Vous recherchez un plugin de sécurité WordPress fiable et vous hésitez entre Sucuri et WordFence ?
Vous êtes déjà sur la bonne voie pour obtenir la meilleure sécurité pour votre WordPress ! Ces deux produits sont deux des meilleures options disponibles.
Dans cet article, nous allons comparer les deux plugins de sécurité de sites Web les plus populaires pour WordPress : Sucuri Security et Wordfence Security.
Nous allons plonger dans leurs différents aspects de sécurité afin de déterminer où l'un est meilleur que l'autre et lequel des deux arrive en tête.
Il y a trop Tentatives de piratage WordPress en cours, votre choix d'utiliser un plugin de sécurité WordPress dédié pour garder votre site Web sécurisé est donc judicieux.
Sucuri contre Wordfence
Les différences entre ces deux-là sont que Sucuri assure la surveillance, la protection et la suppression des logiciels malveillants des sites Web, tandis que Wordfence se concentre sur la sécurité des sites Web.
Sucuri bloque le trafic dans le cloud mais ne peut pas effectuer d'analyses locales. Wordfence utilise un pare-feu local, il analysera également TOUS les fichiers.
Si vous manquez de temps, cliquez ici pour aller directement à notre comparaison.
Jusqu'ici tout va bien.
Mais le problème se pose qui de ces plugins de sécurité WordPress choisir entre ces deux? Étant deux des meilleurs produits, ils ont tellement de fonctionnalités et d'options que vous pouvez ne pas savoir lequel choisir.
Si tel est votre cas actuellement, vous êtes au bon endroit. Nous avons utilisé ces deux produits afin de pouvoir partager notre expérience avec vous.
Fort de ces connaissances, vous pouvez désormais prendre la décision qui s'impose bon pour votre entreprise.
Nous comparerons le fonctionnement des plugins WordPress Sucuri et Wordfence, les fonctionnalités qu'ils offrent, leur prix et tout ce que vous devez savoir.
Vous pourrez alors décider, toutes les informations en main, laquelle est faite pour vous.
Et nous vous aiderons à décider lequel vaut vraiment votre argent.
Bon son?
Nous venons de mettre à jour cet article dans septembre 2023 pour vous assurer qu'il est pertinent, avec de nouveaux détails ajoutés et d'anciennes parties supprimées ou mises à jour, afin que cet article soit aussi pertinent que possible.
Nous proposons souvent des critiques détaillées de plugins, alors consultez notre liste complète d’articles dans la section plugins WordPress.
Sucuri est un service hébergé, qui filtre le trafic avant qu'il ne parvienne à votre site . Il possède un ensemble de fonctionnalités plus large que Wordfence et présente le meilleur rapport coût-avantage du marché.
L'analyse se fait également à distance, elle n'est donc pas aussi approfondie que celle d'un plugin local.
Wordfence est un WordPress installé localement plug-in. Il analyse tout le trafic vers votre site Web, détermine quel trafic est malveillant et le supprime.
Le trafic malveillant atteindra toujours votre site Web avant d’être filtré et supprimé. C'est un inconvénient du produit, une attaque malveillante importante pourrait quand même submerger votre site.
Sucuri a des frais annuels fixes pour le nettoyage et la protection du site Web, avec des demandes de suppression de logiciels malveillants illimitées.
WordFence facture des frais chaque fois que des nettoyages manuels sont demandés, ou s'il y a des complexités en matière de suppression de logiciels malveillants.
 |
 |
|
| En Conclusion: | ????? 4.5/5 | 4/5 |
|
Fonctionnalités |
5/5 | 4/5 |
| Personnalisation et facilité d'utilisation | 4.5/5 | 4.5/5 |
|
Fiabilité |
5/5 | 3.5/5 |
|
Assistance |
4.5/5 | 4.5/5 |
|
Rapport qualité prix |
4.5/5 | 5/5 |
| Tarif | À partir de 199 $ / an | 119 $ / an (hors rabais pluriannuels ou en gros) |
| Version gratuite | Oui | Oui |
| Scan en temps réel | Oui | Oui |
| Pare-feu de site Web | Oui | Les deux |
| Dernière mise à jour des menaces | Oui | Clients Premium uniquement (les clients gratuits les obtiennent 30 jours plus tard) |
| Ajustements de sécurité du système | Non | Oui |
| Modifications du code de base | Non | Oui |
| Basé sur le cloud / vs site Web | Les deux | Site Web uniquement |
| Fonctionnalité intéressante | CDN pour ajouté performant | Connexion par téléphone portable |
| Performance | ||
| Ce que nous avons aimé | La protection DNS Cloud prend le plus gros des attaques | Blocage des attaques par force brute |
| Protection DDOS | Blocage de pays | |
| Protection contre les exploits zero-day | Vérifiez si l'adresse IP du site génère du SPAM | |
| Vérifications d'intégrité du cœur | ||
| Ce que nous n'avons pas aimé | Certaines fonctionnalités sont un peu chères | Sur le site Web uniquement (les attaques pourraient submerger le site) |
| Aucune option d'annulation, de restauration ou d'historique | Dernières mises à jour des menaces pour les clients premium uniquement | |
| Site Web | Visiter Sucuri | Visitez Wordfence |
WordPress sécurité
Avant d’aborder Sucuri et Wordfence, prenons juste une minute pour discuter de la sécurité de WordPress dans son ensemble.
Noyau WordPress, la plateforme principale est assez sécurisée. Il est open source et bénéficie de la contribution de centaines de développeurs et de hackers éthiques. C’est à peu près aussi sécurisé qu’une plate-forme basée sur Internet peut l’être.
Ce n’est pas parfait et ne prétend pas l’être.
Mais les principales vulnérabilités proviennent des thèmes et plugins WordPress.
Ce sont à la fois la sauce secrète et le talon d’Achille de WordPress. Personne ne veut vivre sans eux, mais nous savons tous qu’ils peuvent présenter des risques.
Les développeurs les plus respectés font tout ce qu’ils peuvent pour minimiser les vulnérabilités. Tous les développeurs n’ont pas les connaissances ou les ressources nécessaires pour le faire.
C’est de là que proviennent la plupart des vulnérabilités de WordPress.
En quoi WordPress est-il vulnérable aux attaques ?
Il existe 5 principales vulnérabilités de sécurité contre lesquelles WordPress doit être protégé :
Attaque de force brute
Une attaque par force brute se produit lorsqu'un bot ou un réseau de zombies tente de se connecter à WordPress plusieurs fois par seconde en essayant toutes sortes de combinaisons de nom d'utilisateur et de mot de passe.
Par défaut, il n’y a aucune limite au nombre de fois qu’une personne peut essayer de se connecter. Cela laisse la porte ouverte aux attaques par force brute.
Attaque par injection SQL
La base de données SQL est au cœur de WordPress et rien ne se passerait sans elle. Une attaque par injection SQL utilise n'importe quelle méthode de saisie telle qu'un formulaire de contact pour tenter d'injecter du code malveillant dans la base de données.
Ce code peut fournir un accès administrateur à un attaquant, ce qui lui donne une liberté totale sur votre site Web.
Attaque de script intersite
L’attaque par script intersite, ou XSS, est un autre vecteur d’attaque courant pour les sites Web WordPress.
Les attaquants tentent d'injecter du code JavaScript malveillant dans votre site Web en utilisant des vulnérabilités connues dans les thèmes ou les plugins. Une fois entré, le script peut rediriger les visiteurs vers de fausses pages, des publicités infectées et toutes sortes de choses.
Malware
Les logiciels malveillants menacent toutes les technologies, y compris WordPress. Il s'agit d'un terme collectif désignant tout code malveillant et pouvant inclure des chevaux de Troie, des vers et bien plus encore.
Les logiciels malveillants peuvent tout faire, depuis le verrouillage et le chiffrement de vos données (ransomware) jusqu'à l'infection des utilisateurs, en les redirigeant vers de faux sites Web et littéralement tout ce à quoi vous pouvez penser.
Attaques DDoS
Les attaques DDoS, Distributed Denial of Service, utilisent des botnets pour bombarder votre serveur Web de requêtes.
Il y en a tellement qui arrivent en même temps que le serveur Web devient si occupé que les visiteurs légitimes doivent attendre. Si les choses tournent si mal, le serveur tombe en panne et votre site Web suit le même chemin.
Il existe d’autres vecteurs d’attaque pour WordPress, mais ces 5 sont de loin les plus courants.
Comment les plugins de sécurité protègent-ils WordPress ?
Les plugins de sécurité peuvent fournir une protection efficace contre la plupart des types d'attaques.
Prenons ces 5 vulnérabilités ci-dessus et discutons de la manière dont les plugins de sécurité aident à s'en protéger.
Attaque de force brute
Les plugins de sécurité auront souvent une limite de connexion, limitant le nombre de fois qu'un utilisateur peut tenter de se connecter. Celle-ci est généralement fixée à 3 par minute ou toutes les 5 minutes, réduisant ainsi le nombre de tentatives qu'un attaquant peut tenter.
Les plugins peuvent également supprimer le lien « mot de passe oublié » et parfois activer l'authentification à deux facteurs.
Injection SQL
L'injection SQL peut être évitée en gardant WordPress, les thèmes et les plugins à jour, en minimisant les formulaires que vous utilisez et en utilisant un pare-feu.
Chaque site Web a besoin d'un formulaire de contact, mais si vous utilisez un plugin de formulaire bien connu et réduisez les champs au minimum, utilisez SSL et un hébergeur Web sécurisé, vous devriez être raisonnablement en sécurité contre eux.
Cross Site Scripting
Les scripts intersites peuvent être évités grâce à l’analyse XSS. Celui-ci analyse votre site Web à la recherche de vulnérabilités potentielles et vous alerte afin que vous puissiez les éviter.
Tous les plugins de sécurité n'incluent pas l'analyse XSS, mais certains le font. Certains hébergeurs Web proposent également le service.
Les hébergeurs Web dotés de pare-feu d'application Web (WAF) peuvent également protéger contre les attaques par injection XSS et SQL.
Malware
Les plugins de sécurité qui incluent un scanner de logiciels malveillants recherchent toujours les fichiers et activités suspects. S'ils détectent quelque chose d'anormal, ils peuvent isoler le fichier ou le processus, l'arrêter puis le supprimer.
De nombreux hébergeurs Web proposent une analyse des logiciels malveillants dans le cadre du package, mais cela ne fera pas de mal d'avoir quelques solutions à portée de main.
DDoS
De nombreux plugins de sécurité disposent d'une forme de pare-feu qui bloque les adresses IP suspectes. Certains utiliseront une liste noire centrale pour bloquer les adresses IP connues pour se trouver dans un botnet tandis que d’autres utiliseront la surveillance des activités pour décider par eux-mêmes.
De nombreux hébergeurs Web proposent également une protection DDoS qui fait partie du package pour ajouter une autre couche de protection.
Nous allons commencer par Sucuri.
Comment fonctionne Sucuri
Notre note globale: (4.5 / 5) Excellent - hautement recommandé.
En matière de sécurité WordPress, Sucuri est notre outil préféré. C’est l’un des noms les plus fiables et l’entreprise n’a vraiment pas besoin d’être présentée en matière de sécurité.
Ils offrent un plugin robuste pour assurer la sécurité de votre site et de votre serveur WordPress.
Jetez un œil à cette courte vidéo du plugin utilisé:
L'une des mesures du succès de cette entreprise est sa croissance phénoménale. L'entreprise a été fondée en 2010 par Daniel Cid, également fondateur du projet OSSEC.
Après seulement 7 ans sur le marché, GoDaddy a entièrement acquis Sucuri en mai 2017, car ils ont estimé qu'il était logique d'offrir ce service dans le cadre de leur propre portefeuille.
Quand un géant de la technologie comme GoDaddy acquiert votre entreprise, cela signifie certainement que vous faites quelque chose de bien.
Sucuri s'est bâti une solide réputation en publiant fréquemment des rapports de l'industrie sur divers aspects de la sécurité Internet tels que:
- Rapports sur les tendances du site Web piraté (annuel)
- Enquêtes sur la sécurité des professionnels du Web
- Tendances de l'extraction de logiciels malveillants crypto-monnaie et prédiction des menaces
- Livres blancs techniques
Le plugin sur le référentiel WordPress.org bénéficie d'une note de 4.4 étoiles sur 5 et de plus de 800,000 installations actives!
Vous constaterez également que l'entreprise bénéficie d'une note de 4 étoiles sur 5 sur le Foule G2 site d'examen.
Mais commençons à regarder le produit réel.
Il se décline en deux saveurs:
- Plugin de sécurité WordPress qui doit être installé comme un plugin standard
- Plateforme de sécurité de site Web, un service dont nous parlerons plus en détail plus tard
Une fois le plugin installé, vous devrez générer une clé API gratuite.
Il est possible de générer la clé directement depuis votre site internet :
Le tableau de bord de Sucuri Security dispose d'une vérification principale qui examine l'intégrité de vos fichiers principaux WordPress (et vous avertit si l'un d'entre eux a été falsifié).
En effet, si un fichier WordPress a été compromis, il aura une taille et une structure différentes de celles du fichier d'origine.
De tels changements pourrait signifie que le site a été piraté:
Vous trouverez également les derniers journaux d'audit de sécurité réalisés par le plugin.
Si vous souhaitez activer la protection sur votre site maintenant, cliquez sur le bouton ci-dessous pour visiter le site Web de Sucuri (ouvre dans une nouvelle fenêtre)
NB: Sucuri est actuellement en vente jusqu'à la fin de septembre 2023
Visitez Sucuri pour protéger votre site dès aujourd'hui
Scanner de site Web Sucuri
Le plugin est livré avec un scanner de site Web intégré.
Cela peut identifier tout logiciel malveillant commun qui aurait pu infiltrer votre site, les erreurs de site Web, les thèmes obsolètes, les plugins ou outils obsolètes, et si votre site WordPress a été identifié et énumérés comme piraté et distribuant des logiciels malveillants.
Il indique également si votre serveur présente d'autres vulnérabilités.
[Note de sécurité]
En parlant de thèmes obsolètes, assurez-vous de rester à l'écart des thèmes téléchargés à partir de sites Web douteux (Warez ou sites de thèmes annulés).
Ils regorgent généralement de logiciels malveillants, et ce qui semble gratuit se paie au prix élevé de fichiers malveillants cachés.
Il est préférable de s'adresser à des acteurs établis du secteur. Pour d’excellentes suggestions de thèmes WordPress, vous souhaiterez peut-être consulter notre revue de thèmes Divi trouvée ici, our Revue du thème Avada, ou notre comparaison des deux.
Pour ceux qui ne savent pas s'ils préfèrent l'un de ceux-ci également, nous avons également d'autres options à considérer ici.
[/ Note de sécurité]
Après avoir exécuté l'analyse initiale, les résultats seront disponibles sous Sucuri Security> Analyse des logiciels malveillants et sera mis à jour toutes les 20 minutes.
Les résultats sont divisés en catégories telles que les résultats du scanner à distance, les détails du site Web, les iFrames/liens/scripts, l'injection de code, l'état de la liste noire et les fichiers modifiés.
Le plugin Sucuri Security est également livré avec un pare-feu d'application Web (WAF) intégré pour empêcher les intrusions malveillantes.
En général, le fonctionnement d'un pare-feu consiste à identifier des modèles de trafic spécifiques connus pour être malveillants. Ceux-ci ne peuvent en aucun cas accéder à votre site Web.
Notez que vous devez être un client CloudProxy pour pouvoir utiliser le pare-feu.
Durcissement de la sécurité
Le renforcement de la sécurité WordPress est l'une des fonctionnalités les plus utiles du plugin Sucuri.
Cette fonctionnalité vous permet de vérifier l’état actuel de divers aspects de sécurité et de renforcer les points faibles.
Les options de renforcement de la sécurité disponibles comprennent
- Protection par pare-feu du site Web
- Assurez-vous que vous utilisez les dernières versions de WordPress et PHP
- Suppression d'une version WordPress visible publiquement
- Protection du répertoire d'uploads
- Restreindre l'accès aux répertoires wp-content et wp-includes
- Vérifiez si votre site utilise SSL ou un certificat sécurisé
- Mise à jour et utilisation des clés de sécurité
- Vérification des fuites d'informations via le fichier Lisez-moi
- Modification du préfixe de table de base de données par défaut
- Modification du compte administrateur et du mot de passe par défaut
- Vérifiez si le site WordPress a trop de plugins installés
Chacun de ces aspects de sécurité du site Web est testé pour détecter d’éventuelles failles de sécurité.
Vous serez invité à corriger toute vulnérabilité potentielle que votre site Web pourrait présenter.
Voici une vidéo rapide de la configuration du durcissement de WordPress à l'aide du plugin Sucuri
Récupération après des tentatives de piratage
Sucuri Security est également livré avec toute la suite d'options post-piratage pour nettoyer un site Web infecté.
Cela peut s'avérer très utile pour récupérer un site Web piraté pendant les premières étapes d'un incident de piratage que votre site WordPress aurait pu subir.
1. Mettre à jour les clés de sécurité
WordPress utilise une combinaison de clés de sécurité pour crypter les données enregistrées dans les cookies du navigateur. Puisqu'il s'agit d'un problème de sécurité potentiel pouvant entraîner des tentatives de piratage, Sucuri fournit un moyen simple de remplacer toutes ces clés de sécurité.
Cela invalidera toutes les sessions existantes et forcera tous les utilisateurs à se reconnecter.
2. Réinitialiser le mot de passe de l'utilisateur
Vous pouvez également choisir de réinitialiser le mot de passe de n'importe quel utilisateur, encore une fois une étape très importante si vous pensez que certains utilisateurs ont des mots de passe faibles qui pourraient avoir été compromis.
3. Réinitialiser les plugins installés
Il existe également une section distincte pour réinitialiser les plugins existants et effectuer les mises à jour disponibles.
Une fois de plus, les plugins WordPress sont une source potentielle d'attaques de piratage. En réinitialisant le plugin et en installant les dernières mises à jour, vous éliminez la source potentielle de piratage.
4. Dernières connexions
Le forçage brutal est une autre méthode utilisée par les pirates pour accéder aux sites WordPress.
L'idée est qu'un programme automatisé continuera d'essayer les informations de connexion et différents mots de passe jusqu'à ce que le mot de passe soit deviné. Étant donné que de nombreux utilisateurs utilisent des mots de passe faibles et faciles à deviner, il s'agit d'une source potentielle de piratage.
La section Dernières connexions affichera les dernières activités de connexion sur votre site Web. Vous pouvez consulter le nom d'utilisateur, l'adresse IP, le nom d'hôte, la date/heure pour chacune de ces activités.
Il existe des onglets séparés pour tous les utilisateurs, administrateurs, utilisateurs connectés, échecs de connexion et utilisateurs bloqués.
La section Dernières connexions affichera les dernières activités de connexion sur votre site Web.
Vous pouvez vérifier le nom d'utilisateur, l'adresse IP, le nom d'hôte, la date / heure pour chacune de ces activités. Il existe des onglets séparés pour tous les utilisateurs, administrateurs, utilisateurs connectés, échecs de connexion et utilisateurs bloqués.
En vérifiant et en vérifiant que la dernière connexion semble provenir d'utilisateurs légitimes, vous pouvez vous assurer que votre site WordPress n'est pas accédé de manière malveillante par un autre utilisateur.
5. Plugins disponibles et mises à jour de thèmes
Cette section répertorie tous les plugins et thèmes qui ne sont pas à leur dernière version.
Comme vous le savez peut-être, la plupart des mises à jour logicielles incluent des correctifs pour les vulnérabilités ou les bogues qui auraient pu exister dans les versions précédentes. Par conséquent, il est impératif que tous les produits tiers soient entièrement mis à jour avec les dernières versions.
Options de paramètres
Toutes les options de configuration du plugin se trouvent dans la section Paramètres.
Dans le Général , vous trouverez la clé API du plug-in, ainsi que des options pour activer le collecteur de mots de passe de connexion échoués, le moniteur des commentaires des utilisateurs, modifier la date et l'heure et un bouton pour réinitialiser les paramètres.
Le Scanner La zone fournit des informations détaillées sur l’heure de la dernière analyse, la fréquence d’analyse et l’état des contrôles d’intégrité du cœur.
Vous trouverez également des options pour effectuer une analyse des logiciels malveillants et vider le cache du scanner.
Dans le Alertes section, vous trouverez la possibilité d'envoyer des e-mails de notification en cas de problèmes sur votre site.
Vous pouvez personnaliser le destinataire des e-mails d'alerte, définir le sujet de l'e-mail d'alerte, le nombre maximum d'alertes par heure et les événements qui doivent déclencher un e-mail d'alerte.
Sucuri Security vous permet de personnaliser l'analyse et les alertes pour des situations spécifiques.
Par exemple, vous pouvez ignorer des fichiers et/ou des répertoires spécifiques de l'analyse, mais assurez-vous de savoir ce que vous faites si vous ignorez certains fichiers ou répertoires.
De même, il est possible d'ignorer les alertes de types de publications spécifiques, en particulier celles créées par des plugins tiers.
Maintenant que vous avez vu toutes les capacités de Sucuri, pourquoi ne pas jeter un coup d'œil direct à Sucuri? Cliquez ci-dessous pour visiter le site Web de Sucuri pour télécharger le plugin.
Essayez Sucuri WordPress Security maintenant
Suite à notre examen complet de Sucuri, notre premier plugin de sécurité dans notre comparaison, nous voyons maintenant comment se comporterait Wordfence vs Sucuri.
Qu'est-ce que Wordfence?
Wordfence est une autre société de sécurité Web qui fournit un plugin qui atténue les attaques malveillantes et protège votre site Web des vulnérabilités potentielles.
Il a une note de 4.8 sur 5 étoiles sur le WordPress.org répertoire.
Le tableau de bord Wordfence fournit un aperçu détaillé de l'état de sécurité actuel de votre site Web.
Wordfence n'est PAS un service cloud.
Essentiellement, c'est votre serveur Web qui doit effectuer le travail d'analyse du trafic malveillant et de l'éliminer (si nécessaire).
Ceci est contraire à un service tel que Sucuri, où le trafic malveillant est filtré et rejeté AVANT d'atteindre votre site Web si vous avez activé le pare-feu ou le pare-feu d'application Web (WAF).
Avec un tel plugin localisé, si vous rencontrez une attaque DDoS (déni de service distribué), votre site WordPress pourrait encore être submergé par le volume de trafic.
La plupart des hébergeurs Web de qualité offrent une protection DDoS, ce n'est donc pas tout à fait la menace que vous pourriez penser. Mais cela vaut quand même la peine d’y réfléchir.
Consultez le schéma suivant du fonctionnement d'une attaque DDoS.
Tableau de bord Wordfence
Sur le tableau de bord Wordfence, vous trouverez des informations complètes sur la dernière analyse, toutes les notifications en cours, ainsi que les fonctionnalités actuellement activées/désactivées de Wordfence.
Une fois que vous commencerez à voir les statistiques d’attaques, vous comprendrez clairement l’importance et la nécessité d’un plugin de sécurité WordPress.
Le nombre d'attaques quotidiennes dont souffre votre site Web est accablant. Pas étonnant que tant de sites Web soient piratés.
Pouvez-vous imaginer que la menace que votre site Web subirait dans toutes ces attaques n'était pas protégée par une bonne sécurité WP ?
Quel risque sérieux pour tout le contenu stocké sur votre site Web si ces pirates mettaient les mains sales sur votre site Web.
Il existe des sections distinctes dans le tableau de bord Wordfence pour afficher le total des attaques bloquées, les adresses IP bloquées, le nombre de tentatives de connexion échouées et réussies, etc.
Scanner de site Web Wordfence
La version WordPress gratuite de Wordfence est dotée de fonctionnalités d'analyse de base, mais les règles de pare-feu et les listes noires en temps réel sont retardées de 30 jours.
Ceux-ci ne sont disponibles que si vous optez pour la version premium.
Cela signifie qu'il y a 30 jours à compter de la création de nouvelles règles pour espérer que votre site WordPress ne sera pas attaqué par les dernières vulnérabilités du jour zéro.
Vulnérabilités de type Zero Day pour lesquelles il n'existe actuellement aucun correctif, mais qui peuvent être bloquées à l'aide d'un pare-feu d'application Web (WAF).
Nous pensons qu'il s'agit d'un risque de sécurité important et vous devriez TOUJOURS opter pour la version premium, ou idéalement, un pare-feu d'application Web (WAF).
En effet, un pare-feu d'application Web peut détecter des « modèles » de trafic malveillants et créer des règles de pare-feu pour bloquer et atténuer la menace, même si aucun correctif n'existe.
Outre cet inconvénient, de nombreuses protections sont proposées avec la version gratuite du plugin Wordfence.
Vous pouvez choisir de
- Rechercher la vulnérabilité HeartBleed
- Scannez la configuration publique de votre site WordPress
- Vérifier les sauvegardes
- Vérifier la présence de fichiers journaux
- La force et la complexité des mots de passe utilisateur et administrateur
- Utilisation actuelle du disque
- Modifications DNS non autorisées
- Limiter le nombre de problèmes inclus dans l'e-mail de résultat de l'analyse
Il est également possible de vérifier les fichiers de base de WordPress, des thèmes et des plugins par rapport aux versions du référentiel.
Il existe un pare-feu intégré pour empêcher toute activité anormale sur votre site Web, telle que la recherche de XMLRPC et toute tentative de trafic malveillant de connexion via l'API ou autrement.
Il est possible d'exécuter le pare-feu d'application/WAF en mode d'apprentissage pour familiariser le système avec les activités régulières des utilisateurs et créer des règles de pare-feu personnalisées, évitant ainsi de verrouiller un utilisateur légitime.
Vous pouvez également choisir d'activer le pare-feu Wordfence dans les délais.
Prévenir les attaques WordPress avec Wordfence
Le plugin Wordfence est livré avec plusieurs options pour vous aider à prévenir les attaques par force brute.
Vous pouvez choisir de:
- Appliquez des mots de passe forts pour dissuader les attaques par force brute par mots du dictionnaire
- Limiter le nombre d'échecs de connexion et de tentatives d'oubli de mot de passe avant de verrouiller un utilisateur pour bloquer les scripts automatisés en force brute,
- Définir la durée de suivi des tentatives de connexion,
- Empêcher l'enregistrement du nom d'utilisateur 'admin',
- Bloquez les personnes essayant de se connecter avec des noms d'utilisateur spécifiques, etc.
Il est également possible de bloquer les faux robots d'exploration Google et d'autoriser un accès illimité aux robots d'exploration vérifiés.
Cela rend pratiquement impossible la réussite des attaques par force brute.
Si vous gérez des sites Web pour plusieurs clients différents, peut-être via revendeur d'hébergement, vous souhaiterez peut-être appliquer cette option pour conserver les ressources.
La version gratuite du plugin Wordfence vous permet de bloquer les adresses IP, tandis que la version premium vous permet de bloquer des pays et des zones géographiques complets en plus des seules adresses IP.
Il est possible de bloquer une adresse IP particulière, une plage d'adresses IP, un nom d'hôte, un agent utilisateur, un référent, etc.
Il existe une fonctionnalité de trafic en direct qui affiche une mise à jour en temps réel des visiteurs actuels de votre site Web WordPress.
Comme il existe des couleurs distinctes pour différents types de trafic, vous pouvez rapidement identifier de quel type de visiteur il s’agit.
Le plugin vous permet également de trier le trafic en utilisant divers filtres tels que l'homme, le robot d'exploration, l'utilisateur enregistré, bloqué, verrouillé, etc.
Options des paramètres de Wordfence
Des options de renforcement de la sécurité supplémentaires sont disponibles via les options de Wordfence:
Vous pouvez configurer les paramètres du plugin à partir du Wordfence> Options page.
La section des options de base vous permet d'activer le blocage avancé, la sécurité de connexion, une vue du trafic en direct et un filtre anti-spam avancé pour les commentaires pour votre site Web.
Il est également possible d'activer les analyses automatiques et la mise à jour automatique du plugin.
Il y a un champ séparé pour définir l'adresse e-mail qui recevra tous les messages d'alerte qui garantissent que vous ne manquez aucun problème critique avec votre site.
Vous pouvez définir les emails que vous souhaitez recevoir depuis la section « Alertes ».
Les options disponibles incluent la réception d'e-mails pour les mises à jour du plugin, le plugin désactivé, les avertissements, les problèmes critiques, la nouvelle adresse IP bloquée, le nouvel utilisateur verrouillé, etc.
Il est bien entendu possible de définir le nombre maximum d'alertes à recevoir par heure.
Vous pouvez activer un résumé par e-mail pour obtenir une version résumée des activités du plugin pour la journée, la semaine ou le mois.
D'autres options d'administration notables incluent la liste blanche des adresses IP qui contournent toutes les règles, la liste blanche des URL 404, le masquage de la version de WordPress, le filtrage des commentaires, etc.
Il existe des options distinctes pour importer ou exporter les paramètres du plugin vers ou depuis d’autres sites Web.
Pourquoi ne pas essayer la sécurité Wordfence maintenant? Vous avez tout à gagner, rien à perdre!
Quel plugin de sécurité choisir ?
Le choix du meilleur plugin de sécurité entre Sucuri et Wordfence dépend fortement de votre niveau d'expertise et de vos exigences.
Puisque nous comparons Wordfence Security et Sucuri Security, les deux plugins de sécurité les plus populaires pour WordPress, tous deux vous offriront un excellent niveau de sécurité.
En réalité, vous ne serez déçu par aucun de ces deux plugins - il s'agit principalement de savoir quel plugin semble vous plaire le plus.
Ces deux sociétés sont également de grandes entreprises réputées, qui offrent un excellent soutien en cas de problème, vous pouvez donc en être assuré également.
En termes de facilité d'utilisation, vous pourriez vous sentir un peu dépassé au début par le grand nombre d'options disponibles, surtout si vous n'êtes pas un expert en sécurité.
Nous vous recommandons fortement de demander aux agents de vous aider à configurer le plugin.
Finalement, une fois que vous aurez configuré le plugin Sucuri, Wordfence, la facilité d'utilisation ne sera plus un problème, car vous n'aurez pas besoin d'effectuer de modifications après la configuration initiale.
Vous voudrez peut-être également jeter un œil au prix de chacun de ces plugins ci-dessous si le prix est un facteur.
Nous pensons que le prix ne devrait pas être un facteur lorsque vous agissez sur la sécurité de votre site Web, car les implications d’un site piraté sont bien plus importantes que le coût de la sécurité de WordPress.
Nous pensons que Sucuri et Wordfence offrent tous deux un excellent rapport qualité-prix.
Après tout, y a-t-il un prix à payer pour la perte de réputation et d’activité liée à une attaque de piratage ?
Mais donnons-nous une petite comparaison entre WordFence et Sucuri en termes de ce qui pourrait être défini comme ce que nous avons aimé et ce que nous n'avons pas aimé dans ces deux plugins de sécurité.
Sucuri est livré avec une meilleure interface utilisateur avec des options plus simples pour renforcer la sécurité globale.
Vous pouvez renforcer la sécurité en activant diverses fonctionnalités. Le vérificateur d’intégrité des fichiers principaux est une fonctionnalité essentielle notable.
Dans la plupart des cas, les pirates et les abuseurs potentiels ont tendance à apporter des modifications à un fichier principal et à créer une porte dérobée.
Sucuri vous aide à protéger votre site Web contre ces incidents en vérifiant les fichiers par rapport à une installation à distance sécurisée.
Les options post-piratage sont une autre touche intéressante. Ceux-ci peuvent vous aider à sauvegarder le site Web chaque fois que vous détectez une activité suspecte sur votre site Web.
Le plugin Wordfence est livré avec sa propre suite d'options. Le tableau de bord offre plus d'informations et donne un aperçu de l'ensemble du site Web en un coup d'œil.
C'est dommage que le scanner ne couvre pas les dernières menaces de sécurité. La fonction de prévention de la force brute éloignera les intrus, tandis que le trafic en direct affichera une liste pratique des visiteurs actuels.
Le pare-feu d’application Web est une excellente solution pour améliorer votre site Web, mais vous devez y être prudent.
Les utilisateurs inexpérimentés peuvent se verrouiller et perdre l'accès au site Web.
Tarification Sucuri vs Wordfence
Comme nous en avons discuté jusqu'à présent, vous savez que ces deux services proposent un plugin gratuit, mais comme nous l'avons dit, le plugin gratuit présente un certain nombre de limitations.
Mais les deux services proposent également un certain nombre d’options premium.
Sucuri
Sucuri propose deux offres principales pour les sites Web réguliers.
Plateforme de sécurité de site Web
Il s'agit de la plate-forme de premier plan, en dehors des solutions d'entreprise et personnalisées destinées aux grandes entreprises.
Il commence à 199.99 $/an avec d'autres forfaits à 299.99 $/an et 499.99 $/an, les principales différences entre eux étant les temps de réponse pour prendre en charge les incidents.
Nous vous recommandons de visiter la page de tarification pour comparer et comprendre la différence entre de tels plans.
Vous pouvez également parler à un agent de support pour vous assurer que tous les problèmes de sécurité ou questions que vous avez reçoivent une réponse avant de décider d'acheter.
Nous pensons que le forfait de base à 199.99 $ devrait être installé sur chaque site Web.
La tranquillité d’esprit n’a vraiment pas de prix, et nous pensons que Sucuri est la meilleure option parmi les deux produits comparés ici.
Tous les plans ont une garantie de remboursement de 30 jours.
Voir toutes les fonctionnalités de la plateforme
Wordfence
Wordfence propose un plugin gratuit que vous pouvez télécharger. Wordfence Premium commence à 119 $ / an pour le premier site, puis devient moins cher à mesure que le nombre de sites sur lesquels vous l'installez augmente.
Témoignages Sucuri
Toujours pas convaincu ? Jetez un œil à ce que dit Syed Balkhi, un grand influenceur WordPress et le cerveau derrière WPBeginner.com (l'un des plus grands sites liés à WP) à propos du passage à Sucuri.
WPBeginner sert actuellement plus de 300,000 XNUMX pages vues quotidiennement (en moyenne) et un total mensuel dépassant 9 millions de pages vues!
"La charge de notre serveur a baissé sur WPBeginner - de manière insensée! La sécurité est une chose importante et c'est la principale raison pour laquelle nous utilisons Sucuri, mais l'avantage supplémentaire est l'aspect vitesse - parce que tout passe par le WAF et c'est beaucoup plus rapide."
"Pour moi, le plus grand avantage de l'utilisation de Sucuri est que je n'ai plus besoin d'un administrateur de serveur. Je n'ai pas besoin d'un 5e administrateur, car auparavant, le travail du 5e administrateur était de surveiller le serveur et de reconnaître et d'atténuer les attaques. J'avais un 5e administrateur, à temps partiel et je payais 2,500 XNUMX $ / mois pour le garder en rétention. "
Essayez Sucuri Security pour WordPress
Voici un autre témoignage de Sucuri du propriétaire de hostpill.com:
«Même avec les meilleurs experts en sécurité, il y a une limite à la surveillance qu'ils font. Avec Sucuri, j'ai la tranquillité d'esprit que le site Web est surveillé 24/7 et nous serons alertés en cas de problème.
Le temps de chargement de la page est un facteur énorme de l'expérience en ligne. Si vous décidez d'utiliser le service Sucuri CDN, vous pouvez vous attendre à une augmentation des taux de satisfaction des clients, à davantage de pages vues, à une augmentation du taux de conversion et à une diminution du taux de rebond. "
Témoignages WordFence
Notre examen de ces deux plugins ne serait pas complet si nous ne fournissions pas de témoignage Wordfence.
Nick écrit sur ElegantThemes dans leur propre revue Wordfence.
"Wordfence est de loin le plug-in de sécurité le plus populaire et à juste titre. Même la version gratuite de WordPress offre de nombreuses fonctionnalités pour protéger les sites WordPress et éviter les listes de spam. D'un audit de sécurité approfondi sur un pare-feu complet à des tas d'options supplémentaires, le plugin fera de son mieux pour tenir à distance les hackers et autres individus louches. "
Alternatives
Étant donné que nous avons tendance à proposer d'autres alternatives à nos visiteurs, juste au cas où vous n'êtes toujours pas convaincu à 100%, un autre des plugins de sécurité WordPress que nous utilisons et aimons est iThemes security.
Sucuri contre Sitelock
Si vous envisagez d’autres options, l’un des autres fournisseurs permettant de rendre votre site Web résilient est Sitelock.
Il s'agit d'un autre service basé sur le cloud qui protège vos domaines sans alourdir la charge sur le site lui-même. Si vous souhaitez en savoir plus, visitez notre Sucuri contre Sitelock article pour voir tous les détails de cette comparaison.
Questions Fréquentes
Voici quelques-unes des questions les plus fréquemment posées sur ces deux plugins que nous avons comparés.
Qu'est-ce que Wordfence Security?
Wordfence Security est un pare-feu et un scanner de logiciels malveillants pour WordPress. Il peut protéger votre site Web des pirates de deux manières. Le pare-feu empêche le trafic malveillant d'atteindre votre site Web. Le scanner de logiciels malveillants recherche dans les fichiers de votre site Web pour s'assurer qu'ils sont exempts de tout fichier piraté.
Wordfence est-il gratuit?
Oui, il existe un plugin gratuit que vous pouvez télécharger pour Wordfence. Bien que la version gratuite soit un bon début pour sécuriser votre site, nous suggérons toujours d'opter pour la version premium, pour quelque chose d'aussi essentiel que la protection de votre site Web.
Combien coûte Wordfence?
La version premium de ce plugin commence à 119 $ / an, mais il existe des remises sur le volume sur les licences supplémentaires.
Ai-je besoin d'un plugin de sécurité WordPress?
Oui, il est fortement recommandé d'en obtenir un. Étant donné que des vulnérabilités sont découvertes à la fois dans le noyau et dans plusieurs plugins et thèmes populaires chaque mois, il est difficile de rester informé lorsqu'il s'agit de se tenir au courant. Un plugin de sécurité WordPress vous aidera avec le gros du travail et garantira que votre site ne soit pas touché par des attaques de piratage qui peuvent être facilement évitées.
Quel est le meilleur plugin de sécurité WordPress?
Bien qu'il s'agisse d'une question subjective, d'après notre examen, comme nous l'avons vu ci-dessus, nous pensons que Sucuri est la meilleure option en matière de plugins de sécurité.
Comment savoir si mon site Web a été piraté?
Les sites piratés connaîtront fréquemment un pic de trafic dramatique car votre site devient le «vecteur d'infection» pour les visiteurs qui sont envoyés spécifiquement sur votre site pour installer des logiciels malveillants sur leurs machines. BYour peut également découvrir des liens étranges sur votre site, du contenu que vous n'avez pas écrit, ou recevoir des messages de votre site d'hébergement WordPress et peut-être même de la console de recherche Google. Si vous commencez à voir des choses étranges sur votre site, ou une dégradation significative des performances, ou d'autres problèmes sur lesquels vous ne pouvez pas mettre le doigt, c'est une bonne idée de parler à un expert en sécurité.
Pourquoi la sécurité du site Web est-elle importante?
Si votre site n'est pas bien protégé, plusieurs problèmes graves peuvent affecter considérablement votre site Web, votre entreprise et en particulier vos visiteurs. Un site Web non protégé constitue un risque pour la sécurité et peut devenir un vecteur d'infection ou un hôte utilisé pour propager des logiciels malveillants, devenir une source d'attaques sur d'autres sites Web et même d'attaques contre des cibles nationales, une infrastructure ou des attaques sur d'autres réseaux grâce à l'utilisation de DDoS Attaques ou Attaque par déni de service distribué.
Est-ce que Sucuri est meilleur que Wordfence?
Oui, Sucuri est meilleur que Wordfence. La raison pour laquelle nous disons cela est que Sucuri est un service basé sur le cloud, il est donc mieux équipé pour atténuer les attaques de piratage ou les attaques DDOS que Wordfence qui est un plugin installé localement. Cela signifie qu'une attaque bien coordonnée peut submerger votre serveur, alors que Sucuri dispose d'une infrastructure. pour gérer des volumes massifs de trafic et d'attaques.
Conclusion: Sucuri vs Wordfence, lequel choisir?
Maintenant que nous avons comparé toutes les fonctionnalités et options de ces deux plugins de sécurité WordPress, nous allons faire notre propre choix.
Si nous devions acheter un plugin de sécurité pour WordPress, nous opterions et recommanderions Sucuri Security,
en fait, c'est le plugin que nous, en tant qu'équipe, recommanderions et installerions sur la plupart de nos sites et nous n'avons jamais subi d'incident de piratage.
En plus d'être une marque renommée de sécurité Web, le support offert, ajoutez à cela l'interface utilisateur simple qui rend beaucoup plus facile l'utilisation du plugin et bien que dire, nous ne trouvons pas grand-chose (ou quoi que ce soit) de mal à ce service!
Nous savons que notre site Web et son contenu seront protégés. Notre vie privée ne risquera pas du tout d'être compromise.
Essayez Sucuri Security pour WordPress
Alors, que pensez-vous de ces deux plugins de sécurité WordPress? Et êtes-vous d'accord avec notre choix de Sucuri Security comme choix préféré parmi ces deux? Ou avez-vous une autre opinion en ce qui concerne Sucuri vs Wordfence. Faites le nous savoir dans les commentaires.
Note de l'éditeur: comme cela a été souligné à juste titre dans les commentaires ci-dessous, le lien Sucuri est un lien affilié alors que le lien Wordfence ne l'est pas. Il y a une raison très simple à cela, Sucuri a un programme d'affiliation, contrairement à Wordfence. Comme vous pouvez le voir à juste titre, nous n'avons donné aucune préférence à Wordfence vs Sucuri en termes d'exposition du CTA ou de profondeur de la recherche. Nous pensons simplement que Sucuri est le meilleur service de sécurité entre les deux. Le lien d'affiliation ne trouble pas du tout notre jugement. Nous avons toujours été honnêtes en ce qui concerne les liens avec les affiliés (c'est ainsi que CollectiveRay paie partiellement sa cher factures - nous ne sommes pas à la hauteur, c'est un travail d'amour / passion) et nous ne compromettons pas notre intégrité en établissant des liens ou en recommandant des services que nous pensons ne pas être de premier ordre, juste pour le paiement. L'enjeu est tout simplement trop important, pour vous ET pour nous!
Si vous voulez, vous pouvez laisser un incontournable commentez vos pensées, puis partagez-les sur votre ou vos groupes Facebook qui trouveraient cela utile et récoltons ensemble les avantages. Merci d'avoir partagé et d'être gentil!
Divulgation: Cette page peut contenir des liens vers des sites externes pour des produits que nous aimons et que nous recommandons sans réserve. Si vous achetez des produits que nous suggérons, nous pouvons percevoir des frais de parrainage. Ces frais n'influencent pas nos recommandations et nous n'acceptons pas les paiements pour les avis positifs.
et beaucoup plus ...