iThemes Security vs Wordfence : quel plugin de sécurité choisir ?

iThemes Security ressemble beaucoup à seulement 199 $ pour des sites Web illimités, et en raison de son prix imbattable, il a été un concurrent sérieux dans la course aux plugins de sécurité WordPress.

Dans l'autre coin, nous avons Wordfence, le poids lourd incontesté de cette catégorie. Wordfence est connu pour son plug-in gratuit riche en fonctionnalités, ainsi que pour ses recherches et ses ressources en matière de sécurité. Pour la version premium, chaque site vous coûtera un minimum de 99 $ par an ; ce qui reste une bonne affaire.

Même à ce stade, il n'y a pas vraiment de comparaison entre les deux. Cependant, nous avons exécuté les deux à travers une batterie de tests.

Dans cette série, les 5 meilleurs plugins de sécurité ont traversé des batailles de style gladiateur avec des logiciels malveillants, des attaques et des vulnérabilités. Lequel est sorti vainqueur ? Continuez à lire pour le découvrir.

VERDICT iThemes Security vs Wordfence est une compétition inégale. Le plugin gratuit de Wordfence est bien meilleur que le plugin premium d'iThemes Security. Wordfence a ses inconvénients, mais au moins, il protège le site Web dans une certaine mesure. iThemes, pas tellement.

Notre choix

Dans cette série, nous voulions tester les meilleurs plugins de sécurité WordPress pour savoir lequel fonctionne vraiment. Pour cela, nous avons créé 3 sites Web : L'un était un simple blog, avec quelques plugins et thèmes, comme contrôle. Le deuxième site Web avait 3 plugins obsolètes avec des vulnérabilités. Nous avons choisi des plugins allant de populaires à obscurs, et avaient un ensemble de vulnérabilités. Et enfin, nous avions un site Web truffé de logiciels malveillants.

3 sites web, 5 plugins, 45 jours. Nous avons testé des scanners de plugins, des nettoyeurs, des pare-feu, une protection contre les bots, des pare-feu, des journaux d'activité et bien plus encore. Nous avons pris en compte les nouveaux logiciels malveillants, les anciens logiciels malveillants, les logiciels malveillants basés sur des fichiers, les logiciels malveillants de base de données, les hacks de redirection, les hacks pharmaceutiques, les injections SQL, les attaques par force brute et bien plus encore.

Les résultats ont été clairs : seul MalCare a été en mesure d'analyser, de nettoyer et de protéger les sites Web de test. Si vous recherchez la tranquillité d'esprit avec votre sécurité WordPress, MalCare est la solution.

Résumé de la comparaison iThemes Security vs Wordfence

iThemes Security vs Wordfence est une évidence : Wordfence jusqu'au bout.

Considérons la sécurité de WordPress comme un spectre entre deux extrêmes : aucune protection et un faux sentiment de sécurité d'un côté, et des faux positifs et des avertissements désastreux de l'autre. iThemes Security vous donne un faux sentiment de sécurité, et Wordfence est celui qui vous maintient dans un état de peur quasi constant.

À notre avis, les deux ne sont pas de bonnes options. Cependant, Wordfence a une excellente version gratuite qui protégera votre site Web dans une large mesure, alors que même la version premium d'iThemes Security ne fera rien pour protéger votre site Web. Notre conseil pour éviter les deux extrêmes, et opter pour un bon plugin de sécurité.

iThemes Security en bref

iThemes Security est de loin le pire plugin de sécurité WordPress que nous ayons vu. Il a quelques bonnes fonctionnalités, comme l'authentification à deux facteurs et la prise en charge d'un mot de passe fort, mais c'est tout. Il n'y a pas de scanner de logiciels malveillants, il ne peut pas nettoyer les logiciels malveillants et il est inutile de discuter d'un pare-feu. En fait, si vous utilisez iThemes en ce moment, veuillez analyser votre site Web immédiatement.

Fait amusant : iThemes a été le premier plugin de sécurité que nous avons testé. Le site Web et l'ensemble du processus de configuration nous ont donné l'impression que, oui, ces gars-là savent ce qu'est la sécurité WordPress. Malheureusement, aucun de ces savoir-faire ne semble avoir été intégré au plugin actuel.

iThemes Security est un scanner de logiciels malveillants, en effet, car il n'existe aucun mécanisme pour nettoyer les logiciels malveillants. Le site Web ne dit pas non plus qu'il y a un pare-feu. Ce n'est pas génial, car le scan est l'un des piliers de la sécurité de WordPress mais pas le seul. Cependant, vous pouvez bricoler un mélange de divers plugins pour vous donner cette fonctionnalité, si vous avez un scanner décent en premier lieu.

Ah, mais c'était ça le problème. iThemes n'est pas un scanner de logiciels malveillants. Ce n'est pas un scanner de vulnérabilité. Il scanne la liste noire de Google pour votre site Web. Vous savez, la même chose que vous pouvez faire depuis la page Rapport de transparence, sans avoir besoin d'installer un plugin. Le plus gros cadeau était que le scan a duré quelques secondes. Il est impossible qu'un scanner parcoure tous les fichiers et dossiers du site Web en quelques secondes.

La protection contre la force brute pour la page de connexion était inégale et incohérente, et le journal d'activité était inutile. Plus sur cela plus tard.

Du côté positif, iThemes Security dispose d'une excellente fonctionnalité d'authentification à deux facteurs. Nous avons également apprécié la facilité d'implémentation de reCAPTCHA sur wp-login. Et enfin, les paramètres de gestion des mots de passe des utilisateurs étaient vraiment granulaires et détaillés. De plus, il existe quelques fonctionnalités de renforcement WordPress décentes, comme le blocage de l'exécution de PHP dans les dossiers.

Dans l'ensemble, tester iThemes Security a été une expérience révélatrice. Nous prenons la sécurité très au sérieux et nous avons été choqués de voir à quel point un verbiage intelligent et un ensemble de fonctionnalités trompeuses peuvent tromper les administrateurs en leur faisant croire que leurs sites sont protégés. En fait, nous recommandons fortement à tous les utilisateurs d'iThemes de repenser complètement leur sécurité et d'analyser immédiatement leur site Web.

Wordfence en quelques mots

Wordfence est le meilleur plugin de sécurité gratuit que nous ayons rencontré après MalCare. Nous le recommandons fortement pour les sites Web qui n'ont absolument aucun budget pour la sécurité. Le pare-feu bloque la plupart des attaques, le scanner détecte la plupart des logiciels malveillants basés sur des fichiers et la fonction de réparation des logiciels malveillants vous aidera à vous en débarrasser. L'inconvénient est qu'il y aura une tonne de faux positifs, certains logiciels malveillants manqués et les services de nettoyage de piratage d'urgence sont exorbitants.

Nous étions ravis d'essayer Wordfence, car c'est le plugin de sécurité le plus utilisé. Et après quelques expériences horribles (lire : iThemes), ce serait formidable de voir comment le plugin gère la sécurité de WordPress.

Nous entrerons plus en détail dans les sections suivantes, mais nous voulons d'abord parler des principaux aspects de la sécurité.

Wordfence a un scanner décent, qui a récupéré tous les logiciels malveillants basés sur des fichiers que nous avions dans nos plugins et thèmes gratuits. Mais, il y a quelques grosses mises en garde quant à son efficacité. Le scanner ne peut pas détecter les logiciels malveillants basés sur une base de données, ni les logiciels malveillants dans les plugins et thèmes premium. De plus, il a fallu un péage notable sur notre site Web pour même exécuter l'analyse.

Ensuite, nous avons essayé la réparation automatique des logiciels malveillants. Pour notre plus grand plaisir, il a réparé presque immédiatement tous les logiciels malveillants basés sur des fichiers du site Web ; pas le malware basé sur la base de données cependant. À bien y penser, ce n'est pas une excellente performance pour un nettoyeur, mais c'était évidemment mieux que les autres de cette série de tests que nous étions vraiment ravis de voir la différence.

Le pare-feu était assez efficace, bloquant la plupart des attaques WordPress majeures et courantes qui affligent le site Web. Une bête noire que nous avons ici est que le pare-feu génère une tonne d'alertes pour nous. Avons-nous vraiment besoin de savoir que quelqu'un d'Allemagne a tenté de pirater notre site Web 20 fois au cours des 5 dernières minutes dans 20 notifications distinctes ? Non, nous ne le faisons pas. Notre boîte de réception a été noyée dans les alertes Wordfence en quelques jours, et il était impossible de trier le bon grain de l'ivraie. De plus, les utilisateurs gratuits obtiennent les mises à jour du pare-feu plus tard que les utilisateurs premium, il existe donc une fenêtre d'opportunité pour les pirates de pénétrer dans des sites Web non protégés.

Il existe également quelques fonctionnalités de sécurité. Wordfence exécute un vaisseau allégé, et toutes les autres fonctionnalités, comme la mise à jour des plugins lorsque des vulnérabilités sont détectées, sont laissées à wp-admin. Logique, car pourquoi le dupliquer sur le même tableau de bord ? Il a une assez bonne protection contre la force brute et l'authentification à deux facteurs est robuste.

Nous avons également été séduits par l'immense convivialité du plugin. Le langage est accessible et simple, sans utiliser de jargon excessif. Des fonctionnalités plus avancées destinées aux utilisateurs expérimentés sont également cachées dans les paramètres.

Cependant, nous avons été surpris de constater qu'il n'y a pas de journal d'activité en tant que tel, à l'exception d'une liste des plus illisibles destinée aux développeurs de Wordfence. De plus, il n'y a aucune protection contre les bots pour le site Web. Enfin, et le plus accablant pour ce plugin, il faut une énorme quantité de ressources serveur pour fonctionner. À tel point que les hébergeurs Web ont complètement interdit l'utilisation de Wordfence.

Dans l'ensemble, Wordfence est un excellent plugin de sécurité, mais pas le meilleur pour votre site Web. MalCare est la voie à suivre avec un superbe scanner, un nettoyage efficace des logiciels malveillants et un pare-feu avancé avec des mises à jour en temps réel.

Que rechercher dans un plugin de sécurité

La sécurité de WordPress peut être une bête déroutante à gérer, en particulier avec la désinformation considérable disponible en ligne. Une chose est sûre, les pirates peuvent vous coûter des revenus, des affaires, des poursuites judiciaires, des dépenses personnelles, l'image de marque, le trafic organique et bien plus encore. Le bon plugin de sécurité contrecarrera tout cela, en plus de vous faire gagner du temps et de l'argent pour investir dans d'autres domaines de votre entreprise.

On se pose souvent la question : comment choisir le bon plugin de sécurité pour son site WordPress ?

La réponse est généralement une longue liste de fonctionnalités. Certains sont vitaux, d'autres moins. Mais chaque plugin veut vous vendre plus de 100 fonctionnalités, dont la plupart ont peu ou pas d'impact sur la sécurité de votre site Web. Mais la liste confondra le problème assez longtemps pour faire à nouveau de la sécurité de WordPress un casse-tête.

Nous avons donc compilé cette liste essentielle - et courte ! - de fonctionnalités de sécurité. Vous devriez rechercher un plugin de sécurité qui coche presque tout sur cette liste et obtenir d'autres solutions pour les fonctionnalités qu'il n'a pas.

• Fonctions de sécurité essentielles
  • Analyse des logiciels malveillants
  • Nettoyage des logiciels malveillants
  • Pare-feu
• Fonctions de sécurité utiles
  • Détection de vulnérabilité
  • Protection de connexion par force brute
  • Journal d'activité
  • Authentification à deux facteurs
• Problèmes potentiels
  • Impact sur les ressources du serveur

Le seul plugin qui se rapproche de toutes les cases est MalCare. En choisissant MalCare, vous vous assurez que votre site Web bénéficie de la meilleure sécurité disponible contre les pirates et leurs logiciels malveillants.

iThemes Security vs Wordfence : comparaison directe des fonctionnalités

Dans cette section, nous avons détaillé nos conclusions au cas où vous souhaiteriez en savoir plus sur une fonctionnalité spécifique. Après 45 jours de tests, nous avons eu une tonne d'informations et de nombreuses découvertes. Tout cela est résumé ici pour votre plaisir de lecture.

Les fonctionnalités sont classées de la plus importante à la moins importante, et nous évaluons les deux plugins sur chaque facteur. Notre objectif était de présenter tout ce que nous avons trouvé de la manière la plus juste possible, nous ne nous sommes donc retenus nulle part.

Si vous voulez simplement aller au cœur de cet exercice, installez MalCare et vous n'aurez pas à entendre parler de certaines des horreurs que nous avons découvertes.

Analyse des logiciels malveillants

Le scanner de Wordfence a détecté des logiciels malveillants basés sur des fichiers sur notre site Web de test, mais pas les logiciels malveillants de notre base de données. Il manquait également des logiciels malveillants dans les plugins et les thèmes premium. iThemes Security n'a pas analysé notre site Web en premier lieu, il n'allait donc évidemment pas trouver de logiciel malveillant.

Après avoir installé Wordfence, il configure automatiquement la première analyse. Jusqu'ici, tout va bien. Laissé le scanner pour terminer, et exploré les autres fonctionnalités pendant quelques heures. Seulement pour voir qu'il était toujours bloqué à 60%. Considérant que le site était assez petit, qu'est-ce que ça donne?

Il s'avère que les 60 % ne sont pas une barre de progression, mais un pourcentage indiquant l'efficacité du scanner gratuit. Pour obtenir un 100% complet, vous devrez passer à la version pro du plugin. Assez juste, mais la façon dont il était affiché sur le tableau de bord était très déroutante.

Nous avons redémarré l'analyse et avons été ravis de voir qu'elle s'est terminée très rapidement. Le scanner a signalé la plupart des logiciels malveillants, mais pas tous. Le logiciel malveillant qu'il a pu facilement détecter se trouvait dans les fichiers principaux de WordPress, ainsi que dans les fichiers et dossiers des plugins et thèmes gratuits. Il a manqué le logiciel malveillant de redirection piraté dans la base de données et tous les fichiers qui se trouvaient dans des plugins et des thèmes premium.

Nous avons jeté beaucoup de logiciels malveillants basés sur des fichiers sur Wordfence, et il les a presque tous détectés. Il dispose d'une vaste base de données de logiciels malveillants pour l'algorithme de correspondance des signatures, nous nous attendons donc à ce qu'il détecte environ 70 à 80 % des logiciels malveillants. Ce n'est pas aussi bon que 95%, comme avec MalCare, mais c'est largement mieux que tous les autres plugins de sécurité. La détection, après tout, est la moitié de la bataille.

Les mises en garde que nous avons avec Wordfence sont qu'il y a une tonne d'alertes et un nombre élevé de faux positifs. Ces deux facteurs peuvent faire en sorte que les alertes perdent leur impact au fil du temps, et il existe alors un réel danger qu'une véritable alerte puisse passer inaperçue. De plus, les analyses nécessitent beaucoup de ressources serveur pour s'exécuter. Nous en reparlerons plus en détail dans une section ultérieure.

Le scanner iThemes ne recherche pas du tout les logiciels malveillants. Il vérifie si votre site Web est sur une liste noire, et cela aussi juste la seule liste noire. Sucuri a également cette vérification, mais ils ont eu la décence, premièrement, de ne pas l'étiqueter comme un scanner et, deuxièmement, de vérifier plus que la liste noire de Google. Nos sites de test n'étaient évidemment pas sur la liste noire, car ils ne sont pas indexés. Alors, quand le rapport d'analyse des logiciels malveillants d'iThemes nous a donné un bon mot pour un site plein de logiciels malveillants ? Pas impressionné.

Nettoyage des logiciels malveillants

iThemes Security n'a pas de nettoyage des logiciels malveillants, automatique ou autre. Wordfence peut réparer les fichiers malveillants, mais l'efficacité dépend du logiciel malveillant détecté. Wordfence dispose d'un service de suppression de logiciels malveillants premium, qui coûte 490 $ par site.

Une fois l'analyse terminée, Wordfence répertorie 2 options pour traiter les fichiers piratés, en plus d'un CTA pour obtenir une aide professionnelle : supprimez tous les fichiers supprimables et réparez tous les fichiers réparables.

L'option de suppression s'est débarrassée de 1 fichier avec succès sans erreur, après avoir affiché un message terrifiant sur la façon dont la suppression de fichiers peut casser votre site Web. C'est vrai, mais les malwares font aussi peur ! Quoi qu'il en soit, l'option était en quelque sorte un pétard humide, alors passons à l'option de réparation à la place. L'option de réparation avait un avertissement similaire, mais nous avons réussi et elle a pu réparer la plupart des fichiers. Lorsque nous avons exécuté le site via le scanner de MalCare, le site était exempt de logiciels malveillants.

La plupart des autres plugins de sécurité ont échoué à ce stade, nous n'avons donc pas eu à tester beaucoup plus. Nous avions obtenu nos résultats. Cependant, la base de données de signatures de logiciels malveillants de Wordfence est complète, nous avons donc élargi le réseau.

Nous avons ajouté le logiciel malveillant de redirection piraté à la base de données de notre site Web, avec quelques cas de piratage de mots clés japonais pour faire bonne mesure. Nous avons également caché des morceaux de logiciels malveillants dans nos plugins et thèmes premium, soupçonnant que ces choses feraient trébucher le scanner et le nettoyeur. Et ils l'ont fait.

La conclusion qui en est ressortie est que si l'équipe de Wordfence a vu le logiciel malveillant, la réparation des fichiers fonctionne. Sinon, ce n'est pas le cas. Wordfence échoue également lorsqu'il y a des logiciels malveillants dans la base de données. Ainsi, des logiciels malveillants comme celui du piratage de redirection ou même simplement des logiciels malveillants plus récents seront certainement manqués. Il manquera également les logiciels malveillants dans les fichiers WordPress non essentiels ou les plugins et thèmes non publics. Wordfence n'est pas en mesure de trouver des logiciels malveillants dans les plugins et les thèmes premium.

Si la réparation automatique ne fonctionne pas, vous pouvez opter pour le service de suppression des logiciels malveillants de Wordfence. Le service supprime les logiciels malveillants, les portes dérobées et évalue les vulnérabilités du site. Wordfence aide également à supprimer le site infesté de logiciels malveillants de toutes les listes noires sur lesquelles il a pu atterrir. Le nettoyage du site est garanti pendant un an, uniquement si l'administrateur du site suit à la lettre les instructions post-hack. Nous ne pouvons pas commenter l'efficacité du service de suppression des logiciels malveillants, car nous ne l'avons pas essayé.

Comme nous l'avons déjà dit, iThemes Security ne peut pas nettoyer les logiciels malveillants, donc rien de plus à dire sur ce front.

D'après notre expérience, le nettoyage des logiciels malveillants est l'aspect le plus critique de la sécurité de WordPress. Cela ne devrait certainement être fait que par des experts en sécurité, car il y a un énorme potentiel pour que les choses tournent mal. MalCare vous offre la possibilité d'éliminer automatiquement les logiciels malveillants et d'accéder à des experts en sécurité pour vous aider à résoudre tout problème susceptible de survenir.

Pare-feu

iThemes Security n'a pas de pare-feu. Wordfence dispose d'un pare-feu d'application Web qui protège efficacement contre la plupart des menaces majeures et courantes. Mais la version gratuite reçoit des mises à jour plus tard que la version premium.

Un pare-feu WordPress est un élément important de votre arsenal de sécurité, car il empêche les attaques et le trafic malveillant grâce à l'utilisation de règles. Dans la plupart des plugins de sécurité que nous avons examinés, nous avons évité d'expliquer les détails plus techniques, car cela ne servait à rien car les pare-feu étaient soit terribles, soit inexistants. Mais avec Wordfence, les choses se sont un peu compliquées.

Lorsque nous avons installé Wordfence, le pare-feu est passé directement en mode apprentissage. Il s'agit d'une étape obligatoire pour que le pare-feu puisse comprendre le trafic normal du site et ainsi bloquer plus efficacement les menaces. Étant donné que nous n'obtenons aucun trafic sur nos sites Web, nous avons immédiatement désactivé le mode d'apprentissage, bien qu'il soit recommandé de le conserver pendant au moins une semaine.

Il existe une section distincte pour gérer le pare-feu Wordfence, nous l'avons donc explorée ensuite. La première fois que vous le voyez, il explique ce qu'est un pare-feu et ce qu'il fait pour protéger votre site Web. Il introduit également le terme « pare-feu d'application Web » ici avec une brève description.

Après avoir testé les pare-feu gratuits et premium, il est clair que Wordfence dispose d'un excellent pare-feu dans les deux versions. Ils ont tous deux évité une série d'attaques par injection SQL, de falsifications de requêtes intersites, d'injections de code à distance et d'attaques de script intersites. Nous n'avons pas pu exploiter les vulnérabilités des plugins et des thèmes.

C'est alors qu'on s'est dit qu'il fallait approfondir : quelle est la différence entre la version gratuite et la version premium ?

Dans les options de pare-feu, Wordfence explique la différence : la version gratuite se charge comme un plugin normal, après le chargement de WordPress. De plus, la version premium reçoit des mises à jour des règles en temps réel, tandis que la version gratuite reçoit des mises à jour après une durée indéterminée.

Ces deux choses nous ont fait réfléchir.

Premièrement, un pare-feu doit se charger en premier pour une meilleure protection, mais la plupart des plugins de sécurité avec pare-feu se chargent souvent après WordPress comme un plugin normal. Si tel est le cas, le pare-feu Wordfence peut empêcher la majeure partie du trafic malveillant, mais certainement pas la totalité.

Deuxièmement, Wordfence possède le pare-feu le plus mis à jour, mais les utilisateurs non premium obtiennent des mises à jour plus tard. Même cette fenêtre est problématique, car les pirates peuvent attaquer pendant celle-ci. Quand le pare-feu gratuit reçoit-il les mises à jour des règles : des jours, des semaines ou des mois plus tard ? Qui sait.

Sans surprise, iThemes n'a pas de pare-feu.

Détection de vulnérabilité

iThemes Security ne peut pas détecter les vulnérabilités, et encore moins aider à les résoudre. Wordfence a détecté toutes les vulnérabilités que nous avons insérées dans le site Web, qu'elles soient populaires ou obscures.

Wordfence a correctement signalé tous les plugins obsolètes avec des vulnérabilités découvertes comme des menaces critiques. Nous avons également inclus un tas de plugins obscurs dans la liste, certains avec moins de 200 utilisateurs. Les autres plugins n'ont pas été en mesure de détecter ces vulnérabilités, il est donc rafraîchissant de voir que Wordfence l'a fait. Le scanner a même signalé les plugins obsolètes comme une menace moyenne, ce qui est excellent car il est toujours bon de tout garder à jour.

Vous ne pouvez pas corriger les vulnérabilités directement à partir du tableau de bord Wordfence. La plupart des autres plugins, comme Jetpack et Sucuri, recommandaient des mises à jour et vous permettaient de les effectuer à partir du même panneau. Mais en regardant autour de Wordfence, il n'y a aucun moyen de le faire. Cela vous amène cependant au tableau de bord des mises à jour, ce qui est assez bon. Il n'y a aucune raison logique de répliquer les fonctionnalités existantes qui existent déjà sur wp-admin.

Fait intéressant, le scanner nous a également montré des erreurs avec les plugins iThemes et BackupBuddy que nous avions installés sur l'un des sites de test. Il semble y avoir des anomalies de codage dans les plugins.

Nous avions espéré que le scanner iThemes vérifie au moins les vulnérabilités, compte tenu de son échec lamentable en tant que scanner de logiciels malveillants. Ouais non.

De plus, le tableau de bord iThemes dispose d'un compteur qui indique le nombre de mises à jour effectuées depuis l'installation du plugin. Nous imaginons que cette mauvaise excuse pour une métrique est censée être utile pour suivre les mises à jour des plugins et des thèmes. Ce n'est vraiment pas le cas.

Protection de connexion par force brute

iThemes bloque parfois les attaques par force brute, parfois non. Wordfence bloque infailliblement toutes les attaques par force brute.

Avec iThemes, nous avons vu des blocs de force brute incohérents. Lorsque nous avons essayé de saisir une série de mauvaises informations d'identification sur la page de connexion, iThemes n'a bloqué les tentatives que sur 1 site mais pas sur l'autre. La seule différence entre les deux sites était que le premier contenait des logiciels malveillants, tandis que le second n'en avait pas. Les logiciels malveillants sont généralement le résultat d'une attaque de connexion réussie, il est donc peu probable que cette différence en soit la raison. Après plusieurs heures à essayer les tests à plusieurs reprises, les résultats n'étaient pas concluants. Nous avons finalement renoncé à essayer de comprendre ce qui semble être un bogue.

Après cet exercice de frustration profonde, nous avons vérifié les journaux iThemes. Chaque tentative de connexion incorrecte y était enregistrée comme une attaque par force brute, même le moment où nous avons véritablement oublié notre mot de passe. Et pourtant, le plugin ne les a pas tous bloqués. Très étrange et donc peu fiable.

Avec Wordfence, nous avons d'abord regardé les paramètres. La protection contre la force brute est activée par défaut et vous pouvez accéder à la section pare-feu pour personnaliser les options.

Vous pouvez définir des verrouillages pour les tentatives de connexion incorrectes, et même la durée pendant laquelle un utilisateur sera bloqué après un certain nombre de tentatives de connexion incorrectes. Ce qui est particulièrement intéressant, c'est qu'ils expliquent ce que fait chaque option dans une excellente documentation et comment l'utiliser le plus efficacement possible pour protéger le site.

Vous pouvez définir une liste d'autorisation pour les adresses IP qui ne doivent pas être testées par le pare-feu. Nous avons vu cette fonctionnalité dans de nombreux plugins, mais avec la modification des adresses IP des appareils, cela n'a pas beaucoup de sens.

Les options de mot de passe fort sont ici aussi. Vous pouvez appliquer des mots de passe forts, empêcher l'utilisation de mots de passe trouvés dans les violations de données, et bien plus encore.

Enfin, nous nous sommes mis aux tests et la protection contre la force brute fonctionne exactement selon les paramètres que nous avons choisis. Parfait à chaque fois.

Journal d'activité

Le journal d'activité d'iThemes n'enregistre pas tous les événements, il est donc inutile. Wordfence n'a pas du tout de journal d'activité.

Nous sommes de fervents défenseurs de l'humble journal d'activité. C'est un outil de sécurité nécessaire car les pirates profitent d'une journalisation insuffisante pour attaquer les sites. Idéalement, vous voulez un journal fiable contenant les informations correctes sur les activités de votre site Web.

Donc, pas comme celui d'iThemes. Le journal d'activité d'iThemes promet de bonnes informations, telles que l'activité des utilisateurs, la gestion des versions, les analyses de sites et les attaques par force brute. Mais ceux-ci ne sont pas enregistrés avec précision, on ne peut donc pas leur faire confiance pour présenter la bonne image. En dehors de cela, il n'y a rien sur les plugins ou les thèmes.

Wordfence, étonnamment, n'a pas de journal d'activité. Il existe une option pour activer le débogage à partir de la section Diagnostics sous Outils, ce qui permet aux journaux du pare-feu d'être plus détaillés. Il existe un journal d'activité complet pour les événements Wordfence uniquement dans la section Analyse, mais ce n'est pas la même chose qu'un journal d'activité. De plus, il s'agit d'un journal brut destiné uniquement aux développeurs de Wordfence. En activant le mode débogage, vous consommerez également plus de ressources serveur. C'est dit très clairement dans cette section.

Authentification à deux facteurs

iThemes a une superbe authentification à deux facteurs qui fonctionne de manière transparente dès la sortie de la boîte. Même avec Wordfence.

L'authentification à deux facteurs fonctionne parfaitement sur les deux plugins. Les deux ont un grand nombre d'options et une configuration minimale. Avec Wordfence, l'authentification à deux facteurs était une fonctionnalité premium qu'ils ont désormais également activée pour les utilisateurs gratuits.

Nous n'avons qu'un seul petit constat avec la version pro d'iThemes. De nombreux paramètres suppriment les jetons de connexion dans la version pro : connexion sans mot de passe, appareils de confiance, liens magiques, etc. À notre avis, ils s'opposent directement au principe de l'authentification à deux facteurs en facilitant le processus de connexion.

Utilisation des ressources du serveur

iThemes est très gentil avec les ressources de votre serveur, car il ne fait rien du tout. Wordfence est en fait interdit par certains hébergeurs Web en raison de son coût immense pour les ressources du serveur.

Nous étions très enthousiastes à l'idée de mettre Wordfence à l'épreuve. Cependant, la vraie surprise est venue lorsque nous avons vérifié les performances du site Web. Les scans ont doublé, et dans certains cas triplé, l'utilisation du disque de notre site Web, au fur et à mesure que les scans Wordfence ont eu lieu. Nous reconnaissons que nos sites de test sont très petits, donc ils ne consomment pas trop de ressources pour commencer, mais c'est quand même un saut significatif. Sur des sites plus importants, la pénalité serait considérable.

En fait, toute modification des paramètres par défaut s'accompagne d'un avertissement indiquant que davantage de ressources serveur seront consommées. Il est alors prudent de supposer que Wordfence utilise les ressources du serveur de site pour effectuer toutes ses tâches.

Ce qui est déjà assez grave, mais empirera avec le pare-feu. Toute attaque soutenue submergera le site Web même s'il est protégé contre ces exploits.

L'utilisation des ressources du serveur apparaît rarement comme un sujet de discussion dans la sécurité des sites Web, mais les plugins de sécurité ont souvent un impact notable sur les performances des sites Web. À tel point que l'administrateur doit faire un compromis entre sécurité et convivialité. Nous pensons que cela ne devrait jamais être le cas, et vous pouvez avoir votre gâteau et le manger aussi avec MalCare.

iThemes est idéal pour les ressources de votre serveur. Je ne peux pas en dire autant de la sécurité de votre site.

Alertes

iThemes ne vous envoie aucune alerte. Wordfence en envoie beaucoup trop.

Les alertes doivent trouver le juste milieu entre aucune et trop. Les deux sont des extrêmes tout aussi mauvais, car le résultat net est que vous n'avez aucune idée de ce qu'est réellement la sécurité de votre site Web.

Le scanner de Wordfence peut générer de nombreux faux positifs, vous ne savez donc pas vraiment quand votre site Web est vraiment piraté. Au bout d'un moment, ça peut devenir comme le garçon qui criait au loup. Idem avec le pare-feu. Le pare-feu devrait simplement bloquer les attaques sans déclencher d'alarme à chaque fois, car cela ne sert à rien. Par conséquent, notre opinion est que Wordfence génère trop d'alarmes pour être utile.

iThemes envoie un tas d'e-mails tout à fait banals et inutiles : rapports de notification de changement de fichier, sauvegardes de base de données et autres confirmations de nos paramètres. Il existe également un résumé quotidien de la sécurité de notre site Web et un rapport hebdomadaire sur les vulnérabilités. Nous imaginons que c'est pour notre connaissance, afin que nous puissions mettre à jour manuellement les plugins et thèmes incriminés sur notre ou plusieurs sites Web.

Installation, configuration et convivialité

Wordfence s'installe comme un charme. Pas de paramètres complexes et de configurations obscures. iThemes, en revanche, était vraiment difficile.

iThemes est d'une facilité trompeuse pour commencer, puis se transforme lentement en de nombreux paramètres inutiles. Il y a une longue configuration à parcourir avant même la création du tableau de bord. Pour être honnête, nous aurions dû lire les signes et abandonner celui-ci comme une cause perdue. Mais nous sommes des gloutons pour la punition que le pouvoir traverse pour le plus grand bien.

L'installation de Wordfence a été très simple et il n'y a pas d'options de configuration à l'avance. Le premier écran qui apparaît est l'abonnement par e-mail, qui indique clairement que vous recevez des informations sur la sécurité dans votre boîte de réception. L'écran suivant est une invite à passer à la version premium. À ce stade, nous ne savions pas quelles fonctionnalités le plugin gratuit avait, nous n'avons donc pas mis notre licence premium immédiatement.

Il y a une procédure pas à pas en 3 info-bulles lorsque vous visitez le tableau de bord sur wp-admin pour la première fois. La convivialité et la langue sont formidables sur Wordfence. Des explications claires sont fournies pour les fonctionnalités et leur impact sur la sécurité. Ce n'est pas écrasant, ni des trucs stupides.

La conception du tableau de bord est très intuitive et vous pouvez voir en un coup d'œil tous les aspects importants de la sécurité liés à votre site Web. Dans l'ensemble, notre première impression de Wordfence a été formidable.

De plus, Wordfence vous donne des recommandations utiles pour la configuration. La documentation, à laquelle vous pouvez accéder à partir des info-bulles du tableau de bord, est très contextuelle. Il explique clairement ce que fait chaque fonctionnalité et pourquoi, en plus de la façon de la configurer de manière optimale pour qu'elle fonctionne sur votre site Web. Encore une fois, il convient de noter à quel point le langage utilisé est accessible.

iThèmes : Extras

Après avoir passé en revue les aspects critiques de la sécurité et constaté que les iThemes faisaient cruellement défaut, cette section semble presque risible.

iThemes a bourré le plugin avec beaucoup de fonctionnalités, qui ont peu ou pas d'impact sur la sécurité. Exemple : la fonction de liste blanche d'adresses IP. Les adresses IP de nos appareils changent tout le temps, il n'y a donc aucune garantie que certaines personnes seront autorisées à accéder au site, ce qui est probablement le but.

Il existe également un moniteur de changement de fichier, qui envoie un rapport à votre adresse e-mail toutes les 24 heures. Le rapport contient une liste de tous les fichiers modifiés. Pas quel était le changement, qui l'a fait, ou quand exactement c'est arrivé. Non, juste un e-mail disant : "Bonjour ! Tout cela sur votre site est maintenant différent de ce qu'il était hier. Au revoir!"

Une fois que nous avons surmonté notre irritation, nous avons voulu reconnaître qu'iThemes dispose d'un bon système de gestion des mots de passe. Vous pouvez appliquer des mots de passe forts et refuser l'utilisation de mots de passe compromis sur le site. Nous n'avons pas pu tester cela de manière concluante, mais encore une fois, les résultats étaient inégaux.

Il existe une fonctionnalité de renforcement utile : bloquer l'exécution de PHP dans le dossier des téléchargements. Les autres sont nuls.

Wordfence : Suppléments

Les extras de Wordfence sont tous strictement liés à la sécurité. Aucune fonctionnalité utile adjacente, comme les mises à jour ou les options de gestion des utilisateurs. Cela dit, il y a beaucoup d'extras.

Après l'installation initiale, nous avons vu une section de notifications pour les mises à jour du site. Sur notre site de test, il nous a indiqué que 5 plugins devaient être mis à jour.

Il existe un statut Wordfence Central qui vous permet de gérer plusieurs sites depuis le wp-admin de chaque site. Cela a du sens si vous avez quelques sites sur le même compte, mais l'espace est limité et ne fonctionnera pas pour les agences avec des centaines de sites. Heureusement qu'il y a un tableau de bord externe. Vous devez créer un compte sur le site Web de Wordfence pour accéder à Wordfence Central. À notre avis, cela n'a pas de sens d'avoir la boîte centrale sur le tableau de bord du site.

Nous avons ajouté tous les sites de test à Wordfence Central et avons obtenu une vue d'ensemble de tous. Ce n'est pas la meilleure mise en page pour plus de 20 sites. L'idée est bonne, la réalisation manque.

Ensuite, nous avons vérifié la section Outils. Il existe un panneau pour le trafic en direct, qui à première vue ressemblait à une version de Google Analytics, mais s'est avéré être plus que cela. Vous pouvez définir les journaux de trafic pour inclure tout le trafic ou uniquement le trafic lié à la sécurité. Les journaux sont excellents, car il y a une légende claire pour indiquer le type de trafic que le site Web reçoit : humain, bot, avertissement, bloqué.

Il existe également une recherche Whois, au cas où vous voudriez voir qui attaque votre site Web. C'est au mieux une fioriture, car cette fonctionnalité est également facilement disponible en ligne.

Celui des diagnostics est une fonctionnalité intéressante. Il contient tout un tas d'informations sur le site Web, allant des propriétaires de processus aux tables de base de données et bien plus encore. C'est comme une spécification du site Web en un seul endroit, avec le statut de chacune de ces choses. Difficile d'imaginer comment un utilisateur ordinaire (non développeur) utiliserait ces informations, mais certainement utiles pour un développeur.

Ce qui manque à iThemes Security et Wordfence

Il manque un scanner, un nettoyeur et un pare-feu à iThemes. Also, it would be nice if it had functional brute force protection and activity log, and detected a vulnerability on occasion. One can hope.

Wordfence doesn't have bot protection nor an activity log. Other than that, it is a comprehensive and well-rounded security plugin.

Wordfence vs iThemes Security: Pricing

It is not worth buying iThemes Security, because its only worthwhile feature is two-factor authentication, which is available for free. Wordfence premium is available for $99 for the year, but the free version is strong enough on its own.

Wordfence's free plugin is really great, considering it is free. The premium licenses are at a max of $99 per site, and get progressively lower with the more licenses you purchase.

The real kicker is the site cleaning service which is a hefty $490 per site, and although they say unlimited pages in the features, additional charges may apply for sites above 10 GB—which, fair enough. They do have a malware removal guarantee for 1 year, but there are caveats in the small print. So read those carefully.

After reading this article, you know that iThemes isn't worth your money. Use it for two-factor authentication or get a dedicated plugin for that feature.

Better alternative to iThemes Security and Wordfence: MalCare

The best thing you can do for your website is to invest in a good security plugin. The plugin should scan, clean and protect your website from all manner of threats. During our testing series, only one plugin stood out: MalCare. It outshines iThemes in every way, and has a much better scanning, auto-cleaning, firewall, and notifications compared to Wordfence. It is a no-brainer.

MalCare's $99 Basic plan includes unlimited cleanups, which is equivalent to Wordfence's $99 plan and $490 per cleanup needed thereafter.

Conclusion

We hope this article helped you decide on a way forward for your website security. If you have any questions or thoughts, do drop us a line. We would love to hear from you!