Bleu et Blanc Coloré Dégradé Musique YouTube Miniature (9)

Connaissez-vous le plugin de sécurité : Sucuri ?

À l’instar des plugins iTheme Security et WordFence, aujourd’hui, je vous propose une présentation du plugin Sucuri Security – Auditing, Malware Scanner and Hardening.

Un plugin pour auditer la sécurité en 12 points

Une fois l’installation et l’activation du plugin effectuées, vous pourrez constater que par défaut, WordPress contient certaines lacunes en matière de sécurité.

Sucuri vous aide à combler les failles de WordPress

L’idéal est, d’utiliser cette section, le plus tôt possible (par exemple, juste, après l’installation de WordPress) et voici pourquoi :

  1. Sucuri, vérifie que votre version de WordPress est à jour. (Premier point essentiel).
  2. Le plugin vérifie, l’éventuelle installation d’un firewall lié à votre site. En cas de recherche infructueuse, Sucuri vous propose, en version premium, l’installation de son propre firewall. Veuillez noter que les prestations premium de ce plugin ne s’adresse pas au petit budget.
  3. Sucuri vérifie, si la version de WordPress est visible en mode public et vous propose de camoufler le numéro de version, le cas échéant. Moins, vous donnerez d’indices aux hackers ou autres sur votre CMS, mieux cela vaudra.
  4. Sucuri vous propose de restreindre l’accès à la possibilité exécuter du code php depuis le répertoire upload de WordPress. Attention, certains plugins nécessitent de lever cette restriction pour bien fonctionner.
  5. Sucuri peut même, dans certains cas vous proposer de bloquer, l’accès, au répertoire Wp-content. Il s’agit d’une option que je déconseille d’activer pour différentes raisons. Vos images et l’exécution des fonctionnalités de vos thèmes WordPress risquent de ne plus être accessibles. Votre site semblera cassé.
  6. Le plugin de sécurité WordPress vous propose d’imposer certaines restrictions d’accès au répertoire wp-includes
  7. J’apprécie le plugin de Sucuri pour l’option suivante. Il permet de vérifier la version du PHP utilisé sur votre serveur pour votre site.
  8. Sucuri vérifie l’état de vos clés permettant de définir l’accès à votre site ou blog sous WordPress. Ces clés vous aident, par exemple, à générer, aléatoirement et de manière renforcée des mots de passe très difficiles à craquer.
  9. Le plugin supprime le fichier txt indiquant le véritable numéro de version de votre version de WordPress.
  10. Sucuri vérifie l’existence d’un éventuel compte administrateur avec l’id admin et vous propose une procédure le cas échéant pour le supprimer.
  11. Il vous permet de bloquer l’édition de plugin et vos thèmes depuis WordPress pour renforcer la sécurité de votre site.
  12. Sucuri vous avertit si le préfixe des tables de la base de données est celui par défaut ( wp_ ). Attention, si vous souhaitez modifier ce préfixe pour vos tables, il vous faudra, certainement modifier la ligne adéquate du fichier config.php pour faire correspondre la base de données avec avec les fichiers de votre site sur votre serveur. Dans le cas contraire, vous n’aurez certainement plus accès à votre blog.

Un plugin pour savoir si votre site est sain

L’onglet Malware Scan de Sucuri vous permet rapidement d’analyser votre site à la recherche de codes malveillants. Malheureusement, en cas de résultat positif, Sucuri ne vous offre pas le moyen de corriger gratuitement le code infecté. Pour cela, il faut passer par des prestations premium.

Onglet Dashboard

Cet onglet récapitule tous les changements effectués sur votre site (de la tentative de connexion, au changement de thème, en passant par la mise à jour d’un article, par exemple).

Très pratique , en cas de piratage, cet onglet vous présente des logs complémentaires à ceux de votre serveur pour bien diagnostiquer une panne ou un piratage.

Ne soyez pas affolé par cette section, les tentatives infructueuses de connexions, avec les identifiants admin et le nom de domaine, sont très courantes.

Menu Setting

C’est un menu très important à bien paramétrer selon vos besoins. Pensez à désactiver la notification par mail pour toutes les tentatives de connexion infructueuses sinon vous allez être inondés de mails. Pensez, par contre à la notification, par mail, de tentative de connexion réussie.

Vous avez d’autres options intéressantes, mais sachez que le plugin est en anglais.

Onglet Post Hack

En cas de piratage et de restauration de votre site, cette section peut s’avérer utile pour réinitialiser des plugins, des mots de passe et les clés spécifiques à WordPress. Attention, tout de même, cette section n’est à utiliser, qu’en cas d’extrême nécessite.

Ce que j’aurais souhaité en matière de sécurité

Même si cette présentation du plugin Sucuri Security – Auditing, Malware Scanner and Hardening n’est pas exhaustive, voici quelques éléments que j’aurais voulu voir dans ce plugin.

Pour moi, il manque, un point important : la possibilité de changer les URLs de connexion et d’inscription sous WordPress (wp-admin, wp-login…). Que cela ne tienne, vous pouvez utiliser le plugin WPS Hide Login pour combler ce manque.

Enfin, j’aurais aimé une section plus poussée pour l’analyse du site, un peu comme celle de Wordfence. Ce dernier peut nous aider gratuitement même à désinfecter un site, le cas échéant.

J’aurais aussi aimé trouver un filtre pour gérer les crawlers (robots) qui tenteraient d’exploiter des failles liées aux erreurs 404 comme dans Wordfence.

Enfin pour terminer, j’aurais aimé, une gestion plus explicite, des attaques de type brute Force.

Toujours est-il qu’aucun plugin de sécurité WordPress n’est infaillible, mais ce n’est pas pour autant qu’il faut négliger leur configuration. Si vous hésitez dans votre choix, en matière de plugin pour sécuriser votre site sous WordPress, je vous invite à essayez ses deux plugin

  • iTheme Security
  • WordFence
Tags: No tags

Add a Comment

Your email address will not be published. Required fields are marked *