security repose sur un modèle freemium. Cet outil permet de scanner les logiciels malveillants et dispose également d’un pare feu très performant. Il débute avec une liste de recommandations permettant d’ajouter en un clic différentes couches de protection sur votre site.

Principales catactéristiques :

Scanner
Pare feu
Authentification à deux facteurs
Protection des connexions

8. BulletProof Security

BulletProof Security se définit comme étant un plugin Proactif disposant d’outils de sécurité avancés comme un système de détection et de prévention des intrusions BPS Pro ARQ (ARQ IDPS), des solutions de chiffrement, ainsi que des crons programmés, des scans cURL, le verrouillage des dossiers ….

Assistant d’installation en un clic
Sécurité et surveillance des connexions.
Sauvegarde et restauration de bases de données.
Mise à disposition d’un scanner pour détecter les Malwares
Outils anti-spam et anti-hacking.
Des logs de sécurité.
Dossiers de plugins cachés.
Mode de maintenance

9. NinjaFirewall (WP Edition)

Conçu par Ninja Technologie Network, Ninja Firewall est un véritable pare feu intégrant un moteur de filtrage très puissant permettant de bloquer des attaques, de monitorer votre trafic, et de vous assurer de l’intégrité de vos fichiers

Détection d’intrusion en temps réél et analyseur de fichiers
Protection par force brute
Visualisation des connexions en cours
Notifications par email concernant des actions spécifiques effectuées sur votre site (connexion en tant qu’administrateur, modification de compte administrateur, téléchargement, installation / suppression de plugins, thèmes etc…)

10. Security Ninja

Security Ninja fut l’un des premiers plugins de sécurité vendus sur CodeCanyon. Il dispose depuis 2016 d’une version gratuite qui propose non moins de 50 tests de sécurité allant de la vérification des fichiers et des permissions MySQL à divers paramètres PHP.

Le module de test de sécurité
Module de réparation automatique pouvant résoudre les problèmes détectés.
Analyse du noyau WordPress pour assurer l’intégrité des fichiers de base en les comparant à une copie sécurisée et la plus récente de wordpress.org.
Analyse des plugins et les thèmes à la recherche de malwares et de codes suspects.
Utilisation d’une liste de mauvaises adresses IP connues afin d’effectuer des blocages automatiques.
Programmation de scans réguliers.

11. Sucuri Security

Sucuri Security est sans aucun doute l’une des extensions de sécurité les plus populaires pour WordPress, en raison de son interface simple, permettant d’obtenir une vue d’ensemble de ses contrôles de sécurité. Bien que la version gratuite est fournie avec un panel de fonctionnalités standard permettant de personnaliser la façon dont Sucuri protège votre site web, elle n’inclut pas de pare-feu.

Analyse et détection des fichiers PHP afin de déterminer si le site a été piraté
Enregistrement des activités par les utilisateurs
Alerte Email de modifications de configuration
Intégration du CDN et Firewall Sucuri

12. MalCare WordPress Security Plugin

Malcare WordPress Security permet de procéder à une analyse approfondie de vos fichiers. Après avoir déterminé que certains sont corrompus, MalCare procède à leur suppression.

Recherche de logiciels malveillants et nettoyage automatique en 1 clic
Pare-feu intelligent
Détection de vulnérabilité et protection contre les robots
Rapports programmés
Journal d’activité

13. Titan Anti-spam & Security

Titan Antispam offre un éventail complet d’outils divers basé sur de puissants algorythmes permettant de lutter de manière efficace conTre les spambots. Tout cela dans l’optique de faire gagner un temps précieux aux utilisateurs.

Analyse des fichiers système, des thèmes et des plugins
Détection d’url invalides
Masquage des commentaires ressemblant à des spams
Mise à jour des règles du pare-feu et des signatures de logiciels malveillants.

14. WP Hide & Security Enhancer

Avec plus de 80 000 installations à son actif, WP Hide & Security Enhancer est un petite perle permettant de masquer complètement vos princpaux fichiers WordPress, votre page de connexion, vos chemins de thème et de plugins.

Url d’administration personnalisée
Blocage de l’url d’administration par défaut

15. SecuPress

Conçu par Julio Potier, SecuPress est un plugin Made in France. Cette solution très accessible pour les non initiés grâce à une interface de gestion très ergonomique qui facilite grandement son utilisation. Sécuriser son site WorPress avec ce type de solution devient un jeu d’enfant.

Scans précis de votre site
Rapports complets
Possibilité de paramétrer des actions automatiques
Blocages par adresses IP ou géolocalisation
Vérification de la sécurité des mots de passe
Déplacement de la page de connexion ( /wp-admin, /wp-login.php)

Comme nous venons de le voir dans cet article, la sécurité d’un site n’est pas à prendre à la légère. Chaque propriétaire d’un site doit donc mettre en place les bonnes pratiques pour tenter de transformer son site en véritable forteresse. Il est primordial tout d’abord d’investir dans un hébergement WordPress sécurisé et de procéder à des mises à jours régulières. Afin de rajouter des couches de sécurité, il existe des plugins performants spécialement dédiés à cette tâche qui permettront d’économiser du temps et de l’énergie.