Plugin de sécurité, vraiment utile ?
On ne compte plus les solutions de sécurité qui vous sont proposées. Vraie utilité ou poudre au yeux ? Quels sont les avantages et inconvénients d’un plugin de sécurité ?
En tant que lead développeur chez 1min30, j’ai utilisé et testé presque toutes les solutions de sécurité dans le domaine du développement web & mobile. Bien que nous en utilisions certaines pour créer nos sites web, on peut s’en dispenser à condition d’appliquer certaines règles.
Le paramétrage des serveurs
Effectivement, beaucoup d’actions réalisées par ce genre de plugin peuvent être déjà appliquées si vous disposez d’un bon hébergeur. Le bon paramétrage d’un serveur est le premier pas et sûrement le plus important pour la sécurité. Un bon plugin de sécurité vous alertera si celui-ci est mal configuré. En général, des serveurs de type Nginx moins répandus que les serveurs Apache pour l’hébergement de sites web, ne sont souvent pas pris en compte et la solution devient obsolète.
Le Firewall
Certains plugins vous proposent (généralement en payant) un proxy qui filtre le contenu de votre site pour ne laisser entrer que les bonnes requêtes et les bons visiteurs. Il est généralement déjà appliqué si vous disposez d’un hébergeur approprié pour les sites web. Mais cela peut s’avérer très pratique si vous ne souhaitez pas changer d’hébergeur, au risque d’impacter les performances de votre site.
Le tracking des actions et les alertes
Nous entrons dans la réelle utilité des plugins de sécurité. Ils vous permettent de suivre l’historique des connexions et parfois des activités, ce que ne permet pas une configuration particulière. Cela vous permettra de connaître le nombre de tentatives effectuées sur votre site et d’apprécier l’importance d’un mot de passe fort, et aussi de supprimer le compte « admin ». Notons que d’autres plugins tels qu’Activity log vous permettent un suivi plus complet de l’activité.
Les backups
Rappelons qu’un bon serveur vous proposera un service de backup journalier. Si ce n’est pas le cas, vous pouvez réaliser cette tâche avec certains outils directement intégrés dans les plugings de sécurité. Bien que nous possédions des backups via notre hébergeur, nous avons choisi chez 1min30 d’utiliser VaultPress, qui en plus d’effectuer nos sauvegardes, permet de les restaurer en un clic, une fois configuré.
L’anti-malware
Souvent mise en avant, cette fonctionnalité est-elle vraiment utile ? Pas vraiment ; en effet, si vous installez vos plugins & thèmes depuis le store vous ne craignez généralement rien, car une première vérification est faite par WordPress ou bien des sites comme Envato Market. C’est un peu l’aspect marketing des solutions, qui vous propose des choses inutiles.
Les solutions
Plusieurs solutions se disputent le marché : Wordfence, Sucuri, Itheme, et bien d’autres. Attention au choix de votre solution car elle sera plus ou moins rapide et certaines, si vous n’y prenez garde, vont supprimer un paramétrage voire du code qu’elles jugeront inadéquat. Pour notre site et pour nos clients, nous avons choisi Sucuri Security. En plus d’offrir une solution plus que complète, ils ont une forte légitimité en matière de sécurité. Disposant d’une équipe dédiée uniquement à cela, ils proposent un firewall performant et une action directe en cas de hacking de votre site.
Méfiez-vous du marketing et des interfaces rassurantes que vous proposent certains plugins : ce n’est pas forcément un gage de qualité ! Faites un rapide état des lieux de votre infrastructure. Si vous êtes vigilants, il n’est souvent pas utile d’encombrer votre site de lourdes solutions. Souvent, il vaut mieux bien paramétrer son serveur que simplement ajouter un plugin en pensant ainsi résoudre tous vos problèmes. Si vous souhaitez en savoir plus sur le sujet, je vous invite à lire mon article sur comment sécuriser son thème wordpress, simplement et rapidement.
Si cet article vous a plu, nous vous invitons à découvrir notre agence developpement web et à télécharger notre livre blanc « Les 11 commandements d’un site internet qui convertit vos visiteurs en clients »
1 Commentaire
Marlène @ No Tuxedo dit: 14 Avr 2017
Ce qui rend à mon sens ces extensions très intéressantes, c'est d'abord la fonctionnalité de scan comparatif, qui met en parallèle les fichiers en ligne sur le serveur et ceux qui figurent dans le repository WordPress pour détecter des modifications suspectes.
C'est ensuite la possibilité de détecter une vague d'attaques avec alerte instantanée (même si une tentative d'attaque n'aboutit pas car le site est mis à jour et le serveur sécurisé, ça peut occasionner des ralentissements ; le blocage instantané & à la source est assez utile, j'ai eu le cas récemment avec des tentatives d'injection SQL en série).
C'est aussi la fonctionnalité de blocage des plages d'IP, qui peut servir (au-delà de la sécurité) pour réduire le volume de spam d'une manière très simple et ergonomique (modifier le .htaccess à la main n'est pas toujours possible/facile d'accès pour quelqu'un) ; le blocage automatique des tentatives d'accès répétées à l'administration/attaques Brute Force ; la possibilité d'avoir une double authentification si vraiment on veut pousser la sécurité plus loin.
Je trouve que ces plugins ont bien des avantages, à condition d'en choisir un de qualité (pour ma part, j'utilise Wordfence) et surtout de bien le paramétrer car certaines fonctionnalités peuvent ralentir le site.