À l’instar des plugins iTheme Security et WordFence, aujourd’hui, je vous propose une présentation du plugin Sucuri Security – Auditing, Malware Scanner and Hardening.
Un plugin pour auditer la sécurité en 12 points
Une fois l’installation et l’activation du plugin effectuées, vous pourrez constater que par défaut, WordPress contient certaines lacunes en matière de sécurité.
Sucuri vous aide à combler les failles de WordPress
Menu Hardening
L’idéal est, d’utiliser cette section, le plus tôt possible (par exemple, juste, après l’installation de WordPress) et voici pourquoi :
- Sucuri, vérifie que votre version de WordPress est à jour. (Premier point essentiel).
- Le plugin vérifie, l’éventuelle installation d’un firewall lié à votre site. En cas de recherche infructueuse, Sucuri vous propose, en version premium, l’installation de son propre firewall. Veuillez noter que les prestations premium de ce plugin ne s’adresse pas au petit budget.
- Sucuri vérifie, si la version de WordPress est visible en mode public et vous propose de camoufler le numéro de version, le cas échéant. Moins, vous donnerez d’indices aux hackers ou autres sur votre CMS, mieux cela vaudra.
- Sucuri vous propose de restreindre l’accès à la possibilité exécuter du code php depuis le répertoire upload de WordPress. Attention, certains plugins nécessitent de lever cette restriction pour bien fonctionner.
- Sucuri peut même, dans certains cas vous proposer de bloquer, l’accès, au répertoire Wp-content. Il s’agit d’une option que je déconseille d’activer pour différentes raisons. Vos images et l’exécution des fonctionnalités de vos thèmes WordPress risquent de ne plus être accessibles. Votre site semblera cassé.
- Le plugin de sécurité WordPress vous propose d’imposer certaines restrictions d’accès au répertoire wp-includes
- J’apprécie le plugin de Sucuri pour l’option suivante. Il permet de vérifier la version du PHP utilisé sur votre serveur pour votre site.
- Sucuri vérifie l’état de vos clés permettant de définir l’accès à votre site ou blog sous WordPress. Ces clés vous aident, par exemple, à générer, aléatoirement et de manière renforcée des mots de passe très difficiles à craquer.
- Le plugin supprime le fichier txt indiquant le véritable numéro de version de votre version de WordPress.
- Sucuri vérifie l’existence d’un éventuel compte administrateur avec l’id admin et vous propose une procédure le cas échéant pour le supprimer.
- Il vous permet de bloquer l’édition de plugin et vos thèmes depuis WordPress pour renforcer la sécurité de votre site.
- Sucuri vous avertit si le préfixe des tables de la base de données est celui par défaut ( wp_ ). Attention, si vous souhaitez modifier ce préfixe pour vos tables, il vous faudra, certainement modifier la ligne adéquate du fichier config.php pour faire correspondre la base de données avec avec les fichiers de votre site sur votre serveur. Dans le cas contraire, vous n’aurez certainement plus accès à votre blog.
Un plugin pour savoir si votre site est sain
L’onglet Malware Scan de Sucuri vous permet rapidement d’analyser votre site à la recherche de codes malveillants. Malheureusement, en cas de résultat positif, Sucuri ne vous offre pas le moyen de corriger gratuitement le code infecté. Pour cela, il faut passer par des prestations premium.
Onglet Dashboard
Cet onglet récapitule tous les changements effectués sur votre site (de la tentative de connexion, au changement de thème, en passant par la mise à jour d’un article, par exemple).
Très pratique , en cas de piratage, cet onglet vous présente des logs complémentaires à ceux de votre serveur pour bien diagnostiquer une panne ou un piratage.
Ne soyez pas affolé par cette section, les tentatives infructueuses de connexions, avec les identifiants admin et le nom de domaine, sont très courantes.
Menu Setting
C’est un menu très important à bien paramétrer selon vos besoins. Pensez à désactiver la notification par mail pour toutes les tentatives de connexion infructueuses sinon vous allez être inondés de mails. Pensez, par contre à la notification, par mail, de tentative de connexion réussie.
Vous avez d’autres options intéressantes, mais sachez que le plugin est en anglais.
Onglet Post Hack
En cas de piratage et de restauration de votre site, cette section peut s’avérer utile pour réinitialiser des plugins, des mots de passe et les clés spécifiques à WordPress. Attention, tout de même, cette section n’est à utiliser, qu’en cas d’extrême nécessite.
Ce que j’aurais souhaité en matière de sécurité
Même si cette présentation du plugin Sucuri Security – Auditing, Malware Scanner and Hardening n’est pas exhaustive, voici quelques éléments que j’aurais voulu voir dans ce plugin.
Pour moi, il manque, un point important : la possibilité de changer les URLs de connexion et d’inscription sous WordPress (wp-admin, wp-login…). Que cela ne tienne, vous pouvez utiliser le plugin WPS Hide Login pour combler ce manque.
Enfin, j’aurais aimé une section plus poussée pour l’analyse du site, un peu comme celle de Wordfence. Ce dernier peut nous aider gratuitement même à désinfecter un site, le cas échéant.
J’aurais aussi aimé trouver un filtre pour gérer les crawlers (robots) qui tenteraient d’exploiter des failles liées aux erreurs 404 comme dans Wordfence.
Enfin pour terminer, j’aurais aimé, une gestion plus explicite, des attaques de type brute Force.
Toujours est-il qu’aucun plugin de sécurité WordPress n’est infaillible, mais ce n’est pas pour autant qu’il faut négliger leur configuration. Si vous hésitez dans votre choix, en matière de plugin pour sécuriser votre site sous WordPress, je vous invite à lire aussi nos critiques des plugins suivants.
Si vous connaissez d’autres plugins WordPress en matière de sécurité, n’hésitez pas à nous en faire part dans les commentaires.
Bonjour,
Merci pour cet article.
J’ai souscris il y a un an à une de leur formule permettant de protéger un site web en passant par leur cloudproxy (firewall) et donnant la possibilité au possesseur d’un site de faire appel à leur service en cas de hack.
C’est très bien sur le papier, ce qui me gène c’est faire appel à une tierce partie, tout votre trafic passe par leur proxy.
Depuis j’ai fais le choix de travailler avec le plugin Ninjafirewall, qui filtre les requêtes en amont du site grâce à la directive “auto_prepend_file” de votre php.ini. Les possibilités de ce WAF sont vraiment nombreuses, et permettent sans gros efforts de paramétrer un filtrage décent sans galérer avec les faux positifs.
Un petit lien pour une description de Ninjafirewall :
https://lewebdantoine.fr/ninjafirewall-un-parefeu-wordpress-efficace/
Ce plugin est léger et est proposé en version gratuite et premium (intéressant pour tout ce qui est filtrage des accès)
J’ai commencé par installer Sucuri sur le blog d’une amie qui s’était fait pirater, après une première passe de déverminage qui s’était avérée insuffisante. Sans rentrer dans le détail de chaque fonction, je le trouve très efficace dans sa version gratuite ; le seul problème rencontré est que la limite du nombre de messages d’alerte sur une période donnée (que l’on peut paramétrer) n’est pas respecté en cas d’attaque en force brute, ce qui peut polluer temporairement une messagerie.
Bref, j’ai fini par l’installer sur mon propre blog et j’en suis tout à fait satisfait.
Hello,
Ayant subi une belle attaque le mois dernier et devant reparti from scratch, je vais tester ce plugin pour voir si il me reste des failles…
Merci pour l’article
Bonjour,
Il est parfois conseillé de combiner iThemes security et Sucuri. Qu’en pensez-vous ? Sucuri semble assez similaire à Wordfence que je connais un peu mieux. Est-il toutefois moins gourmand que wordfence ? ralentit-il moins les sites potentiellement ?
Merci d’avance
Bonjour @ellievie ,
Vouloir combiner plusieurs plugins de sécurité est, à mon humble avis, inutile. Il vaut mieux compléter avec le firewall disponible en version premuim. On ne sait jamais. Si un des 2 plugins est mal configuré, ils peuvent entrer en conflit (voir bloquer le fonctionnement de WordPress, d’un thème ou d’un plugin…). Sucuri est moins gourmand que Wordfence, d’après mes tests de performance. Toutefois, si vous désactivez les options relatives au Live Traffic dans Wordfence, ce dernier ne posera vraiment de souci en terme de vitesse de chargement.
Bonjour @sebastien
Merci de cette réponse qui me donne de bonnes pistes à tester. Et merci pour tous vos conseils^^
Bonjour,
pour retour d’informations, je viens de tester iThemes security que je connaissais d’avant, et que vous proposez en alternative. Et j’en reviens très décue… la version freeware est devenue très difficilement compréhensible pour un néophyte. Là où avant il vous indiquait des éléments à changer en sécurité élevée, médiane et faible, et où il suffisait d’appuyer sur “fix” pour avoir un pré-réglage, vous vous retrouvez avec une liste peu parlante d’éléments à changer sans indication de comment les changer (notamment les permissions sur des fichiers wordpress..)
Alors certes en cherchant un peu, on trouve, mais ca devient très fastidieux de régler un tel plugin point par point. A voir si sucuri ou wordfence sont déjà plus abordables pour des personnes n’ayant que de vagues notions de sécurité internet et wordpress.
Si jamais, je tenterai de vous en faire un retour aussi^^
Bonne continuation
Bonjour @ellievie ,
Wordfence ne s’adresse pas non plus au premier néophyte. Certains réglages ne doivent pas être activés au risque de voir son site souffrir de légers ralentissements en matière de chargement de pages. Sucuri offre un bon compromis pour débuter sous réserve de bien lire les recommandations. Cependant, rien ne vaut un serveur bien paramétré, bien sécurisé avec une bonne installation de WordPress dès le départ.
Bonjour.
Savez-vous si la version premium de Wordfence est toujours nécessaire si on souscrit à la version payante Basic de Sucuri ? Cela fait-il doublon ?
Merci pour vos éclairages.
Bonjour @eric
Pour moi c’est l’un ou l’autre mais pas les 2 à la fois ^^
Cela consomme trop de ressources pour des fonctions quasi similaires !
Bonjour,
Mon site a déjà été piraté une première fois. J’ai restaurer une ancienne version puis installé Sucuri (en version gratuite), malgré cela j’ai encore été piraté. Je me demande donc si je devrais prendre Sucuri en version payante ou bien Wordfence? Que me conseillez-vous?
Merci
Bonjour @dina ,
Je vous suggère de suivre au moins les conseils recommandés sur cette page.
https://wpformation.com/wordpress-pirate-hack/
Il est inutile de tenter une restauration si l’on ne connaît pas l’origine de la faille exploitée lors du piratage et savoir comment y remédier.
Un plugin de sécurité (quel qu’il soit) ne rendra jamais WordPress exempt de failles. Veillez à réduire le nombre de plugins, de thèmes… sur votre site (activés ou non).
Avez-vous scanné avec Sucuri votre site, à la recherche de programmes malveillants ?
Vous pouvez aussi remplacer Sucuri par Wordfence et effectuer un scan complémentaire. Attention, n’activez pas les options relatives à Live Traffic qui alourdissent le chargement du site.