Wordfence est sorti de nulle part il y a quelques années et a pris d’assaut le monde de WordPress. Avec plus de 3 millions d’installations actives, près de 3 500 commentaires et une moyenne de cinq étoiles et près de 200 000 téléchargements rien que la semaine dernière, le plugin Wordfence est un succès.
La version commerciale (oui, il existe une version légère gratuite) est idéale pour gérer plusieurs sites web. Wordfence ne se contente pas de rechercher les logiciels malveillants, mais construit son propre pare-feu pour prévenir le piratage.
C’est une solution de premier ordre pour une couverture de bout en bout des sites WordPress
Le plugin Sucuri recherche régulièrement les logiciels malveillants et la société propose un pare-feu applicatif web conçu pour bloquer les attaques au niveau des applications, plutôt qu’au niveau des paquets que votre pare-feu matériel est censé traiter. Comme pour Wordfence (et la plupart de ces produits), Sucuri propose à la fois un plugin gratuit avec plus de 600 000 installations actives et un service payant de qualité supérieure.
Jetpack, le plugin d’Automattic
En tant que gestionnaire de site WordPress, je ne suis pas du tout d’accord avec la politique de Jetpack.
Il s’agit d’un gigantesque ensemble de fonctions et de caractéristiques supplémentaires de WordPress offertes par Automattic, la société commerciale à l’origine de WordPress.
L’idée de Jetpack est de permettre aux nouveaux gestionnaires de sites d’accéder plus facilement à un large éventail de fonctions utiles, mais c’est un énorme plugin qui ajoute une tonne de possibilités à votre interface, et parfois cela crée beaucoup de confusion.
Cela dit, avec plus de cinq millions d’installations actives, c’est un plugin définitivement populaire. Il offre une protection contre les attaques par force brute, un filtrage du spam, une surveillance des temps d’arrêt, une sauvegarde du site, une mise à niveau de la connexion sécurisée, une analyse des logiciels malveillants et un journal de toutes les modifications apportées au site.
Et ce ne sont là que les fonctions de sécurité offertes ! Étant donné qu’il est proposé par la société qui développe WordPress, vous pouvez être sûr qu’il est robuste. Si vous ne savez pas quoi faire pour protéger votre site, vous pourriez faire bien pire que d’installer Jetpack, d’activer certaines de ses fonctionnalités et d’acheter l’un des plans les moins chers.
Two Factor et Google Authenticator
WordPress ne propose pas d’authentification à deux facteurs dès le départ. Lorsque vous vous connectez à l’interface de gestion back-end, tout ce dont vous avez besoin est un nom d’utilisateur ou une adresse e-mail et un mot de passe fort.
Heureusement, il est assez facile d’ajouter une authentification à deux facteurs en utilisant soit Two Factor soit Google Authenticator. L’installation et la configuration de l’un ou l’autre de ces plugins ajoute rapidement une couche de sécurité supplémentaire à votre site.
La version gratuite de Two Factor compte plus de 10 000 sites actifs et il n’y a pas de mise à niveau Premium. Elle est simplement gratuite. Google Authenticator est un outil très complet qui propose de nombreuses options de mise à niveau payantes, allant des méthodes d’authentification supplémentaires aux fonctions d’authentification et de gestion des utilisateurs au niveau de l’entreprise.
ManageWP, propriété de GoDaddy, est ma solution pour maintenir mes sites à jour. Il existe des options premium (et je paie pour certaines de ces fonctionnalités pour certains de mes sites), mais vous pouvez obtenir gratuitement une solide gestion des mises à jour et des sauvegardes avec ManageWP.
Vous installez un plugin ManageWP Worker (plus de 900 000 installations actives), qui communique avec le service ManageWP. Toute la magie se produit dans l’interface web de ManageWP.com.
Je l’utilise comme l’un de mes principaux outils de sauvegarde et elle effectue une sauvegarde quotidienne ou mensuelle de mes sites vers le stockage cloud de mon choix.
Certains de mes sites ne changeront plus jamais, c’est pourquoi la sauvegarde mensuelle gratuite me convient parfaitement, mais le vrai secret, c’est la gestion des mises à jour.
Plutôt que de devoir me connecter à l’interface d’administration de tous mes sites, je n’ai qu’à me connecter une seule fois à ManageWP, cliquer sur « Update », croiser les doigts et attendre que tous mes sites, tous mes thèmes, tous mes plugins et tous mes fichiers WordPress soient mis à jour automatiquement.
Il existe un plugin appelé Limit Login Attempts, mais il n’a pas été mis à jour depuis un certain temps.
Limit Login Attempts Reloaded est un fork de ce projet open source original qui a été maintenu à jour par ses développeurs. Ce plugin gratuit (avec plus d’un million d’installations actives) fait une chose et le fait bien (et gratuitement) : Il bloque les tentatives de connexion par force brute.
Si un pirate informatique tente de se connecter à votre site, Limit Login Attempts Reloaded cessera de répondre après un certain nombre de tentatives.
Comme les plugins 2FA et ManageWP mentionnés ci-dessus, il s’agit d’une installation simple.
Même si vous n’êtes pas prêt à dépenser un centime pour la sécurité, vous pouvez réduire considérablement votre profil de menace grâce à cette installation.
Développé par des développeurs de modules complémentaires WordPress bien connus, SecuPress (avec plus de 20 000 installations actives) possède l’une des interfaces utilisateur les plus propres de cette catégorie. Relativement récent, mais il vaut le coup d’œil.
Avec plus de 200 000 installations actives, SiteGuard ajoute beaucoup de fonctions de sécurité, mais se concentre sur les connexions. Il est gratuit et un peu difficile à installer, mais les paramètres par défaut fonctionneront pour la plupart des sites.
La version gratuite contient plus de 200 000 installations actives et presque tous les commentaires sont cinq étoiles. Elle offre une protection de base pour la connexion, la recherche de logiciels malveillants et à la recherche de certaines vulnérabilités historiques propres à WordPress. C’est une approche intelligente de la défense de WordPress.