La sécurité de nos sites WordPress n’est pas une chose à prendre à la légère. De nombreux éditeurs d’extensions ont désormais des solutions qui s’intègrent sans soucis aux différentes configurations WordPress. Même si WordPress s’emploie à sécuriser régulièrement son environnement, d’autres facteurs entrent en ligne de compte. Les thèmes et les plugins sont et seront toujours des portes d’entrées pour les hackers et spammeurs en tout genre.
La protection des données de vos clients pour les sites de e-commerce est aussi une garantie que vous vous devez d’offrir à vos clients. L’image de marque de votre site peut rapidement être dégradée si rien n’est fait, il est donc urgent de ne pas attendre, mieux vaut prévenir que guérir.
Qui choisir entre SecuPress et WordFence ?
Voici donc un comparatif entre deux protagonistes : SecuPress, crée il y a tout juste un an par Julio Potier, « Le » spécialiste de la sécurité WordPress en France et WordFence créé il y a 5 ans par Mark Maunder.
Bien sûr, du point de vue de l’ancienneté, WordFence totalise le plus grand nombre de téléchargements dans sa version gratuite. Mais avec des fonctionnalités équivalentes pour la version gratuite, qu’en est-il des fonctionnalités des versions payantes de ces plugins ?
La protection et les outils qu’offrent les deux extensions sont relativement similaires, les principales différences entre les deux extensions sont d’ordre technique, sur les réglages des options et la simplicité de mise en place de la protection.
1/ SecuPress – Avantages et points forts
2/ WordFence – Avantages et points forts
3/ Comparatif des abonnements disponibles
4/ Les différences SecuPress et WordFence
5/ En conclusion – Mon avis
SecuPress Pro
Dans leur version payante, SecuPress et WordFence offrent des méthodes de détection d’intrusion et protègent votre installation de manière assez équivalente, mais là où SecuPress se démarque, c’est sur l’ergonomie de l’interface et la simplification de la configuration. SecuPress Pro ajoute 37 options aux 33 disponibles dans la version gratuite.
SecuPress Pro permet de se passer de plusieurs extensions tierces, ainsi en utilisant la version pro de SecuPress, vous allégez votre configuration WordPress en activant uniquement les fonctionnalités désirées. Vous vous épargnez ainsi les risques d’incompatibilité entre les différentes extensions et les contraintes sécuritaires liées à SecuPress.
SecuPress Pro vous permet de bénéficier d’une protection accrue, voici quelques fonctionnalités supplémentaires qu’offrent SecuPress par rapport à son concurrent:
- déplacer la page d’authentification vers l’administration (le login form) vers une autre adresse, ce qui permet de vous épargner les attaques BRUTE FORCE,
- protéger les clés de sécurité (salt key), qui sont dans le fichier wp-config.php
- sauvegarde de la base de données et des fichiers, utile car de nombreux hébergeurs le proposent en option payante ou gratuitement comme WPServeur,
- changement du préfixe des tables de la base de données, pour ne pas laisser le préfixe « wp_ »
- bloquer les visites des robots mal-intentionnés,
- planifier des tâches de sécurité,
- exporter les rapports de sécurité en PDF,
- utiliser Secupress Pro en marque blanche,
- d’utiliser Easy Digital Download sans soucis, SecuPress Pro ne provoque pas de conflit avec EDD
Les avantages de SecuPress Pro
- une interface « step by step » claire et intuitive,
- une mise en place rapide, même pour les débutants, grâce au scanner intégré,
- une traduction française native,
- des explications simple et rapide sur chaque option disponible,
- le choix des offres proposées et la possibilité de changer d’offre à tout moment,
- pas besoin d’installer la version gratuite et la pro en même temps (depuis la version 1.3),
- c’est un produit français avec un support en français, rapide et de qualité (et anglais bien entendu),
- possibilité de modifier ou d’ajouter un site utilisant la version pro en quelques clics,
- le module des alertes envoie des mails (tous les 15 minutes, paramétrable) en cas d’action externes critiques
Sur SecuPress, les options disponibles pour les modules sont présentées clairement :
WordFence Premium
WordFence, avec ses nombreuses options, couvre un large panel de fonctionnalités réparties en 10 parties. Elles permettent de paramétrer et surveiller la sécurité de son WordPress tout en adaptant la protection à votre environnement.
Le Firewall disponible avec WordFence Premium est activé par défaut, les règles de filtrages sont totalement configurables selon les besoins. La protection est pro-active et garantit une surveillance prenant en compte l’ensemble des menaces en cours. Les règles en cours d’utilisation peuvent être activées ou désactivées facilement.
Des nombreuses alertes par e-mail sont configurables.
La surveillance du trafic en temps réel (humains et robots) est impressionnant mais relativement gourmand en ressources.
Le processus de désinstallation du plugin, s’il est mal exécuté, provoquera des erreurs et même une page blanche. Heureusement, WordFence met à disposition une extension gratuite : WordFence Assistant. Cette extension permet en autre de :
- désactiver le firewall si l’extension est inactive,
- effacer l’ensemble des entrées WordFence dans la base de données,
- purger les entrées du trafic en direct dans la base de données,
- effacer les utilisateurs bloqués.
Les plus de WordFence
- vrai firewall interactif et proactrif
- audit sur la complexité des mots de passe utilisateurs existants,
- vérifie si le site génère des spams,
- double authentification à partir du téléphone mobile,
- la protection Firewall « pro-active » qui détecte les attaques ciblées quelle que soit l’ip ou la méthode. WordFence ne se base pas uniquement sur une liste d’ip malveillantes mais analyse le trafic et bloquera toute nouvelle ip si la méthode d’accès est jugée anormale,
- surveillance et monitoring du trafic en temps réel,
- scan du dossier des images,
- nombreuses et utiles options de blocage par ip, range d’ip, user-agent, nom d’hôte ou référer,
- possibilité de court-circuiter les réglages pour des utilisateurs, ip et géolocalisation,
- les nouvelles failles détectées chez les utilisateurs de WordFence sont automatiquement ajoutées à la liste de détection en temps réel (contre 10 jours plus tard dans la version gratuite),
- surveillance des DNS, l’extension vous prévient en cas de changement,
Le comparatif des abonnements disponibles
Les offres de tarification de WordFence permettent de choisir le nombre de sites à protéger et des remises sont offertes pour souscription sur plusieurs années. Le tarif de base pour un site et pour un an est de 99 $ (83.84 €). Des remises s’appliquent sur ce tarif selon le nombre de site et la durée de l’abonnement.
Pour SecuPress l’offre est plus simple. Plusieurs tarifications sont disponibles et permettent de protéger à moindre coût son ou ses WordPress. Quelque soit l’offre choisie, SecuPress Pro est moins cher que WordFence. Avec les nouveaux tarifs, le “forfait illimité” n’est disponible que pour un upgrade du compte. Avec cette nouvelle tarification vous pouvez souscrire à un abonnement correspondant réellement à vos besoins.
Les grandes différences entre SecuPress et WordFence
Les deux extensions n’ont pas forcément la même approche. SecuPress est davantage conçu pour corriger quelques problèmes de WordPress et permet aux administrateurs de tout niveau de protéger leur site en quelques clics, là où WordFence avec la variété et les possibilités d’ajustement de la protection vous donne les moyens de vous protéger et de l’affiner pour cibler précisément la sécurité selon vos besoins.
WordFence permet la vérification des sources et le scan de l’ensemble des répertoires et c’est un atout. Il ne sert à rien de fermer sa voiture à clé, si on laisse la fenêtre ouverte !
WordFence est un peu plus compliqué à configurer et à utiliser pour les novices. Les nombreuses possibilités regroupées dans les onglets comportent de nombreuses cases à cocher. Le résultat n’est donc pas forcément visible de suite. Les termes techniques employés et les manipulations et choix des valeurs appropriées rebuteront les débutants et non-avertis. La lourdeur de l’installation, la modification et ajout de fichiers, tables de base de données (1 seule table pour SecuPress contre 24 pour WordFence), n’enchanteront guère ceux qui aiment maîtriser et exporter facilement leur WordPress en local.
Pour WordFence, certaines options peuvent paraître inutiles (ou ne vous serviront que ponctuellement). L’envoi d’e-mail lors de la connexion d’administrateur ou d’un non-administrateur s’apparente plus à du contrôle d’accès qu’à de la protection contre les intrusions malveillantes. La possibilité de faire un WHOIS Lookup sur une ip suspecte à partir de l’administration. WordFence utilise les données de l’ensemble de ses utilisateurs pour une protection en temps réel.
Pour SecuPress, dommage que la méthode de double authentification pour une connexion sans mot de passe ne soit disponible que par e-mail. Avec SecuPress vous avez la possibilité de choisir une plage horaire pour verrouiller le site (côté administration), il est étonnant que cette fonctionnalité, inutile et contraignante pour certains sites, rentre dans la note. Les appréciations du scanner passent de “Mauvais” à “Bon”, si vous ne voulez pas suivre les préconisations, l’appréciation restera sur “Mauvais”, il n’y a pas de possibilité d’améliorer sa note sans régler les modules.
Les sauvegardes en local qui utilisent l’espace disque de l’hébergement et deviendrait inutilisables en cas de problème sur le serveur, le téléchargement manuel de la sauvegarde vous permettra cependant de garder une archive à remettre en place en cas de pépin. L’ajout d’une option de sauvegarde sur Dropbox est annoncée sur la page du module, affaire à suivre.
En cas de souci, le formulaire pour joindre le support est disponible directement à partir du modules Services, pas besoin d’aller sur le site de SecuPress pour créer un ticket de support.
SecuPress se base sur WPScan Vulnerability Database pour le scan des thèmes et extensions et vous alerte par e-mail, l’inspection des fichiers lors du scan peut faire apparaître des faux-positifs. On peut toutefois ajouter les fichiers que l’on considère “sains” dans une liste blanche. Les fichiers du Core WordPress sont comparés directement avec ceux du SVN officiel de WordPress (avec leurs hashes MD5).
En conclusion – Mon avis
La puissante protection qu’offre WordFence en version premium peut dérouter au départ les utilisateurs novices qui ne veulent pas perdre de temps pour sécuriser leur site, mais cette protection notamment avec le firewall est la plus efficace et vous pourrez même régler le niveau de protection à votre convenance, selon vos besoins. Si votre hébergement est de qualité, certaines des options deviendront inutiles, tandis que d’autres hébergeurs rendront son utilisation compliqué voire impossible.
SecuPress est moins cher et offre une protection moindre sans ralentir votre site. L’interface et le processus de configuration sont plus intuitifs sur SecuPress. Dès la prise en main, le site est scanné et une note est attribuée, à vous de suivre les conseils pour améliorer votre note sécurité en effectuant les corrections suggérées. Pour les utilisateurs francophones réfractaires à l’anglais, c’est aussi le seul totalement en français (mais pour vous chers lecteur, petit bonus : téléchargez la traduction de WordFence en Français).
Le match des options, de l’éfficacité et des possibilités est largement gagné par WordFence alors que celui de la simplicité par SecuPress qui est aussi moins gourmand en ressources. La politique tarifaire de SecuPress est aussi un petit plus, quelle que soit la taille de votre site, une protection de base au meilleur tarif est possible pour la moitié du prix affiché par WordFence.
Pour WPFormation, le choix du meilleur plugin de sécurité pour WordPress se portera donc sur WordFence pour son efficacité et son firewall.
Plugin qui a l’air excellent et qui fait le boulot et en français de surcroît, je meurs d’envie de l’utiliser, mais je rencontre deux petits soucis.
Il m’est impossible de déplacer la page de connexion lorsque je fait un test en local. Je rentre une adresse pour la nouvelle page de connexion, je me déconnecte et là wordpress me dit “page introuvable”. Si je reviens en arrière, je retrouve l’interface d’administration et la déconnexion est impossible. Si je teste dans le même temps avec un autre navigateur, ma page de connexion n’a pas été déplacé. Autre problème, la configuration du bloqueur de connexion ne semble pas fonctionner (pourtant la configuration y est hyper simple, je vois mal ce que je fais de travers). Je précise que je fais un test en local avec un wordpress totalement vierge, seul SecuPress y est installé. Si quelqu’un a une solution, je suis preneur.
Merci d’avance.
Bonjour @Mathieu, je pense que le support de SecuPress devrait être à même de régler votre petit problème ;)
=> https://secupress.me/support/
Bonjour WPFormation.
Ben non justement, ils me disent qu’il ne peuvent pas intervenir si mon site n’est pas online.
Bon, j’ai testé les fonctionnalité de bloqueurs de tentatives et de déplacement de la page de connexion en online et tout fonctionne correctement. Va savoir pourquoi mais pour moi, ça ne marche pas en test en local mais ça marche en online.
Enfin, au final, SecuPress, l’essayer, c’est l’adopter :)
Merci beaucoup pour ce comparatif : j’en avais vu plusieurs comparant iThemes Security et SecuPress ou iThemes Security et WordFence, mais pas encore SecuPress et WordFence. J’ai testé les 3, et j’ai utilisé iThemes Secuity et WordFence simultanément sur plusieurs sites. Cela fait presque un an que j’ai retenu WordFence pour les options proposées et notamment son parefeu et j’en suis plus que très satisfait. Je continue toujours la veille, donc pourquoi pas re-tester SecuPress un peu plus tard
Pareil, pour avoir testé les deux je reste convaincu que Wordfence est plus puissant via sont parefeu qui peu même être utilisé avec la version gratuite…
Plugin non mit à jour depuis 6 mois…Secupress….:(
@Cécile, la prochaine mise à jour devrait sortir d’ici peu… ;)