Menu Fermer

8 extensions de sécurité pour protéger WordPress

WordPress étant un CMS très populaire, il est la cible des pirates et hackers.
Cela permet de contrôler votre site internet à distance mais aussi de voler des données.
Pour sécuriser WordPress, on peut installer des extensions de sécurité.
Généralement elle effectue des opérations d’audit de sécurité, scanner malveillant pour détecter les web shells et backdoor et durcisse sécurité WordPress.
Parfois elle apporte un WAF pour bloquer des IP et protéger contre les attaques bruteforce.

Dans ce tutoriel, je vous propose une sélection des 8 meilleurs extensions de sécurité pour protéger WordPress.

8 extensions de sécurité pour protéger WordPress

8 extensions de sécurité pour protéger WordPress

WordFence

WordFence est une extension de sécurité gratuite très complète.
Elle offre notamment les fonctionnalités suivantes :

  • Le pare-feu d’application Web identifie et bloque le trafic malveillant
  • Bloquer les attaques par bruteforce pour éviter les piratages
  • Protéger l’accès à la partie administration avec une double authentification ou 2FA
  • Vérifier l’intégrité de WordPress avec un scanner malveillant. Il détecte le code malveillant (Backdoor PHP, web shells, …) et peut réparer et restaurer des fichiers WordPress corrompus
  • Vérifier votre site pour connaître les vulnérabilités de sécurité connues et vous alerte dans des problèmes
  • Vérifier la sécurité de votre contenu en numérisant le contenu du fichier, les messages et les commentaires pour les URL dangereuses et le contenu suspect
  • Peut mitiger les attaques DoS (assez réduites)

Elle détecte la plupart des webshells présents ainsi que les modifications malveillantes du Core WordPress.

WordFence : une extension de sécurité

Le site propose un tutoriel complet :

iThemes Security

Voici une autre extension de sécurité pour WordPress très populaire.
Elle est assez complète.

Voici les fonctionnalités présentes dans la version gratuite :

  • Détecte les bots et d’autres tentatives de recherche de vulnérabilités
  • Moniteurs Système de fichiers pour des modifications non autorisées
  • Exécutez une analyse pour les logiciels malveillants et les noueuses sur la page d’accueil de votre site
  • Recevez des notifications par e-mail lorsque quelqu’un est verrouillé après trop de tentatives de connexion infructueuses ou lorsqu’un fichier sur votre site a été modifié

La version payante ajoute ces fonctions :

  • Authentification à deux facteurs – Utilisez une application mobile telle que Google Authenticator ou Authy pour générer un code ou avoir un code généré par courrier électronique.
  • Clés de Sécurité Sel WordPress – L’Extension iThemes Security facilite La Mise à Jour de Vos Clé Sel WordPress.
  • Scan Anti-Malware avec une planification – Faites une analyse de votre site contre les logiciels malveillants automatiquement chaque jour. Si un problème est trouvé, un email est envoyé avec les détails.
  • Sécurité par mot de passe – Générez des mots de passe Passe forts
  • Expiration du mot de passe – Définissez un mot de passe maximum et des utilisateurs de force pour choisir un nouveau mot de passe. Vous pouvez également forcer tous les utilisateurs à choisir immédiatement un nouveau mot de passe (si nécessaire).
  • Google Recaptcha – Protégez votre site contre les spammeurs.
  • Journalisation des actions de l’utilisateur – Suivez les utilisateurs Modifier le contenu, la connexion ou la déconnexion.
  • Paramètres d’importation / d’exportation – Enregistre le temps de configurer plusieurs sites WordPress.
  • Widget de tableau de bord – Gérez des tâches importantes telles que l’interdiction des utilisateurs et les analyses du système à partir du tableau de bord WordPress.
  • Comparaison de fichiers en ligne – Lorsqu’un changement de fichier est détecté, il analyse l’origine des fichiers pour déterminer si le changement était malveillant ou non. Ne travaille actuellement que dans WordPress Core, mais les plugins et les thèmes arrivent.
  • WP-CLI Integration – Gérez la sécurité de votre site à partir de la ligne de commande.
iThemes Security : extension de sécurité pour WordPress

Un contrôle de sécurité est aussi possible pour renforcer la sécurité de votre installation WordPress :

  • Empêche les attaques de la force brute en interdisant les hôtes et les utilisateurs avec trop de tentatives de connexion non valides
  • Scanne votre site pour signaler instantanément lorsque les vulnérabilités existent et les corrigent en quelques secondes
  • Bans des agents d’utilisateur gênants, des bots et d’autres hôtes
  • Applique des mots de passe forts pour tous les comptes d’un rôle minimal configurable
  • Force SSL pour les pages d’administration (sur les serveurs de support)
  • Désactive l’édition de fichier à partir de WordPress Admin Zone
iThemes Security : extension de sécurité pour WordPress

Pas de scan Anti-Malware dans la version gratuite.
Ainsi, l’analyse d’altération de fichiers n’a pas détecté la modification du Core WordPress, ni la présence des backdoor PHP car ils étaient présents avant.

iThemes Security : extension de sécurité pour WordPress

All In One WP Security & Firewall

All In One WP Security & Firewall est une autre extension de sécurité tout en un pour améliorer la sécurité de votre site WordPress.
Elle ne ralentit pas votre site et il est 100% gratuit.

Voici les principales apports de cette extension de sécurité.

  • Sécurité des comptes d’utilisateurs : détecte de compte utilisateur faible, protège contre les attaques par brute-force
  • Protéger la connexion à WordPress : ajoute un CAPTCHA, la possibilité de liste blanche sur les adresses IP, voir les utilisateurs connectés
  • Planifier des sauvegardes
  • Protège WordPress :
    • des injections de codes, sauvegardez facilement vos fichiers d’origine .htaccess et wp-config.php au cas où vous auriez besoin de les utiliser pour restaurer la fonctionnalité cassée.
    • identifiez les fichiers ou les dossiers qui ont des paramètres d’autorisation qui ne sont pas sécurisé
  • Scan Anti-Malware pour détecter les backdoor, web shells
  • Activez instantanément une sélection de paramètres de pare-feu allant de basiques, intermédiaires et avancés
  • Activer la célèbre «liste noire 6g» Règles de pare-feu de pare-feu avec la courtoisie de presse périssable
  • Interdire les commentaires du proxy poster
  • Bloquer l’accès au fichier journal de débogage
  • Nier des cordes de requête mauvaises ou malveillantes
  • Protéger contre les scripts de sites croisés (XSS) en activant le filtre complet de chaîne de caractères avancé ou des bots malveillants qui n’ont pas de cookie spécial dans leur navigateur. Vous saurez à définir ce cookie spécial et à vous connecter à votre site
  • Fonction de protection de vulnérabilité de WordPress Pingback. Cette fonctionnalité de pare-feu permet à l’utilisateur d’interdire l’accès au fichier XMLRPC.PHP afin de protéger certaines vulnérabilités dans la fonctionnalité Pingback

Voici le menu de WP Sécurité qui est assez impressionnant la plaçant parmi les plus complètes.
On peut alors activer certaines protections une à une. A chaque fois un score de sécurité est indiqué selon vos réglages du site.

Les menus de All In One WP Security & Firewall pour WordPress

Un tableau de bord est aussi fournit avec la répartitions des points de sécurité à vérifier.

Tableau de bord de All In One WP Security & Firewall

Sucuri Security

Sucuri est une société de sécurité informatique spécialisé dans la désinfection de site WordPress.
Elle fournit aussi un CDN pour protéger votre site WordPress et améliorer la vitesse de chargement des pages.

L’extension est très minimaliste pour proposer des fonctions d’audit, scanner malveillant et durcissement de la sécurité.
On peut donc très facilement vérifier l’intégrité de WordPress.

  • Website Firewall Protection : activer si vous avez souscrit à ce dernier et configuré l’API d’accès dans les paramètres.
  • Vérifie la version de WordPress pour s’assurer qu’il soit à jour et ainsi combler les vulnérabilités potentielles.
  • Vérifie la version de PHP du serveur afin de s’assurer que la version installée ne comporte pas de vulnérabilités potentielles.
  • Bloquer certains fichiers PHP dans des dossier sensibles, attention cela peut générer des problèmes. L’extension prévoit une liste blanche.
  • Protéger contre la récupération d’information comme la version de WordPress ce qui rend le piratage plus difficile (offuscation)
  • Interdit le mot de passe admin par défaut
  • Bloque l’éditeur d’extension et thèmes dans le cas où un piratage a accès au panneau d’administration pour modifier le site.

De plus, c’est une des seules extensions avec Wordfence à avoir détecté l’intégralité des anomalies et scripts malveillants.

Sucuri Security audit, scanner malveillant et durcissement de la sécurité.

Très efficace donc pour détecter les web shells, backdoor.

Sécurité Anti-Malware et Pare-feu anti attaque par force brute

Voici une extension de sécurité assez simple d’utilisation pour détecter les webshells.
La version gratuite propose les fonctionnalités suivantes :

  • Télécharge les mises à jour des définitions pour vous protéger contre les nouvelles menaces.
  • Exécutez une analyse complète pour supprimer automatiquement les menaces de sécurité connues, les scripts de porte-stores et les injections de base de données
  • Le Firewall empêche SoakSoak et d’autres malwares d’exploiter les vulnérabilités connues de Revolution Slider et d’autres extensions.
  • Améliore les versions vulnérables des scripts timthumb

La version Premium apporte ces fonctionnalités :

  • Corrige votre fichier wp-login et XLMRPC pour bloquer les attaques par force brute et déni de service.
  • Vérifie l’intégrité des fichiers du noyau WordPress.
  • Télécharge automatiquement des nouvelles définitions lorsque vous lancez un scan complet.

La détection Anti-Malware pointe quelques web shells et Backdoor PHP en suspicieux mais ne les détectent pas comme complètement malveillantes.

Sécurité Anti-Malware et Pare-feu anti attaque par force brute pour WordPress

Cela peut aiguiller pour trouver des malwares mais d’autres extensions sont beaucoup plus efficaces.

SecuPress

SecuPress est une extension de sécurité très agréable pour analyser les points faibles de votre sécurité WordPress.
L’analyse effectue les opérations suivantes :

  • Comptes & Connexion : Protéger vos comptes utilisateurs
  • Extensions & Thèmes : Surveiller les de près
  • Optimiser le core WordPress
  • Sécuriser vos données données sensibles
  • Scanner antivirus : Détecter les logiciels malveillants
  • Pare-feu : Bloquer les requêtes nocives
  • Anti-Spam : bloquer les Bots et requêtes malveillantes

Voici un exemple d’analyse de sécurité exportable en PDF avec une note globale.
Ensuite on trouve les conseils dans chaque section.
Par contre, c’est à l’utilisateur d’appliquer les modifications de configuration de WordPress.

Les conseils autour de la configuration de sécurité des Thèmes, extensions et du coeur de WordPress.

La page des paramètres est très complète pour activer ou désactiver certains réglages.

L’interface est agréable, les informations et conseils de sécurité sont globalement bons, mais la mise en oeuvre peut poser problèmes aux néophytes.
Le scan Anti-Malware n’a décelé aucune backdoor ou Webshells.

BulletProof Security

Proposé par AITpro Website Security, voici une autre extension de Protection WordPress incluant :

  • Un scanner malveillant, pare-feu
  • Sécuriser la connexion à WordPress
  • Sauvegarde de la base de données
  • Fonctionas Anti-SPAM
Les menus de BulletProof Security, une extension de sécurité pour WordPress

L’interface est un peu vieillotte.

Le scanner anti-malware de BulletProof Security
Scan Anti-Malware de BulletProof Security pour trouver des web shells et backdoor

MalCare Security

Malcare Security est une extension scanner anti-malware.
Contrairement à ses homologues, il s’agit d’une extension dans le Cloud afin de garantir aucun ralentissement de WordPress.
Grâce à une méthodologie de numérisation intelligente, le scanne est plus rapide et promet des détections bien meilleurs que les autres scanner.

Enfin il intègre un pare-feu pour protéger votre site WordPress des hacks.

L’analyse est gratuite mais le nettoyage et suppression des malwares est payant.

MalCare Security - un scanner anti-malware pour WordPress

Tous les malwares sont détectés, par contre, on a pas les détails sur les fichiers infectés.

MalCare Security - un scanner anti-malware pour WordPress

Quelle est la meilleur extension de sécurité pour WordPress ?

Laquelle choisir ?

Si vous souhaitez vérifier la présence de Malware et que votre WordPress est sain, il vaut mieux se tourner vers WordFence, Sucuri ou MalCare.
Ce sont les plus efficaces en termes de détections de backdoor et webshells.

Pour ce qui est de renforcer la sécurité de votre site WordPress, All In One WP Security & Firewall ou iThemes Security sont plutôt conseillés.
Par contre, All In One WP Security & Firewall peut s’avérer compliqué pour les débutants.
SecuPress est très bien pour vérifier tous les points de sécurité mais ne permet pas de les appliquer automatiquement.

WordFence et Sucuri offre probablement le meilleur compromis détection / protection.