Choisir le meilleur plugin de sécurité WordPress : les 12 meilleurs plugins comparés

La sécurité est absolument impérative, que vous possédiez un blog, un site de petite entreprise ou une boutique de commerce électronique. Après tout, si votre site est piraté, vous risquez de nuire à votre réputation, de perdre vos fichiers et votre base de données, de nuire à votre classement SEO et de transmettre les données personnelles des clients et des visiteurs aux pirates.

Comme pour beaucoup de choses dans la vie, la prévention est bien meilleure que le traitement. Et, heureusement, WordPress facilite la sécurisation de votre site et empêche un piratage.

Nous allons examiner en profondeur 12 des meilleurs plugins de sécurité WordPress, les comparer dans divers domaines et vous aider à choisir le meilleur plugin pour votre site particulier. De plus, nous répondrons à quelques questions de sécurité courantes sur WordPress.

Ai-je besoin d'un plugin de sécurité WordPress ?

Vous n'avez pas nécessairement besoin d'un plugin de sécurité WordPress pour exécuter un site sécurisé. De nombreuses bonnes pratiques, telles que les mises à jour régulières et les mots de passe sécurisés, peuvent être mises en œuvre sans eux. Cependant, les meilleurs plugins de sécurité WordPress font passer les choses au niveau supérieur, en ajoutant une couche de sécurité supplémentaire et en facilitant l'ajout d'une protection avancée sans l'aide d'un développeur.

Et la sécurité est un domaine sur lequel vous ne voulez pas lésiner. Quel que soit le type de site que vous exploitez, un piratage pourrait avoir un impact sérieux sur la façon dont les visiteurs, les clients et les clients perçoivent votre marque. Cela peut également nuire à votre classement dans les moteurs de recherche (Google n'aime pas les sites dangereux), diminuer le nombre de ventes et de prospects que vous recevez et mettre en danger des informations telles que les données de carte de crédit.

Ainsi, bien qu'un plugin de sécurité WordPress ne soit pas nécessairement requis, c'est une bonne idée d'en utiliser un pour n'importe quel site.

Comparatif des meilleurs plugins de sécurité pour WordPress

Comparons les douze meilleurs plugins de sécurité WordPress pour vous aider à choisir la meilleure option pour votre site :

Vous pouvez utiliser la liste ci-dessus pour accéder rapidement à des plugins spécifiques et passer en revue leurs fonctionnalités les plus importantes, leurs options de tarification et, surtout, la manière dont ils peuvent vous aider à protéger votre site Web.

1. Sécurité du Jetpack

Contrairement à de nombreux autres plugins, Jetpack Security s'occupe de plusieurs tâches : les fonctionnalités gratuites et payantes incluent tout, de la prévention des attaques par force brute à la surveillance des temps d'arrêt, aux sauvegardes, à l'analyse des logiciels malveillants, à la protection anti-spam, etc. Ces fonctionnalités se combinent pour créer un plugin de sécurité WordPress holistique facile à utiliser pour les débutants mais suffisamment complet pour le plus grand site. Et, en prime, comme les analyses sont exécutées sur les serveurs Jetpack, elles ne ralentiront pas votre site Web.

Jetpack est également construit et pris en charge par les personnes derrière WordPress.com, spécifiquement pour WordPress. L'équipe Jetpack connaît WordPress de fond en comble et comprend les problèmes exacts auxquels les propriétaires de sites WordPress sont confrontés chaque jour, ce qui explique exactement pourquoi il s'agit du meilleur plugin de sécurité disponible.

Principales caractéristiques de Jetpack Security :

• Sauvegardes automatisées quotidiennes et en temps réel
• Analyses quotidiennes et en temps réel des logiciels malveillants
• Prévention automatisée des spams
• Un journal d'activité détaillé montrant tout ce qui se passe sur votre site
• Surveillance des temps d'arrêt
• Protection contre les attaques par force brute
• Authentification à deux facteurs
• Une application mobile avec des alertes et un accès aux sauvegardes, aux résultats d'analyse et au journal d'activité

Plongeons dans quelques-unes de ces fonctionnalités un peu plus en détail.

Protection contre les attaques par force brute

Une attaque par force brute se produit lorsque les pirates utilisent des robots pour deviner les combinaisons de nom d'utilisateur et de mot de passe jusqu'à ce qu'ils trouvent la bonne. Puisqu'ils utilisent de grands réseaux d'ordinateurs, ils peuvent essayer des milliers de mots de passe chaque seconde.

La fonction de protection contre les attaques par force brute de Jetpack bloque les tentatives de connexion indésirables des adresses IP malveillantes avant qu'elles n'atteignent votre site.

Surveillance des temps d'arrêt

La surveillance des temps d'arrêt de Jetpack visite votre site Web depuis des endroits du monde entier et vous envoie une alerte instantanée en cas de panne. Pourquoi est-ce utile ? Vous ne pouvez pas résoudre un problème dont vous n'êtes pas au courant ! Si votre site Web tombe en panne pendant une période prolongée, vous pourriez perdre du trafic, des ventes et même des classements dans les moteurs de recherche. Grâce à la surveillance des temps d'arrêt, vous serez immédiatement informé des problèmes afin de pouvoir les résoudre le plus rapidement possible.

Authentification à deux facteurs

L'authentification à deux facteurs ajoute un niveau de sécurité supplémentaire à votre page de connexion en exigeant plus qu'un simple nom d'utilisateur et mot de passe. Lorsque vous vous connectez à votre site, Jetpack enverra un code sur votre téléphone que vous devrez saisir. Cela signifie que, pour qu'un pirate puisse entrer, il devrait connaître votre nom d'utilisateur et votre mot de passe et posséder physiquement votre appareil mobile - une combinaison improbable.

Sauvegardes automatisées

Si votre site tombe en panne pour une raison quelconque, une sauvegarde complète sera inestimable. Imaginez perdre tout votre travail acharné, l'argent que vous avez investi et les données de vos clients ou visiteurs. Les sauvegardes WordPress offrent une tranquillité d'esprit.

Mais toutes les solutions de sauvegarde ne se valent pas. Les sauvegardes Jetpack sont :

• Automatisé , vous n'avez donc pas besoin de créer manuellement des sauvegardes.
• Sécurisé , pour que vos sauvegardes soient protégées et toujours disponibles.
• Facile à configurer , ce qui est particulièrement utile si vous n'êtes pas familier avec le codage ou la gestion de serveur.
• Rapide à restaurer , vous pouvez donc remettre votre site en marche le plus rapidement possible.
• Disponible en deux formats : journalier et temps réel.

Les sauvegardes quotidiennes se produisent automatiquement une fois par jour et constituent une excellente solution pour les restaurants, les blogs et autres sites Web qui ne sont pas mis à jour plus d'une fois toutes les 24 heures.

Les sauvegardes en temps réel se produisent automatiquement pendant que vous travaillez, vous disposez donc d'un enregistrement à la minute de votre site Web - chaque modification est enregistrée au fur et à mesure que vous l'effectuez. Ils sont parfaits pour les boutiques en ligne, les sites d'adhésion, les forums et tout site Web mis à jour régulièrement.

Quelle que soit l'option que vous choisissez, vous pouvez être sûr que votre site est sauvegardé et peut être restauré en quelques clics si vous en avez besoin.

Analyse automatisée des logiciels malveillants

Si un pirate accède à votre site Web, il peut créer une « porte dérobée », un type de logiciel malveillant qui lui permet d'accéder à votre site à tout moment pour voler des données ou insérer des logiciels malveillants ou des virus à votre insu. Les logiciels malveillants compromettent votre réputation et mettent vos informations et les données de vos clients en danger.

C'est là que Jetpack Scan entre en jeu. Il exécute des analyses quotidiennes automatiques des logiciels malveillants du code de votre site, en vérifiant tout élément suspect. Dès qu'il détecte une menace, vous recevez une notification par e-mail contenant des informations détaillées sur les fichiers infectés.

Et ça s'améliore : Jetpack corrige automatiquement la majorité des menaces connues. Ainsi, non seulement vous serez immédiatement au courant des problèmes, mais vous n'aurez probablement pas à lever le petit doigt pour les résoudre.

Filtrage automatique des spams

Le spam se présente souvent sous la forme de commentaires non pertinents qui incluent des liens vers des sites Web peu recommandables. Avec le bon logiciel, les spammeurs peuvent laisser des millions de commentaires, qui deviennent rapidement ingérables.

Jetpack Anti-spam filtre automatiquement les commentaires, les pingbacks et les soumissions de formulaires de contact pour les spams connus, vous faisant gagner des heures de temps. Si vous craignez que de vrais commentaires soient marqués comme spam, vous pouvez les examiner et restaurer tout ce que vous souhaitez, ou simplement configurer Jetpack pour qu'il se débarrasse des pires commentaires afin que vous n'ayez jamais à les voir.

L'application mobile Jetpack

Les pirates ne s'arrêtent pas simplement parce que vous êtes loin de votre ordinateur. Avec l'application mobile Jetpack, vous pouvez vérifier l'activité du site, restaurer une sauvegarde et afficher les résultats de l'analyse des logiciels malveillants, où que vous soyez.

De plus, vous recevrez des alertes instantanées si votre site Web tombe en panne ou si un logiciel malveillant est détecté, pour une tranquillité d'esprit ultime. Trouver quelque chose qui ne va pas ? Vous pouvez résoudre la majorité des menaces connues en un seul clic, directement depuis l'application.

Facilité d'utilisation:

Jetpack est conçu pour que n'importe quel propriétaire de site Web puisse l'utiliser, quel que soit son niveau de compétence technique. Toutes les fonctionnalités peuvent être activées en quelques clics, sans aucune connaissance en codage ni développeur requis.

Assistance et documentation :

Jetpack est maintenu et soutenu par des experts WordPress qui se soucient vraiment de vous, de votre site et de votre entreprise – à juste titre, ils sont appelés Happiness Engineers. Un plan gratuit comprend une assistance par e-mail de haute qualité, et les plans payants offrent une attention plus rapide et prioritaire afin que vous obteniez l'aide dont vous avez besoin au moment où vous en avez besoin.

Il existe également une documentation complète qui vous guide tout au long de la configuration et du dépannage.

Tarification et options de forfait :

• Jetpack Free inclut la surveillance des temps d'arrêt, la protection contre les attaques par force brute et un journal d'activité avec les 20 derniers événements sans frais.
• Jetpack Security Daily inclut toutes les fonctionnalités, ainsi que des sauvegardes quotidiennes, des analyses de sécurité quotidiennes et un journal d'activité de 30 jours à partir de 11,97 $ par mois.
• Jetpack Security Real-time inclut toutes les fonctionnalités, ainsi que des sauvegardes en temps réel, des analyses de sécurité en temps réel et un journal d'activité d'un an à partir de 33,57 $ par mois.
• Vous pouvez également acheter certaines fonctionnalités individuellement, comme Jetpack Backup, Jetpack Scan et Jetpack Anti-spam à partir de 4,77 $ par mois.

Idéal pour :

Blogs, boutiques de commerce électronique et sites Web de toute taille. Jetpack Security est le meilleur plugin de sécurité WordPress le plus complet pour pratiquement tous les scénarios.

2. Clôture des mots

Wordfence est un pare-feu d'application Web qui offre également quelques fonctionnalités supplémentaires telles que l'analyse des logiciels malveillants. Étant donné que le pare-feu est un pare-feu de point de terminaison, il s'intègre profondément à WordPress, ne peut pas être contourné et ne peut pas divulguer de données. Cela le rend beaucoup plus sûr que les alternatives cloud.

Une fois que vous avez configuré Wordfence, vous recevrez des notifications par e-mail s'il détecte quelque chose comme un plugin obsolète, un morceau de code malveillant ou un virus.

Cependant, Wordfence a la réputation de ralentir votre site, car il ajoute de nombreuses tables de base de données lourdes et met à rude épreuve votre serveur lors des analyses de logiciels malveillants.

Principales caractéristiques de Wordfence :

• Un pare-feu applicatif Web
• Un scanner de sécurité
• Protection par mot de passe divulgué
• Authentification à deux facteurs
• Blocage manuel et blocage de pays
• Réparation automatisée des fichiers

Examinons de plus près quelques-unes de ces fonctionnalités.

Firewall d'applications Web

Le pare-feu est certainement la fonctionnalité la plus puissante de Wordfence. Il exploite les données collectées sur plus de quatre millions de sites Web qu'il protège pour comprendre comment les pirates attaquent, à quoi ressemblent les attaques et d'où elles viennent. Ils mettent régulièrement à jour leurs règles de pare-feu et la liste des adresses IP malveillantes qu'ils bloquent pour une protection constante.

Analyseur de sécurité

Le scanner de sécurité vérifie votre site pour détecter les logiciels malveillants, les URL incorrectes, les spams, les redirections malveillantes et les injections de code. Il signale également toutes les modifications apportées aux fichiers principaux de WordPress, les vulnérabilités de sécurité connues et les plugins obsolètes.

Blocage manuel et blocage de pays

Les plans Premium donnent accès à ces fonctionnalités, qui ne font qu'ajouter de la puissance supplémentaire au pare-feu. Avec le blocage manuel, vous pouvez choisir de bloquer des réseaux malveillants entiers ou toute activité humaine ou robotique que vous souhaitez. Avec le blocage de pays, vous pouvez bloquer tout le trafic provenant d'un pays spécifique, ce qui peut être particulièrement utile lors d'une attaque. Gardez à l'esprit que le blocage de pays à long terme n'est pas recommandé à des fins de référencement.

Réparation automatisée des fichiers

Si Wordfence constate qu'un fichier principal de WordPress a été modifié de manière peu recommandable, vous pouvez ramener le fichier à son état d'origine en un seul clic. Il est important de noter, cependant, que cela est différent de la suppression des logiciels malveillants ou de la réparation d'un site piraté, qui vous coûtera 490 $ supplémentaires de Wordfence.

Facilité d'utilisation:

Alors que Wordfence peut être utilisé par ceux qui n'ont pas de connaissances techniques, le panneau des paramètres peut être écrasant et compliqué. Toutes les fonctionnalités sont répertoriées en même temps et il peut être difficile de comprendre les besoins de votre site. Par défaut, Wordfence envoie également de nombreuses alertes par e-mail, dont beaucoup ne nécessitent aucune réponse du propriétaire du site, et il peut être difficile pour les débutants de comprendre ce qu'ils doivent faire avec chacune.

Assistance et documentation :

Wordfence fournit une assistance gratuite via les forums WordPress et une assistance premium via un système de billetterie en ligne. Ils ont également une base de données de documentation qui fournit des détails sur la configuration et le dépannage du plugin.

Tarification et options de forfait :

• Wordfence Free inclut gratuitement le pare-feu d'application Web de base, le scanner de logiciels malveillants et la protection contre les attaques par force brute.
• Wordfence Premium ajoute des fonctionnalités telles que les mises à jour de pare-feu en temps réel, les vérifications de liste de blocage IP et le blocage de pays pour 99 $ par an.

Idéal pour :

Les petits sites Web qui recherchent spécifiquement un pare-feu et n'ont pas besoin de protéger des données importantes telles que les informations de carte de crédit. Bien que Wordfence inclue des fonctionnalités supplémentaires, ce n'est pas le plugin de sécurité WordPress le plus complet de cette liste. Le pare-feu d'application Web est ce qui le distingue.

3. Sécurité iThèmes

iThemes Security est un plugin freemium qui se concentre davantage sur le renforcement de votre site – en ajoutant des couches de protection – que sur l'identification et la résolution des hacks. Pour ce faire, ils utilisent des mesures de sécurité telles que la définition d'autorisations de fichiers correctes, l'application de mots de passe forts et la modification des URL de connexion.

Principales caractéristiques d'iThemes Security :

• Protection contre la force brute
• Changement de fichier et détection 404
• Sauvegardes de la base de données
• Masquer la page de connexion et d'administration
• Protection renforcée par mot de passe
• Authentification à deux facteurs

Voici plus de détails sur certaines de ces fonctionnalités :

Protection contre la force brute

Verrouille les personnes lorsqu'elles essaient d'entrer plusieurs fois et échouent. Cela empêche les bots de deviner votre mot de passe et votre nom d'utilisateur des milliers de fois en peu de temps.

Sauvegardes de la base de données

Générez automatiquement des sauvegardes de votre base de données, qui vous sont ensuite envoyées par e-mail. Notez que cela inclut uniquement la base de données, aucun de vos fichiers, médias, plugins ou thèmes.

Masquer la page de connexion

Par défaut, tous les sites WordPress utilisent l'URL /wp-admin pour la page de connexion et de tableau de bord. Ceci, bien sûr, permet aux pirates de trouver très facilement cette page, car c'est toujours la même. Changer l'URL en autre chose, ce qu'iThemes Security vous permet de faire sans code personnalisé, ajoute une couche de protection supplémentaire.

Facilité d'utilisation:

Comme Wordfence, le tableau de bord des paramètres iThemes peut être écrasant pour les débutants et les utilisateurs non techniques. De nombreux petits paramètres peuvent être activés ou désactivés et il est difficile de savoir lesquels conviennent à votre site.

Assistance et documentation :

La version gratuite d'iThemes Security est exécutée via les forums WordPress.org. La version premium comprend un système d'assistance payant. Une documentation complète est également disponible.

Tarification et options de forfait :

• iThemes Security Free inclut des mesures de renforcement, des sauvegardes de bases de données, une protection contre les attaques par force brute et une protection contre les modifications de fichiers (entre autres fonctionnalités) sans frais.
• iThemes Blogger (Premium) ajoute des analyses de logiciels malveillants planifiées, une authentification à deux facteurs et reCAPTCHA (entre autres fonctionnalités) et coûte 80 $ par an et par site.

Idéal pour :

Protection de la connexion et renforcement du site. Bien qu'il existe une variété d'autres fonctionnalités incluses, de nombreux autres plugins de sécurité WordPress les gèrent mieux, d'une manière plus facile pour les utilisateurs.

4. Sucuri

Sucuri est une solution de sécurité WordPress basée sur le cloud, ce qui signifie qu'elle s'exécute entièrement sur ses propres serveurs, empêchant le vôtre de prendre du retard. Il n'a pas été conçu spécifiquement pour WordPress et fonctionne avec n'importe quelle plate-forme ou système de gestion de contenu. Bien qu'il offre des outils de pare-feu d'application Web et d'analyse des logiciels malveillants, ses services de nettoyage brillent vraiment.

Il est important de noter que Sucuri sépare très clairement ses fonctionnalités gratuites et premium. Le plugin gratuit offre une analyse des logiciels malveillants et un renforcement de WordPress, tandis que la version premium comprend le pare-feu d'application Web et des services de nettoyage de piratage.

Principales caractéristiques de Sucuri :

• Analyse des logiciels malveillants
• Surveillance de l'état de la liste de blocage
• Un pare-feu applicatif Web
• Atténuation du déni de service distribué (DDoS)
• Prévention des attaques par force brute
• Services de nettoyage de site Web

Examinons quelques-uns d'entre eux encore plus près.

Surveillance de l'état de la liste de blocage

Sucuri exécute votre URL via une variété de services pour voir si vous êtes bloqué. Et, puisque les sites bloqués perdent une quantité importante de trafic, cela peut être un énorme avantage.

Atténuation du déni de service distribué (DDoS)

Les attaques DDoS sont des tentatives malveillantes de perturber le trafic d'un serveur en le submergeant d'un flot de faux trafic. Cela empêche essentiellement les visiteurs et clients normaux et légitimes d'accéder à votre site Web. La fonction d'atténuation DDoS de Sucuri bloque ces attaques.

Services de nettoyage de site Web

L'équipe d'experts de Sucuri est disponible pour réparer et restaurer votre site après un piratage. Ils suppriment le code malveillant de vos fichiers et de votre base de données, soumettent des demandes de suppression de listes de blocage et réparent le spam SEO (comme les injections de liens).

Facilité d'utilisation:

La configuration de la version premium de Sucuri peut devenir un peu délicate pour les non-développeurs, car vous devez modifier les paramètres DNS de votre domaine pour utiliser les serveurs de Sucuri. La configuration du plugin WordPress gratuit est beaucoup plus simple et plus facile pour les non-développeurs.

Assistance et documentation :

La prise en charge de la version gratuite est proposée via les forums de support WordPress, tandis que la version premium utilise un système de billetterie. Une vaste base de connaissances est également disponible pour répondre aux questions courantes.

Tarification et options de forfait :

• Sucuri Free inclut l'analyse des logiciels malveillants, la surveillance des listes de blocage et le renforcement de WordPress sans frais.
• Sucuri Basic ajoute un pare-feu d'application Web et des services de nettoyage pour 199 $ par an. Cependant, il n'y a pas de temps de réponse de nettoyage garanti et les analyses de logiciels malveillants sont exécutées toutes les 12 heures.
• Sucuri Pro coûte 299,99 $ par an et comprend tout dans le plan de base, mais augmente la fréquence des analyses de logiciels malveillants à six heures.
• Sucuri Business augmente la fréquence des analyses de logiciels malveillants à toutes les 30 minutes et garantit un temps de réponse aux hacks de six heures. Ces avantages sont assortis de frais annuels de 499,99 $.

Idéal pour :

Renforcer et nettoyer un site Web après qu'il a été piraté. Étant donné que la version gratuite du plugin n'inclut pas de fonctionnalités essentielles comme un pare-feu, il est préférable de s'en tenir à la version premium ou de choisir une autre option de plugin.

5. Sécurité et pare-feu WP tout-en-un

Le plugin All in One WP Security and Firewall est une solution WordPress complète et entièrement gratuite, comme son nom l'indique. Il divise ses fonctionnalités en catégories en fonction de leur niveau de sécurité (et de la probabilité qu'elles puissent casser quelque chose sur votre site), il y en a donc pour tous les goûts, quel que soit le niveau de compétence.

Cependant, toutes les fonctionnalités sont axées sur la protection de votre site contre les piratages plutôt que sur la recherche de logiciels malveillants et le nettoyage d'un site piraté.

Principales caractéristiques de All in One WP Security and Firewall :

• Renforcement du compte utilisateur
• Sécurité de la page de connexion
• Sauvegardes de la base de données
• Sécurité du système de fichiers
• Fonctionnalité de liste noire
• Un pare-feu
• Un scanner de sécurité
• Protection contre les attaques par force brute

Voici quelques informations supplémentaires sur certaines de ces fonctionnalités :

Sécurité de la page de connexion

Le plugin bloque les utilisateurs après un certain nombre de tentatives de connexion, force la déconnexion après une période de temps définie, ajoute reCAPTCHA à la page de connexion et enregistre chaque connexion et déconnexion. Cela permet de protéger votre site contre les pirates et les bots.

Sécurité du système de fichiers

All in One WP Security and Firewall vérifie vos fichiers et dossiers pour les problèmes d'autorisations et vous permet de les résoudre en un seul clic. Il vous permet également d'empêcher les pirates et les robots d'afficher des fichiers facilement compromis (comme readme.html, license.txt) et désactive l'édition de fichiers.

Analyseur de sécurité

Le scanner de sécurité vérifie les modifications apportées à vos fichiers en les comparant aux fichiers WordPress principaux par défaut. Notez que cela ne résout pas les problèmes pour vous ni ne recherche les logiciels malveillants.

Facilité d'utilisation:

Parce que les fonctionnalités sont divisées par niveau de sécurité - en séparant celles qui pourraient casser votre site de celles qui ne le pourraient pas - c'est un plugin facile à utiliser pour les débutants. Il dispose également d'un indicateur de niveau de sécurité qui vous donne un aperçu rapide de votre position à tout moment.

Assistance et documentation :

Le support est uniquement disponible via les forums WordPress.org et la documentation est limitée sur certaines fonctionnalités.

Tarification et options de forfait :

Il n'y a qu'une seule version de ce plugin - la version gratuite - qui inclut toutes les fonctionnalités.

Idéal pour :

Débutants et sites Web de base. Il est facile de démarrer relativement rapidement sans casser votre site. Mais, comme il n'y a pas de version premium de ce plugin, il lui manque des fonctionnalités précieuses comme l'analyse et la suppression des logiciels malveillants. Cela pourrait être une bonne solution pour les blogs amateurs qui ne veulent pas investir beaucoup dans la sécurité de leur site Web.

6. Défenseur Pro

Defender Pro a été créé par WPMU DEV, une société de développement WordPress qui crée des solutions pour tout, de la sécurité et des opt-ins aux quiz et aux analyses. Il peut être acheté séparément ou dans le cadre d'une suite d'outils de site Web.

Fonctionnalités clés de Defender Pro :

• Analyse de sécurité
• Protection de connexion
• Authentification à deux facteurs
• Surveillance de la liste de blocage
• Restauration et réparation de fichiers modifiés

Facilité d'utilisation:

Defender Pro comprend un assistant de configuration facile à utiliser, idéal pour les débutants.

Assistance et documentation :

WPMU Dev offre une assistance par chat en direct, ainsi que des forums, des e-mails et une documentation détaillée.

Tarification et options de forfait :

• Defender Pro ne coûte que 60 $ par an pour les fonctionnalités énumérées ci-dessus.
• Le pack Sécurité et sauvegardes ajoute des produits supplémentaires, comme des outils de sauvegarde et de migration, pour 90 $ par an.
• L'adhésion WPMU Dev est la suite complète d'outils - y compris les opt-ins, les analyses, etc. - et coûte 190 $ par an.

Idéal pour :

Sites qui souhaitent acheter la suite complète d'outils plutôt que la sécurité. Bien que Defender Pro soit une option de sécurité décente, il lui manque des fonctionnalités clés telles qu'un pare-feu et une prévention du spam. Cependant, lorsqu'il est inclus avec la suite complète d'outils de développement WPMU, c'est un joli bonus.

7. Sécurité à toute épreuve

Bulletproof Security est un plugin WordPress freemium destiné spécifiquement aux développeurs. Il est complet et permet de nombreuses modifications du backend, mais il est difficile à utiliser pour les débutants.

Principales caractéristiques de la sécurité à l'épreuve des balles :

• Analyseur de logiciels malveillants
• Dossiers de plug-ins cachés
• Sécurité et surveillance de la connexion
• Déconnexion de la session inactive
• Expiration du cookie d'authentification
• Journaux de sécurité
• Une variété d'autres fonctionnalités de sécurité avancées

Facilité d'utilisation:

Encore une fois, ce n'est pas un plugin conçu pour les débutants. Bien qu'il fournisse un assistant de configuration, la modification ou la modification des paramètres devient très compliquée et peut casser votre site.

Assistance et documentation :

La prise en charge du plugin gratuit est fournie via les forums WordPress.org. Le support Premium est fourni via un forum de support spécial. Une documentation limitée et des didacticiels vidéo sont disponibles.

Tarification et options de forfait :

• BulletProof Security Free offre de nombreuses fonctionnalités répertoriées ci-dessus sans frais supplémentaires.
• BulletProof Security Pro comprend des installations illimitées et des fonctionnalités avancées (comme les sauvegardes et la surveillance de la base de données, un pare-feu de plug-in et la restauration automatique des fichiers du site Web) pour 69,95 $.

Idéal pour :

Développeurs et utilisateurs avancés qui souhaitent personnaliser personnellement tous les aspects de la sécurité de leur site Web.

8. Ninja de la sécurité

Bien que Security Ninja soit une solution de sécurité relativement complète, sa « prétention à la gloire » réside dans les plus de 50 contrôles de sécurité intégrés. Ces tests couvrent tout, des thèmes et plugins à jour aux versions WordPress, en passant par l'accessibilité des fichiers et les préfixes des tables de base de données.

Principales caractéristiques de Security Ninja :

• Un pare-feu applicatif Web
• Analyse des logiciels malveillants
• Protection du formulaire de connexion
• Analyses de vulnérabilité des plugins
• Journalisation des événements

Facilité d'utilisation:

Ce plugin est relativement facile à utiliser, mais vous oblige à travailler un peu. Il ne résout pas automatiquement les problèmes détectés. Au lieu de cela, vous êtes entièrement responsable de votre site et des correctifs de sécurité. Ceci, bien sûr, peut être un avantage pour ceux qui savent ce qu'ils font, mais peut aussi être difficile pour les débutants. Notez que la version Pro résout cependant automatiquement une trentaine de problèmes, si vous choisissez d'emprunter cette voie.

Assistance et documentation :

Le support pour la version gratuite est fourni via les forums WordPress.org, tandis que la version Pro inclut un système de ticket de support. Une documentation détaillée est disponible.

Tarification et options de forfait :

• Security Ninja Free inclut les 50+ contrôles de sécurité mentionnés ci-dessus sans frais.
• Security Ninja Starter ajoute un pare-feu, un scanner de logiciels malveillants, un réparateur automatique et plus encore pour 49 $ par an pour un site. Si vous souhaitez couvrir plus d'un site, vous pouvez acheter leur plan plus (trois sites) pour 129 $ par an ou un plan pro (cinq sites) pour 199 $ par an. Chaque plan a également l'option d'une licence à vie à un coût supérieur.

Idéal pour :

Les sites qui veulent une image très claire de leur position, ainsi que ceux qui ont au moins une connaissance de niveau moyen de WordPress et de la sécurité.

9. SecuPress

SecuPress regroupe de nombreuses fonctionnalités de sécurité dans un seul plugin sans mettre trop de pression sur votre site. Les versions gratuite et premium sont faciles à utiliser pour les personnes de tous niveaux. L'une des meilleures fonctionnalités est le rapport de sécurité, qui vous permet de savoir où en est votre site et fournit des recommandations claires d'amélioration.

Principales caractéristiques de SecuPress :

• Un scanner de santé du site
• Limiter les tentatives de connexion
• Fonctionnalités de durcissement de WordPress
• Authentification à deux facteurs
• Analyse des logiciels malveillants
• Sauvegardes de bases de données et de fichiers

Facilité d'utilisation:

SecuPress a une interface simple et facile à naviguer pour les propriétaires de sites de tout niveau de compétence. Il catégorise les fonctionnalités en fonction de leur objectif et explique ce que chacune fait sur place.

Assistance et documentation :

La version gratuite inclut une assistance via les forums WordPress, tandis que la version premium inclut un système de billetterie.

Tarification et options de forfait :

• SecuPress Free inclut le scanner de santé, de nombreuses fonctionnalités de renforcement et limite les tentatives de connexion (entre autres fonctionnalités) sans frais.
• SecuPress Pro ajoute l'authentification à deux facteurs, l'analyse des logiciels malveillants et les sauvegardes, entre autres fonctionnalités avancées, pour 69,99 $ par an.

Idéal pour :

Les petites entreprises, en particulier celles qui peuvent investir de l'argent dans un plugin de sécurité WordPress. Étant donné que la version gratuite n'inclut pas les fonctionnalités les plus précieuses telles que l'analyse des logiciels malveillants, il est recommandé d'acheter la version premium.

10. Astra Sécurité

Astra Security est un outil de sécurité premium uniquement qui se décrit comme une "suite de sécurité tout-en-un pour une protection complète, sans les tracas". Il est important de noter que, bien qu'il protège les sites WordPress, il n'a pas été conçu spécifiquement pour WordPress et fonctionne pour tout type de site. Comme il n'est pas axé sur WordPress, vous risquez de manquer des fonctionnalités précieuses spécifiques à la plate-forme.

Principales caractéristiques d'Astra Security :

• Un pare-feu de site Web
• Analyse et nettoyage des logiciels malveillants
• Surveillance de la liste de blocage
• Mauvaise protection contre les robots
• Blocage IP et pays

Facilité d'utilisation:

Astra Security est facile à installer et relativement facile à configurer. L'équipe d'assistance premium est également disponible pour vous aider.

Assistance et documentation :

Le niveau de support que vous obtenez dépend du plan que vous achetez. L'assistance est fournie via un chat en direct 24h/24 et 7j/7 et il existe à la fois une documentation et une base de connaissances pour vous aider à démarrer.

Tarification et options de forfait :

• Le plan Pro comprend un pare-feu, le nettoyage des logiciels malveillants dans les 12 heures, un scanner de logiciels malveillants, une protection contre les bots malveillants et une assistance bronze (entre autres fonctionnalités) pour 228 $ par an.
• Le plan avancé ajoute plus de 300 tests de sécurité, le nettoyage des logiciels malveillants dans les huit heures, la prévention du spam et le support Silver (entre autres fonctionnalités) pour 468 $ par an.
• Le plan d'affaires ajoute le nettoyage des logiciels malveillants dans les six heures, plus de 500 tests de sécurité et un support Gold (entre autres fonctionnalités) pour 1428 $ par an.

Idéal pour :

Les grandes entreprises, en particulier celles qui ont plusieurs sites sur différentes plateformes. Comme il s'agit d'une option plus coûteuse et qu'elle n'a pas été conçue spécifiquement pour WordPress, ce n'est probablement pas le meilleur choix pour la majorité des blogs et des entreprises WordPress.

11. WPScan

WPScan est un plugin freemium à fonctionnalité unique qui se concentre spécifiquement sur le test de la sécurité de votre site. Bien qu'il s'agisse du seul plugin à fonctionnalité unique de cette liste, il est inclus car il excelle dans ce qu'il fait et offre quelque chose que la plupart des autres plugins n'ont pas. Il contient une grande base de données de vulnérabilités qu'il référence lors de l'analyse.

Fonctionnalités clés de WPScan :

• Analyse plus de 21 000 vulnérabilités de sécurité connues dans WordPress, les plugins et les thèmes
• Vérifie les fichiers debug.log, les fichiers de sauvegarde wp-config.php et les fichiers de base de données exportés qui pourraient poser des risques de sécurité
• Recherche les mots de passe faibles
• Vérifie si XML-RPC et les clés secrètes par défaut sont activées ou utilisées

Facilité d'utilisation:

Le plugin est très facile à configurer. Tout ce que vous avez à faire est de vous inscrire pour une clé API sur leur site Web, d'ajouter cette clé au plugin installé et de choisir entre des paramètres très basiques.

Assistance et documentation :

Le support est fourni via les forums WordPress et des instructions de base sont disponibles.

Tarification et options de forfait :

La tarification est basée sur le nombre de demandes d'API dont vous avez besoin par jour. WPScan fait une requête API pour le noyau WordPress, une pour chaque thème installé et une pour chaque plugin que vous utilisez. Donc, si vous avez dix plugins installés et un thème, cela représenterait 12 requêtes API par jour.

• Le plan gratuit comprend 25 requêtes API. La grande majorité des sites tomberont dans ce cas.
• Le plan Starter comprend 75 requêtes API et coûte 5 € par mois.
• Le plan professionnel comprend 300 requêtes API et coûte 25 € par mois.

Idéal pour :

Tout site qui souhaite surveiller les vulnérabilités de sécurité et n'utilise pas de plug-in de sécurité incluant cette fonctionnalité. Cependant, il est important de noter qu'il ne s'agit pas d'un package de sécurité complet et qu'il doit être utilisé en plus d'autre chose.

12. Bouclier de sécurité

Shield Security utilise une stratégie simple : commencez par la prévention, puis fournissez également un correctif si un site est piraté. Et puisque les robots sont responsables de la majorité des problèmes de sécurité, Shield Security se consacre spécifiquement à les empêcher d'accéder à votre site. Ils offrent également des fonctionnalités qui protègent les plugins WordPress courants tels que Yoast, Gravity Forms, Advanced Custom Fields, Contact Form 7 et Elementor.

Principales caractéristiques de Shield Security :

• Un moteur de détection anti-bot
• Un scanner de logiciels malveillants et de vulnérabilités
• Détection de spam
• Authentification à deux facteurs
• Un pare-feu applicatif Web

Facilité d'utilisation:

Il est relativement simple de démarrer, mais fournit beaucoup d'informations et de paramètres qui peuvent être accablants pour les débutants.

Assistance et documentation :

Une assistance gratuite est fournie via les forums WordPress.org. Une assistance premium est proposée via un système de tickets. Une documentation complète est également disponible, ainsi que des cours en ligne.

Tarification et options de forfait :

• ShieldFREE inclut la détection de bot, l'authentification à deux facteurs et un pare-feu (entre autres fonctionnalités) sans frais.
• ShieldPRO ajoute un scanner de logiciels malveillants, un scanner de vulnérabilité et une prévention du spam (entre autres fonctionnalités) pour 79 $ par an.

Idéal pour :

Propriétaires de sites Web ayant une compréhension modérée de la sécurité, qui peuvent investir de l'argent dans un plugin premium. Étant donné que la version gratuite n'inclut pas de scanner de logiciels malveillants, il est préférable d'acheter la version pro.

How to choose the best security plugin for WordPress

While WordPress is very safe, it's always a good idea to add extra protection to secure your hard work and visitors' information. Sites can be targeted at any size, but the importance of extra security grows along with a site's popularity and volume of content.

The easiest way to boost security is through a reputable plugin. But choosing the best WordPress security plugin for your site can get tricky because there are so many different options! Site owners should consider available prevention and cleanup features, along with cost and required technical knowledge.

Backed by a team of WordPress experts, Jetpack is the top choice for WordPress website security. It balances robust prevention and resolution features with reasonable costs, easy setup, and superior support.

If you're just looking for a security scanning tool and don't want all the other features and functionality, WPScan is a great choice. Not only is it completely free, it also excels at identifying security vulnerabilities to help you harden and lock down your WordPress site.

Or if you're a developer who's looking for an advanced, customizable option, you may want to consider BulletProof Security. It allows you to tweak just about everything in the backend so that you can provide unique, comprehensive security features for all of your client sites.

Frequently asked WordPress security questions

Does WordPress have security issues?

WordPress powers over 40% of the web and is the most popular content management system (CMS). While its popularity does make it a target for hackers, the software itself doesn't have security issues.

You see, hackers rarely access websites through vulnerabilities with WordPress. Instead, most sites are hacked due to preventable security issues like out-of-date plugins and themes, insecure passwords, or a poor hosting environment.

While no content management system is 100% secure, core WordPress developers work very hard to make it as safe as possible with each and every update. And, if you follow some basic best practices, you shouldn't have anything to worry about.

How can I improve my WordPress security?

1. Choose a quality hosting provider. Security starts with your host, so choose one with a good reputation. Look for features like automatic backups, an SSL certificate, a server-level firewall, and malware protection. And before purchasing a plan, check reviews for common security-related issues. See Jetpack's recommended WordPress hosting providers.
2. Regularly update WordPress, themes, and plugins. New releases often include patches for security vulnerabilities — along with additional features and functionality — so make sure that you're updating everything as soon as possible.
3. Choose reliable themes and plugins. Only install plugins and themes that come from a reliable source and have excellent reviews. And never purchase free (also called “nulled”) versions of premium themes and plugins. These are often full of malware and vulnerabilities.
4. Create secure usernames and passwords. Use a unique password for your WordPress site that's at least 20 characters in length and combines uppercase letters, lowercase letters, numbers, and symbols. This keeps both hackers and bots guessing.
5. Set appropriate user permissions. WordPress user roles define what actions each account can take on your site. Only give people the minimum role they need to do their job and remove any accounts that are no longer being used.
6. Take automatic backups that are stored off-site. Set up automated backups that happen, at a minimum, every 24 hours. Then, store these backups completely separately from your host, so that if anything happens to your server, your backup isn't affected.
7. Set up brute force attack protection. Brute force attacks occur when bots guess thousands of username/password combinations every minute to force their way into your site. But a good tool can block suspicious IP addresses before they even get to you.
8. Scan for malware. While you can't physically monitor your site for malware 24/7, choose a tool or plugin that can. Finding out the second anything suspicious happens enables you to solve the issue and prevent it from becoming widespread.
9. Set up two-factor authentication. Two-factor authentication requires both a password and physical device to log into your site. Typically, it sends a unique code to your phone, which you have to input to log in. This makes it nearly impossible for hackers to get in with a username and password.
10. Get rid of spam comments. Les commentaires de spam ne sont pas seulement ennuyeux ; they can include links to harmful phishing sites, therefore hurting your website visitors as well. You can get rid of these manually, or install a plugin that automatically filters comments and deletes spam.

Can WordPress plugins contain viruses?

Yes, unsafe WordPress plugins can contain viruses. Since WordPress is open source, anyone can modify and use its code to create new plugins. This is incredibly beneficial because it means that there's a solution for nearly any need, but it also means that unsavory developers can take advantage of the system.

But all you need is a little due diligence when selecting plugins. Always install them from trusted sources (like the WordPress.org repository) and check reviews thoroughly for signs of any issues. And, most importantly, never install nulled (or free) versions of premium plugins. These are often full of malware and vulnerabilities.

Can WordPress be hacked?

Yes, WordPress, like any other content management system, can be hacked. But the majority of hacks happen through completely preventable methods. If you put a few best practices into place — like choosing a high-quality host, setting secure passwords, updating your software, and installing a WordPress security plugin — there's no reason your site will be more vulnerable than any other.

What types of sites are most likely to be hacked?

While it may seem like hackers only target large websites with a lot of traffic, that's not really the case. The reality is that small businesses and blogs are just as likely to be attacked, but often have fewer security measures in place.

The majority of hackers don't target specific sites. Instead, they use automated bots to search the web, looking for easy opportunities. And automated bots don't discriminate.

Does my website need a firewall?

A good firewall is recommended for any website, because it acts as a shield between your site and all incoming traffic. A firewall should be included with any hosting plan you choose — this protects your site on a server level — but you should also install a web application firewall to secure your website against attacks specific to content management systems.

Think of a firewall as a guard standing at the door of your website. It monitors every visitor and bot that stops by, identifies suspicious characters (like bad IP addresses, botnets, and traffic to hidden pages) and blocks them before they even have a chance to attack. The best and easiest way to add a firewall to your WordPress site is with a plugin.

Is WordPress secure for eCommerce websites?

When it comes to WooCommerce security, it makes sense to be vigilant. After all, you're responsible for protecting customer data in addition to your site files and database. However, WordPress is an excellent, secure choice for an online store.

As the most popular content management system, it can be a target for hackers. However, it has a plethora of built-in security measures that will keep your site safe. And with a few best practices in place — like strong passwords, a quality host, and a great WordPress security plugin — you'll be set for success.

How do I check my WordPress security?

The best place to start is with a malware scanning tool. This will scan your website for any suspicious code and alert you if it finds anything. Some also fix any problems they find automatically.

Here are a few more ways to check your WordPress security:

• Assurez-vous que votre certificat SSL fonctionne. Un certificat SSL protège les données transmises sur votre site, comme les informations de paiement et de contact. Pour vous assurer que le vôtre fonctionne, recherchez simplement l'icône de verrouillage à côté de votre URL dans votre navigateur.
• Surveiller les temps d'arrêt. Si votre site tombe en panne, cela pourrait être une indication d'un piratage. Installez un outil automatisé qui vous avertit si votre site Web est inaccessible afin que vous puissiez résoudre le problème immédiatement.
• Assurez-vous qu'il n'y a pas d'avertissement de sécurité du navigateur. Si votre site a été piraté, les navigateurs tels que Google Chrome et Safari afficheront un avertissement de sécurité lorsque vous saisirez votre URL. Vous voudrez peut-être visiter votre site Web dans une fenêtre incognito ou privée pour obtenir les résultats les plus précis.
• Vérifiez les notifications dans Google Search Console. Si vous avez un compte Google Search Console, vous pouvez accéder rapidement au rapport sur les problèmes de sécurité, qui vous indiquera si votre site a été piraté ou s'il suit des pratiques non sécurisées.
• Suivez les meilleures pratiques de sécurité. La meilleure façon de garantir la sécurité de votre site WordPress consiste à mettre en œuvre de bonnes mesures de sécurité. Prenez les mesures appropriées pour renforcer votre site (en utilisant un guide d'une source fiable comme Jetpack) et vous serez sûr de pouvoir résister aux pirates.