Besoin de trouver les meilleurs plugins WordPress de sécurité pour protéger votre site web des hackers ? Découvrez-les dans cet article.
Lorsque vous vous investissez pleinement dans un site web, vous tenez à le protéger. Si votre site représente votre entreprise ou vous aide à gagner de l’argent, vous devez le sécuriser.
C’est là que les plugins de sécurité WordPress entrent en jeu.
WordPress est une plateforme sécurisée. Cependant, avec environ 455 millions de sites web qui l’utilisent, la tentation est grande d’essayer de pirater, d’attaquer ou de causer des problèmes.
Il est donc fortement recommandé à chaque propriétaire de site web d’utiliser au moins un plugin de sécurité.
Sachant que plus de 30 000 sites web sont piratés chaque jour et que 64 % des entreprises subissent des cyberattaques, il est essentiel que vous puissiez protéger votre site web.
Les plugins de sécurité ajoutent des fonctionnalités supplémentaires telles que des pare-feu, la recherche de logiciels malveillants et la possibilité de bloquer automatiquement les adresses IP qui tentent de vous attaquer.
Il existe des dizaines de plugins de sécurité pour WordPress. Certains sont gratuits et d’autres payants, mais lequel choisir ?
C’est la question à laquelle cet article tentera de répondre.
Si vous êtes pressé, vous pouvez consulter la liste en dessous – mais nous vous recommandons de lire l’intégralité de l’article pour mieux comprendre ce que fait chaque outil :
| Plugin | Purpose | Free Option? | Price for Pro |
| Sucuri | Pare-feu niveau DNS + sécurité renforcée | oui | $16.66 /Month |
| WebARX | Pare-feu niveau application + monitoring des failles de sécurité | non | $14.99 /Month |
| Wordfence | Renforcement sécurité, sécurité de connexion, pare-feu niveau application + analyse des logiciels malveillants | oui | $99 / Year |
| MalCare | Analyse des logiciels malveillants + pare-feu de base et renforcement de la sécurité | oui | $99 / Year |
| Cloudflare | Sécurité au niveau du DNS | oui | $20 / Month |
| iThemes Security | Renforcement de la sécurité, sécurisation des connexions et analyse des logiciels malveillants | oui | $80 / Year |
| All In One WP Security & Firewall | Renforcement de la sécurité + protection de la connexion | oui | N/A – 100% Free |
| Cerber Security | Renforcement sécurité, protection de la connexion, pare-feu niveau application + analyse des logiciels malveillants | oui | $99 / Year |
| VaultPress | Sauvegardes + analyse des logiciels malveillants | oui | $39 / Year |
| Security Ninja | Renforcement basic de la sécurité + analyse des logiciels malveillants | oui | $39 / Year |
Il convient d’expliquer la différence entre un plugin qui fonctionne au niveau de l’application et un pare-feu qui fonctionne au niveau du DNS avant d’aborder les plugins de sécurité ci-dessous.
Comprendre comment le Pare-feu et les plugins vous protègent
Un pare-feu bloque les menaces en filtrant automatiquement les adresses IP et les actions malveillantes. Par exemple, si un robot malveillant tente d’accéder à votre page de connexion pour lancer une attaque par force brute, un pare-feu bloquera ce robot avant même qu’il ne puisse charger votre page.
Deux types de pare-feu sont présentés dans cet article :
- Pare-feu niveau DNS
- Pare-feu au niveau du plugin (c’est-à-dire un pare-feu qui fonctionne au niveau de l’application)
Nous recommandons l’utilisation d’un pare-feu au niveau DNS car il filtre les menaces avant même qu’elles n’atteignent votre serveur. Si vous utilisez un pare-feu au niveau du plugin, le pare-feu ne commencera à fonctionner qu’une fois que la menace aura atteint votre serveur.
Cependant, les plugins de sécurité WordPress qui fonctionnent au niveau de l’application sont toujours bénéfiques parce qu’ils peuvent vous aider à mettre en œuvre…
- Renforcement de base, par exemple en désactivant l’édition de fichiers, en appliquant des permissions de fichiers correctes, etc.
- renforcement a la connexion, par exemple en limitant les tentatives de connexion, les CAPTCHA, l’authentification à deux facteurs, etc.
- Analyse des logiciels malveillants et de l’intégrité des fichiers pour détecter les fichiers malveillants sur votre serveur
- Consignation de l’activité de l’utilisateur
Pour de meilleurs résultats, nous recommandons de combiner un pare-feu au niveau DNS avec un plugin de sécurité WordPress :
- Le pare-feu filtrera de nombreuses menaces avant même qu’elles n’atteignent votre serveur.
- Le plugin garantira que votre site est plus à même de résister aux menaces qui parviennent à traverser le pare-feu.
Les meilleurs plugins WordPress de sécurité
Sucuri
Plugin de sécurité WordPress le mieux noté
Sucuri propose deux outils de sécurité pour WordPress :
- Un plugin gratuit de renforcement de la sécurité sur WordPress.org
- Un pare-feu payant au niveau du DNS et un service CDN
Il s’agit de la même approche que celle recommandée – associer un plugin de renforcement de la sécurité à un pare-feu au niveau du DNS.
Le plugin gratuit de WordPress.org vous aidera à
- surveiller l’intégrité des fichiers
- Mettre en œuvre les meilleures pratiques de renforcement de la sécurité
- surveiller votre site dans Google Safe Browsing
Quant au service de pare-feu premium, il filtrera automatiquement les menaces au niveau du DNS et vous protégera contre les attaques DDoS. Le service de pare-feu comprend également un CDN, qui peut vous aider à accélérer vos temps de chargement globaux.
Le service de pare-feu et de CDN est proposé à partir de 16,66 $ par mois et par site. Vous pouvez également opter pour la plateforme complète de Sucuri, qui inclut des analyses de logiciels malveillants et des nettoyages de sites piratés dans le cadre d’offres plus onéreuses.
WebARX
WebARX est une plateforme de sécurité de site web sur le cloud qui permet de gérer très facilement la sécurité de plusieurs sites WordPress à partir d’un tableau de bord pratique.
Le service principal de WebARX est un pare-feu au niveau application. Même si nous pensons qu’un pare-feu au niveau DNS est mieux adapté à la sécurité de WordPress, le pare-feu au niveau application de WebARX est plus complet que la plupart des autres pare-feu de ce type que vous trouverez dans les plugins de sécurité de WordPress.
En plus de ses fonctionnalités de pare-feu, WebARX implémente également des règles de sécurité spécifiques à WordPress, notamment
- Authentification à deux facteurs
- CAPTCHA
- Protection contre la force brute
- Journaux d’activité de l’utilisateur
- Surveillance des vulnérabilités des thèmes/plugins
Encore une fois, l’un des aspects les plus pratiques de WebARX est la facilité avec laquelle il permet de gérer plusieurs sites. Si vous gérez des sites web pour des clients, WebARX peut vous simplifier la tâche.
WebARX offre une période d’essai gratuite de 14 jours. Ensuite, les plans payants commencent à 14,99 $ par mois et par site.
Wordfence
D’après les chiffres, Wordfence est certainement le plugin de sécurité WordPress le plus populaire – il est actif sur plus de 3 millions de sites WordPress.
Il propose une version gratuite généreuse avec une approche complète de la sécurité de WordPress :
- Renforcement de la sécurité de base
- Protection des accès, incluant l’authentification à deux facteurs
- Analyse des logiciels malveillants et surveillance de l’intégrité des fichiers
- Un pare-feu au niveau application.
Pour ceux qui gèrent plusieurs sites WordPress, Wordfence Central propose une fonction pratique qui permet de gérer plusieurs sites à partir d’un seul tableau de bord.
Après cette généreuse version gratuite, une version Pro à $99 offre des mises à jour en temps réel du pare-feu et des signatures de logiciels malveillants, ainsi que d’autres avantages. Les signatures de la version gratuite sont retardées de 30 jours.
MalCare
MalCare est avant tout un plugin WordPress de recherche et de suppression de logiciels malveillants, bien qu’il comprenne un durcissement de base et un pare-feu au niveau application.
L’une des particularités de cet outil est son approche de l’analyse des logiciels malveillants. Plutôt que d’analyser les fichiers présents sur votre serveur, MalCare copie vos fichiers sur ses serveurs et les analyse à partir de là. L’avantage de cette approche est qu’elle ne ralentit pas votre site web.
Si MalCare trouve des problèmes, la version premium vous permet de les résoudre en un seul clic.
Outre la fonctionnalité de recherche de logiciels malveillants, MalCare offre également les avantages suivants
- un pare-feu de base au niveau application pour bloquer les adresses IP malveillantes
- Protection de la connexion par CAPTCHA
- Le renforcement de la sécurité de base, comme la désactivation de l’édition de fichiers et la protection de votre dossier de téléchargement.
Il fournit également un tableau de bord cloud qui facilite la gestion de plusieurs sites WordPress.
Vous pouvez tester l’analyse des logiciels malveillants avec un plugin gratuit limité sur WordPress.org. La version Pro est disponible à partir de 99 $ par an.
Cloudflare
Cloudflare est un proxy inverse qui peut aider à sécuriser et accélérer votre site WordPress. Comme Sucuri, il est capable de sécuriser votre site au niveau des DNS pour arrêter les menaces avant même qu’elles n’atteignent votre serveur.
Avant d’utiliser Cloudflare, vous devez modifier les serveurs de noms de domaine pour qu’ils pointent vers les serveurs de noms de Cloudflare. Cloudflare filtrera ensuite automatiquement le trafic des robots malveillants et accélérera votre site grâce à un CDN mondial.
Les deux atouts uniques de Cloudflare sont les suivants :
- Son exhaustivité. Cloudflare ne se limite pas à la sécurité, c’est aussi un excellent outil d’optimisation des performances.
- Flexibilité. Grâce au tableau de bord de Cloudflare, vous pouvez définir vos propres règles de sécurité personnalisées et modifier le niveau de sécurité global de votre site. Par exemple, vous pouvez appliquer une sécurité plus stricte à la seule zone d’administration de WordPress.
Cloudflare propose un service gratuit qui offre une protection de base au niveau du DNS (et du CDN). Toutefois, si vous souhaitez accéder au pare-feu d’application web au niveau DNS de Cloudflare, vous devez souscrire à l’offre Pro, d’une valeur de 20 $ par mois.
iThemes Security
iThemes Security est un plugin freemium qui vous aide à mettre en place un renforcement de la sécurité et une analyse des fichiers.
La version gratuite sur WordPress.org vous aide à
- Protéger votre page de connexion en limitant les tentatives de connexion et en imposant des mots de passe forts.
- Renforcer la sécurité de WordPress en désactivant l’édition de fichiers, en modifiant les permissions de fichiers, etc.
- Vérifier votre site par rapport aux listes noires de logiciels malveillants pour détecter les problèmes.
Ensuite, la version Pro peut vous aider avec :
- Analyse des logiciels malveillants et surveillance de l’intégrité des fichiers
- Plus de protection de la connexion avec des CAPTCHAs et une authentification à deux facteurs
- Enregistrement de l’activité de l’utilisateur
Vous pouvez également coupler iThemes Security avec iThemes Sync si vous avez besoin de gérer plusieurs sites web.
iThemes Security n’inclut pas de pare-feu. En fait, le développeur recommande spécifiquement de le coupler avec le pare-feu au niveau DNS de Sucuri, bien que nous pensions qu’il fonctionne également bien avec Cloudflare.
iThemes Security Pro est disponible à partir de 80 $ par an.
All In One WP Security & Firewall
Actif sur plus de 800 000 sites, All In One WP Security & Firewall est l’un des plugins de sécurité WordPress les plus populaires. Il est également 100 % gratuit, ce qui contribue à sa popularité.
Malgré son nom, All In One WP Security & Firewall ne comprend pas de pare-feu puissant. Ce que le plugin appelle un pare-feu n’est en fait qu’un ensemble de règles .htaccess. Bien que ces règles soient utiles, elles ne sont pas les mêmes que celles de Sucuri.
Ce que le plugin fait bien, c’est mettre en œuvre une tonne de pratiques efficaces de renforcement de la sécurité de WordPress, comme :
- Désactivation de l’édition de fichiers dans le tableau de bord
- Identifier les fichiers et les dossiers avec des permissions de fichiers incorrectes
- Bloquer l’accès à votre fichier journal de débogage
- Contrôler l’intégrité des fichiers pour les fichiers principaux de WordPress
Il comprend également un grand nombre de fonctionnalités de renforcement de la sécurité comme :
- Limiter les tentatives de connexion
- Déconnexion automatique des utilisateurs
- Liste blanche ou liste noire d’adresses IP
- CAPTCHA
Par conséquent, il peut s’agir d’une bonne option gratuite à associer à un pare-feu au niveau du DNS.
Cerber Security
Cerber Security est un plugin de sécurité freemium populaire qui, comme Wordfence, offre une approche complète de la sécurité de WordPress :
- De nombreux outils de protection de la connexion – limitation des tentatives de connexion, authentification à deux niveaux, liste blanche d’utilisateurs, CAPTCHA, etc.
- Analyse des logiciels malveillants et surveillance de l’intégrité des fichiers
- Protection anti-spam pour les formulaires d’inscription et de commentaires
- Un pare-feu d’application web au niveau de l’application et un journal du trafic en temps réel (appelé Traffic Inspector)
- De nombreuses règles de renforcement de base
Cerber Security inclut également une option permettant d'”asservir” différents sites WordPress à un site WordPress “maître”. Bien que cela ne vous donne pas un tableau de bord séparé pour tous vos sites, cela vous permet de gérer la sécurité des sites “esclaves” à partir du tableau de bord WordPress du site “maître”.
Il existe une version gratuite généreuse sur WordPress.org. Ensuite, la version Pro est proposée à partir de 99 $ / an.
VaultPress
VaultPress est un plugin de sécurité et de sauvegarde WordPress d’Automattic, l’entreprise derrière WordPress.com et Jetpack.
VaultPress est en fait deux services en un :
- Des sauvegardes automatiques quotidiennes vers un emplacement externe sécurisé, y compris un outil pour vous aider à restaurer ou à migrer votre site.
- Analyse et réparation automatique des fichiers
Il utilise la même approche que MalCare : VaultPress commence par sauvegarder vos fichiers dans son emplacement de stockage externe. Ensuite, il analyse la copie de sauvegarde de votre site à la recherche de logiciels malveillants et d’autres menaces. S’il trouve quelque chose, il propose un outil de réparation automatique des fichiers.
Vous devriez toujours associer VaultPress à un pare-feu et à un renforcement de la sécurité de base, mais il fait un excellent travail pour garder les données de votre site en sécurité et à l’abri des logiciels malveillants.
VaultPress fait partie de l’offre Jetpack Personal, qui coûte 39 $ par an.
Security Ninja
Security Ninja est un plugin de sécurité WordPress facile à utiliser qui vous aide à mettre en œuvre certains des principes de renforcement de la sécurité les plus populaires de WordPress.
La version gratuite sur WordPress.org effectue plus de 50 tests et vous donne des conseils sur la façon de résoudre les problèmes (comme la fourniture d’un extrait de code pour désactiver l’édition de fichiers).
Ensuite, la version Pro peut corriger automatiquement ces problèmes et ajoute également d’autres outils tels que :
- l’analyse des logiciels malveillants et la surveillance de l’intégrité des fichiers
- un pare-feu au niveau de l’application (qui bloque plus de 600 millions d’adresses IP malveillantes connues)
- le suivi de l’activité de l’utilisateur.
La version Pro est proposée à partir de 39 $.
Parce qu’elle vous aide à mettre en œuvre un grand nombre de règles de renforcement de la sécurité de base, cette version peut être une bonne option à associer à un pare-feu au niveau du DNS comme Sucuri ou Cloudflare.
SecuPress Pro
SecuPress Pro fonctionne comme beaucoup d’autres plugins de sécurité WordPress. Il s’installe rapidement, scanne votre site web à la recherche de vulnérabilités et propose des conseils pour remédier à ces vulnérabilités.
SecuPress dispose d’un tableau de bord simple mais efficace qui montre tout ce qui se passe, les vulnérabilités détectées, les modules en cours d’exécution et tout ce que vous devez savoir sur la sécurité de votre site web. Il peut également générer des rapports PDF sur l’état de santé du site.
Les fonctions de sécurité de WordPress comprennent
- Analyse de l’état du site et rapports
- Limitation des tentatives de connexion
- Recherche de logiciels malveillants et de plugins et thèmes vulnérables
- Liste noire d’adresses IP et de lieux géographiques
- Alertes par e-mail ou Slack en cas de problème
Il existe une version gratuite de SecuPress et une version premium, toutes deux offrant un pare-feu et une défense en profondeur. La version pro ajoute beaucoup plus de protection. Les plans premium coûtent 69,99 $ par an et par site.
BulletProof Security
BulletProof Security est un plugin WordPress de sécurité plus pratique. Le design n’est pas le point fort de ce plugin, mais la protection l’est. Il est livré avec un large éventail de fonctionnalités, y compris la plupart de ce dont vous avez besoin pour protéger votre site web.
BulletProof Security offre une sécurité de connexion, des sauvegardes et restaurations de bases de données, une recherche de logiciels malveillants, une protection contre le spam, des outils anti-piratage, un journal de sécurité, des protections contre les exploits et un verrouillage des fichiers FTP.
BulletProof Security aide à sécuriser WordPress avec :
- Des protections puissantes couvrant la plupart des vecteurs d’attaque
- Vidéo d’installation montrant comment tout fonctionne
- Journalisation de la sécurité
- Outils de sauvegarde et de maintenance de la base de données
- Outils FTP et de protection des fichiers
Il existe une version gratuite de BulletProof Security qui offre l’essentiel de ce dont vous avez besoin. Il existe également une version Pro qui coûte 69,95 $ en une seule fois pour une utilisation sur un nombre illimité de sites web.
Le meilleur plugin WordPress de sécurité le plus adapté à vos besoins
Si votre site web est important pour votre entreprise, ou si vous gérez des sites web pour des clients, il est logique d’investir dans la sécurité de votre site web.
Bien qu’il ne soit jamais agréable de dépenser de l’argent pour quelque chose sans retour direct, les dommages d’un site web piraté peuvent dépasser de loin le coût de ce que vous dépensez pour une sécurité WordPress proactive.
Le meilleur investissement que vous puissiez faire est de combiner le plugin gratuit Sucuri avec le service payant de pare-feu et de CDN Sucuri, qui démarre à seulement 10 $ par mois.
Sucuri est très facile à utiliser, est fréquemment mis à jour et fournit les outils de sécurité de base pour protéger votre site. Le pare-feu payant offre une protection contre les attaques DDoS et le CDN garantit un chargement rapide de votre site web.
Il s’agit d’une combinaison puissante qui offre à la fois un renforcement de base et une protection proactive et qui, associée à d’autres bonnes pratiques de sécurité WordPress, devrait assurer la sécurité de votre site.
Si vous disposez d’un budget limité, le plugin gratuit iThemes Security constitue une autre bonne option. Il comprend une série d’outils de protection, notamment des limites de connexion, des contrôles de l’édition des fichiers et une application stricte des mots de passe.
Il n’inclut cependant pas la recherche de logiciels malveillants ni l’authentification à deux facteurs.
Une autre option que nous recommandons est Wordfence. Il existe une version gratuite et une version premium, toutes deux dotées d’un pare-feu, d’une protection de la connexion, d’une authentification à deux facteurs, d’une recherche de logiciels malveillants et d’autres protections.
La version Pro offre davantage d’outils ainsi qu’une surveillance et une protection en temps réel.
Vous avez des questions sur le plugin qui convient le mieux à votre situation ? Laissez un commentaire et trouvons une solution ensemble !
Et si vous connaissez un utilisateur de WordPress qui a besoin d’aide en matière de sécurité, partagez cet article avec lui pour lui éviter un gros mal de tête.
