Le Blog Maintenance WP

Les meilleurs plugins de sécurité pour WordPress

27 janvier 2023 | Maintenance WordPress

C’est une donnée qui fait à la fois réfléchir, et un peu froid dans le dos. Selon le spécialiste de la sécurité iThemes Security, 50 % des cyber-attaques viseraient des TPE/PME.

C’est un fait : un piratage peut toucher n’importe quel site internet, et pas seulement les « gros » sites web d’envergure. 

Afin de vous protéger, une bonne pratique consiste à utiliser un plugin de sécurité pour WordPress.

On vous en présente 15 dignes de confiance dans cet article, avec nos conseils pour vous aider à choisir ceux qui seront les plus appropriés à vos besoins.

Pourquoi sécuriser un site WordPress ?

Sécuriser un site WordPress revient à se poser une question, en amont. Si le célèbre CMS (Content Management System) doit être protégé, est-ce parce qu’il n’est pas sécurisé ?

La réponse est non. Le Cœur de WordPress, c’est-à-dire tous les fichiers et dossiers qui le composent lorsque vous le téléchargez, est sécurisé. De nombreux experts en sécurité travaillent d’ailleurs au quotidien à son développement et à sa maintenance.

Concrètement, dès qu’une faille de sécurité est détectée par un membre de la communauté WordPress, elle est très vite corrigée.

Dans son analyse des vulnérabilités au sein de l’écosystème WordPress publié en 2022, l’expert en sécurité Patchstack rapporte par exemple que seulement 0,58% des vulnérabilités détectées sur WordPress proviennent du Cœur du logiciel

Malgré tout, les risques de piratage sont bel et bien existants. Alors, où le bât blesse-t-il ? Les premiers coupables sont vos extensions. Les failles de sécurité sont le plus souvent détectées dans leur code.

Par ailleurs, les webmasters ont aussi leur part de responsabilité. Posséder un site WordPress à jour (qui tourne sur la dernière version majeure) est indispensable pour renforcer la sécurité d’un site web.

Or, dans les faits, seulement 6 sites web sur 10 tournaient sur la dernière version en date de WordPress au moment de rédiger ces lignes.

Vous protéger contre des attaques malveillantes reste donc indispensable pour plusieurs raisons : 

  • WordPress est une cible de choix pour les pirates et autres bots (robots malveillants) car il est le CMS le plus utilisé sur la planète, avec 63,5% de parts de marché.
  • Un site piraté peut vous coûter beaucoup d’argent. Des hackers peuvent d’abord vous demander de payer une rançon, sans compter les frais à engager pour nettoyer et remettre sur pied votre site web.
    Ces pirates peuvent aussi se servir des données bancaires de vos clients pour effectuer des transactions frauduleuses.
  • Un site mal sécurisé vous expose plus facilement à la perte et au vol de données sensibles (documents, informations de connexion, d’identité et de paiement etc.). Que ce soit les vôtres et celles de vos clients.
  • Grâce à un site bien protégé, vous prenez soin de votre réputation en ligne. Un piratage peut abîmer votre image de marque et faire fuir vos visiteurs.
  • Les moteurs de recherche comme Google pénalisent les sites non sécurisés. Par exemple, un message d’erreur s’affichera sur certains navigateurs si votre site n’est pas en HTTPS.
    Par ailleurs, suite à un piratage, vous risquez de perdre des positions sur les pages de résultats de recherche de Google. Si l’on ne vous trouve plus ou moins facilement, vos actions de référencement naturel (SEO) et votre chiffre d’affaires s’en trouveront impactés.

Grâce à l’usage d’un plugin de sécurité, vous limiterez ce genre de désagréments. Découvrez notre sélection triée sur le volet juste en-dessous.

Les meilleurs plugins de sécurité WordPress « généralistes »

Avant de vous dévoiler notre liste des meilleurs plugins de sécurité sur WordPress gratuits, abordons un point de compréhension fondamental pour la suite de cet article.

Il faut savoir qu’il existe deux types d’extensions de sécurité sur le marché : 

  1. Les extensions « généralistes » type WordFence Security ou Sucuri. Elles permettent, au sein d’une même interface, de mettre en place plusieurs actions de sécurité à la fois (pare-feu, scanner, blocage d’adresses IP, protection contre les attaques par force brute, anti-spam etc.).
  2. Les extensions à l’usage ciblé, qui permettent d’effectuer une action principale « seulement ». Cela peut être par exemple le déplacement de la page de connexion, ou la sauvegarde de votre site web.

Pour commencer, découvrez tout de suite notre sélection de 6 plugins généralistes. Nous avons mis en avant ceux qui nous semblent les plus efficaces, en prenant en compte leur popularité sur le répertoire officiel (nombre d’installations actives). 

Nous avons aussi pris le parti de vous présenter une extension française, qui a l’avantage de proposer un tableau de bord clair et disponible en français (ce qui est très rare). 

WordFence Security, le géant

WordFence est un plugin de sécurité WordPress.

Avec plus de 4 millions d’installations actives, WordFence Security est le plugin de sécurité le plus populaire du répertoire officiel

WordFence est une excellente extension, déjà très complète dès sa version gratuite. Elle est adossée à une entreprise spécialiste de la sécurité, présente au sein de l’écosystème depuis de nombreuses années, témoin de son sérieux et implication.

La plupart de ses options fonctionnent en automatique, ce qui facilite sa prise en main. Néanmoins, son tableau de bord est uniquement disponible en anglais et les options proposées sont parfois assez techniques à comprendre. 

Caractéristiques principales de ce plugin de sécurité WordPress

  • WordFence propose un scanner de logiciels malveillants pour bloquer les requêtes qui incluent du code ou du contenu malicieux.
  • Protection contre les attaques par force brute (brute force attacks, en anglais) limitant les tentatives de connexions à votre interface d’administration.
  • Authentification à deux facteurs (2FA, Two Factor Authentication) pour vous connecter à votre site WordPress et vous protéger des pirates.
  • Présence d’un reCAPTCHA pour limiter le spam avec WordFence.
  • Possibilité de recevoir des alertes par email en cas de détection d’un problème de sécurité.
  • WordFence permet le blocage de certaines adresses IP par entrée manuelle.
  • Gestion de la sécurité de plusieurs sites en même temps grâce à WordFence Central.

Le + de l’extension

L’un des gros avantages de WordFence réside dans la présence d’un pare-feu applicatif (WAF, web Application Firewall) dans sa version gratuite. Ce dernier est notamment capable de protéger vos sites WordPress contre le cross-site scripting (XSS), les attaques par injection SQL ou par traversée de répertoires (directory traversal).

Tarifs de WordFence Security

WordFence Premium est facturée au prix de 119 $/an pour un usage sur un site web. Par rapport à la version gratuite, l’offre payante a l’avantage de mettre à jour en temps réel tous les outils proposés (pare-feu, scanner etc.) dès la détection d’une nouvelle menace. 

Avec la version gratuite, le délai est porté à 30 jours. 

Sucuri Security, le spécialiste de l’audit

Sucuri Security est un plugin de sécurité pour WordPress qui audite votre site.

Là où la plupart de ses concurrents proposent au minimum une version payante de leur plugin gratuit, Sucuri (800 000 installations actives) se démarque sur ce terrain. Lui est totalement gratuit. Un réel avantage si votre budget est serré.

S’il propose un plugin de sécurité adapté à WordPress, Sucuri Security – propriété de l’hébergeur GoDaddy – peut aussi être utilisé sur d’autres CMS comme Magento, Drupal ou Joomla.

Techniquement parlant, l’outil Sucuri sur WordPress permet avant tout d’auditer votre site web à la recherche d’éventuels problèmes de sécurité (en tout cas dans sa version gratuite).

Caractéristiques principales de Sucuri

  • Analyse automatique des fichiers du Coeur de WordPress.
  • Pare-feu applicatif (Sucuri firewall) mais uniquement si vous optez pour un plan premium.
  • Affichage des tentatives de connexion à vos sites (failed logins).
  • Scan de malwares (logiciels malveillants) et détection de logiciels obsolètes.
  • Notifications de sécurité par email à aux utilisateurs de votre site internet.

Le + de l’extension

On apprécie la présence d’options de renforcement de la sécurité, activables automatiquement en un clic : blocage de l’exécution de certains fichiers PHP, suppression de l’affichage de votre version de WordPress, mise à jour des clés de sécurité etc.

Tarifs

Sucuri est gratuit mais cette version est très limitée. Pour bénéficier au minimum de son pare-feu (couplé à un CDN), vous devrez débourser 9,99 $/mois. Sucuri propose aussi des packs de sécurité à partir de 199 $/an.

All-in-One Security (AIOS) – Security and Firewall, le mieux noté

All in One Security est un plugin de sécurité pour WordPress.

All-in-One Security (AIOS) figure parmi les plugins de sécurité WordPress les mieux notés du répertoire officiel (5 étoiles sur 5). 

Il s’agit d’un plugin tout-en-un capable de protéger à la fois les fichiers de votre site, son contenu et son accès. Pas mal pour lutter contre les pirates.

AIOS est la propriété d’UpdraftPlus, l’un des plus célèbres plugins de sauvegarde, que vous découvrirez au fil de cet article.

Caractéristiques principales d’All-in-One Security

  • Pare-feu applicatif capable de monitorer votre trafic et de bloquer les requêtes entrantes malveillantes.
  • Scan de malwares.
  • Authentification à deux facteurs.
  • Protection contre le spam et les attaques par force brute.

Le + de l’extension

Au-delà de ses options de sécurité déjà complètes, All-in-One Security se distingue par ses options pour protéger votre contenu. Vous pouvez par exemple empêcher la copie de votre contenu en désactivant le clic droit et sécuriser vos iframes.

Tarifs

AIOS propose une version premium au prix de 80 $/an pour un usage sur un site. Elle englobe notamment des options plus avancées en matière de scan de malwares et dans la mise en place de l’authentification à deux facteurs.

iThemes Security, le plugin de sécurité WordPress “historique”

iThemes Security est un plugin de sécurité généraliste sur WordPress.

iThemes Security – anciennement Better WP Security – est l’un des “anciens” de cette sélection. Le plugin existe depuis le début des années 2010 et a su se tailler une place de choix sur le répertoire officiel WordPress, puisqu’il compte plus d’un million d’installations actives.

iThemes Security propose une trentaine de réglages à l’utilisateur sur un tableau de bord traduit en français. Pour faciliter la prise en main par le débutant, iThemes adopte une approche modulaire : pour activer une option, il suffit de cliquer sur un bouton.  

Caractéristiques principales d’iThemes Security

  • Une interface propre.
  • L’authentification à deux facteurs. 
  • Protection contre les attaques par force brute. 
  • Analyse de votre site pour la détection des logiciels malveillants. 
  • Renforcement des mots de passe.
  • Blocage d’adresses IP. 
  • Réglages de sécurité en fonction du rôle utilisateur.
  • Modification du préfixe des tables de la base de données.
  • Déplacement de la page de connexion sur l’URL de votre choix (autre que votresite.com/wp-admin ou votre site.com/wp-login).
  • Sauvegarde de la base de données.
  • Détection de l’altération de fichiers.
  • Protection contre le spam.
  • Envoi de notifications par email. 

Le + de l’extension

Dans son offre, iThemes Security propose un assistant de configuration capable de vous proposer des réglages de sécurité optimaux en fonction de la catégorie de votre ou de vos sites (Blog, Ecommerce, Portfolio, Site de membre etc.). 

Tarifs de ce plugin de sécurité pour WordPress

Si vous souhaitez bénéficier de toutes les fonctionnalités d’iThemes, une version Pro est proposée à partir de 99 $/an pour un usage sur un site web. Par contre, elle ne propose pas de pare-feu applicatif et ses options sont assez légères. 

Dans la plupart des cas, la version gratuite sera suffisante pour commencer à protéger votre site internet.

Jetpack, le multi-tâches

Jetpack dispose d'une option pour assurer la sécurité de votre installation WordPress.

Jetpack est le couteau-suisse par excellence des plugins WordPress. Avec plus de 5 millions d’installations actives, il fait partie des 10 plugins les plus téléchargés de tous les temps.

Sa version gratuite, composée d’une cinquantaine de modules activables en un clic, permet d’agir sur des fonctionnalités liées à la performance, au marketing et donc à la sécurité de votre site WordPress.

Caractéristiques principales de Jetpack

  • Protection contre les attaques par force brute.
  • Surveillance des temps d’arrêt et de la disponibilité de votre site WordPress.
  • Journal d’activités pour connaître toutes les modifications apportées sur votre site.
  • Authentification à deux facteurs.
  • Option de sauvegarde automatique en temps réel et restauration en un clic.
  • Blocage des commentaires et des réponses aux formulaires indésirables.
  • Mise à jour automatique des extensions.

Le + de l’extension

Jetpack a l’avantage d’être développé et maintenu par Automattic, la société qui dirige WordPress. Grâce à cela, l’extension est fréquemment mise à jour et s’enrichit de nouvelles fonctionnalités assez souvent.

Tarifs

Certaines options de Jetpack sont gratuites (protection force brute + surveillance des pannes notamment). Pour le reste, vous devrez basculer sur une offre payante onéreuse, facturée au prix de 25 € /mois. A noter que cette licence premium englobe un pare-feu, un scanner de détection de programmes malveillants et des options de sauvegarde. 

SecuPress, l’extension de sécurité made in France

SecuPress est made in France.

Parmi les extensions de sécurité généralistes les plus célèbres, SecuPress (30 000 installations actives) est la seule à être 100% française. Derrière elle, on retrouve l’expert en sécurité Julio Potier, qui a créé et continue de maintenir ce plugin de sécurité pour WordPress.

Comme indiqué sur sa page de présentation sur le répertoire officiel, SecuPress est “simple à utiliser pour vous et difficile à pirater pour les hackers […] La majorité des recommandations sont simples à mettre en place via une simple case à cocher, peu de manipulations sont à faire manuellement.”

Caractéristiques principales de SecuPress

  • Un scanner capable de contrôler plus de trente points de sécurité à la recherche de vulnérabilités et de logiciels malveillants, notamment.
  • Correction automatique (il vous suffit de cliquer sur un bouton) des failles de sécurité détectées.
  • Présence d’un pare-feu.
  • Authentification à deux facteurs.
  • Détection des thèmes et extensions vulnérables.
  • Alertes par email et Slack.
  • Option pour planifier des sauvegardes et le scanner.
  • Blocage des mauvais bots et des adresses IP douteuses.

Le + de l’extension

Chez SecuPress, on apprécie le soin minutieux apporté à l’interface et à l’expérience utilisateur. Le tableau de bord est clair, les fonctionnalités précises et bien expliquées. Cela fait de ce plugin de sécurité une solution de choix pour le public débutant. Le fait que tous les réglages et le support soit disponible en français est aussi un vrai plus.

Tarifs de cette extension de sécurité

SecuPress Pro propose des tarifs en fonction de l’usage que vous souhaitez faire de l’extension. Plus vous l’installerez sur un grand nombre de sites, moins elle vous coûtera cher. À titre d’exemple, l’usage sur un site est facturé 60 €/an.

En dehors de cette sélection, il existe bien sûr d’autres plugins généralistes pour sécuriser un site WordPress. En voici quelques-uns à considérer lors de vos recherches : Defender Security, WP Cerber Security, Malcare Security, Security Ninja, ShieldSecurity, BulletProof Security.
Ils disposent tous au minimum d’une version gratuite. Vous pouvez donc les essayer chez vous sans prendre de risques.

Après les plugins généralistes, place à la présentation de la seconde catégorie de plugins de sécurité sur WordPress : les extensions à l’usage ciblé. Faites connaissance avec 9 d’entre-elles.

Les meilleurs plugins de sécurité à l’usage ciblé

Google Authenticator, pour activer l’authentification à deux étapes

Google Authenticator est un plugin de sécurité WordPress.

Google Authenticator permet d’activer l’authentification à deux facteurs pour vous connecter à votre interface d’administration WordPress

Elle nécessite l’utilisation de l’application Google Authenticator sur votre smartphone Android, iPhone ou Blackberry.

Une fois que l’extension est active sur votre back office, on vous demandera d’entrer un code de sécurité fourni par l’application, après avoir entré votre identifiant et votre mot de passe. 

Grâce à cela, vous ajoutez une couche de protection supplémentaire pour accéder à votre site internet, si une personne mal intentionnée se retrouve en possession de votre identifiant et de votre mot de passe.

Google Authenticator est 100% gratuite.

WP Hide & Security Enhancer, pour masquer vos fichiers WordPress

WP Hide & Security Enhancer permet de masquer vos fichiers WordPress.

WP Hide & Security Enhancer est capable de masquer tous les fichiers de base de WordPress, l’URL de la page de connexion, votre thème et tous les chemins d’accès à vos plugins.

Ainsi, il sera impossible de savoir que votre site web tourne sous WordPress, ce qui dissuadera d’éventuels assaillants et robots malveillants. 

L’extension précise que : 

  • Le code du plugin utilise des techniques de réécriture d’URL et des filtres WordPress pour appliquer toutes les fonctionnalités et caractéristiques internes. Aucun fichier ni répertoire ne sont modifiés.
  • Aucune connaissance en langage PHP n’est requise, puisque toutes les modifications sont automatiques.
  • Le plugin vous permet non seulement de modifier les URLs par défaut de votre WordPress, mais il cache/bloque également ces valeurs par défaut.

Par contre, la version gratuite de ce plugin de sécurité WordPress ne sera pas efficiente pour les serveurs Nginx (elle fonctionne qu’avec Apache et IIS). Pour ne pas être limité à ce niveau, il faudra vous procurer la version Pro de l’extension, facturée 39 $/an pour un usage sur un site.

UpdraftPlus, le plugin de sécurité WordPress pour sauvegarder votre site

UpdraftPlus est un plugin de sécurité pour sauvegarder WordPress.

On n’y pense pas forcément immédiatement, mais la sauvegarde régulière de votre site représente une excellente pratique pour protéger votre site.

Cela ne vous empêchera pas de vous faire pirater, par contre, si cela arrive, vous disposerez d’une copie récente de votre site web, indispensable pour pouvoir le restaurer au plus vite.

L’une des extensions les plus fiables pour cela est UpdraftPlus. C’est l’une des plus populaires sur le répertoire officiel (3 millions d’installations actives) et elle concentre plusieurs avantages : 

  • Elle permet de sauvegarder vos fichiers ET votre base de données.
  • Vous disposer d’une option pour planifier automatiquement vos sauvegardes (aucune action manuelle n’est requise dans le code PHP ou autre).
  • Il est possible d’envoyer vos sauvegardes dans le cloud (Dropbox, Google Drive, Amazon S3 etc.) pour en conserver une copie sécurisée.
  • La restauration en un clic est possible.

La version gratuite est déjà très bien pour sauvegarder votre site. Si vous êtes à la recherche d’options encore plus poussées, UpdraftPlus Premium (à partir de 70$/an pour un usage sur 2 sites) permet notamment de réaliser des sauvegardes incrémentales (sauvegarde de fichiers modifiés depuis la dernière sauvegarde seulement) et de migrer votre site.

Really Simple SSL, pour passer en HTTPS

Really Simple SSL migre votre site WordPress en HTTPS.

Pour sécuriser votre site, vous devez le passer en HTTPS. Cela est rendu possible grâce à l’activation d’un certificat SSL, généralement gratuit chez la plupart des hébergeurs. C’est le cas chez Kinsta, que nous recommandons.

Lorsque votre site passe en HTTPS, un cadenas s’affichera dans l’onglet de votre navigateur pour indiquer à vos visiteurs que la connexion est sécurisée.

Si votre site vitrine, blog ou ecommerce n’est pas encore en HTTPS, la migration vers ce protocole peut être intimidante, car de nombreuses étapes techniques doivent être respectées.

C’est de ce constat qu’est né le plugin de sécurité pour WordPress Really Simple SSL (4 millions d’installations actives). Parmi ses fonctionnalités, il propose par exemple une option pour migrer vers le protocole HTTPS en un seul clic.

Sa version Pro (à partir de 39 € pour un usage sur un site avec support prioritaire) permet notamment d’analyser et de détecter du contenu mixte (contenu qui se charge en HTTP au lieu de HTTPS).

WPS Hide Login, pour changer l’URL de la page de connexion

WPS Hide Login permet de déplacer l'URL de connexion à l’administration de WordPress.

Par défaut, l’URL de la page de connexion à toute nouvelle installation fraîche de WordPress est accessible sur l’une des URLs suivante :

  • www.votresite.com/wp-login
  • www.votresite.com/wp-admin

Pour un robot ou un hacker, il est donc très facile de tenter de se connecter à votre interface d’administration en multipliant les tentatives.

Sauf si vous utilisez une extension qui modifie l’URL de la page de connexion comme WPS Hide Login (un plugin de sécurité français, au passage).

Grâce à elle, vous profitez d’une option pour définir l’URL de la page de formulaire de connexion de votre choix. Dans la foulée, le répertoire wp-admin et la page wp-login.php deviendront inaccessibles.

Patchstack, pour identifier des vulnérabilités

Patchstack est un plugin de sécurité WordPress capable d'identifier des vulnérabilités.

Patchstack est une extension de monitoring dans le sens où elle vous informe instantanément par email dès qu’une nouvelle faille de sécurité est détectée sur l’un de vos sites. 

L’extension est capable d’analyser à la fois le Coeur de WordPress, mais aussi vos plugins et votre thème.

À partir du moment où une faille est signalée, l’outil vous donne des suggestions pour la résoudre. Autre aspect intéressant de cette extension : vous pouvez ajouter jusqu’à 99 sites à monitorer dans sa version gratuite

Super pratique si vous assurez la maintenance de plusieurs sites et autres blogs, que ce soit les vôtres ou ceux de vos clients.

En premium (à partir de 13,48 $/mois et par sites), Patchstack bloque les tentatives de piratage par le biais de son pare-feu et corrige automatiquement les failles de sécurité avant qu’elles ne puissent être exploitées.

WP Activity Log, pour surveiller l’activité sur votre site WordPress

WP Activity Log est un plugin de sécurité WordPress qui surveille l'activité de votre site.

WP Activity Log est une extension de journal d’activités. Elle est capable de vous retranscrire tout ce qui se passe sur votre site WordPress, comme par exemple des changements opérés par des utilisateurs sur : 

  • Des pages, articles et custom post types (modification du statut, contenu, titre, URL etc.).
  • Des étiquettes et catégories (création, modification, suppression).
  • Des profils utilisateurs (modification de l’email, mot de passe, nom ou rôle).
  • Vos thèmes et plugins (installation, désactivation, suppression, modification du code PHP etc.).
  • Votre base de données (modification d’une table par exemple).

En gros, si quelque chose de suspicieux se produit sur votre site ou blog, vous le saurez grâce à WP Activity Log.

Une version premium existe à partir de 99 $/an, mais elle introduit peu de nouveautés. Pour bénéficier d’options plus puissantes (ex : alertes par SMS, aperçu des utilisateurs connectés en temps réel, support etc.), vous devrez débourser au moins 149 $/an.

BBQ Firewall, pour activer un pare-feu

BBQ Firewall active un pare-feu sur votre WordPress.

BBQ Firewall, aussi connu sous le nom de Block Bad Queries, active automatiquement un pare-feu sur votre site ou blog WordPress

Ce dernier analyse le trafic entrant, vérifie tous les types de requêtes (GET, POST, PUT, DELETE, etc.) et bloque les requêtes malicieuses et les bad bots.

Grâce à cela, vous bénéficiez d’une protection supplémentaire contre de nombreuses menaces telles que des attaques par injection SQL, par traversée de répertoires, ou encore des attaques XSS.
L’extension est très simple à utiliser puisqu’elle ne nécessite aucune configuration. Elle propose aussi une version Pro avec des règles de sécurité avancées pour un tarif de 25 $ pour un usage sur un site (paiement unique, accès à vie par la suite).

Limit Login Attempts Reloaded, pour limiter les attaques par force brute

Limit Login Attempts Reloaded limite les attaques par force brute.

Par défaut, WordPress n’impose aucune limitation sur le nombre de tentatives que vous pouvez faire pour vous connecter à son interface d’administration.

Cela laisse malheureusement la porte ouverte à des attaques par force brute. Pour les limiter au maximum, servez-vous du plugin WordPress de sécurité appelé Limit Login Attempts Reloaded.

Ce dernier permet de limiter le nombre de tentatives de connexion à l’admin de WordPress par adresse IP. Vous pouvez aussi choisir la durée pendant laquelle un ou des utilisateurs qui ont multiplié les tentatives de connexion seront bannis. 

L’extension est aussi en mesure d’afficher le nombre d’essais restant pour pouvoir se connecter à l’admin.

Dans sa version payante (à partir de 8 $/mois pour un site web), Limit Login Attempts Reloaded permet notamment d’optimiser les performances en repoussant les attaques par force brute dans le cloud.

Comment choisir un plugin de sécurité pour WordPress ?

En lisant notre sélection, il y a sûrement un ou plusieurs plugins de sécurité qui ont attiré votre attention. Au moment de faire votre choix définitif, appliquez les conseils suivants : 

  • Activez seulement un plugin généraliste à la fois, afin d’éviter les bugs et incompatibilités. WordFence Security est l’un des plus efficaces, mais il peut ralentir le temps de chargement de vos pages. Sinon, misez sur SecuPress qui a l’avantage d’être très complet en termes d’options, avec l’interface la mieux conçue du marché.
  • Préférez une extension intuitive et facile à utiliser, afin d’éviter de vous perdre dans des menus de réglages incompréhensibles (et de réaliser de mauvaises manipulations). Il est aussi plus simple de choisir un outil qui ne nécessite pas de mettre les mains dans le code (PHP, CSS, JavaScript etc.). Avec ceux proposés dans cet article, cela devrait aller.
  • Vérifiez les notes et avis utilisateurs : plus une extension est bien notée, mieux c’est. 
  • Définissez un budget. Si toutes les extensions présentées dans cet article disposent d’une version gratuite, certaines proposent des options incontournables uniquement dans leur offre payante. Tout cela a un coût.
  • Faites le point sur vos besoins en amont. Avez-vous vraiment besoin de telle ou telle option ? Tel plugin offre-t-il le niveau de sécurité que vous attendez pour votre site ou blog ? Souhaitez-vous avoir accès à du support (assistance) en cas de problème ? Pour le savoir, épluchez ses caractéristiques.

Nous vous conseillons aussi de vous rapprocher de votre service d’hébergement avant de choisir une extension de sécurité

Certains d’entre-eux, comme Kinsta que nous recommandons, proposent des fonctionnalités de sécurité avancées comme un pare-feu, un système de sauvegarde, un scanner, un certificat SSL gratuit etc. 

En fonction des réponses que vous obtiendrez, vous pourrez décider si vous avez besoin d’un plugin généraliste en complément, ou bien si quelques plugins à l’usage spécifique sont suffisants pour compléter la protection que vous possédez déjà. 

Enfin, n’oubliez pas que l’usage d’un plugin de sécurité ne représente pas un bouclier 100% infaillible. Déjà, parce qu’aucun site ne l’est. Et ensuite, parce qu’il est de votre ressort d’appliquer les bonnes pratiques. On vous les détaille dans notre article qui vous apprend à sécuriser WordPress

Malgré tous ces conseils, vous avez besoin d’une assistance professionnelle pour assurer la sécurité de votre site ou le réparer suite à un piratage ? L’équipe d’experts de Maintenance WP se tient à votre disposition 7 jours/7 pour vous accompagner sur-mesure. Contactez-nous pour en savoir plus.

Sur le même sujet :

Comment utiliser le back office WordPress ?

Un identifiant. Un mot de passe. un petit clic sur le bouton « Se connecter ». Et hop, le tour est joué. Vous voilà connecté au back office de WordPress.  C’est à partir de ce centre de contrôle stratégique que vous pouvez tout faire - ou presque - sur votre site...