Tout CMS gratuit tel WordPress, Joomla ou autre, doit être sécurisé car les failles sont rendues publiques et les pirates les exploitent pour tenter de pirater les sites Web. Il est très important de sécuriser votre site WordPress et faire les mises à jour régulièrement pour éviter les failles. Certaines extensions de sécurité WordPress vous envoient des notifications concernant les mises à jour et d’autre une infolettre avec les failles recenser.
Cet article n’est pas un tutoriel de configuration, c’est une liste des extensions de sécurité WordPress incontournables pour sécuriser votre site Web.
Sans plus attendre, voici ma liste des 8 extensions de sécurité WordPress incontournables :
Sucuri Security est une extension gratuite avec une version payante. Elle vous protège votre site contre les attaques et les logiciels malveillants (malwares). Sucuri envoie des courriels de notifications si un changement survient, si une connexion survient et plusieurs autres types de notification. Par exemple, il y a une notification courriel si un changement survient dans un article de blogue ou une page comme un ajout d’image par exemple.
Il y a une option pour surveiller si des fichiers de WordPress sont modifiés en comparant les fichiers actuellement sur le site et les fichiers originaux de WordPress (cela peut réduire les performances du site).
Elle contient une option pour générer de nouvelles clés de sécurité qui cryptent les informations des cookies et quelques autres informations. Ces clés sont dans le fichier wp-config.php et sont créées lors de l’installation de WordPress.
L’option du pare-feu (firewall) est disponible que dans la version payante.
Pour savoir comment l’installer et la configurer, lisez l’article de mon collègue Davyd : Sucuri Security : comment configurer l’extension sur un site WordPress?
Cette extension aussi a une version gratuite et une version dite « Pro » payante. Elle comporte plusieurs modules que vous pouvez activer ou désactiver en un clic et comme Sucuri, il y a une section de notifications via courriel. Cette extension possède une infolettre des extensions vulnérable à laquelle vous pouvez vous inscrire. Voici quelques modules de l’extension qui pourraient bien vous être utile :
Ce module permet de bloquer les utilisateurs qui tentent de voir des pages ou des fichiers qui n’existent pas.
Ce module vous permettra de rendre inaccessible le panneau de contrôle administratif de votre site pour une période données. Cette fonction peut être utile si vous utilisez rarement l’administration de votre site Web.
Ce module permet de surveiller les changements aux fichiers de WordPress. Cela peut réduire les performances de votre site Web, mais le rendra plus sécuritaire.
Ici vous pourrez vérifier les permissions sur vos dossiers et fichiers et il vous sera indiqué si un dossier ou fichier n’a pas les bonnes permissions.
Comme le nom l’indique ces deux modules vous protègent contre les attaques par force brute (brute force attacks).
Ce module force les utilisateurs à avoir un mot de passe long et complexe pour que ce soit plus compliqué de deviner pour un pirate.
Ce module permet de changer le nom du dossier wp-content pour un autre nom.
Ce module permet de changer les préfixes des tables de la base de données et la variable du préfixe dans le fichier wp-config.php.
Il y a encore plusieurs modules que vous pouvez activer ou désactiver selon vos besoins. Certains sont disponibles que dans la version payante.
Télécharger Wordfence Security
Cette extension aussi a une version gratuite et une version dite « Premium » payante. Wordfence comporte un pare-feu que Sucuri et iTheme Security n’offrent pas avec leur version gratuite. Il comporte un scan de malware comme Sucuri. Il permet de masquer la version de WordPress chose que iTheme et Sucuri ne font pas. Sinon les options sont similaires (brute-force, scan de malware et notifications courriel).
L’extension Jetpack est une extension complète dite « couteau suisse » avec de multiples modules marketing, performance et sécurité. Avec Jetpack, il y a certaines options qui viennent avec la version gratuite et d’autres qu’avec la version payante. Pour pouvoir installer cette extension, vous devez avoir un compte wordpress.com, car Jetpack leur appartienté Pour les sites Web créé avec wordpresss.com, l’extension vient avec le compte.
* Précisions concernant :
1- Sucuri Security
2- iThemes Security
3- Wordfence Security
4- Jetpack
Vous devriez installer qu’une de ces extensions à la fois car elles pourraient entrer en conflits les unes avec les autres.
Cette extension permet de modifier l’URL administrateur par défaut de WordPress /wp-admin pour rendre la page de connexion moins accessible à des personnes malveillantes, ce qui peut être très pratique. L’URL par défaut avec cette extension est /login et vous pouvez la modifier pour ce que vous voulez dans les paramètres généraux de WordPress. Conseil : évitez de mettre /admin comme URL.
Cette extension est de la même compagnie WPS Hide Login. Elle bloque l’adresse IP après quelque tentative échouée. Très pratique si votre hébergeur Web n’offre pas de protection contre les attaques force brute.
Télécharger reCaptcha by BestWebSoft
Comme le nom le dit, c’est une extension pour ajouter un CATPCHA pour les formulaires de contact et de commentaires, plus particulièrement le reCAPTCHA de Google. Cette extension protègera WordPress contre les robots qui envoient du spam depuis les formulaires de votre site.
C’est une extension qui est disponible sous forme gratuite et payante. La version payante permet d’ajouter le CAPTCHA sur des formulaires d’extensions non inclus comme Contact Form 7 et autres.
Télécharger miniOrange 2 Factor Authentication
Comme le nom l’indique, cette extension est pour une authentification en 2 étapes. Il en existe plusieurs autres de plusieurs développeurs différents. Elle offre plusieurs moyens de vérification avec sa version gratuite, mais la version gratuite est uniquement pour les rôles administrateur. Pour les autres rôles, il vous faudra la version payante.
Vous pouvez jumeler plusieurs extensions en autant qu’elles ne rentent pas en conflit entre elles ou avec d’autres extensions. Pour savoir plus sur comment sécuriser votre site WordPress lisez l’article de mon collègue Josué : Comment sécuriser mon site WordPress ?
Besoin d’aide pour mettre en place ces extensions? Nous pouvons vous aider! Contactez notre équipe pour un estimé.
Obtenez nos six guides WordPress gratuitement en vous inscrivant à notre infolettre!
WordPress est si répandu que de nombreux pirates informatique le cible régulièrement. D’où l’importance de sécuriser votre site.
Le certificat de sécurité SSL permet le chiffrement des communications avec votre site Web et les appareils des internautes.
La Google Search Console est un service de Google permettant d’obtenir des données et des diagnostics quant à votre site Web.
Bienvenue dans l’univers fascinant des DNS! Cet article est conçu pour vous, afin de rendre le concept des DNS aussi clair que l’eau de roche.
