Image en avant article Plugin Sécurité WordPress

Plugin Sécurité WordPress : Vous avez un Blog WordPress ? Vous avez raison de craindre les attaques, et ce même si c’est un petit blog personnel.

Le Web regorge de robots, programmes informatiques malveillants surfant de blog en blog et tentant d’en percer les défenses. Certes, la sécurité de votre blog n’est pas qu’une question de Plugins.

L’hébergeur, l’installation de WordPress, la complexité de vos mots de passe sont déterminants.

Mais il est vrai que le choix de quelques plugins axés sécurité peut corriger bien des failles et des défaillances !

Dans cet article je vais vous présenter les 15 meilleurs plugins de sécurité WordPress, certains gratuits et d’autres (la majorité) payants.

Et, enfin, je vous indiquerai une solution 100% gratuite, une sélection de quelques plugins de sécurité et de sauvegarde gratuits qui, une fois associés, permettront de maintenir votre site à flot et/ou de le remettre en ligne en quelques clics.

Les 15 Meilleurs Plugins Sécurité WordPress.

1) Sucuri Security WordPress

Sucuri Security possède une partie gratuite dotée déjà de nombreuses fonctionnalités.

Parmi celles-ci on peut trouver :

  • Audit de votre blog au niveau sécurité. En permanence Sucuri garde trace de tous les évènements liés de près ou de loin à la sécurité, et les enregistre dans le Cloud. Ainsi en cas d’attaque il est possible de retracer ce qui s’est passé afin d’améliorer le système et renforcer la protection.
  • Surveillance et analyse des fichiers du site. Ce Plugin sécurité WordPress compare les fichiers de WordPress, de votre thème, des plugins installés et des autres principaux fichiers à ce qu’ils devraient être normalement. En cas d’anomalies, si vos fichiers sont infectés ou corrompus, il créera une alerte.
  • Analyse et détection des logiciels malveillants par un scanner intégré. Certains services, comme Norton, Spamhaus, le service Navigation sécurisée de Google, et bien d’autres tiennent des listes de sites et noms de Domaines impliqués dans des problèmes de sécurité. Ce sont les fameuses Blacklists. Sucuri vous signalera si votre site est concerné et vous aidera à régler le problème.
  • Actions de sécurité suite à une intrusion. Sucuri vous indique les actions essentielles à accomplir afin de faire revenir votre site à la normale.
  • Notifications de sécurité. Vous recevez des notifications en cas d’anomalies. Vous pouvez régler le seuil de déclenchement des notifications.
La version Premium, elle, vous offre en plus, notamment :
  • Pare-feu du site Web (WAF). Cela vous permettra, entre autres, de déjouer les attaques par Déni de Service (DOS), les attaques par force brute conte vos accès administrateurs, ainsi que de bénéficier de protections au niveau du contrôle d’accès du site.
  • Prise en charge du SSL (offre Premium Pro).
  • Pare feu au niveau de la zone DNS. Cela permet de diminuer la charge des attaques sur votre site lui-même, en les traitant en amont.

Les offres Premium, Basic et Pro, sont à 9,99 $/mois et à 19,98 $/mois.

A noter : l’assistance se fait par soumission de tickets.

Tarifs Sucuri

Note : pour trouver les offres payables mensuellement et non uniquement annuellement, allez sur cette page :   https://sucuri.net/website-security-platform/

2) Wordfence, le plus connu de la catégorie Plugin Sécurité WordPress.

On ne le présente plus tellement il est célèbre !

Il est facile d’utilisation et offre des fonctionnalités avancées, même en version gratuite.

Il présente à peu près les mêmes fonctions que Sucuri, mais sa version gratuite offre, elle, le pare-feu au niveau du Site (WAF).

Voyons malgré tout ce qu’il propose exactement, tant en version gratuite que Premium.

Version Gratuite :

  • Pare Feu qui détecte et bloque le trafic malveillant
  • Scanner bloquant les requêtes de logiciels malveillants.
  • Vérification des thèmes, plugins et fichiers avant qu’ils ne soient téléchargés.
  • Stoppe les attaques par Force Brute.
  • Vérification de l’intégrité des thèmes et plugins WordPress, réparation et mise en conformité des fichiers modifiés.
  • Détecte les vulnérabilités du site.
  • Authentification à 2 facteurs
  • Captcha sur la page de connexion
  • Blocage par adresses IP
  • Wordfence Central, permet de gérer la sécurité de plusieurs sites à partir d’un seul endroit.

Version Premium :

  • Mise à jour des règles de pare-feu, des logiciels malveillants, des listes noires d’adresses IP en temps réel (au lieu de 30 J pour la version gratuite).
  • Blocage par Pays
  • Pour les versions Care et Response, assistance poussée avec installation et paramétrage du Plugin par la société, avec un audit de sécurité et des recommandations.

Tarifs : – La version Prime est à 119 $/an.

             – La version Care, avec une assistance plus performante, est à 490 $/an.

             – La version Response, avec une réponse de l’assistance garantie sous 1H, est à 950 $/an.

             (Elle s’adresse principalement à de gros Money-Sites.)

Wordfence, le plus célèbre

3) I-Thèmes Security

Comme les 2 premiers, c’est un plugin sécurité WordPress Généraliste.

Il est avant tout conçu – bien qu’il soit aussi efficace que les autres- pour être simple à configurer : tout le monde doit y parvenir en moins de 10 minutes !

Selon votre type de site (e-commerce, réseau intranet ou extranet, site à but non lucratif avec récolte de dons, blog, portfolio pour présenter votre métier, site brochure pour présenter votre entreprise), il existe des préconfigurations types afin de vous faciliter la tâche tout en vous fournissant une solution adaptée.

Les fonctions sont à peu près les mêmes que les 2 premiers plugins, vous avez notamment, pour la version gratuite :

  • Politique de Mots de passe pour les utilisateurs. Qui a besoin d’un mot de passe, et pour faire quoi.
  • Authentification à 2 facteurs, et ce dès la version gratuite ! L’authentification peut se faire par email, ou par applications comme Google Authenticator ou Authy.
  • Local Brute Force Protection. Bloque les attaques par Brute Force, ainsi que les récidivistes de la connexion abusive.
  • Network Brute Force Protection. Ce plugin étant utilisé par un million de sites, dès qu’un pirate potentiel est identifié par un site ses identifiants sont diffusés dans tout le réseau et il est bloqué partout.
  • Détection des modifications de fichiers par rapport aux fichiers originaux
  • Bannissement de certains utilisateurs.
  • Détection des erreurs 404
  • Scanner de site. Détecte les vulnérabilités de votre version de WordPress, de vos thèmes et de vos plugins, notamment les obsolètes. Utilise l’API Google Safe Browsing
  • Force toutes les connections à se faire via le protocole SSL/TLS (protocole sécurisé passant par https).
  • Identification des mots de passe faibles
  • Sauvegarde de vos bases de données.
Et pour les versions payantes :
  • Utilise Google ReCaptcha pour l’accès aux comptes administrateurs
  • Appareils de Confiance : ne permettez qu’aux ordinateurs et appareils de confiance de se connecter comme administrateur.
  • Scanner de site Pro
  • Journalisation, enregistrement de toutes les activités des utilisateurs.
  • Mises à jour automatiques de WordPress, des thèmes et plugins.
  • Géolocalisation des utilisateurs.
  • Assistance par Chat
  • Intégration WP CLI (si vous avez beaucoup de sites)

Tarifs

Selon le nombre de sites que vous voulez inclure, vous avez plusieurs versions.

IThèmes Security Pro Tarifs

Note : les prix barrés en rouges sont les tarifs à l’année, ceux affichés ici en noir sont une promotion de fin d’année, cet article étant écrit le 21 Décembre !

4) Malcare

Malcare avance deux arguments principaux pour sa promotion :

  • Sa rapidité : Il est vrai que certains Plugins de sécurité WordPress ont tendance à un peu ralentir votre site, ce qui n’est pas le cas de Malcare, faisant tourner ses propres serveurs pour décharger votre site.
  • La suppression automatique des logiciels malveillants en un clic.

Voyons maintenant les fonctionnalités gratuites, et les Premium.

a) Gratuites

  • Détection de logiciels malveillants à partir du Cloud, y compris les plus complexes et les plus récents d’après la société Malcare. L’analyse à distance permet de ne pas surcharger et ralentir votre site.
  • Pare-feu d’application web (WAF) pour bloquer les bots et les hackers
  • Protection de la page de connexion Admin par Captcha
  • Analyse des vulnérabilités de votre site.
  • Protection contre les attaques par Force Brute, et ce sans ralentir votre site

b) Payantes

  • Suppression en 1 clic des logiciels malveillants
  • Affichage des fichiers piratés.
  • Application en 1 click des bonnes pratiques recommandées par WordPress
  • Blocage géographique
  • Alerte lorsque site indisponible, panne.

Les tarifs pour 1 site :

Tarifs de Malcare

A noter : Malcare a une politique de marque blanche dans les versions Premium pour les revendeurs et les agences, et une tarification spéciale pour 3 sites, pour 10 sites, ainsi qu’en illimité pour les agences et les professionnels.

5) AIOS, un Plugin Sécurité WordPress multitâches

All In One Security est édité par la société produisant le Plugin UpdraftPlus.

AIOS est le seul plugin de sécurité à avoir 5 étoiles sur le site WordPress.org, attribuées par son million d’utilisateurs.

Jusqu’à il y a peu, AIOS était entièrement gratuit, mais des fonctionnalités Premium ont été rajoutées récemment.

Toutefois la liste des fonctionnalités gratuite reste impressionnante, et on peut noter les mesures prises contre le vol de contenu par d’autres sites.

Voyons maintenant exactement ce que ce plugin nous propose :

a) Version Gratuite

  • Masquage de la page de connexion Admin, avec une URL personnalisée au lieu du sempiternel https://mondomaine.com/wp-admin .Les robots auront ainsi plus de mal à la trouver.
  • Remplacement du préfixe wp de la Base de Données, pour éviter que les robots ne la trouvent.
  • Verrouillage de la connexion au bout de plusieurs tentatives
  • Forçage des déconnexions. Pour éviter que certains restent connectés en permanence.
  • Google Recaptcha sur les pages d’inscription
  • Empêche la récupération d’informations sur les utilisateurs
  • Authentification à 2 Facteurs, y compris avec Google Authenticator, Authy, etc ..
  • Outil de renforcement du mot de passe, qui calcule en combien de temps votre mot de passe actuel va être craqué !
  • Mode maintenance avec verrouillage du Front-End
  • Pare Feu d’Application Web (WAF)
  • Mise à jour en temps réel des nouvelles menaces
  • Protection des fichiers .htaccess et wp-config.php
  • Liste noire de logiciels malveillants et d’utilisateurs
  • Protection contre les faux-robots Google
  • Empêche les injections de scripts malveillants
  • Détection de changement de fichier dans le système WordPress
  • Protection du code PHP
  • Règles personnalisées pour bloquer l’accès à certaines ressources du site
  • Interdit l’accès à certains fichiers
  • Interdit le Spam de commentaires
  • Protection IFrame (empêche de reproduire le contenu du site)
  • Désactivation de la copie de texte pour éviter les vols de contenu
  • Désactivation des flux de RSS et Atom pour empêcher les vols de contenu.

b) Fonctions Premium

  • Analyse automatique des logiciels malveillants, Trojans et logiciels espions.
  • Signale le Blacklistage par les moteurs de recherche.
  • Surveillance toutes les 5 minutes de la disponibilité et du temps de réponse du site.
  • Authentification à 2 Facteurs (TFA) renforcée, code de secours en cas de perte de l’appareil d’authentification.
  • Contrôle de la fréquence à laquelle TFA est requise pour les appareils de confiance.
  • Blocage par Pays.
  • Compatibilité Multisites, Réseaux et sous-sites.
  • Assistance
  • Blocage des bots créant des erreurs 404 et rapports sur les erreurs 404

Tarifs

AIOS un must de la catégorie Plugin Sécurité WordPress

Jusqu’à 2 sites, le tarif est de 55 € par an.

Pour 10 sites, le tarif est de 75 €/an.

La version Enterprise, sites illimités, est à 147 €/an.

Ce plugin sécurité WordPress peut être une bonne opportunité pour une Agence gérant de nombreux sites.

6) Defender

Defender est produit par WPMU.  Ce service propose plusieurs plugins Premium comme Smush Pro (compression d’images), Forminator (formulaires, Quiz, Sondages), Colibri (Vitesse de chargement des pages), Hustle ((pop-ups, optins, emailing) et SmartCrawl (SEO).

Defender a une version gratuite et une version Pro.

Dans la version Gratuite nous avons :

  • Protection contre les attaques par force brute
  • Authentification Google à 2 Facteurs (2FA)
  • Google ReCaptcha
  • Analyse des logiciels malveillants
  • Protection par Pare-Feu.
  • Masquage de l’écran de connexion (changement de l’URL).
  • Analyse et réparation des fichiers principaux de WordPress.
  • Blocage des analyses de vulnérabilité venant de l’extérieur.
  • Rapports de verrouillage IP
  • Audits de sécurité avec recommandations à appliquer en 1 clic.

Dans la version Pro nous avons :

  • Analyses automatisées,
  • Analyses de logiciels malveillants à la fois pour le noyau WordPress, les thèmes et les Plugins
  • Journaux d’audit
  • Sauvegardes de Snapchots dans le Cloud
  • Assistance
  • Nettoyage du site par l’assistance si site déjà piraté.
  • Sauvegarde de la configuration de Defender, applicable en 1 clic sur un autre site.

Pour bénéficier de la version Pro, il faut prendre un abonnement auprès de WPMU qui vous donne droit à utiliser toutes les versions pros de leurs autres plugins.

Pour un site cela vous coutera 19 $/mois ou 90 $/an (soit 7,5 $/mois).

7) Secupress

Tarifs Sécupress

Il possède une version gratuite et une payante. Son interface est intuitive.

Juste après son installation, Secupress effectue immédiatement un audit de votre site, avec une trentaine de contrôles.

Puis il va traiter les failles détectées avant d’attribuer une note à votre site au niveau de sa sécurité, afin de vous donner une idée de ce qu’il vous reste à faire.

Il possède un excellent Pare-Feu, Il est possible de bloquer les IP par Pays.

Il est surtout renommé pour sa capacité à mettre hors d’état de nuire virus et malwares, ce qui n’est malheureusement le cas de tous les plugins sécurité WordPress.

Le reste des fonctionnalités gratuites :

  • Blocage des attaques par Force Brute
  • Masquage de la page de connexion, la rendant invisible aux robots
  • Limitation des tentatives de connexion
  • Captcha
  • Force à avoir un Identifiant « et un mot de passe correct.
  • Verrouillage des réglages sensibles de WordPress
  • Anti-spam
  • Masque les versions de PHP, WordPress, Woocommerce
  • Interdit l’accès aux fichiers sensibles
  • Blocage des bots, notamment les faux bots Google
  • Blocage par User-Agent ou par IP
  • Interdiction des erreurs 404 sur les fichiers PHP
  • Blocage protocole XML-RPC
  • Rapports de sécurité au format PDF

Les fonctionnalités payantes :

  • Scan des fichiers et détection des malwares.
  • Double Facteur d’Authentification.
  • Détection des extensions et thèmes vulnérables
  • Sauvegarde de la Base de Données et des fichiers
  • Choisir un préfixe de Base de Données
  • Marque Blanche
  • Anti Hotlinking
  • Planification de scans et de sauvegardes
  • Support prioritaire

Les tarifs : 60 € pour 1 site

                  120 € pour 5 sites

Google Authenticator : un Plugin Sécurité WordPress imparable !

C’est un système développé par Google, qui permet de sécuriser la page de connexion de votre blog WordPress à l’aide de méthodes TOTP/OTP.

Google Authenticator permet notamment d’installer son application sur votre smartphone. Celle-ci vous fournit constamment des codes à 6 chiffres valables seulement 1 minute.

Vous récupérez donc le code sur votre smartphone, puis vous le rentrez dans le champ prévu à cet effet sur la page de connexion de votre site. Et vous pouvez alors vous connecter.

Il existe un code de secours au cas où vous perdriez votre smartphone.

La société MiniOrange a développé des plugins fonctionnant sur ce système Google Authenticator, ainsi que sur d’autres comportant des solutions d’identification à 2 facteurs par email, par SMS, etc…

Une solution pour 5 utilisateurs avec Google Authenticator revient à 59 €/an.

Google Authenticator la meilleure solution

9)Jetpack Security, le couteau Suisse de la catégorie Plugin Sécurité WordPress.

Jetpack est produit par l’éditeur de Woocommerce et d’Akismet Antispam, autant dire qu’il s’intègre parfaitement avec ces plugins.

C’est le couteau Suisse des Plugins : il touche à la sécurité, aux performances, et au marketing.

Il fournit une solution de sécurité complète, que ce soit pour les sites WordPress et Woocommerce.

La version gratuite propose :

  • Analyses de logiciels malveillants
  • Protection contre les attaques de force brute
  • Surveillance de la disponibilité et des pannes du site.
  • Mise à jour automatique des plugins
  • Authentification sécurisée

La version payante :

  • Sauvegardes en temps réel
  • Analyses de sécurité, scans en temps réel avec correctif en un clic
  • Espace de Stockage
  • Filtrage du spam (avec Akismet)
  • Assistance prioritaire.

Tarif : Jetpack Security est proposé à 300 € /an.

10) WP Security Ninja

Il se divise en 2 parties :

– Un plugin gratuit de test, qui va effectuer plus de 50 tests de sécurité sur votre site afin de repérer des vulnérabilités ou des anomalies laissant penser que votre site est infecté.

Les tests comprennent des attaques par force brute afin de déterminer la force de votre mot de passe.

Par contre le plugin gratuit n’effectue aucune action de protection, il fait uniquement des tests de détection de vulnérabilités.

Un plugin payant, Security Ninja Pro.

Il contient les fonctions suivantes :

Security Ninja
  • Pare feu (liste d’IP malveillantes, blocage de pays, renommage de l’URL de connexion, blocage des spams et des demandes suspectes, blocage des visiteurs suspects pour qu’ils ne voient même pas votre site)  (cf image ci-dessus).
  • Scanner de logiciels malveillants par analyse de tous les fichiers (WordPress, thème, plugins, Base de Données)
  • Programmation d’analyses automatisées avec rapport (facultatif) par email.
  • Enregistreur de tous les évènements survenus sur le site, dans les fichiers
  • Détection de plugins vulnérables aux pirates
  • Tests de sécurité, avec instructions pour remédier aux anomalies.

Tarifs : pour un site 39,99 $/an

                 »                 »   9,39 $/mois TTC

11) Limit Login Attempt Reload : un petit costaud spécialisé contre les attaques par Force Brute.

Cette application, contrairement aux applications précédentes, n’est pas un plugin sécurité WordPress tout-en-un.

Elle se spécialise dans les attaques par Brute Force, lorsque des robots (le plus souvent) essaient de se connecter en essayant successivement divers identifiants et mots de passe, les identifiants les plus classiques étant admin et votre prénom.

Elle va automatiquement bloquer l’IP de l’assaillant au bout d’un certain nombre de connections et pour une certaine durée (c’est à vous de les définir) puis le bloquer de plus en plus longtemps s’il récidive après la période initiale de blocage.

Il existe une version gratuite qui est déjà performante.

Plugin Sécurité WordPress ; le spécialiste des attaques par Force Brute.

Comme vous le voyez ci-dessus, vous pouvez demander à être notifié par mail à chaque blocage.

Le paramétrage, comme vous pouvez également le constater, est très simple.

Voyons maintenant les versions payantes :

Limit Login Attempt Reload

Elles ajoutent notamment un blocage XML-RPC, et un filtrage des accès par les serveurs de l’éditeur du plugin, ce qui peut soulager votre site si vous avez beaucoup d’attaques.

Vous avez également accès à une liste d’IP malveillantes qui seront d’office bloquées.

Ces tarifs sont par mois et pour un domaine, mais il existe une version Agence avec Domaines illimités pour 299 $ / an soit moins de 30 $ / mois.

Ce plugin sécurité WordPress est aux solutions tout-en-un que nous avons vues précédemment ce qu’un couteau Bowie ou Opinel est au couteau Suisse : il ne fait qu’une chose, mais il le fait bien, et la version gratuite suffit.

Bien sûr, ne faisant pas tout, il faut l’associer à d’autres plugins spécialisés, chacun œuvrant dans son domaine.

Mais, en plus des plugins, il y a aussi des précautions élémentaires à prendre et des imprudences basiques à ne pas commettre, dont nous parlerons bientôt.

12) BBQ Firewall

Il est édité par la société Plugin Planet, qui commercialise également d’autres plugins de sécurité.

Comme son nom l’indique c’est un pare feu.

Comme très souvent, il y a une version gratuite et une payante.

La version gratuite est suffisante la plupart du temps.

Et le moins que l’on puisse dire c’est que cette version est discrète et se fait oublier, tout en faisant efficacement son travail. Vous l’installez, sans aucun paramétrage, et ensuite….. vous n’en entendez plus parler !

BBQ, discret et efficace dans la catégorie Plugin Sécurité WordPress

Voici les principales fonctionnalités de la version gratuite, et une partie de celles de la payante, certaines étant masquées.

Les tarifs :

Tarifs BBQ

Les tarifs indiqués ici sont à vie.

Le tarif Personal pour un an et un site est de 15$.

13) WPS Hide Login, un rare Plugin Sécurité WordPress car entièrement Gratuit.

Que fait-il ?

Quand vous vous connectez à l’administration de votre site, si votre domaine est monsuperdomaine.com, vous allez donc aller, si vous utilisez WordPress, sur la page

https://monsuperdomaine.com/wp-login.php

Et le problème c’est que tout le monde le sait, y compris les hackers stagiaires.

L’idée est donc de modifier le wp-login.php en autre chose. Ceci de façon à ce que les pirates et leurs bots ne puissent pas même se connecter à votre page de connexion pour craquer votre mot de passe. Et c’est ce que fait ce plugin.

Vous choisissez par quel terme remplacer wp-login.php et le plugin va s’en charger.

Pour cela, une fois le plugin installé il faut vous rendre dans le panneau d’administration de WordPress, dans Réglages/Général.

Puis scrollez jusqu’en bas.

WPS Hide Login

Dans le champ ‘’URL de Connexion’’ remplacez le mot ‘’login’’ par un autre plus inhabituel qui ne viendra pas à l’esprit d’un hacker : par contre, ATTENTION, inutile de préciser que vous devrez noter soigneusement le mot ou le terme employé sous peine de ne plus pouvoir accéder à votre site !

De cette façon il ne pourra accéder à votre page de login et ne sera pas en mesure de craquer votre mot de passe.

Dans le champ URL de redirection vous pouvez tout simplement mettre votre page d’accueil en laissant le champ vide, ou, si vous êtes taquin, l’adresse de Wikipédia.

Note : Dans cet article  »Tutoriel pour créer un Blog WordPress Pas à Pas et de A à Z » j’explique exactement comment configurer les plugins suivants :

  • Limit Login Attemps Reload,
  • BBQ Firewall,
  • SF Move Login,
  • Really Simple SSL,
  • Updraft Plus

14) Really Simple SSL

Ce plugin, lui aussi en versions gratuite et payante, vous permet de configurer plus facilement la sécurisation de vos connexions pour les passer en https au lieu de http.

La version gratuite suffit, malgré les alertes intempestives qu’elle vous envoie afin de vous faire passer en version payante.

Vous pouvez retrouver la configuration exacte dans l’article mentionné plus haut.

15) Et le dernier est ….. Updraft Plus !!!

Non pas un Plugin Sécurité WordPress mais un plugin de Sauvegarde.

Mais si votre site se fait attaquer et détruire, il peut vous sauver la mise !

Car avant la catastrophe il aura eu le temps de faire quelques sauvegardes de votre site qui ne demanderont qu’à être restaurées.

Encore faut-il bien le configurer.

Tout est décrit dans l’article cité ci-dessus, voici tout de même quelques conseils.

Tout dépend de la fréquence de vos travaux sur votre site.

Si vous n’y travaillez et n’y apportez des modifications qu’une fois par semaine, il est inutile de faire une sauvegarde par jour. Dans ce cas vous pouvez programmer 2 sauvegardes automatiques par semaine.

Si par contre vous y travaillez et le modifiez presque tous les jours, alors programmez une sauvegarde quotidienne.

Demandez au plugin de vous envoyer un rapport par mail, qui vous confirmera que tout s’est bien passé. Ainsi vous pourrez intervenir manuellement si ce n’est pas le cas.

Gardez vos sauvegardes un certain temps, ne les faites pas supprimer trop vite. Personnellement j’en garde 30, les plus anciennes étant supprimées lors de l’arrivée des nouvelles.

La mesure de sécurité la plus importante : les sauvegardes.

L’idée est que, si vous partez en vacances ou ne regardez pas votre site pendant un mois, vous ne retrouviez pas au retour un tas de ruines avec des sauvegardes ….

… Du tas de ruines !!!

Les ‘’bonnes’’ sauvegardes, datant de l’époque ou votre site était encore valide, ayant été éliminées au fur à mesure de l’arrivée de ‘’mauvaises’’ sauvegardes.

Un espace de sauvegarde suffisant.

Cela sous -entend d’avoir un espace de stockage suffisant – donc le plus souvent payant !

Mais la sécurité de votre site est à ce prix.

L’espace le plus simple à configurer, comme je l’explique dans l’article, est Google Drive, car la connexion se fait en 2 clics par l’intermédiaire de votre compte Google, celui de Gmail et de Youtube.

Mais il y a aussi Dropbox, Microsoft OneDrive, et bien d’autres.

Je vous ai dit que je gardais systématiquement 30 sauvegardes, et je reconnais que c’est un peu extrême, mais mieux vaut plus que moins, et en cas d’attaque il vaut mieux pouvoir remonter un peu loin car on a plus de chances de tomber sur une version saine du site et de ses fichiers.

Car si votre site est attaqué et mis par terre, il faudra scanner sérieusement les sauvegardes afin d’être sûr que les fichiers de celle que vous restaurerez ne seront pas corrompues et infectées.

Par ailleurs le contenu du site, les articles, doivent être conservés, à part du site, sous forme de fichiers (Word ou Google Docs ou ce que vous voulez), et les graphismes également.

Et sauvegardés sur une plateforme de stockage.

Une ? En fait …. J’en ai trois !

J’ai une copie du site (et des dossiers des articles, des images, etc …) sur un disque dur externe chez moi, une seconde copie se trouve sur Google Drive, et une troisième chez Dropbox !

Une sauvegarde manuelle après chaque intervention.

Ah j’oubliais…. Chaque fois que je travaille sur ce site (ou sur un autre) je fais immédiatement une sauvegarde manuelle afin d’être sûr de ne pas perdre mon travail de la journée, si une attaque détruisait le site avant que la sauvegarde quotidienne automatique n’ait lieu.

Et je fais cette sauvegarde avec un autre plugin de sauvegarde, All In One WP Migration, avec lequel j’ai mes habitudes. Ce plugin comporte une partie gratuite limitée à quelques centaines de Mo. La version payante est illimitée. Elle est assez onéreuse mais vous pouvez l’acquérir, comme moi, en version GPL pour 3 € environ.

Et une sauvegarde manuelle, c’est ce que je ferai dès la publication de cet article, ce 24 Décembre 2022.

En fait, je le répète, bien au-delà de tous les plugins de sécurité, sauvegarder son site et ses fichiers très régulièrement est pour moi LA mesure de sécurité la plus importante.

Cela vous assure de pouvoir restaurer votre site intégralement.

Un site à problèmes sur l'IP = IP Blacklistée = VOTRE site pénalisé.

Vous tenez un blog avec amour, vous y travaillez régulièrement et il prend de l’ampleur.

Bien sûr, vous ne faites pas de Blackhat, et Google n’a, objectivement, rien à vous reprocher.

Un jour, brusquement, vous vous apercevez que votre site a plongé dans les profondeurs du classement.

Que se passe-t-il donc ? Vous n’avez rien fait de mal et vous êtes pénalisé ?

 

Plugin Sécurité WordPress et sauvegardes

Menons l’enquête : la première chose à faire, et la plus rapide, est de savoir si votre Nom de Domaine et/ou votre IP ne sont pas blacklistées, c’est-à-dire sur des listes noires de services qui répertorient les domaines et les IP sur lesquelles ont eu lieu des activités illicites (spamming, etc …).

Pour cela allons sur le site mxtoolbox.com et passez vos Noms de Domaine et IP à la loupe.

Note : je décris toute la procédure dans mon article  »Comment créer un blog pour 4€ ».

Horreur !!!!!!  Votre IP est blacklistée !

Que s’est-il passé ?

Votre site est hébergé  -chez un hébergeur donc-  et sur la même IP il y a de nombreux autres sites.

Et l’un d’eux appartient à un petit filou se livrant à des activités répréhensibles. Son Nom de Domaine a été blacklisté, mais aussi l’IP sur laquelle il se trouve.

C’est-à-dire la vôtre !

Et du coup vous êtes aussi pénalisé …

Que faire ?

  • Contacter l’hébergeur et lui demander de vous changer d’IP.
  • Contacter le service qui vous a blacklisté, lui expliquer la situation, et demander à être sorti de la liste noire.

Que faire après ?

Et à plus long terme ? Se poser une question, du moins si votre site est important pour vous, si c’est un Money Site, si vous avez des vues professionnelles à son égard.

La question de savoir s’il est pertinent pour vous de prendre un hébergement avec lequel vos sites seront les seuls sur l’IP.

Peut-être pas un serveur dédié qui représente un cout certain, mais tout simplement un VPS (serveur virtuel) pour moins de 10 €/mois, payable mensuellement.

Si vous souhaitez en savoir plus, et être en capacité d’installer votre blog sur un VPS, lisez mon article ‘’Comment créer un blog pour 4 €’’.

J’y décris toute la procédure et vous explique même comment obtenir un Nom de Domaine en .com ou .fr pour 1€.

A savoir : certains hébergeurs de VPS laissant la libre disposition du port 25 à leurs clients peuvent voir leurs IP blacklistées UCEPROTECTL3.

C’est le cas de Contabo, Digital Ocean et même OVH.

Mais ce n’est pas gênant, Google n’en tient pas compte pour son référencement.

Plugin Sécurité WordPress ; une COMBINAISON GRATUITE pour vos débuts !

Nous arrivons au bout de cet article.

J’ai trois remarques à faire concernant la sécurité ;

1)  Choisissez des identifiants originaux (ni admin ni votre prénom) et des mots de passe forts (Majuscules + minuscules + chiffres + caractères spéciaux)

2) Si votre site n’est pas un site professionnel, qu’il n’est pas vraiment vital pour vous et que votre budget est limité, alors vous pouvez parfaitement opter pour une solution 100% gratuite.

Par exemple une association Limit Attempts Login Reloaded + BBQ Firewal + SF Move Login + Really Simple SSL, qui se révèle efficace et que j’utilise moi-même pour mes petits sites comme celui-ci.

3) Pour un site professionnel, ou pour un site dont vous voulez protéger le contenu, vous pouvez par exemple vous servir de AIOS qui possède, outre le reste, une fonction de protection de contenu et qui supprime les flux RSS. Cela compliquera la tâche du hacker, ou d’un voleur de contenu qui pourra difficilement se servir de méthodes automatisées et devra aller fouiller manuellement dans votre code HTML.

Sa version gratuite est déjà conséquente, et si vous optez pour la version payante vous pourrez protéger de nombreux sites sans que cela ne vous coute trop cher.

Et si vous n’êtes pas convaincu(e) par AIOS, vous avez le choix parmi ceux que nous venons de voir.

L’important est de passer à l’action et de choisir une solution efficace qui vous convienne !

Conclusion.

J’espère que cet article concernant les plugins Sécurité WordPress vous aura été utile.

La cybersécurité à elle seule est un métier : sans prétendre tout connaître il est néanmoins vital d’en apprendre quelques rudiments afin de protéger ses sites efficacement, du moins relativement.

C’est pourquoi choisir de bons plugins de sécurité est important.

Et si vous souhaitez avoir des informations complémentaires, vous pouvez consulter les articles suivants :

[elementor-template id="1339"]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *