iThemes Security Vs Sucuri : quel est le meilleur plugin de sécurité ?

À première vue, iThemes Security ressemble à un excellent plugin de sécurité abordable pour vos sites Web WordPress. Surtout si vous considérez que vous pouvez protéger des sites Web illimités pour seulement 199 $.

Sucuri, d'autre part, est l'un des plugins de sécurité WordPress les plus populaires disponibles. Il est doté d'un scanner et d'un pare-feu, et propose également la suppression des logiciels malveillants. Alors déjà dans ce tête-à-tête, il a volé une marche sur iThemes. Pourquoi? Parce que iThemes n'a aucune de ces fonctionnalités.

iThemes a été complètement éliminé de la course. Dans ce concours, Sucuri était sans aucun doute le gagnant. Cela dit, nous ne ferions toujours pas confiance à Sucuri pour protéger notre site Web. Quel plugin de sécurité est garanti pour protéger les sites Web WordPress contre les pirates ? La réponse est sans équivoque : MalCare.

Résumé de la comparaison iThemes Security vs Sucuri

iThemes Security est le placebo des plugins de sécurité WordPress. Vous pensez que votre site Web est à l'abri des pirates, mais tout ce qui le protège est un vœu pieux et des ondes positives. Sucuri est sans aucun doute meilleur, mais meilleur est un terme relatif après tout. Ce n'est pas un excellent plugin de sécurité.

iThemes Security en bref

En fin de compte, iThemes ne protège pas votre site Web. Nous vous conseillons fortement d'ignorer complètement iThemes si vous l'envisagez pour la sécurité de WordPress. Et si vous l'avez déjà installé, veuillez analyser votre site Web immédiatement. Votre site Web n'a aucune sécurité.

Nos premières impressions sur iThemes étaient en fait favorables. Le site Web parle d'un grand jeu et inspire confiance en raison de la manière autoritaire dont il parle de la sécurité WordPress. Le seul défaut que nous avons pu voir était que vous ne pouviez pas utiliser le plugin pour nettoyer les logiciels malveillants. Ce n'est pas idéal, mais cela pourrait toujours fonctionner comme un scanner.

Ou alors nous avons pensé.

Le scanner iThemes ne détecte pas les logiciels malveillants. Du tout. Nous risquerions de deviner qu'il n'analyse même pas les fichiers et les données, car l'analyse se termine en quelques secondes. Ce que fait le "scanner" iThemes, c'est vérifier le rapport de transparence de Google pour voir si votre site Web figure sur cette liste. Nous n'avons pas besoin d'un plugin de sécurité pour le faire. Nous sommes retournés consulter le site Web et avons été stupéfaits de constater que les fonctionnalités ne disent pas explicitement la recherche de logiciels malveillants. Il dit simplement que la détection des logiciels malveillants est l'une des étapes clés de la sécurité de WordPress. C'est un double langage, si jamais nous l'avons vu.

Nous avons été tentés de considérer les tests iThemes comme inutiles, mais nous avons continué dans un souci d'équité.

Le plugin dispose d'une solide fonctionnalité d'authentification à deux facteurs, que vous pouvez activer sur votre page de connexion. Il possède également des fonctionnalités de renforcement décentes telles que le blocage de l'exécution de PHP dans les dossiers. Cela dit, la protection de connexion par force brute ne fonctionne que de temps en temps. Une autre marque noire contre le plugin.

Ce que nous retenons de l'utilisation d'iThemes, c'est que les seules caractéristiques de toute valeur de sécurité sont l'authentification à deux facteurs et la mise en œuvre facile de reCAPTCHA sur wp-login. Ces deux fonctionnalités ne justifient cependant pas une facture de 199 $, car il existe de meilleurs plugins de sécurité qui offriront les mêmes fonctionnalités, en plus d'une sécurité réelle.

Tester iThemes a été une expérience terrible car nous ne pouvons pas imaginer le nombre de sites Web qui pensent être protégés par une sécurité inexistante. En fait, utilisateurs d'iThemes, vous devriez analyser votre site Web dès maintenant.

Sucuri en quelques mots

Sucuri dispose d'un pare-feu décent et d'excellents services de suppression de logiciels malveillants, mais a échoué de manière spectaculaire en tant que scanner de logiciels malveillants. Si vous ne savez pas que votre site Web contient des logiciels malveillants, il n'y a aucun moyen de s'en débarrasser. Il s'agit d'une partie non négociable d'un plugin de sécurité.

Lorsque nous avons commencé à tester Sucuri, nous en attendions beaucoup. C'est l'un des plugins de sécurité les plus populaires pour WordPress, et nous avons été stupéfaits de voir que le scanner n'a détecté aucun logiciel malveillant sur notre site de test piraté. Nous entrerons plus en détail dans une section ultérieure, mais cela a donné le ton à l'ensemble de notre processus de test.

En plus de l'échec, l'analyse elle-même prend beaucoup de temps et utilise les ressources de notre serveur pour le faire. Sucuri eux-mêmes découragent trop d'analyses en raison de l'impact sur les performances du site Web. C'est un compromis terrible à avoir entre performances et sécurité, et cela ne devrait tout simplement pas être le cas.

Passant aux services de pare-feu et de suppression des logiciels malveillants, Sucuri a bien fait. Le pare-feu était très difficile à configurer et nous a pris un temps démesuré pour le faire. Mais il a bloqué les attaques que nous avons tentées et nous n'avons pu exploiter aucune vulnérabilité.

Le service de suppression des logiciels malveillants a cependant été le point culminant de notre expérience de test. Même si le scanner a donné à notre site Web piraté un bon état de santé, nous savions qu'il était plein de logiciels malveillants. Tout d'abord, nous y avons placé le logiciel malveillant, et deuxièmement, les analyses de MalCare ont confirmé ce diagnostic. L'équipe de Sucuri a supprimé toute trace de logiciel malveillant de notre site, et il en a résulté une propreté irréprochable. Fantastique! La cerise sur le gâteau était que vous pouvez avoir un nombre illimité de demandes de suppression de logiciels malveillants dans le cadre de votre plan, ce qui est beaucoup.

Hormis le pare-feu, les paramètres sont très obscurs. Nous nous sommes retrouvés perplexes sur une grande partie du jargon utilisé, et c'est avec une expertise dans la sécurité WordPress. L'interface n'est pas conviviale et nous sommes sûrs que beaucoup de gens la trouveront inutilement alarmante. Point négatif pour Sucuri là-bas.

Dans l'ensemble, nous ne pensons pas que Sucuri soit la meilleure solution de sécurité pour un site Web WordPress. Cet honneur revient à MalCare, grâce à un scanner qui fonctionne à chaque fois. MalCare obtient également des points bonus qui ne nous font pas nous sentir obtus.

Comment choisir le bon plugin de sécurité pour votre site WordPress

La sécurité de votre site WordPress n'est pas négociable. Les logiciels malveillants peuvent entraîner d'innombrables pertes pour les entreprises : perte de revenus, poursuites judiciaires, coûts de nettoyage, impact sur l'image de marque, perte de trafic organique et bien plus encore. Investir dans le bon plugin vous évitera les pirates et les logiciels malveillants, ainsi que les problèmes que les logiciels malveillants laissent dans leur sillage.

La question est cependant : comment choisir un plugin de sécurité efficace pour votre site Web ?

Lors de la mise en place de nos tests, il y avait plusieurs facteurs à prendre en compte : la sécurité, bien sûr, mais aussi la facilité d'utilisation et le rapport qualité/prix aussi. Cependant, nous nous sommes vite rendu compte que tous les facteurs en dehors de la sécurité devenaient inutiles, car l'efficacité d'un plugin en matière de sécurité devrait être la seule considération.

Voici donc les facteurs à prendre en compte lors de la sélection d'un plugin de sécurité.

• Fonctions de sécurité essentielles
  
  • Analyse des logiciels malveillants
  • Nettoyage des logiciels malveillants
  • Pare-feu
• Fonctions de sécurité utiles
  
  • Détection de vulnérabilité
  • Protection de connexion par force brute
  • Journal d'activité
  • Authentification à deux facteurs
• Problèmes potentiels
  
  • Impact sur les ressources du serveur

Comme vous pouvez le voir dans la liste, seuls 3 facteurs sont totalement essentiels. Les atouts de MalCare dans les 3 : analyse et nettoyage des logiciels malveillants que d'autres plugins sont assurés de manquer, et protection de votre site Web contre le trafic malveillant avec un pare-feu puissant. De plus, MalCare le fait mieux que tout autre plugin de sécurité actuellement disponible.

iThemes Security vs Sucuri : comparaison directe des fonctionnalités

La façon dont nous avons présenté cette comparaison est de prendre d'abord les caractéristiques les plus essentielles, puis de discuter des autres observations qui ont surgi pendant les tests. Très souvent, nous avons vu des fonctionnalités et des paramètres qui ne faisaient presque rien (nous parlons d'iThemes) et qui représentaient pourtant une illusion élaborée de sécurité.

Couper dans l'ivraie pour arriver au bon grain n'a pas été facile, mais nous allons présenter toutes nos données aussi clairement et équitablement que possible.

Si vous souhaitez ignorer ce démontage, nous vous recommandons d'installer MalCare.

Analyse des logiciels malveillants

Les scanners de Sucuri n'ont détecté aucun des logiciels malveillants sur notre site Web. À en juger par la rapidité avec laquelle il a terminé l'analyse, iThemes n'a même pas analysé notre site Web à la recherche de logiciels malveillants.

Les versions gratuites et payantes de Sucuri ont toutes deux des scanners, nous étions donc intéressés de voir si cela fonctionnait différemment. La version gratuite est alimentée par Sucuri SiteCheck, un utilitaire en ligne qui analyse les parties publiquement visibles de votre site Web à la recherche de logiciels malveillants. Bien sûr, cela a des limites, donc un chit propre de SiteCheck n'est pas une garantie pour un site Web exempt de logiciels malveillants.

Le plan payant comprend un scanner au niveau du serveur que vous devez installer sur votre serveur Web. Soit vous pouvez le faire manuellement, soit entrer vos détails FTP dans votre tableau de bord Sucuri pour l'installer automatiquement. C'était un processus relativement indolore.

Le scanner est configuré pour s'exécuter tous les jours, mais vous pouvez numériser à la demande, dans une certaine mesure. Les demandes d'analyse supplémentaires sont placées dans une file d'attente, puis exécutées. Sucuri met en garde contre l'utilisation d'un trop grand nombre d'analyses car les analyses utilisent les ressources du serveur.

Cela nous a fait réfléchir, car nous avons alors réalisé que Sucuri utilisait les ressources de notre site Web pour exécuter des analyses. Avec nos sites de test, la ponction n'était pas trop importante car les sites sont petits et il n'y a pas de trafic externe. Cependant, nous avons certainement vu un coup dur dans notre utilisation du processeur. Plus à ce sujet dans une section ultérieure.

La version pro n'a également détecté aucun logiciel malveillant sur notre site Web piraté. C'était surprenant, car les résultats de notre analyse MalCare ont clairement identifié le malware. Nous avons donc émis une demande de suppression manuelle. Une fois la demande traitée par l'équipe de Sucuri, le site est apparu propre sur MalCare. Mais c'est à ce moment-là que le scanner Sucuri a signalé des logiciels malveillants sur le site Web. C'était très étrange.

Heureusement, il n'y avait pas de problème avec le scanner iThemes. Il ne recherche pas les logiciels malveillants, purement et simplement. Le scanner iThemes vérifie simplement si votre site Web est sur la liste noire de Google. C'est ça. Nous n'avons pas été surpris de voir que nos sites n'étaient en fait pas sur la liste noire, étant donné qu'ils ne sont pas indexés.

Nettoyage des logiciels malveillants

Le nettoyage des logiciels malveillants ne figure pas sur la liste des fonctionnalités d'iThemes, il ne peut donc évidemment pas nettoyer les logiciels malveillants. Sucuri propose des services de suppression de logiciels malveillants illimités dans le cadre de ses forfaits payants. Selon votre plan, votre site Web sera nettoyé entre 6 et 30 heures.

Même si les résultats de l'analyse de Sucuri indiquaient que notre site Web ne contenait pas de logiciels malveillants, nous savions évidemment que ce n'était pas le cas. Il y avait des logiciels malveillants partout : dans les fichiers et dans la base de données. Nous avions également un tas de portes dérobées pour faire bonne mesure. Les scanners MalCare ont confirmé que nos sites de test étaient effectivement infestés de logiciels malveillants.

Nous avons donc émis une demande de suppression de malware auprès de Sucuri, indiquant clairement que nous soupçonnons qu'il y a un malware sur le site. Pour faire une demande, vous devez remplir un formulaire et fournir des détails FTP pour le nettoyage. Et puis attendez les résultats.

Remarque complémentaire : il y avait une liste déroulante intéressante dans le formulaire de demande de suppression qui répertorie les symptômes potentiels que vous pourriez rencontrer. De plus, à notre grand amusement, vous deviez indiquer votre niveau de compétence technique, nous avons donc sélectionné : « Aucune compétence, veuillez tout expliquer clairement. ”

Merci à Sucuri, leur équipe a supprimé tous les logiciels malveillants de notre site. De plus, même si les conditions de notre plan stipulaient que nous pouvions nous attendre à une résolution en 30 heures, nous avons eu une réponse en moins de 10 heures. C'était donc un énorme coup de pouce pour le service de suppression des logiciels malveillants de Sucuri.

Nous avons confirmé auprès de MalCare que tous les logiciels malveillants avaient été supprimés, puis nous avons été surpris de voir que le scanner de Sucuri signalait désormais le site comme infecté, après que leur équipe eut nettoyé. C'était bizarre.

D'autre part, iThemes ne peut pas nettoyer les logiciels malveillants, il n'y avait donc rien à tester. Heureusement, ils ne prétendent pas le faire sur leur site Web.

Franchement, le nettoyage des logiciels malveillants est la partie la plus difficile de la sécurité de WordPress, et souvent l'aspect le plus coûteux. Les plans payants de Sucuri ont des nettoyages illimités, ce qui est formidable car si les vulnérabilités ne sont pas corrigées, les logiciels malveillants peuvent se reproduire. Si nous avions un défaut à trouver avec le service de nettoyage, ce serait qu'il faut attendre un peu pour la résolution. Dans le cas des logiciels malveillants, nous avons vu les infections croître de manière exponentielle en peu de temps, c'est donc une source de préoccupation.

Avec MalCare, nous pourrions utiliser la fonction de nettoyage automatique pour nous débarrasser des logiciels malveillants en quelques minutes. Pendant que nous attendions que Sucuri nous revienne, nous avons réalisé l'immense valeur qu'un nettoyage rapide a pour un site Web critique pour l'entreprise.

Pare-feu

Le pare-feu de Sucuri fonctionne et conserve nos attaques les plus courantes. iThemes n'a pas de pare-feu.

Un pare-feu est un élément essentiel de la sécurité des sites Web, car il empêche le trafic malveillant d'entrer et empêche les exploits. À ce stade de l'article, vous ne seriez pas surpris d'apprendre qu'iThemes n'a pas de pare-feu. Pourquoi le serait-il ? Il échoue à tous les autres égards en tant que plugin de sécurité.

Sucuri, d'autre part, a protégé notre site Web contre les attaques de wordpress. Nous l'avons testé contre des vulnérabilités telles que les téléchargements de fichiers sans restriction, XSS et l'injection SQL. Le pare-feu a bloqué toutes nos tentatives d'exploitation de ces vulnérabilités et de téléchargement de logiciels malveillants sur le site Web. Nous n'avons pas pu tester des attaques plus complexes, en toute transparence.

Par conséquent, le pare-feu de Sucuri fonctionne, mais nous devons également mentionner à quel point il était frustrant de configurer le pare-feu. La façon dont le pare-feu fonctionne est qu'il agit comme une couche entre le trafic entrant et votre site Web. Par conséquent, tout le trafic atteint d'abord le pare-feu de Sucuri et est ensuite redirigé vers votre site Web.

Comme vous pouvez l'imaginer, cela demande une certaine configuration. Le domaine que vous utilisez pour votre site Web doit d'abord pointer vers Sucuri, le trafic est analysé, puis le trafic autorisé est transmis à votre site Web. Ce qui est formidable, mais il est pénible de configurer le pare-feu si vous n'êtes pas expert en matière de serveurs de noms et de configuration DNS.

Dans l'ensemble, il est largement préférable d'avoir une solution de sécurité prête à l'emploi. Aucune configuration complexe pour protéger notre site Web. Vous savez, comme le genre que vous obtenez avec MalCare.

Détection de vulnérabilité

Sucuri a détecté la plupart des vulnérabilités sur notre site Web, mais pas toutes. iThemes n'en a pas trouvé.

Après avoir activé le scanner côté serveur, Sucuri a détecté que nous avions quelques plugins vulnérables installés sur le site Web. Il ne les a pas tous détectés et la recommandation était simplement de les mettre à jour.

De plus, il existe une vue post-hack sur wp-admin qui répertorie les plugins et thèmes actuellement installés, leurs versions installées et les dernières versions disponibles. Dans la description de cette section, Sucuri mentionne que les vulnérabilités sont liées à la sécurité du site Web, et c'est une bonne pratique de tout garder à jour. Il est peu probable que quelqu'un atterrisse là-bas sur un coup d'œil de routine à travers le plugin, nous ne sommes donc pas sûrs que le placement soit utile.

Dans le cadre de la demande de suppression du logiciel malveillant, Sucuri nous a également envoyé un message pour nous recommander d'appliquer des mesures de renforcement et de mettre à jour nos (2 sur 3) plugins vulnérables. Cela fait partie de leur liste de contrôle post-piratage.

iThemes ne signale pas les vulnérabilités. Il a cependant un compteur extrêmement inutile sur le tableau de bord, indiquant combien de mises à jour ont été effectuées depuis l'installation du plugin. Comment cette information peut être utile, nous ne pouvons pas imaginer.

Protection de connexion par force brute

Sucuri est censé bloquer les attaques par force brute et vous alerter, mais ne le fait pas non plus. iThemes le fait parfois, parfois non. Difficile de dire lequel est le pire.

iThemes enregistre chaque tentative de connexion incorrecte comme une attaque par force brute, ce qui est franchement terrifiant pour un utilisateur. Dans un cas, nous avons véritablement oublié le mot de passe.

Lorsque nous avons essayé de forcer brutalement la page de connexion, nous avons constaté des résultats inégaux. iThemes a bloqué les tentatives sur 1 site mais pas sur l'autre. Nous avons essayé de comprendre ce qui causait cet écart, mais la seule différence était le malware sur le site Web. Étant donné que les logiciels malveillants sont généralement la conséquence d'attaques par force brute réussies, nous ne pensons pas que ce soit la raison. Plus probablement, il semble y avoir un bogue qui fait fonctionner la fonctionnalité de manière sporadique. En effet, cela ne sert à rien.

Sucuri nous a donné de l'espoir, car il existe un ensemble granulaire d'options pour les attaques par force brute. Vous pouvez définir le nombre de tentatives infructueuses qui comptent comme une attaque par force brute. Nous l'avons fixé à un très modeste 30 tentatives par heure, même si les attaques de connexion sont généralement de plusieurs centaines de tentatives par minute.

Après avoir vu tous les paramètres de verrouillage, nous étions un peu inquiets d'être exclus du site. Nous avions désactivé MalCare, afin que la protection de connexion de MalCare ne bloque pas la tentative. Cependant, rien ne s'est passé. Nous avons essayé plus de 40 connexions incorrectes en 3 minutes, et pourtant Sucuri n'a pas déclenché d'alerte. J'ai vérifié les journaux d'audit et l'échec de l'authentification s'affiche correctement. Mais pas d'alerte. Pas de lock-out. Rien.

Journal d'activité

iThemes a une fonction de journal d'activité incomplet. Sucuri en a un bon, mais peut être obscur.

Sucuri a une fonctionnalité appelée Audit Logs, qui suit toutes les actions des utilisateurs, des plugins et des thèmes. La fonctionnalité fonctionne comme prévu, mais l'un des paramètres nous a donné une pause. Vous avez besoin d'une clé API pour "empêcher les attaquants de supprimer les journaux". Cela autorise essentiellement Sucuri à collecter et à stocker des données sur le site Web hors site, ce qui est bien, mais le langage qu'ils utilisent est pour le moins choquant. Plus d'informations à ce sujet dans la section convivialité.

Bien que les journaux fonctionnent comme des journaux et collectent l'horodatage, l'utilisateur et l'action, ils peuvent être très obscurs. Par exemple, nous avons installé un nouveau plugin qui apparaît comme plugin activé. Jusqu'ici, tout va bien. Et il y a 7 autres entrées dans le journal qui montrent ce que l'installation a affecté. Mais il y a peu d'explications sur la signification de ces entrées. S'agit-il de fichiers ou de dossiers modifiés, peut-être ? Non, nous avons réalisé plus tard que ce plugin particulier, qui est un plugin de galerie, changeait le modèle des publications. C'est logique, mais la révélation n'est pas venue de Sucuri.

Un journal d'activité est un élément important de la boîte à outils de sécurité de votre site Web. Les pirates profitent d'une journalisation insuffisante pour attaquer les sites, et vous devez donc attendre un journal fiable auquel vous pouvez faire confiance pour partager des informations correctes sur votre site Web.

Fondamentalement, pas comme celui d'iThemes. Le journal d'activité contient ici des informations utiles, telles que l'activité des utilisateurs, la gestion des versions, les analyses de site et les attaques par force brute. Rien sur les plugins ou les thèmes cependant. Il existe également une fonctionnalité distincte qui vous envoie quotidiennement un rapport de modification de fichier par e-mail. Dans l'ensemble, les journaux sont inadéquats car ils ne donnent pas une image précise de votre site Web.

Authentification à deux facteurs

iThemes dispose d'une excellente fonctionnalité d'authentification à deux facteurs qui fonctionne immédiatement. Sucuri non.

Après avoir supprimé iThemes dans cet article et d'autres articles similaires de la série, nous sommes heureux d'annoncer qu'il s'agit de l'une des seules fonctionnalités de sécurité qui fonctionnent réellement sur iThemes, et qui fonctionne plutôt bien.

La fonctionnalité d'authentification à deux facteurs sur iThemes est très robuste. Il a une tonne de personnalisations et fonctionne dès la sortie de la boîte sans tracas. Le plugin aide également à appliquer des mots de passe forts, ce que nous préconisons fortement.

Notre seule préoccupation ici est que la version iThemes pro a une tonne de paramètres qui suppriment les jetons de connexion pour une utilisation facile : connexion sans mot de passe, appareils de confiance, liens magiques, etc. Bien qu'elles soient utiles pour faciliter le processus de connexion, elles vont à l'encontre de l'objectif de l'authentification à deux facteurs.

Nous avons recherché une authentification à deux facteurs lorsque nous avons testé Sucuri. Nous avons trouvé qu'il existe sur le tableau de bord Sucuri. Cependant, nous avons été à la fois amusés et perplexes en réalisant que l'authentification à deux facteurs est disponible pour votre compte Sucuri, pas pour votre site Web WordPress.

Utilisation des ressources du serveur

iThemes ne videra pas du tout les ressources de votre serveur, car il ne fait rien. Sucuri paralysera les performances de votre site Web avec ses analyses.

Fait intéressant, les gens ne nous posent pas souvent de questions sur les ressources du serveur dans le contexte de la sécurité. Mais idéalement, vous voulez que votre site Web soit protégé et ne ralentisse pas le processus. Le scanner de Sucuri le fera sur votre site.  

Les analyses de Sucuri prétendent utiliser les ressources du serveur du site Web. En fait, ils semblent décourager les analyses fréquentes pour cette raison. Franchement, c'est terrible. Pourquoi quelqu'un devrait-il choisir entre la performance et des factures de serveur raisonnables d'un côté et la sécurité de l'autre ? Ils ne plaisantaient pas cependant. Il y a eu un énorme pic dans les ressources du serveur dès que nous avons installé Sucuri, puis avons lancé une deuxième analyse. Si sur un petit site la différence est si notable, sur un grand site elle le sera considérablement plus.

De plus, dans les paramètres généraux du tableau de bord, il existe un paramètre pour le stockage de données qui semble indiquer que Sucuri stocke beaucoup de données (journaux principalement par leur apparence) sur le site Web lui-même. C'est probablement la raison pour laquelle une clé API est nécessaire, car tout se trouve par défaut dans le dossier de téléchargement, qui est un dossier accessible au public. Il existe une option pour changer le stockage en un dossier non accessible au public, mais cela aurait dû être la valeur par défaut pour commencer.

iThemes n'épuisera pas les ressources de votre serveur. Comment peut-il, alors qu'il ne fait rien?

Alertes

iThemes ne vous alerte pour rien. Sucuri le fait, mais vous devez faire attention aux alertes que vous souhaitez recevoir. Votre boîte de réception pourrait se remplir en quelques heures.

Sucuri vous permet de configurer des alertes à envoyer à des personnes spécifiques, de personnaliser le format des alertes, et bien plus encore. Vous pouvez également ajouter des plages d'adresses IP afin que ces adresses ne soient pas signalées pour les alertes. Soyez averti pour les descriptions remplies de jargon cependant. Qu'est-ce que le « routage inter-domaine sans classe » ? Nous ne voulions pas savoir, nous voulions juste protéger le site Web.

À en juger par les paramètres granulaires des alertes, Sucuri semble être parfaitement conscient du fait qu'ils envoient potentiellement trop d'alertes. Il existe un paramètre pour configurer le nombre maximum d'alertes reçues en une heure, disons jusqu'à 5 e-mails. Le problème avec ceci est : supposez que les 5 premiers étaient des faux positifs, et que le 6ème ne l'est pas ? Il y a un avertissement là-bas, mais encore une fois, mieux vaut avoir les informations réelles par rapport à une fonctionnalité inutile. Notre conclusion ici est qu'aucun administrateur ne verra la forêt pour les arbres. Il y a juste beaucoup trop de bruit.

Étonnamment, nous examinons toujours iThemes, sans l'abandonner pour une cause perdue. iThemes nous a envoyé des rapports de notification de modification de fichier, des sauvegardes de base de données et d'autres confirmations de nos paramètres. Nous étions également abonnés à un résumé quotidien de la sécurité de notre site Web et à un rapport de vulnérabilité une fois par semaine, probablement pour que nous puissions les comparer à nos sites Web. C'était assez mauvais avec un site, avec plus de sites, cela pouvait devenir complètement incontrôlable.

Installation, configuration et convivialité

L'installation d'iThemes était étonnamment difficile, en raison des options de configuration déroutantes. Sucuri était assez simple, mais les options de configuration du plugin étaient horriblement intimidantes.

iThemes a été le premier plugin que nous avons testé, il semblait donc facile au départ. Il a également placé la barre pour les paramètres les plus inutiles. Il faut passer par une configuration pour pouvoir créer un tableau de bord de sécurité. Nous avons parcouru chacun des paramètres, mais aucun d'entre eux n'a d'impact réel sur la sécurité, nous les avons donc définis au hasard et nous en sommes restés là.

Sucuri s'est installé sans problème, et le plugin s'est configuré tout seul pour la plupart. Nous avons dû créer un compte avec Sucuri pour accéder aux fonctionnalités payantes. En outre, il convient de souligner que pour installer le scanner côté serveur, vous devez utiliser le tableau de bord externe Sucuri. Ce n'est pas difficile à faire si vous avez des détails FTP facilement disponibles, bien que nous n'y voyions pas grand-chose car il n'a détecté aucun logiciel malveillant.

Le tableau de bord iThemes sur votre wp-admin fait du bruit. Aucune information relative à la sécurité n'est pertinente.

Le tableau de bord et les paramètres de Sucuri sont incroyablement compliqués. Nous avons passé des heures à essayer de comprendre ce qu'ils entendent par les termes techniques qu'ils utilisent. Dans certains cas, le plugin vous indique le paramètre recommandé, de sorte que l'utilisateur travaille essentiellement sur une foi aveugle. Le seul problème est que Sucuri n'inspire pas une foi aveugle, car leur scanner de logiciels malveillants ne fonctionne pas !

Nous souhaitons que ce plugin soit plus facile à comprendre. Cela semble très compliqué et semble faire beaucoup de choses, mais nous ne pouvons pas en être sûrs car certaines des choses que nous savons importantes, comme la protection contre la force brute, ne semblent pas fonctionner.

Le pare-feu et l'analyseur côté serveur doivent être activés séparément. Il nous a fallu plus d'une semaine pour comprendre ce plugin avec 3 sites Web. Nous frissonnons à l'idée de ce qui arriverait à quelqu'un qui en manipule plus. C'est tellement fastidieux à mettre en place.

Nous tenons à répéter que les paramètres sont difficiles à comprendre pour les utilisateurs non techniques. Nous ne savions pas qu'il existait quelque chose qui s'appelait un logiciel d'analyse de journaux. Nous avons également vu des messages intéressants pour le proxy inverse, où Sucuri nous dit utilement de ne pas nous soucier de cette option à moins que nous ne sachions de quoi il s'agit. Merci pour la confusion avec un côté condescendant.

iThèmes : Extras

Il existe une fonctionnalité de liste blanche très élaborée sur iThemes, ce qui était surprenant jusqu'à ce que nous réalisions qu'il semble y avoir un nombre démesuré de plaintes de verrouillage de site que nous avons vues. Il y a deux problèmes avec cela : le premier est que les adresses IP des appareils changent, donc la liste blanche de votre adresse IP n'est pas autant une protection que vous ne le pensez ; et deux, nous avons tout essayé pour déclencher un verrouillage. Mais cela ne s'est pas produit.

Le moniteur de changement de fichier est une autre fonctionnalité qui semble être une bonne idée, à moins que vous ne sachiez quoi que ce soit sur la sécurité. Les pirates peuvent modifier l'horodatage des fichiers, même au point de donner l'impression que le fichier n'a pas été modifié depuis des années. De plus, il existe une liste d'exclusion de types de fichiers pour ce moniteur. Franchement, cela montre un manque de compréhension des logiciels malveillants. Les logiciels malveillants peuvent se cacher dans n'importe quel fichier, y compris les fichiers .ico par exemple.

iThemes dispose d'un bon système de gestion des mots de passe. Vous pouvez appliquer des mots de passe forts et refuser d'autoriser les mots de passe compromis. Il est également possible de définir des mots de passe d'application pour XML-RPC si vous le souhaitez.

Enfin, iThemes possède certaines fonctionnalités de renforcement, dont la plupart ne sont pas du tout recommandées. La seule logique est de bloquer l'exécution de PHP dans le dossier des téléchargements. Cela empêche un certain type d'attaque de logiciel malveillant. Les autres, nous vous recommandons de les ignorer complètement.

Sucuri : Extras

Le tableau de bord de Sucuri sur wp-admin semble assez impressionnant, mais dès le départ, nous avons vu que la plus grande infobox est l'intégrité de WordPress. Espérons que ce ne soit que pour la version gratuite que nous utilisons actuellement, car il s'agit essentiellement d'une version habillée d'un moniteur de changement de fichier pour les fichiers principaux de WordPress.

Dans certains cas, nous pourrions le voir utile, étant donné que de nombreux logiciels malveillants pénètrent dans les fichiers principaux. À l'inverse, nous pouvons également voir que cela peut être une sinécure car les personnes inexpérimentées peuvent croire que c'est l'étendue du malware, ce qui est une pensée effrayante. Curieusement, 2 des 3 fichiers d'intégrité wordpress signalés provenaient de MalCare : le connecteur d'urgence et le pare-feu.

Plus profondément dans les paramètres, il existe un utilitaire de comparaison d'intégrité pour comparer les fichiers principaux et trouver les différences. Cela pourrait être plus facile à utiliser qu'un utilitaire de vérification des différences en ligne.

Il y avait un nombre considérable d'options de durcissement : certaines utiles, d'autres moins. Nous avons aimé pouvoir bloquer PHP dans le dossier des téléchargements, le pare-feu, et activer la mise à jour automatique des clés secrètes, ce qui change les sels wordpress.

Cependant, vérifier la version de WordPress, supprimer la version de WordPress, éviter les fuites d'informations (supprime le fichier Lisez-moi que WordPress vient de recréer) et vérifier le compte d'administrateur par défaut sont toutes des fonctionnalités stupides avec un impact minime sur la sécurité. Franchement, toute l'industrie de la sécurité a abandonné ces astuces.

Si vous choisissez de désactiver le plugin et l'éditeur de thème, vous trouverez la mise à jour délicate. Il inclut une mise en garde sur certains plugins et thèmes nécessitant un accès aux fichiers PHP dans ces dossiers. C'est insuffisant. Exemple : Sucuri enregistre lui-même les fichiers PHP dans le dossier de téléchargement. Ne veulent-ils pas accéder à leurs propres fichiers depuis leur tableau de bord externe ? Ou est-ce une exception à la règle ? Dans ce cas, la règle semble flexible d'une manière cachée à l'utilisateur.

Nous étions intéressés de découvrir la fonctionnalité post-hack sur le tableau de bord wp-admin. Après le nettoyage, vous voulez vous assurer de tout faire pour protéger votre site Web des futurs piratages. Nous avons aimé l'idée, jusqu'à ce que nous regardions un peu plus loin.

Vous pouvez mettre à jour les clés secrètes (modifier les sels wordpress) à partir du tableau de bord. Le seul problème avec ceci est qu'il est en clair, visible par chaque administrateur connecté à wp-admin. Si un pirate a un compte avec un accès administrateur, c'est ridiculement dangereux. Cette fonctionnalité n'a de sens que si un utilisateur a vérifié qu'aucun des comptes d'administrateur n'est compromis, puis modifie les sels. Un point qui n'est mentionné nulle part.

Vous pouvez réinitialiser les mots de passe des utilisateurs. Encore une fois, une fonctionnalité apparemment bonne jusqu'à ce que vous lisiez les petits caractères : "Sélectionnez les utilisateurs dans la liste afin de modifier leurs mots de passe, de mettre fin à leurs sessions et de leur envoyer par e-mail un lien de réinitialisation du mot de passe. Veuillez noter que le plugin changera les mots de passe avant d'envoyer les e-mails, ce qui signifie que si votre serveur Web est incapable d'envoyer des e-mails, vos utilisateurs seront bloqués hors du site.

Il y a un endroit pour voir les mises à jour de plugins et de thèmes disponibles, qui est la gestion de version de base. Il n'ajoute rien à la fonctionnalité existante du tableau de bord d'administration. Cependant, cela peut servir à informer les gens que les plugins et les thèmes obsolètes sont liés à la sécurité.

Ce qui manque à iThemes Security et Sucuri

iThemes n'a pas de pare-feu, ce qui est une grave lacune pour votre sécurité WordPress. Les pare-feu protègent les sites contre certains types d'attaques et sont inestimables si votre site Web présente des vulnérabilités.

Le scanner de logiciels malveillants de Sucuri n'est pas adéquat. Ainsi, même si le service de suppression des logiciels malveillants est excellent, vous devez deviner qu'il y a des logiciels malveillants sur votre site Web, car le scanner ne le signalera pas.

iThemes Security vs Sucuri : Prix

Le plan de plate-forme de base de Sucuri à 199,99 $ par an et par site est une bonne affaire pour des services de suppression de logiciels malveillants illimités. Cependant, étant donné qu'il est également censé avoir un scanner fonctionnel, c'est tout ce que votre sous-marin obtiendra pour vous. iThemes ne vaut rien. Ne vous embêtez pas.

Nous avons clairement exprimé notre opinion sur les iThemes dans cet article. La seule fonctionnalité qui mérite d'être mentionnée dans iThemes est l'authentification à deux facteurs, qui est disponible sur le plan gratuit. Nous ne recommandons certainement pas le plan Pro.

Le prix de Sucuri est une aubaine pour un service de suppression de logiciels malveillants, mais la mouche dans la pommade est le scanner. Si vous ne savez pas que vous avez un logiciel malveillant, vous ne pouvez pas soumettre de demande de suppression.

Meilleure alternative à iThemes Security et Sucuri : MalCare

Investissez dans un bon plugin de sécurité qui analysera, nettoiera et protégera votre site Web contre les pirates. De tous les plugins que nous avons testés pour cette série, MalCare se démarque comme la meilleure option. MalCare l'emporte sur iThemes, eh bien, tout, et recherche les logiciels malveillants mieux que Sucuri.

En fait, le plan de base de 99 $ de MalCare est meilleur que le plan de plate-forme de base de 199,99 $ de Sucuri, avec également la suppression instantanée des logiciels malveillants. Il comprend également des nettoyages illimités

Conclusion

La sécurité de votre site web est d'une importance primordiale. Nous avons vu de nombreux clients lésiner sur un plugin de sécurité, pour faire face à des pertes dévastatrices après un piratage. Un client a abandonné après un certain temps et a décidé de reconstruire son site Web à partir de zéro. Les logiciels malveillants coûtent cher, MalCare ne l'est pas.

L'article vous a-t-il aidé à prendre une décision ? Nous aimerions savoir! Faites-nous signe.