iTheme Security : Sécurité WordPress pour tous ?

Lorsque je parle d'audit d'un site WordPress, certains pensent tout d'abord, "sécurité". Par conséquent, je vais évoquer aujourd'hui un plugin de sécurité pour WordPress : Itheme Security

wordpress tuto itheme security

 

iTheme Security : 1ères impressions rassurantes

Lors de l'installation du plugin, j'ai été agréablement surpris par la diversité et la simplicité des options proposées. Simplicité, ai-je dit ? Cela n'engage que moi. :)

Une fois l'installation et l'activation effectuées, le plugin de sécurité WordPress vous propose, en 1 ou 2 clics et en installant une clé numérique, de sécuriser un minimum WordPress.

Un bilan gratuit à tout moment

Depuis le menu Dashboard, vous obtenez une vision globale sur le niveau de sécurité de votre site WordPress (en particulier, sur le niveau de permissions d'accès à certains fichiers sensibles).

wordpress login itheme security

 

Un plugin avec différents niveaux de sécurité

Un des avantages de ce plugin réside sur le fait que celui-ci s'adapte en fonction des compétences de l'administrateur du site WordPress.

Cependant, maîtriser la langue de Shakespeare est un minimum.

Si, par hasard, vous souhaitez sécuriser un maximum votre site WordPress, il est préférable d'avoir certaines connaissances (par exemple, avoir des notions sur le CHMOD).

Ça y est, je commence à parler chinois ? :) Pour en savoir sur les notions qui entourent ce sigle, je vous invite à consulter : http://doc.ubuntu-fr.org/permissions

 

Le plugin et ses menus

S'il y a un menu à maîtriser correctement dans le plugin, c'est le menu "Dashboard". Depuis ce tableau de bord, vous pouvez déceler une grande majorité des failles natives à votre installation WordPress.

wordpress plugin itheme security

 

 

Le menu "Dashboard" du plugin

Pour assurer un niveau de sécurité correct sous WordPress, je vous invite à corriger une à une, toutes les "failles" de type High

Les défauts classés de type "Meduim" et "Low" ne doivent pas être forcement corrigé même si cela est préférable. Mais pourquoi cela ? Et bien, simplement, parce que certains plugins de WordPress nécessitent des accès bien spécifiques qui sont interdits par activation de certaines options.

C'est pourquoi vous devez trouver un compromis entre sécurité et utilisation confortable du site.

Prenons un exemple, l'option "Non-English Characters" ne doit pas être activée sur des blogs ou sites français. Le fait de taper un accent dans une barre de recherche peut déclencher des erreurs 403. J'ai pu l'observer du côté admin lors de la recherche d'un article avec des mots clés comportant des accents.

meilleur plugin wordpress sécurité

 

Le menu "Settings"

Ce menu de configuration offre une myriade d'options pour mieux sécuriser votre site WordPress.

En voici les grandes catégories :

Global Settings : Options de base et de notifications.

404 Detection : Ces options servent à limiter la recherche d'éventuels liens cassés depuis l'extérieur. Un site contenant plein de liens morts attirera des personnes et des robots malveillants cherchant à les exploiter.

Away Mode : Vous laissez pendant quelque temps votre site de côté ? Vous craignez que l'on accède à l'administration de votre site pendant votre congé. Ce mode bloque toute tentative de connexion à l'administration pendant des plages de temps déterminés.

Banned Users : Cela permet de créer certaines règles pour bloquer certains utilisateurs.

Brute Force Protection : Tout bon plugin de sécurité propose cette option. Celle-ci bloque des tentatives de connexion suivant certains critères (nombre de tentatives, types d'appareil et utilisateurs..)

Database Backup : Que serait la sécurité d'un site WordPress sans un système de sauvegardes planifiées ? Un regret, avec ce plugin. Il ne permet de sauver que la base de données. Je vous conseille d'autres plugins de sauvegardes pour WordPress.

File Change Detection : Option très utile si votre site est toujours opérationnel après une attaque réussie. Elle permet de voir les changements effectués à votre insu sur votre site.

Hide Login Area : Succès de WordPress oblige, votre site est régulièrement le sujet d'attaques. Pour renforcer encore la sécurité de votre site WordPress et limiter les attaques, pensez à personnaliser l'accès à votre espace d'administration. Moins l'architecture personnalisée des répertoires et des fichiers sensibles est connue, meilleure est votre sécurité.

Malware Scanning : Cette option fait appel à un service externe pour analyser le contenu de votre site WordPress pour tenter de trouver d'éventuelles modifications frauduleuses.

Secure Socket Layers : Pour les sites sécurisés avec un certificat SSL, cette section apporte un plus en matière de sécurité. Attention, pour les sites ne comportant de pas de certificats SSL valides, cette option doit rester désactivée sous peine de rendre indisponible le site.

Strong Passwords : Cette option oblige, selon le type d'utilisateurs WordPress, à créer un mot de passe renforcé afin d'éviter la génération d'utilisateurs avec accès facile à deviner.

Systems Tweaks : Cette section a été créée pour peaufiner la sécurité de votre site WordPress;

Attention, avec certains thèmes, plugins ou certaines langues, des options ne doivent être activées.

Worpress Tweaks : Section similaire à la précédente

 

Menu "Advanced"

Ce menu est réservé aux utilisateurs avertis de WordPress et qui ont accès à leur site via un client FTP (ou système similaire) sinon, passez votre chemin.

Configurez uniquement la section "Change Content Directory" seulement si votre site WordPress est neuf (pas de média installé). En cas de changement en cours en route, votre référencement va en prendre un sacré coup.

Quant à la section "Change Database Prefix", vous pouvez l'utiliser à condition avoir les notions nécessaires pour modifier le fichier config.php. Voici une ressource très utile. https://codex.wordpress.org/fr:Modifier_wp-config.php

 

Menu "Logs"

À l'instar des fichiers log sur un serveur, ce menu dresse les actions effectuées sur votre site.

 

iTheme Security : un bon plugin ?

Je ne prétends pas avoir présenté le plugin de manière exhaustive, mais la plupart des points essentiels ont été abordés.

Sinon, ma foi. Oui. Itheme Security semble être un bon plugin. Même s'il s'avère très intuitif et si vous souhaitez le maîtriser de fond en comble, il va falloir vous former sur la sécurité sous WordPress. Cependant, les fonctions standards offrent tout un panel permettant de corriger de nombreuses failles sous WordPress.

On ne le répétera jamais assez, un plugin de sécurité ne fera pas tout le travail et ne transformera pas votre site WordPress en forteresse virtuelle imprenable. Une vigilance humaine et régulière sera toujours la bienvenue.

Si vous n'aimez pas Itheme Security, il existe d'autres plugins de sécurité pour WordPress tels que Wordfence ou encore Sucuri. De plus, si vous en utilisez ou connaissez d'autres, je serai ravi de connaître leurs noms. Lequel, préférez-vous ?

 

A propos de l'auteur...

Pierrepack Sébastien

Je suis blogueur mais aussi gamer. A mes temps perdus, je suis administrateur d'un petit blog ayant pour thème, un style de jeu vidéo. J'aime aussi partager mon expérience sur le blogging. Apprenez avec moi à éviter certains pièges pour passer de débutant à initié en tant que blogueur sous Wordpress.

1 commentaire

  • DSIGNED dit :
    Sur les 3 plugins cités, je n’ai testé que iTheme Security. Effectivement très accessible, il m’a permis d’apprendre des failles et d’incorporer directement dans le site les modifications nécessaires à les combler. Pourquoi ne pas avoir laissé le plugin faire son travail ? Comme beaucoup d’autres, il arrive qu’il entre en conflit avec d’autres extensions ou fassent bugguer les themes (même premium), du coup, je l’ai désinstallé. Mais pour d’autres sites, je suis prêt à le réutiliser.
Tweet46
Share25
Share5
Buffer80