Bleu et Blanc Coloré Dégradé Musique YouTube Miniature (9)

Connaissez-vous le plugin de sécurité : Sucuri ?

by with One Comment AstucesPluginWordpress

À l’instar des plugins iTheme Security et WordFence, aujourd’hui, je vous propose une présentation du plugin Sucuri Security – Auditing, Malware Scanner and Hardening.

Un plugin pour auditer la sécurité en 12 points

Une fois l’installation et l’activation du plugin effectuées, vous pourrez constater que par défaut, WordPress contient certaines lacunes en matière de sécurité.

Sucuri vous aide à combler les failles de WordPress

L’idéal est, d’utiliser cette section, le plus tôt possible (par exemple, juste, après l’installation de WordPress) et voici pourquoi :

  1. Sucuri, vérifie que votre version de WordPress est à jour. (Premier point essentiel).
  2. Le plugin vérifie, l’éventuelle installation d’un firewall lié à votre site. En cas de recherche infructueuse, Sucuri vous propose, en version premium, l’installation de son propre firewall. Veuillez noter que les prestations premium de ce plugin ne s’adresse pas au petit budget.
  3. Sucuri vérifie, si la version de WordPress est visible en mode public et vous propose de camoufler le numéro de version, le cas échéant. Moins, vous donnerez d’indices aux hackers ou autres sur votre CMS, mieux cela vaudra.
  4. Sucuri vous propose de restreindre l’accès à la possibilité exécuter du code php depuis le répertoire upload de WordPress. Attention, certains plugins nécessitent de lever cette restriction pour bien fonctionner.
  5. Sucuri peut même, dans certains cas vous proposer de bloquer, l’accès, au répertoire Wp-content. Il s’agit d’une option que je déconseille d’activer pour différentes raisons. Vos images et l’exécution des fonctionnalités de vos thèmes WordPress risquent de ne plus être accessibles. Votre site semblera cassé.
  6. Le plugin de sécurité WordPress vous propose d’imposer certaines restrictions d’accès au répertoire wp-includes
  7. J’apprécie le plugin de Sucuri pour l’option suivante. Il permet de vérifier la version du PHP utilisé sur votre serveur pour votre site.
  8. Sucuri vérifie l’état de vos clés permettant de définir l’accès à votre site ou blog sous WordPress. Ces clés vous aident, par exemple, à générer, aléatoirement et de manière renforcée des mots de passe très difficiles à craquer.
  9. Le plugin supprime le fichier txt indiquant le véritable numéro de version de votre version de WordPress.
  10. Sucuri vérifie l’existence d’un éventuel compte administrateur avec l’id admin et vous propose une procédure le cas échéant pour le supprimer.
  11. Il vous permet de bloquer l’édition de plugin et vos thèmes depuis WordPress pour renforcer la sécurité de votre site.
  12. Sucuri vous avertit si le préfixe des tables de la base de données est celui par défaut ( wp_ ). Attention, si vous souhaitez modifier ce préfixe pour vos tables, il vous faudra, certainement modifier la ligne adéquate du fichier config.php pour faire correspondre la base de données avec avec les fichiers de votre site sur votre serveur. Dans le cas contraire, vous n’aurez certainement plus accès à votre blog.

Un plugin pour savoir si votre site est sain

L’onglet Malware Scan de Sucuri vous permet rapidement d’analyser votre site à la recherche de codes malveillants. Malheureusement, en cas de résultat positif, Sucuri ne vous offre pas le moyen de corriger gratuitement le code infecté. Pour cela, il faut passer par des prestations premium.

Onglet Dashboard

Cet onglet récapitule tous les changements effectués sur votre site (de la tentative de connexion, au changement de thème, en passant par la mise à jour d’un article, par exemple).

Très pratique , en cas de piratage, cet onglet vous présente des logs complémentaires à ceux de votre serveur pour bien diagnostiquer une panne ou un piratage.

Ne soyez pas affolé par cette section, les tentatives infructueuses de connexions, avec les identifiants admin et le nom de domaine, sont très courantes.

Menu Setting

C’est un menu très important à bien paramétrer selon vos besoins. Pensez à désactiver la notification par mail pour toutes les tentatives de connexion infructueuses sinon vous allez être inondés de mails. Pensez, par contre à la notification, par mail, de tentative de connexion réussie.

Vous avez d’autres options intéressantes, mais sachez que le plugin est en anglais.

Onglet Post Hack

En cas de piratage et de restauration de votre site, cette section peut s’avérer utile pour réinitialiser des plugins, des mots de passe et les clés spécifiques à WordPress. Attention, tout de même, cette section n’est à utiliser, qu’en cas d’extrême nécessite.

Ce que j’aurais souhaité en matière de sécurité

Même si cette présentation du plugin Sucuri Security – Auditing, Malware Scanner and Hardening n’est pas exhaustive, voici quelques éléments que j’aurais voulu voir dans ce plugin.

Pour moi, il manque, un point important : la possibilité de changer les URLs de connexion et d’inscription sous WordPress (wp-admin, wp-login…). Que cela ne tienne, vous pouvez utiliser le plugin WPS Hide Login pour combler ce manque.

Enfin, j’aurais aimé une section plus poussée pour l’analyse du site, un peu comme celle de Wordfence. Ce dernier peut nous aider gratuitement même à désinfecter un site, le cas échéant.

J’aurais aussi aimé trouver un filtre pour gérer les crawlers (robots) qui tenteraient d’exploiter des failles liées aux erreurs 404 comme dans Wordfence.

Enfin pour terminer, j’aurais aimé, une gestion plus explicite, des attaques de type brute Force.

Toujours est-il qu’aucun plugin de sécurité WordPress n’est infaillible, mais ce n’est pas pour autant qu’il faut négliger leur configuration. Si vous hésitez dans votre choix, en matière de plugin pour sécuriser votre site sous WordPress, je vous invite à essayez ses deux plugin

  • iTheme Security
  • WordFence
Bleu et Blanc Coloré Dégradé Musique YouTube Miniature

Qu’est qu’un plugin WordPress ?

by with No Comment AstucesPluginWordpress

WordPress – système de gestion de contenu gratuit, libre et open-source – vient avec un certain nombre de fonctionnalités natives, telles que la gestion des pages, des utilisateurs, du blog, etc.

Pour personnaliser un site WordPress, on dispose de 2 outils : les thèmes et les plugins. Le thème, obligatoire, va apporter la couche graphique principale du site tandis que les plugins, optionnels, vont apporter des fonctionnalités additionnelles au site WordPress.

Dans cet article, nous allons nous concentrer sur la définition d’un plugin.

Définition d’un plugin

Un plugin WordPress est un module additionnel à WordPress qui peut étendre les fonctionnalités de votre site internet ou en ajouter de nouvelles.

Les plugins WordPress sont écrits en langage de programmation PHP et intégrés avec WordPress. Dans la communauté WordPress, on dit d’ailleurs “il y a un plugin pour tout”.

Certains peuvent par exemple transformer votre site en une boutique e-commerce, c’est le cas de WooCommerce. Ou bien ajouter votre flux Instagram, ou Twitter.

Ils simplifient l’ajout de fonctionnalités à un site internet sans qu’aucune ligne de codes ne soit requise.

Il existe des centaines de plugins disponibles gratuitement dans le répertoire officiel de plugins WordPress. On trouve également des plugins payants.

3 cas de figure pour utiliser un plugin :

  • il est payant et il suffit d’acheter le plugin
  • il est gratuit et on peut acheter la licence pour avoir toutes les fonctionnalités
  • il est gratuit et on peut acheter des plugins additionnels pour ajouter encore d’autres fonctionnalités

Exemple de plugins WordPress

Voici une liste de quelques plugins forts utiles et gratuits selon leurs fonctionnalités :

  • Gérer les formulaires : Contact Form 7 ou Ninja Forms

Ce sont des extensions qui vous permettent de créer simplement des formulaires. Vous pouvez les coupler au mécanisme de sécurité Recaptcha de Google.

  • Pour une bonne bonne sécurité : Wordfence ou Sucuri Security

Ces plugins vous permettent de rendre votre site internet plus sécurisé. Ces plugins sont appelés plugin freemium. Ils possèdent des fonctions de bases qui sont gratuites et certaines sont réservées aux utilisateurs premium.

  • Pour améliorer votre référencement naturel : Yoast SEO ou All in One SEO

Ce sont des extensions très complètes dans le domaine du référencement naturel. Leur utilisation est assez simple et permet d’avoir une meilleure vision de vos SERPs, de modifier vos métas-données (titre et description de pages).

  • Pour optimiser votre cache : WP Fastest Cache ou WP Super Cache

Le cache permet de garder en mémoire les pages d’un site déjà chargé et améliore ainsi la vitesse de chargement des pages.

  • Traduction du site : Polylang ou WPML (payant)

Ce sont des plugins assez pratiques qui vous permettent de rendre le site multi-langue et ainsi de toucher votre cible selon la langue parlée et lue.

Installer un plugin WordPress

En tant qu’administrateur de site, vous pouvez installer/désinstaller des plugins depuis l’interface d’administration. Vous pouvez aussi les télécharger et les installer manuellement en utilisant un FTP client.

Parce que la majorité des plugins sont gratuits, il est important de noter que le support technique n’est pas prévu. Pour cette raison, il est important de faire attention au choix des plugins à installer sur votre site. On peut toutefois solliciter les concepteurs des plugins mais il n’y a pas de garantie de réponse. Ou bien la communauté directement, via les différents forums de discussions sur WordPress.org ou sur les sites d’aide, tel que Stackoverflow.

De nombreux plugins feront le job, mais certains de manière plus qualitative que d’autres ! Afin de choisir les bons plugins, posez-vous quelques questions :

  • Depuis combien de temps tel plugin n’a pas été mis à jour ? Si le plugin n’a pas été mis à jour depuis plus d’un an, prêtez attention.
  • Est-il compatible avec la dernière version de WordPress ? Si l’information n’est pas actualisée, il y a des risques pour que cela ne soit pas compatible.
  • Est- ce que les utilisateurs obtiennent un support en cas de questions ? Nous vous invitons à jeter un cou d’oeil sur le forum et sur les avis pour en savoir plus.
  • Est-il bien noté ? En dessous de 3 étoiles, méfiez-vous, il n’est sûrement pas aussi complet ou fiable qu’indiqué.

Est-ce que ce plugin ne va pas ralentir mon site ?

Il existe un mythe qui dit que les plugins WordPress ralentissent votre site. En effet, comme chaque plugin est développé par des développeurs différents, il y en a certains qui sont mal conçus et provoquent ce type de problème, dans certains cas de figure. Fiez-vous avant tout aux plugins disponibles sur le site de WordPress car ceux-ci sont testés régulièrement par la communauté WordPress.

Attention cependant, l’utilisation de trop de plugins peut alourdir ou faire dysfonctionner le site (s’il y a des conflits entre 2 plugins par exemple). Choisissez les plugins qui vont vraiment vous servir !

Si après avoir installé un plugin, vous constatez que votre site met plus de temps à charger ou bien provoque un dysfonctionnement sur votre site, c’est peut être qu’il vous faudra faire le tri parmi ceux-ci. D’ailleurs, découvrez ici comment accélérer la vitesse de votre espace d’administration WordPress.