Comparaison des 12 meilleures extensions de sécurité WordPress (édition 2021)

Que vous possédiez un blog, un site de petite entreprise ou une boutique de eCommerce, la sécurité est un impératif absolu. En effet, si votre site est piraté, vous risquez d’endommager votre réputation, de perdre vos fichiers et votre base de données, de nuire à vos référencements sur les moteurs de recherche et de transmettre les données personnelles des clients et visiteurs aux pirates. 

Comme pour beaucoup de choses dans la vie, mieux vaut prévenir que guérir. Heureusement, WordPress facilite la sécurisation de votre site et la prévention des piratages.

Nous allons détailler 12 des meilleures extensions de sécurité WordPress, les comparer dans divers domaines et vous aider à prendre la bonne décision pour votre site. Enfin, nous répondrons à quelques questions courantes sur la sécurité de WordPress.

WordPress a-t-il des problèmes de sécurité ?

WordPress propulse plus de 40 % du Web et est le système de gestion de contenu le plus populaire. Bien que sa popularité en fasse une cible pour les pirates, le logiciel lui-même n’a pas de problèmes de sécurité.

En fait, les pirates accèdent rarement aux sites Web par le biais de vulnérabilités avec WordPress. En réalité, la plupart des sites sont piratés en raison de problèmes de sécurité évitables tels que des extensions et des thèmes obsolètes, des mots de passe non sécurisés ou un environnement d’hébergement médiocre.

Même si aucun système de gestion de contenu n’est sécurisé à 100 %, les principaux développeurs de WordPress travaillent d’arrache-pied pour le rendre aussi sûr que possible à chaque mise à jour. Et si vous suivez quelques bonnes pratiques de base, vous ne devriez avoir aucun souci à vous faire.

Comment puis-je améliorer ma sécurité WordPress ?

1. Choisissez un hébergeur de qualité. La sécurité commence par votre hébergeur, alors choisissez-en un avec une bonne réputation. Recherchez des fonctionnalités telles que les sauvegardes automatiques, un certificat SSL, un pare-feu au niveau du serveur et une protection contre les programmes malveillants. De plus, avant d’acheter un plan, consultez les avis pour voir s’il y a des problèmes de sécurité courants. Consultez la liste d’hébergeurs WordPress recommandés par Jetpack.
2. Mettez régulièrement à niveau WordPress, les thèmes et les extensions. Les nouvelles versions incluent souvent des correctifs pour les vulnérabilités de sécurité, ainsi que des fonctionnalités supplémentaires, alors veillez à tout mettre à jour dès que possible.
3. Choisissez des thèmes et des extensions fiables. Installez uniquement des extensions et des thèmes qui proviennent d’une source fiable et qui ont des avis excellents. N’achetez jamais des versions gratuites de thèmes et d’extensions premium. Elles contiennent souvent de nombreux programmes malveillants et de vulnérabilités.
4. Créez des identifiants et des mots de passe sécurisés. Utilisez un mot de passe unique pour votre site WordPress qui comporte au moins 20 caractères mêlant lettres majuscules, lettres minuscules, chiffres et symboles. Ainsi, les pirates et les bots auront du mal à le deviner.
5. Définissez des autorisations utilisateur appropriées. Les rôles utilisateurs WordPress définissent les actions que chaque compte peut effectuer sur votre site. N’attribuez aux utilisateurs que le rôle minimum dont ils ont besoin pour faire leur travail et supprimez tous les comptes qui ne sont plus utilisés.
6. Effectuez des sauvegardes automatiques qui sont stockées hors site. Configurez des sauvegardes automatisées qui ont lieu, au minimum, toutes les 24 heures. Ensuite, stockez ces sauvegardes complètement séparément de votre hébergeur de sorte que, s’il arrive quelque chose à votre serveur, votre sauvegarde ne soit pas affectée. 
7. Configurez la protection contre les attaques par force brute. Les attaques par force brute se produisent lorsque les bots devinent des milliers de combinaisons identifiant/mot de passe chaque minute pour entrer de force dans votre site. Mais un bon outil peut bloquer les adresses IP suspectes avant même qu’elles arrivent jusqu’à vous. 
8. Recherchez les programmes malveillants. Comme vous ne pouvez pas physiquement surveiller votre site contre les programmes malveillants 24 h/24 et 7 j/7, choisissez un outil ou une extension qui le peut. Découvrir quelque chose de suspect à la seconde où il se produit vous permet de résoudre le problème et d’empêcher qu’il ne se généralise.
9. Configurez l’authentification à deux facteurs. L’authentification à deux facteurs nécessite à la fois un mot de passe et un appareil physique pour se connecter à votre site. En règle générale, elle envoie un code unique à votre téléphone, que vous devez saisir pour vous connecter. Ainsi, il devient quasiment impossible pour les pirates d’entrer avec un identifiant et un mot de passe.
10. Débarrassez-vous des commentaires indésirables. Les commentaires indésirables ne sont pas seulement pénibles. Ils peuvent comporter des liens vers des sites de hameçonnage dangereux, ce qui nuit également aux visiteurs de votre site Web. Vous pouvez vous en débarrasser manuellement ou installer une extension qui filtre automatiquement les commentaires et supprime les indésirables.

Ai-je besoin d’une extension de sécurité WordPress ?

Vous n’avez pas nécessairement besoin d’une extension de sécurité WordPress pour avoir un site sécurisé. De nombreuses bonnes pratiques, comme les mises à jour régulières et les mots de passe sécurisés, peuvent être mises en place sans. Toutefois, les meilleures extensions de sécurité WordPress vont plus loin, en ajoutant une couche de sécurité supplémentaire et en facilitant l’ajout d’une protection avancée sans l’aide d’un développeur.

Et la sécurité est un domaine sur lequel vous ne voulez pas lésiner. Quel que soit le type de site que vous exploitez, un piratage pourrait avoir un sérieux impact sur la façon dont les visiteurs et les clients perçoivent votre marque. Il peut également nuire à votre classement sur les moteurs de recherche (Google n’aime pas les sites dangereux), réduire le nombre de ventes et de prospects que vous recevez, et exposer des informations telles que les données de carte de crédit.

Alors, même si une extension de sécurité WordPress n’est pas vraiment obligatoire, il est judicieux d’en utiliser une pour n’importe quel site.

Les meilleures extensions de sécurité WordPress

Découvrons les meilleures extensions de sécurité WordPress :

Vous pouvez utiliser la liste ci-dessus pour accéder rapidement à des extensions spécifiques et passer en revue leurs fonctionnalités les plus importantes, leurs tarifs et la façon dont elles peuvent vous aider à protéger votre site Web.

1. Jetpack Security

Contrairement à de nombreuses autres extensions, Jetpack Security prend en charge plusieurs tâches : les fonctionnalités gratuites et payantes incluent tout, de la protection contre les attaques par force brute à la surveillance des temps d’arrêt, les sauvegardes, la recherche de programmes malveillants, la protection contre le contenu indésirable, etc. Ces fonctionnalités se combinent pour créer une extension de sécurité WordPress holistique facile à utiliser pour les débutants mais suffisamment complète pour les plus grands sites. En outre, comme les analyses sont exécutées sur les serveurs Jetpack, elles ne ralentiront pas votre site Web.

Jetpack est également créé et pris en charge par les personnes derrière WordPress.com, spécifiquement pour WordPress. L’équipe Jetpack connaît WordPress sur le bout des doigts et comprend les problèmes exacts auxquels font face les propriétaires de sites WordPress chaque jour. C’est la raison pour laquelle il s’agit de la meilleure extension de sécurité disponible.

Principales fonctionnalités de Jetpack Security :

• Sauvegardes automatisées quotidiennes et en temps réel
• Recherches de programmes malveillants quotidiennes et en temps réel
• Protection automatisée contre le contenu indésirable
• Journal d’activité détaillé montrant tout ce qui se produit sur votre site
• Surveillance des temps d’arrêt
• Protection contre les attaques par force brute
• Authentification à deux facteurs
• Application mobile avec des alertes et un accès aux sauvegardes, aux résultats d’analyse et au journal d’activité

Voyons quelques-unes de ces fonctionnalités un peu plus en détail.

Protection contre les attaques par force brute

Une attaque par force brute se produit lorsque les pirates utilisent des bots pour deviner les combinaisons identifiant/mot de passe. Comme ils utilisent de grands réseaux d’ordinateurs, ils peuvent essayer des milliers de mots de passe chaque seconde.

La fonctionnalité de protection contre les attaques par force brute de Jetpack bloque les tentatives de connexion indésirables des adresses IP malveillantes avant qu’elles n’atteignent votre site.

Surveillance des temps d’arrêt

La surveillance des temps d’arrêt de Jetpack visite votre site Web de partout dans le monde et vous envoie une alerte instantanée en cas de panne. Pourquoi est-ce utile ? Vous ne pouvez pas résoudre un problème dont vous n’êtes pas au courant ! Si votre site est en panne pendant une période prolongée, vous pourriez perdre du trafic, des ventes et même votre classement sur les moteurs de recherche. Grâce à la surveillance des temps d’arrêt, vous serez immédiatement informé des problèmes et pourrez les résoudre le plus vite possible.

Authentification à deux facteurs

L’authentification à deux facteurs ajoute une couche de sécurité supplémentaire à votre page de connexion en demandant plus qu’un identifiant et un mot de passe. Lorsque vous vous connectez à votre site, Jetpack envoie un code sur votre téléphone que vous devez saisir. Cela signifie qu’un pirate doit connaître votre identifiant et votre mot de passe et posséder physiquement votre appareil mobile pour pouvoir entrer, ce qui est improbable.

Sauvegardes automatiques

Si votre site tombe en panne pour une raison quelconque, une sauvegarde complète sera inestimable. Imaginez que vous perdiez tout votre travail, l’argent que vous avez investi et les données de vos clients ou de vos visiteurs. Les sauvegardes WordPress vous permettent d’être tranquille.

Mais toutes les solutions de sauvegarde ne se valent pas. Les sauvegardes Jetpack sont :

• Automatisées, vous n’avez donc pas à créer manuellement des sauvegardes.
• Sécurisées, vos sauvegardes sont donc protégées et toujours disponibles.
• Faciles à configurer, ce qui est particulièrement utile si vous ne connaissez pas bien le codage ou la gestion de serveur.
• Rapides à rétablir, vous pouvez donc relancer votre site le plus rapidement possible.
• Disponibles en deux formats : quotidiennes et en temps réel.

Les sauvegardes quotidiennes se produisent automatiquement une fois par jour et constituent une excellente solution pour les restaurants, les blogs et autres sites Web qui ne sont pas mis à jour plus d’une fois toutes les 24 heures.

Les sauvegardes en temps réel se produisent automatiquement pendant que vous travaillez, vous disposez donc d’un enregistrement à la minute de votre site Web. Chaque modification est enregistrée lorsque vous l’effectuez. Elles sont idéales pour les boutiques en ligne, les sites d’adhésion, les forums et les sites Web mis à jour régulièrement. 

Quelle que soit l’option que vous choisissez, vous êtes assuré que votre site est sauvegardé et peut être rétabli en quelques clics si vous en avez besoin.

Recherche de logiciels malveillants automatisée

Si un pirate accède à votre site Web, il peut créer une « porte dérobée », un type de programme malveillant qui lui permet d’accéder à votre site à tout moment pour voler des données ou insérer un programme malveillant ou des virus à votre insu. Les programmes malveillants compromettent votre réputation et mettent en danger vos informations et les données de vos clients.

C’est là que Jetpack Scan entre en jeu. Il exécute des recherches de programmes malveillants automatiques quotidiennes du code de votre site, en vérifiant tout élément suspect. Dès qu’il détecte une menace, vous recevez une notification par e-mail avec des informations détaillées sur les fichiers infectés.

Encore mieux : Jetpack résout automatiquement la majorité des menaces connues. Ainsi, non seulement vous serez immédiatement au courant des problèmes, mais vous n’aurez probablement pas à intervenir pour les résoudre.

Filtrage automatisé du contenu indésirable

Le contenu indésirable prend souvent la forme de commentaires non pertinents contenant des liens vers des sites Web peu recommandables. Avec le bon logiciel, les spammeurs peuvent laisser des millions de commentaires, qui deviennent rapidement ingérables.

Jetpack Anti-spam filtre automatiquement les commentaires, les rétroliens et les envois de formulaires de contact pour détecter le contenu indésirable connu, ce qui vous fait gagner des heures. Si vous craignez que de vrais commentaires soient marqués comme indésirables, vous pouvez les examiner et rétablir tout ce que vous souhaitez, ou simplement configurer Jetpack pour qu’il se débarrasse des pires commentaires afin que vous n’ayez jamais à les voir. 

L’application mobile Jetpack

Les pirates ne s’arrêtent pas simplement parce que vous êtes loin de votre ordinateur. Avec l’application mobile Jetpack, vous pouvez vérifier l’activité de votre site, rétablir une sauvegarde et afficher les résultats des recherches de programmes malveillants où que vous soyez. 

De plus, vous recevez des alertes instantanées si votre site Web tombe en panne ou si un programme malveillant est trouvé, pour une tranquillité d’esprit ultime. Vous trouvez quelque chose qui ne va pas ? Vous pouvez résoudre la majorité des menaces connues en un clic, directement depuis l’application.

Facilité d’utilisation :

Jetpack est conçu pour que n’importe quel propriétaire de site puisse l’utiliser, quel que soit son niveau de compétence technique. Toutes les fonctionnalités peuvent être activées en quelques clics, sans aucune connaissance en codage ni développeur requis.

Assistance et documentation :

La maintenance et l’assistance de Jetpack sont assurées par des experts WordPress qui se soucient vraiment de vous et de votre entreprise. On les appelle Happiness Engineers. Le plan gratuit comprend une assistance de qualité par e-mail et les plans payants vous permettent de bénéficier d’une assistance prioritaire plus rapide, afin que vous puissiez recevoir l’aide dont vous avez besoin au moment où vous en avez besoin.

Il existe également une documentation complète qui vous guide tout au long de la configuration et de la résolution de problème.

Tarifs et options du plan :

• Jetpack gratuit inclut gratuitement la surveillance des temps d’arrêt, la protection contre les attaques par force brute et un journal d’activité avec les 20 derniers événements.
• Jetpack Security quotidienne inclut toutes les fonctionnalités, ainsi que des sauvegardes quotidiennes, des analyses de sécurité quotidiennes et un journal d’activité de 30 jours à partir de 11,97 $ par mois.
• Jetpack Security en temps réel inclut toutes les fonctionnalités, ainsi que des sauvegardes en temps réel, des analyses de sécurité en temps réel et un journal d’activité d’un an à partir de 33,57 $ par mois.
• Vous pouvez également acheter des fonctionnalités individuellement, comme Jetpack Backup, Jetpack Scan et Jetpack Anti-spam à partir de 4,77 $ par mois.

Parfait pour : 

Les blogs, les boutiques de eCommerce et les sites Web de toute taille. Jetpack Security est la meilleure extension de sécurité WordPress et la plus complète, pour pratiquement tous les scénarios. 

2. Wordfence

Wordfence est un pare-feu d’application Web qui offre également quelques fonctionnalités supplémentaires, telles que la recherche de programmes malveillants. Comme il s’agit d’un pare-feu de point de terminaison, il s’intègre en profondeur à WordPress, ne peut pas être contourné et ne peut pas divulguer de données. Cela le rend beaucoup plus sûr que les alternatives cloud.

Une fois que vous avez configuré Wordfence, vous recevez des notifications par e-mail s’il détecte quelque chose de préoccupant comme une extension obsolète, un morceau de code malveillant ou un virus. 

Cependant, Wordfence a la réputation de ralentir votre site, car il ajoute de nombreuses tables de base de données volumineuses et met votre serveur à rude épreuve lors des recherches de programmes malveillants.

Principales fonctionnalités de Wordfence :

• Pare-feu d’application Web
• Analyseur de sécurité
• Protection contre les fuites de mot de passe
• Authentification à deux facteurs
• Blocage manuel et blocage par pays
• Réparation automatisée des fichiers

Examinons quelques-unes de ces fonctionnalités de plus près.

Pare-feu d’application Web

Le pare-feu est certainement la fonctionnalité la plus puissante de Wordfence. Il exploite les données collectées à partir de plus de quatre millions de sites Web qu’il protège pour comprendre comment les pirates attaquent, à quoi ressemblent les attaques et d’où elles viennent. Wordfence met régulièrement à jour ses règles de pare-feu et la liste des adresses IP malveillantes qu’il bloque pour une protection constante.

Analyseur de sécurité

L’analyseur de sécurité recherche sur votre site les programmes malveillants, les URL incorrectes, le contenu indésirable, les redirections malveillantes et les injections de code. Il signale également toutes les modifications apportées aux fichiers de base de WordPress, les vulnérabilités de sécurité connues et les extensions obsolètes. 

Blocage manuel et blocage par pays

Les plans premium donnent accès à ces fonctionnalités, qui ne font qu’ajouter de la puissance supplémentaire au pare-feu. Avec le blocage manuel, vous pouvez choisir de bloquer des réseaux malveillants entiers ou toute activité humaine ou robotique que vous souhaitez. Avec le blocage par pays, vous pouvez bloquer tout le trafic provenant d’un pays spécifique, ce qui peut être particulièrement utile lors d’une attaque. Gardez à l’esprit que le blocage par pays à long terme n’est pas recommandé à des fins de référencement.

Réparation automatisée des fichiers

Si Wordfence détecte qu’un fichier de base de WordPress a été modifié de façon douteuse, vous pouvez rétablir le fichier à son état d’origine en un clic. Toutefois, il est important de noter que cela est différent de la suppression d’un programme malveillant ou de la réparation d’un site piraté, qui vous coûtera 490 $ de plus de la part de Wordfence.

Facilité d’utilisation :

Même si Wordfence peut être utilisé par des personnes sans connaissance technique, le panneau des réglages peut sembler insurmontable et compliqué. Toutes les fonctionnalités sont répertoriées en même temps et il peut être difficile de comprendre les besoins de votre site. Par défaut, Wordfence envoie également de nombreuses alertes par e-mail, dont beaucoup ne nécessitent aucune réponse du propriétaire du site, et il peut être difficile pour les débutants de comprendre ce qu’ils doivent faire avec chacune.

Assistance et documentation :

Wordfence fournit une assistance gratuite via les forums WordPress et une assistance premium via un système de tickets en ligne. Il dispose également d’une base de données de documentation qui fournit des détails sur la configuration et le dépannage de l’extension.

Tarifs et options du plan :

• Wordfence gratuit inclut gratuitement le pare-feu d’application Web de base, l’analyseur de sécurité et la protection contre les attaques par force brute.
• Wordfence Premium ajoute des fonctionnalités telles que les mises à jour de pare-feu en temps réel, la vérification de listes de blocage IP et le blocage par pays pour 99 $ par an.

Parfait pour : 

Les petits sites Web qui recherchent spécifiquement un pare-feu et qui n’ont pas besoin de protéger des données importantes comme des informations de carte de crédit. Même si Wordfence inclut des fonctionnalités supplémentaires, ce n’est pas l’extension de sécurité WordPress la plus complète de cette liste. Le pare-feu d’application Web est ce qui la distingue.

3. iThemes Security

iThemes Security est une extension freemium qui se concentre davantage sur le renforcement de votre site (ajout de couches de protection) que sur l’identification et la résolution des piratages. Pour ce faire, il utilise des mesures de sécurité telles que la définition d’autorisations de fichiers correctes, l’application de mots de passe forts et la modification des URL de connexion. 

Principales fonctionnalités de iThemes Security :

• Protection contre les attaques par force brute
• Changement de fichier et détection 404
• Sauvegardes de la base de données
• Masquer la page de connexion et d’administration
• Protection renforcée par mot de passe
• Authentification à deux facteurs

Voici plus de détail sur certaines de ces fonctionnalités :

Protection contre les attaques par force brute

Bloque l’accès aux personnes qui tentent de se connecter plusieurs fois mais échouent. Cela empêche les bots de deviner votre combinaison mot de passe/identifiant des milliers de fois en peu de temps.

Sauvegardes de la base de données

Générez automatiquement des sauvegardes de votre base de données, qui vous sont ensuite envoyées par e-mail. Notez que cela inclut uniquement la base de données, aucun de vos fichiers, médias, extensions ou thèmes.

Masquer la page de connexion

Par défaut, tous les sites WordPress utilisent l’URL /wp-admin pour la page de connexion et de tableau de bord. Bien entendu, cela permet aux pirates de trouver très facilement cette page, car c’est toujours la même. Le fait de modifier l’URL, ce que vous pouvez faire avec iThemes Security sans code personnalisé, ajoute une couche de protection supplémentaire.

Facilité d’utilisation :

Comme Wordfence, le tableau de bord des réglages de iThemes peut sembler insurmontable pour les débutants et les utilisateurs non techniques. De nombreux petits réglages peuvent être activés ou désactivés et il est difficile de savoir lesquels conviennent à votre site.

Assistance et documentation :

La version gratuite de iThemes Security est gérée via les forums de WordPress.org. La version premium inclut un système d’assistance par ticket. Une documentation complète est également disponible.

Tarifs et options du plan :

• iThemes Security gratuit inclut gratuitement des mesures de renforcement, des sauvegardes de la base de données, une protection contre les attaques par force brute et une protection contre les modifications de fichiers (entre autres fonctionnalités).
• iThemes Blogger (Premium) ajoute les recherches de programmes malveillants planifiées, l’authentification à deux facteurs et reCAPTCHA (entre autres fonctionnalités) pour 80 $ par an et par site. 

Parfait pour : 

La protection de la connexion et le renforcement du site. Bien qu’il existe une variété d’autres fonctionnalités incluses, de nombreuses autres extensions de sécurité WordPress les gèrent mieux, d’une manière plus facile pour les utilisateurs.

4. Sucuri

Sucuri est une solution de sécurité WordPress basée sur le cloud. Cela signifie qu’elle s’exécute entièrement sur ses propres serveurs, ce qui empêche les vôtres de ralentir. Elle n’a pas été conçue spécifiquement pour WordPress et elle fonctionne avec n’importe quelle plateforme ou système de gestion de contenu. Elle propose des outils de pare-feu d’application Web et de recherche des programmes malveillants, mais son atout majeur réside dans ses services de nettoyage. 

Il est important de noter que Sucuri sépare très clairement ses fonctionnalités gratuites et premium. L’extension gratuite offre la recherche de programmes malveillants et le renforcement de WordPress, tandis que la version premium inclut le pare-feu d’application Web et les services de nettoyage de piratage.

Principales fonctionnalités de Sucuri :

• Recherche de programmes malveillants
• Surveillance de l’état de la liste de blocage
• Pare-feu d’application Web
• Réduction des attaques par déni de service distribué (DDoS)
• Protection contre les attaques par force brute
• Services de nettoyage de site Web

Voyons certaines de ces fonctionnalités de plus près.

Surveillance de l’état de la liste de blocage

Sucuri exécute votre URL via divers services pour voir si vous êtes bloqué. Et, comme les sites bloqués perdent une quantité importante de trafic, cela peut être un énorme avantage.

Réduction des attaques par déni de service distribué (DDoS)

Les attaques DDoS sont des tentatives malveillantes de perturber le trafic d’un serveur en le submergeant d’un flux de faux trafic. Cela empêche essentiellement les visiteurs et les clients normaux et légitimes d’accéder à votre site Web. La fonctionnalité de réduction des attaques DDoS de Sucuri bloque ces attaques.

Services de nettoyage de site Web

L’équipe d’experts de Sucuri est disponible pour réparer et rétablir votre site après un piratage. Elle supprime le code malveillant de vos fichiers et de votre base de données, envoie des demandes de retrait de listes de blocage et répare le contenu indésirable de référencement (comme les injections de liens).

Facilité d’utilisation :

La configuration de la version premium de Sucuri peut être un peu compliquée pour les non-développeurs, car vous devez modifier les réglages DNS de votre domaine pour utiliser les serveurs de Sucuri. La configuration de l’extension WordPress gratuite est beaucoup plus simple et plus facile pour les non-développeurs.

Assistance et documentation :

L’assistance pour la version gratuite est offerte via les forums d’assistance WordPress, tandis que la version premium utilise un système de tickets. Une base de connaissances complète est également disponible pour répondre aux questions courantes.

Tarifs et options du plan :

• Sucuri gratuit inclut gratuitement la recherche de programmes malveillants, la surveillance des listes de blocage et le renforcement de WordPress.
• Sucuri Basic ajoute un pare-feu d’application Web et des services de nettoyage pour 199 $ par an. Cependant, il n’y a pas de temps de réponse de nettoyage garanti et les recherches de programmes malveillants ont lieu toutes les 12 heures.
• Sucuri Pro coûte 299,99 $ par an et inclut toutes les options du plan Basic, mais augmente la fréquence des recherches de programmes malveillants à six heures.
• Sucuri Business augmente la fréquence des recherches de programmes malveillants à toutes les 30 minutes et garantit un temps de réponse aux piratages de six heures. Ces avantages coûtent 499,99 $ par an.

Parfait pour : 

Le renforcement et le nettoyage d’un site Web qui a été piraté. Comme la version gratuite de l’extension ne comporte pas les fonctionnalités essentielles, comme un pare-feu, il est préférable de s’en tenir à la version premium ou de choisir une autre option d’extension.

5. All in One WP Security and Firewall

L’extension All in One WP Security and Firewall est une solution WordPress complète et entièrement gratuite. Elle divise ses fonctionnalités en catégories en fonction de leur niveau de sécurité (et de la probabilité qu’elles puissent casser quelque chose sur votre site), il y en a donc pour tout le monde, quel que soit le niveau de compétence. 

Cependant, toutes les fonctionnalités sont axées sur la protection de votre site contre les piratages plutôt que sur la recherche de programmes malveillants et le nettoyage d’un site piraté.

Principales fonctionnalités de All in One WP Security and Firewall :

• Renforcement du compte utilisateur
• Sécurité de la page de connexion
• Sauvegardes de la base de données
• Sécurité du système de fichiers
• Fonctionnalité de liste noire
• Pare-feu
• Analyseur de sécurité
• Protection contre les attaques par force brute

Voici quelques informations supplémentaires sur certaines de ces fonctionnalités :

Sécurité de la page de connexion

L’extension bloque les utilisateurs après un certain nombre de tentatives de connexion, force la déconnexion après une période définie, ajoute un reCAPTCHA à la page de connexion et enregistre chaque connexion et déconnexion. Cela permet de protéger votre site contre les pirates et les bots.

Sécurité du système de fichiers

All in One WP Security and Firewall recherche dans vos fichiers et dossiers les problèmes d’autorisations et vous permet de les résoudre en un seul clic. Il vous permet également d’empêcher les pirates et les bots de voir les fichiers facilement compromis (comme readme.html, license.txt) et désactive l’édition de fichiers.

Analyseur de sécurité

L’analyseur de sécurité recherche les modifications apportées à vos fichiers en les comparant aux fichiers de base de WordPress par défaut. Notez que cela ne résout pas les problèmes pour vous ni ne recherche les programmes malveillants.

Facilité d’utilisation :

Comme les fonctionnalités sont divisées par niveau de sécurité, en séparant celles qui pourraient casser votre site de celles qui ne le pourraient pas, c’est une extension facile à utiliser pour les débutants. Elle dispose également d’un indicateur de niveau de sécurité qui vous donne un aperçu rapide de votre position à tout moment.

Assistance et documentation :

L’assistance est disponible uniquement via les forums WordPress.org et la documentation se limite à quelques fonctionnalités.

Tarifs et options du plan :

Il n’existe qu’une seule version de cette extension, la version gratuite, qui comporte toutes les fonctionnalités.

Parfait pour : 

Les débutants et les sites Web de base. La prise en main est facile et relativement rapide sans casser votre site. Mais, comme il n’existe pas de version premium de cette extension, il lui manque des fonctionnalités précieuses comme la recherche et la suppression des programmes malveillants. Cela pourrait être une bonne solution pour les blogs de loisirs qui ne veulent pas investir beaucoup dans la sécurité de leur site Web.

6. Defender Pro

Defender Pro a été créé par WPMU DEV, une société de développement WordPress qui crée des solutions pour tout, de la sécurité et des abonnements aux quiz et aux analyses. Il peut être acheté séparément ou dans le cadre d’une suite d’outils de site Web.

Principales fonctionnalités de Defender Pro :

• Analyse de sécurité
• Protection des connexions
• Authentification à deux facteurs
• Surveillance des listes de blocage
• Restauration et réparation des fichiers modifiés

Facilité d’utilisation :

Defender Pro comporte un assistant de configuration facile à utiliser, idéal pour les débutants.

Assistance et documentation :

WPMU Dev offre une assistance par live chat, ainsi que des forums, des e-mails et une documentation détaillée.

Tarifs et options du plan :

• Defender Pro Only coûte 60 $ par an pour les fonctionnalités indiquées ci-dessus.
• Security & Backups Pack ajoute des produits supplémentaires, comme des outils de sauvegarde et de migration, pour 90 $ par an.
• L’abonnement WPMU Dev est la suite complète d’outils (avec les abonnements, les analyses, etc.) et coûte 190 $ par an.

Parfait pour : 

Les sites qui veulent acheter la suite complète d’outils plutôt que simplement la sécurité. Même si Defender Pro est une option de sécurité correcte, il lui manque des fonctionnalités clés, comme un pare-feu et la protection contre le contenu indésirable. Cependant, lorsqu’il est inclus avec la suite complète d’outils WPMU Dev, c’est un super bonus. 

7. Bulletproof Security

Bulletproof Security est une extension WordPress freemium destinée spécifiquement aux développeurs. Elle est complète et permet de nombreuses modifications du back-end, mais elle est difficile à utiliser pour les débutants.

Principales fonctionnalités de Bulletproof Security :

• Scanner de programmes malveillants
• Dossiers d’extension cachés
• Sécurité et surveillance de la connexion
• Déconnexion de la session inactive
• Expiration du cookie d’authentification
• Journaux de sécurité
• Diverses autres fonctionnalités de sécurité avancées

Facilité d’utilisation :

Encore une fois, cette extension n’est pas conçue pour les débutants. Bien qu’elle fournisse un assistant de configuration, la modification des réglages est très compliquée et peut casser votre site. 

Assistance et documentation :

L’assistance pour l’extension gratuite est fournie via les forums WordPress.org. L’assistance premium est fournie via un forum d’assistance spécial. Une documentation limitée et des didacticiels vidéo sont disponibles.  

Tarifs et options du plan :

• BulletProof Security gratuit propose bon nombre des fonctionnalités répertoriées ci-dessus sans frais supplémentaires.
• BulletProof Security Pro inclut des installations illimitées et des fonctionnalités avancées (comme les sauvegardes et la surveillance de la base de données, un pare-feu d’extension et la restauration automatique des fichiers du site Web) pour 69,95 $.

Parfait pour : 

Les développeurs et les utilisateurs avancés qui veulent personnaliser eux-mêmes tous les aspects de la sécurité de leur site Web.

8. Security Ninja

Bien que Security Ninja soit une solution de sécurité relativement complète, son atout majeur réside dans les plus de 50 contrôles de sécurité intégrés. Ces tests couvrent tout, des thèmes et extensions à jour aux versions WordPress, en passant par l’accessibilité des fichiers et les préfixes des tables de base de données. 

Principales fonctionnalités de Security Ninja :

• Pare-feu d’application Web
• Recherche de programmes malveillants
• Protection du formulaire de connexion
• Recherche des vulnérabilités de l’extension
• Journalisation des événements

Facilité d’utilisation :

Cette extension est relativement facile à utiliser, mais nécessite quelques actions de votre part. Elle ne résout pas automatiquement les problèmes qu’elle trouve. Au lieu de cela, vous êtes entièrement responsable de votre site et de la résolution des problèmes de sécurité. Bien entendu, cela peut être un avantage pour les personnes qui savent ce qu’elles font, mais peut aussi être difficile pour les débutants. Notez, toutefois, que la version Pro résout automatiquement une trentaine de problèmes.

Assistance et documentation :

L’assistance pour la version gratuite est fournie via les forums WordPress.org, tandis que la version Pro inclut un système d’assistance par ticket. Une documentation détaillée est disponible.

Tarifs et options du plan :

• Security Ninja gratuit inclut gratuitement les plus de 50 contrôles de sécurité mentionnés ci-dessus.
• Security Ninja Starter ajoute un pare-feu, un scanner de programmes malveillants, un réparateur automatique, etc. pour 49 $ par an pour un site. Si vous souhaitez couvrir plusieurs sites, vous pouvez acheter le plan Plus (trois sites) pour 129 $ par an ou le plan Pro (cinq sites) pour 199 $ par an. Chaque plan a également l’option d’une licence à vie à un coût supérieur. 

Parfait pour : 

Les sites qui souhaitent une image très claire de leur position, ainsi que ceux qui ont au moins un niveau moyen de connaissances de WordPress et de la sécurité.

9. SecuPress

SecuPress regroupe de nombreuses fonctionnalités de sécurité dans une seule extension sans mettre trop de pression sur votre site. Les versions gratuite et premium sont faciles à utiliser pour les personnes de tous niveaux de compétence. L’une des meilleures fonctionnalités est le rapport de sécurité, qui vous permet de savoir où en est votre site et fournit des recommandations claires d’amélioration.

Principales fonctionnalités de SecuPress :

• Analyseur de santé du site
• Limitation des tentatives de connexion
• Fonctionnalités de renforcement WordPress
• Authentification à deux facteurs
• Recherche de programmes malveillants
• Sauvegardes de la base de données et des fichiers

Facilité d’utilisation :

SecuPress a une interface simple et facile à utiliser pour les propriétaires de sites de tous niveaux de compétence. Il classe les fonctionnalités selon leur objectif et explique ce que chacune fait sur le site.

Assistance et documentation :

La version gratuite inclut une assistance via les forums WordPress, tandis que la version premium utilise un système de tickets. 

Tarifs et options du plan :

• SecuPress gratuit inclut gratuitement l’analyseur de santé, de nombreuses fonctionnalités de renforcement et la limitation des tentatives de connexion (entre autres).
• SecuPress Pro ajoute l’authentification à deux facteurs, la recherche de programmes malveillants et les sauvegardes, entre autres fonctionnalités avancées, pour 69,99 $ par an.

Parfait pour : 

Les petites entreprises, en particulier celles qui peuvent investir dans une extension de sécurité WordPress. Comme la version gratuite n’inclut pas les fonctionnalités les plus précieuses, telles que la recherche de programmes malveillants, il est recommandé d’acheter la version premium.

10. Astra Security

Astra Security est un outil de sécurité premium uniquement, qui se décrit comme une « suite de sécurité tout-en-un pour une protection complète, sans les tracas ». Il est important de noter que, bien qu’il protège les sites WordPress, il n’a pas été conçu spécifiquement pour WordPress et fonctionne avec tout type de site. Comme il n’est pas axé sur WordPress, vous risquez de passer à côté de fonctionnalités précieuses spécifiques à la plateforme.

Principales fonctionnalités d’Astra Security :

• Pare-feu de site
• Recherche et nettoyage des programmes malveillants
• Surveillance des listes de blocage
• Protection contre les bots malveillants
• Blocage par adresse IP et par pays

Facilité d’utilisation :

Astra Security est facile à installer et relativement facile à configurer. L’équipe d’assistance premium est également à votre disposition.

Assistance et documentation :

Le niveau d’assistance que vous obtenez dépend du plan que vous achetez. L’assistance est fournie via un live chat 24 h/24 et 7 j/7. De plus, une documentation et une base de connaissances sont disponibles pour vous aider à vous lancer.

Tarifs et options du plan :

• Le plan pro inclut un pare-feu, le nettoyage des programmes malveillants dans les 12 heures, un scanner de programmes malveillants, la protection contre les bots malveillants et une assistance bronze (entre autres fonctionnalités) pour 228 $ par an.
• Le plan avancé ajoute plus de 300 tests de sécurité, le nettoyage des programmes malveillants dans les 8 heures, la protection contre le contenu indésirable et une assistance argent (entre autres fonctionnalités) pour 468 $ par an.
• Le plan business ajoute le nettoyage des programmes malveillants dans les 6 heures, plus de 500 tests de sécurité et une assistance or (entre autres fonctionnalités) pour 1 428 $ par an. 

Parfait pour : 

Les grandes entreprises, en particulier celles qui ont plusieurs sites sur différentes plateformes. Comme il s’agit d’une option plus coûteuse et qu’elle n’a pas été conçue spécifiquement pour WordPress, ce n’est probablement pas le meilleur choix pour la majorité des blogs et des entreprises WordPress. 

11. WPScan

WPScan est une extension freemium à fonctionnalité unique, qui se concentre spécifiquement sur le test de la sécurité de votre site. Bien qu’il s’agisse de la seule extension à fonctionnalité unique de cette liste, elle y figure car elle excelle dans ce qu’elle fait et offre quelque chose que la plupart des autres extensions n’ont pas. Elle contient une grande base de données de vulnérabilités qu’elle référence lors de l’analyse.

Principales fonctionnalités de WPScan :

• Analyse plus de 21 000 vulnérabilités de sécurité connues dans WordPress, les extensions et les thèmes
• Vérifie les fichiers debug.log, les fichiers de sauvegarde wp-config.php et les fichiers de base de données exportés qui pourraient poser des risques de sécurité
• Recherche les mots de passe faibles
• Vérifie si XML-RPC et des clés secrètes par défaut sont activés ou utilisés

Facilité d’utilisation :

L’extension est très facile à installer. Les seules actions que vous devez effectuer sont vous inscrire pour une clé API sur leur site Web, ajouter cette clé à l’extension installée et choisir parmi des réglages très basiques.

Assistance et documentation :

L’assistance est fournie via les forums WordPress et des instructions de base sont disponibles.

Tarifs et options du plan :

Les tarifs sont basés sur le nombre de requêtes API dont vous avez besoin par jour. WPScan fait une requête API pour le noyau WordPress, une pour chaque thème installé et une pour chaque extension que vous utilisez. Ainsi, si vous avez dix extensions installées et un thème, cela représente 12 requêtes API par jour.

• Le plan gratuit comprend 25 requêtes API. Cela convient à la grande majorité des sites.
• Le plan Starter comprend 75 requêtes API et coûte 5 € par mois.
• Le plan Professional comprend 300 requêtes API et coûte 25 € par mois.

Parfait pour : 

Tout site souhaitant surveiller les vulnérabilités de sécurité et n’utilisant pas d’extension de sécurité comportant cette fonctionnalité. Toutefois, il est important de noter qu’il ne s’agit pas d’un package de sécurité complet et qu’il doit être utilisé en plus d’autre chose.

12. Shield Security

Shield Security utilise une stratégie simple : commencer par la prévention, puis fournir un correctif si jamais le site est piraté. Et comme les bots sont responsables de la majorité des problèmes de sécurité, Shield Security est conçu spécialement pour les empêcher d’accéder à votre site. Il offre également une fonctionnalité qui protège les extensions WordPress courantes telles que Yoast, Gravity Forms, Advanced Custom Fields, Contact Form 7 et Elementor.

Principales fonctionnalités de Shield Security :

• Moteur de détection anti-bot
• Scanner de programmes malveillants et de vulnérabilité
• Détection du contenu indésirable
• Authentification à deux facteurs
• Pare-feu d’application Web

Facilité d’utilisation :

Sa prise en main est relativement simple, mais il fournit beaucoup d’informations et de réglages pouvant sembler insurmontables pour les débutants.

Assistance et documentation :

Une assistance gratuite est fournie via les forums WordPress.org. L’assistance premium est offerte via un système de tickets. Il existe également une documentation complète et des cours en ligne.

Tarifs et options du plan :

• ShieldFREE inclut gratuitement la détection de bots, l’authentification à deux facteurs et un pare-feu (entre autres fonctionnalités).
• ShieldPRO ajoute un scanner de programmes malveillants, un scanner de vulnérabilité et une protection contre le contenu indésirable (entre autres fonctionnalités) pour 79 $ par an.

Parfait pour : 

Les propriétaires de sites Web ayant une compréhension modérée de la sécurité, qui peuvent investir de l’argent dans une extension premium. Comme la version gratuite n’inclut pas de scanner de programmes malveillants, il est préférable d’acheter la version pro.

Conclusion finale : quelle est la meilleure extension de sécurité WordPress ? 

Bien que WordPress soit très sûr, il est toujours judicieux d’ajouter une protection supplémentaire pour sécuriser votre travail et les informations des visiteurs. Les sites de n’importe quelle taille peuvent être pris pour cibles, mais l’importance d’une sécurité supplémentaire augmente avec la popularité et le volume de contenu d’un site. 

Le moyen le plus simple de renforcer la sécurité consiste à utiliser une extension fiable. Mais choisir la meilleure extension de sécurité WordPress pour votre site peut être délicat, car il existe plein d’options différentes ! Les propriétaires de sites doivent tenir compte des fonctionnalités de prévention et de nettoyage disponibles, ainsi que du prix et des connaissances techniques requises. 

Soutenu avec une équipe d’experts WordPress, Jetpack est le premier choix pour la sécurité des sites Web WordPress. Il allie des fonctionnalités robustes de prévention et de résolution à des coûts raisonnables, une installation facile et une assistance supérieure. 

Si vous recherchez simplement un outil d’analyse de sécurité et que vous ne souhaitez pas toutes les autres fonctionnalités, WPScan est un excellent choix. Non seulement il est entièrement gratuit, mais il excelle également dans l’identification des vulnérabilités de sécurité pour vous aider à renforcer et à verrouiller votre site WordPress.

Si vous êtes un développeur à la recherche d’une option personnalisable avancée, vous pouvez envisager BulletProof Security. Il vous permet de modifier à peu près tout dans le back-end afin que vous puissiez fournir des fonctionnalités de sécurité complètes et uniques pour tous vos sites clients.

Questions fréquemment posées sur la sécurité de WordPress

Les extensions WordPress peuvent-elles contenir des virus ?

Oui, les extensions WordPress dangereuses peuvent contenir des virus. Comme WordPress est open source, n’importe qui peut modifier et utiliser son code pour créer de nouvelles extensions. C’est incroyablement bénéfique car cela signifie qu’il existe une solution pour presque tous les besoins, mais également que les développeurs peu recommandables peuvent tirer parti du système.

Vous devez simplement effectuer une petite vérification préalable lorsque vous choisissez des extensions. Installez-les toujours à partir de sources fiables (comme le répertoire WordPress.org) et consultez les avis pour voir si des problèmes ont été signalés. Et plus important encore, n’installez jamais de versions gratuites d’extensions premium. Elles contiennent souvent de nombreux programmes malveillants et de vulnérabilités. 

WordPress peut-il être piraté ?

Oui, WordPress, comme tous les autres systèmes de gestion de contenu, peut être piraté. Mais la majorité des piratages ont lieu grâce à des méthodes totalement évitables. Si vous mettez en place quelques bonnes pratiques, comme choisir un hébergeur de haute qualité, définir des mots de passe sécurisés, mettre à jour vos logiciels et installer une extension de sécurité WordPress, il n’y a aucune raison pour que votre site soit plus vulnérable qu’un autre. 

Quels types de sites sont les plus susceptibles d’être piratés ?

Bien qu’on puisse penser que les pirates ne ciblent que les sites Web avec beaucoup de trafic, ce n’est pas vraiment le cas. En réalité, les petites entreprises et les blogs sont tout aussi susceptibles d’être attaqués, mais ont souvent moins de mesures de sécurité en place.

La majorité des pirates ne ciblent pas de sites spécifiques. Au lieu de cela, ils utilisent des bots automatisés pour naviguer sur le Web à la recherche d’opportunités faciles. Et les bots automatisés ne font pas de discrimination.

Mon site Web a-t-il besoin d’un pare-feu ?

Un bon pare-feu est recommandé pour tout site Web, car il agit comme un bouclier entre votre site et le trafic entrant. Un pare-feu doit être inclus avec tout plan d’hébergement que vous choisissez (cela protège votre site au niveau du serveur), mais vous devez également installer un pare-feu d’application Web pour sécuriser votre site contre les attaques spécifiques aux systèmes de gestion de contenu.

Considérez le pare-feu comme un garde posté à la porte de votre site Web. Il surveille chaque visiteur et bot qui passe, identifie les personnages suspects (comme les adresses IP incorrectes, les botnets et le trafic vers des pages masquées) et les bloque avant même qu’ils aient une chance d’attaquer. Le meilleur moyen d’ajouter un pare-feu à votre site WordPress consiste à utiliser une extension.

WordPress est-il sécurisé pour les sites Web de eCommerce ?

En ce qui concerne la sécurité de WooCommerce, il est logique d’être vigilant. Après tout, il est de votre responsabilité de protéger les données de vos clients, ainsi que les fichiers et la base de données de votre site. Cependant, WordPress est un excellent choix sécurisé pour une boutique en ligne.

En tant que système de gestion de contenu le plus populaire, il peut être une cible pour les pirates. Toutefois, il contient énormément de mesures de sécurité intégrées qui assureront la sécurité de votre site. Et avec quelques bonnes pratiques en place (comme des mots de passe forts, un hébergeur de qualité, une excellente extension de sécurité WordPress), vous êtes paré pour le succès. 

Comment vérifier ma sécurité WordPress ?

Pour commencer au mieux, vous avez besoin d’un outil de recherche des programmes malveillants. Il analysera votre site Web à la recherche de code suspect et vous alertera s’il trouve quelque chose. De plus, certains outils corrigent automatiquement les problèmes qu’ils trouvent.

Voici d’autres moyens de vérifier votre sécurité WordPress :

• Assurez-vous que votre certificat SSL fonctionne. Un certificat SSL protège les données transmises sur votre site, comme les informations de paiement et de contact. Pour vérifier que le vôtre fonctionne, recherchez simplement l’icône de cadenas à côté de votre URL dans votre navigateur.
• Surveillez les temps d’arrêt. Si votre site tombe en panne, cela peut être le signe d’un piratage. Installez un outil automatisé qui vous alerte si votre site Web est inaccessible afin que vous puissiez corriger le problème immédiatement.
• Vérifiez qu’il n’y a pas d’avertissement de sécurité du navigateur. Si votre site a été piraté, les navigateurs comme Google Chrome et Safari affichent un avertissement de sécurité lorsque vous saisissez votre URL. Pour obtenir des résultats plus précis, vous pouvez visiter votre site Web dans une fenêtre incognito ou privée.
• Consultez les notifications dans Google Search Console. Si vous avez un compte Google Search Console, vous pouvez rapidement accéder au Rapport sur les problèmes de sécurité, qui vous indique si votre site a été piraté ou s’il suit des pratiques non sécurisées.
• Suivez les bonnes pratiques de sécurité. La meilleure façon de s’assurer que votre site WordPress est sécurisé consiste à mettre en place de bonnes mesures de sécurité. Prenez les mesures appropriées pour renforcer votre site (en suivant un guide d’une source fiable comme Jetpack) et vous serez sûr de pouvoir tenir tête aux pirates. 

---