Sucuri Vs Jetpack : quel est le meilleur plugin de sécurité ?

Publié: 2023-04-19

Dans une discussion sur la sécurité de WordPress, Sucuri revient inévitablement. C'est l'un des plugins de sécurité les plus populaires disponibles aujourd'hui. Les plans pro sont livrés avec un scanner côté serveur, un pare-feu et une suppression manuelle illimitée des logiciels malveillants.

Jetpack est une solution tout-en-un pour de nombreuses fonctionnalités WordPress ; pas surprenant puisqu'il est construit par Automattic. De plus, avoir un plugin pour faire le travail de plusieurs est une option attrayante, donc Jetpack est vraiment un concurrent dans notre série de tests de plugins de sécurité.

Mais si nous ne tenons pas compte des cloches et des sifflets, quel plugin de sécurité protège le mieux votre site WordPress ?

Nous avons testé les 5 meilleurs plugins de sécurité pour obtenir cette réponse. Pendant 45 jours, nous avons opposé les plugins aux logiciels malveillants, aux vulnérabilités, aux attaques et bien plus encore. Lisez la suite pour en savoir plus sur nos résultats, et surtout : notre choix pour un plugin de sécurité WordPress qui fonctionne réellement.

VERDICT : Sucuri vs Jetpack a été difficile à trancher, car les deux ont échoué de différentes manières. En fin de compte, nous pensons que Sucuri l'emporte sur Jetpack. Le scanner de logiciels malveillants de Jetpack a réussi à détecter certains des logiciels malveillants, contrairement à celui de Sucuri, qui n'a rien détecté. Mais le service de suppression des logiciels malveillants de Sucuri a bien fait le travail, alors que Jetpack n'avait aucune option de nettoyage. Honnêtement, même si aucun d'eux n'était assez bon, notre recommandation est MalCare.

Notre choix

Nous avons soumis chacun des 5 meilleurs plugins de sécurité à 45 jours de test. Nous avons utilisé 3 sites Web : 1) un blog ordinaire comme témoin ; 2) un blog avec des plugins vulnérables, et 3) un site avec des logiciels malveillants dans les fichiers et la base de données comme niveau patron.

Il y a une liste de facteurs plus loin dans l'article pour montrer comment nous avons classé chaque plugin, mais en bref, nous avons testé le scanner, le nettoyeur et le pare-feu (si le plugin en avait un) pour arriver à nos résultats.

Il est important de choisir un plugin de sécurité dont vous pouvez être sûr qu'il protège votre site Web contre les pirates et leurs logiciels malveillants. Ce plugin est, sans aucun doute, MalCare.

Résumé de la comparaison Sucuri vs Jetpack

Dans ce concours où le gagnant remporte tout, Sucuri devance Jetpack en raison des excellents services de suppression de logiciels malveillants qu'ils proposent. Cependant, c'est une vaine victoire, car le scanner de Sucuri est l'un des pires que nous ayons vus jusqu'à présent.

Comparaison entre Jetpack et Sucuri

Jetpack en quelques mots

Les plans payants de Jetpack ont ​​un scanner de logiciels malveillants moyen, qui détectera certains des logiciels malveillants sur votre site Web. Les autres fonctionnalités de sécurité sont raisonnablement bonnes, mais elles ne compensent pas le scanner ou le manque de nettoyage des logiciels malveillants et de pare-feu. Dans l'ensemble, Jetpack est un raté.

Jetpack était le deuxième plugin que nous avons testé, juste après iThemes, et nous avons été favorablement impressionnés car au moins il a fait quelque chose. Évidemment, cela n'en fait pas un bon plugin de sécurité.

Du côté positif, le journal d'activité de Jetpack est excellent. Un journal d'activité est un outil essentiel pour le débogage et la sécurité du site Web. Nous pensons également que le tableau de bord externe sur WordPress.com est formidable et constitue une interface familière avec laquelle travailler. Puisque nous sommes de grands défenseurs des sauvegardes, nous aimons cette partie des fonctionnalités de Jetpack.

Cependant, rien de ce qui précède n'est une raison suffisante pour opter pour un plan payant, car Jetpack écrit beaucoup de chèques qu'il ne peut pas encaisser. Nous avons déjà mentionné que le scanner ne fonctionnait pas bien. Il a détecté environ 30% des logiciels malveillants sur le site Web. La protection contre la force brute est au mieux médiocre. Nous avons essayé d'attaquer la page de connexion, et après quelques échecs de connexion, nous avons vu un captcha. Mais notre adresse IP n'a pas été signalée et nous n'avons pas non plus reçu d'alerte par e-mail. Lorsque nous avons vérifié les journaux, l'attaque a cependant été enregistrée.

De plus, Jetpack ne détecte que certaines des vulnérabilités du site Web. Sur les 3 que nous avions installés, il en a signalé 2. Dans les cas où les sites Web présentent beaucoup plus de vulnérabilités, le ratio est certainement bien pire.

Aucun plugin de sécurité n'est parfait, mais nous en voudrions un qui se rapproche le plus possible de la perfection. Jetpack n'est pas ce plugin.

Sucuri en quelques mots

Sucuri a une critique mitigée de notre part, car ses fonctionnalités de pare-feu et de nettoyage des logiciels malveillants ont bien fonctionné, mais le scanner n'a pas fonctionné du tout. L'analyse des logiciels malveillants doit être à 100%, et aucun plugin de sécurité ne vaut la peine sans un scanner fonctionnel.

Plugin de sécurité Sucuri

Sucuri est l'un des plugins de sécurité WordPress les plus populaires disponibles aujourd'hui, et pourtant il manque dans un domaine critique : l'analyse des logiciels malveillants. Si le scanner ne fonctionne pas, il n'y a aucun moyen de savoir que votre site Web est infecté par des logiciels malveillants. Et si vous ne savez pas que c'est le cas, il n'y a aucun moyen de vous en occuper.

Dans les deux autres aspects, le pare-feu et le nettoyage des logiciels malveillants, Sucuri s'en est bien sorti. Le pare-feu a bloqué la plupart des attaques et le service de suppression des logiciels malveillants était de premier ordre. Il existe également des options de durcissement utiles sur le tableau de bord. Les demandes de suppression de logiciels malveillants illimitées sont également très intéressantes, en particulier par rapport à certains des autres services disponibles.

D'un autre côté, la configuration et les paramètres étaient un cauchemar, en particulier le pare-feu. Nous avons eu du mal à installer le pare-feu sans registraire de domaine, et franchement, c'était un processus frustrant. Les analyses de sécurité ont également chargé nos ressources de serveur dans la mesure où nous avons vu la différence sur notre site Web. Heureusement, notre site Web était sur un hébergement dédié, sinon les sociétés d'hébergement mutualisé nous auraient envoyé un e-mail de violation assez rapidement.

La conclusion ici est que vous devez choisir entre sécurité et performance avec Sucuri. C'est un terrible compromis à faire. Dans l'ensemble, Sucuri est à la fois un bon et un mauvais plugin de sécurité, et donc une contradiction. Nous ne recommandons pas une contradiction comme mesure de sécurité. Juste dire.

Comment choisir le bon plugin de sécurité pour WordPress

Dans un paysage de menaces en constante évolution, un plugin de sécurité est le seul moyen de protéger votre site Web, vos données, vos visiteurs et votre entreprise. Les pirates causent d'énormes dégâts avec des logiciels malveillants, en volant de l'argent, des données et des identités à des personnes. En tant que propriétaire de site Web, un plugin de sécurité est un élément essentiel de votre boîte à outils d'administration.

Cependant, choisir le bon plugin de sécurité n'est pas simple. Il y a tellement de plugins, chacun prétendant être meilleur que le suivant. Alors, comment choisissez-vous le bon?

En termes de sécurité, il n'y a que 3 fonctionnalités essentielles d'un plugin de sécurité : l'analyse des logiciels malveillants, le nettoyage des logiciels malveillants et le pare-feu. Tout le reste est en bonus. Cela ne veut pas dire que la protection contre la force brute n'est pas importante, car elle l'est très certainement. Mais si vous n'avez pas les 3 essentiels, autant ne pas avoir les autres.

Lors de l'évaluation d'un plugin de sécurité, voici les facteurs que vous devez rechercher :

  • Fonctions de sécurité essentielles
    • Analyse des logiciels malveillants
    • Nettoyage des logiciels malveillants
    • Pare-feu
  • Fonctions de sécurité utiles
    • Détection de vulnérabilité
    • Protection de connexion par force brute
    • Journal d'activité
    • Authentification à deux facteurs
  • Problèmes potentiels
    • Impact sur les ressources du serveur

Le seul plugin qui possède toutes les fonctionnalités nécessaires pour protéger les sites Web WordPress est MalCare. Au fur et à mesure que nous en parlons dans cet article, chacun des autres a échoué d'une manière ou d'une autre, en particulier en nous laissant tomber dans les 3 domaines essentiels.

Sucuri vs Jetpack : comparaison directe des fonctionnalités

Pour rendre cette comparaison aussi utile que possible, nous avons organisé les sections en fonction de nos critères énumérés ci-dessus. Ce sont les aspects les plus importants d'un plugin de sécurité, mais nous voulons également aborder nos autres expériences comme la facilité de configuration, le rapport qualité-prix, etc.

Nous avons présenté nos conclusions de manière juste et concise afin de vous aider à prendre la bonne décision pour la sécurité de votre site Web. Cependant, si vous avez besoin d'une solution de sécurité rapidement, nous vous recommandons d'installer MalCare pour une sécurité WordPress inégalée.

Analyse des logiciels malveillants

Ni SiteCheck ni le scanner au niveau du serveur de Sucuri n'ont détecté le logiciel malveillant sur notre site Web. Le scanner de Jetpack a détecté certains des logiciels malveillants.

Sucuri dispose de deux scanners de logiciels malveillants : SiteCheck et un scanner au niveau du serveur que vous devez installer à partir de votre tableau de bord Sucuri. Nous voulions tester les deux, car nous recommandons souvent SiteCheck, un scanner gratuit, comme diagnostic de premier niveau pour les sites Web. SiteCheck analyse les parties de votre site Web visibles par le public, donc s'il ne trouve pas de malware, cela ne garantit pas un site Web propre. Cependant, vous n'avez pas besoin d'installer SiteCheck pour l'utiliser. De nombreux administrateurs trouvent qu'il est plus facile à utiliser dans le cas où un hébergeur a suspendu son site ou si Google l'a mis sur liste noire.

Résultats de la vérification du site de Sucuri

En passant au scanner au niveau du serveur, fourni avec les plans premium de Sucuri, vous devez l'installer sur votre serveur Web. Vous avez le choix de le faire manuellement ou de saisir vos informations FTP à partir de votre tableau de bord. Une fois que nous l'avions installé, le scanner a pris beaucoup de temps pour vérifier notre site Web à la recherche de logiciels malveillants.

scanner côté serveur sucuri

Une fois l'analyse terminée, les résultats ont montré que notre site Web était exempt de logiciels malveillants. Les résultats étaient erronés, car notre site Web était plein de logiciels malveillants, à la fois dans les fichiers et dans la base de données. Nous avons ensuite essayé de relancer l'analyse quelques heures plus tard, mais les résultats étaient les mêmes. Il n'y avait apparemment aucun logiciel malveillant sur notre site Web gravement piraté.

L'analyseur est configuré pour s'exécuter une fois par jour, mais vous pouvez demander des analyses ad hoc. Les requêtes sont placées dans une file d'attente puis exécutées. La seule chose ici est que Sucuri vous avertit de l'exécution d'un trop grand nombre d'analyses, car les analyses utilisent les ressources du serveur. Ce n'est pas bon. Les analyses ne doivent pas utiliser les ressources d'un site Web, car cela a un impact sur les performances du site Web. Nous reviendrons sur ce point plus loin dans l'article.

Jetpack a un scanner de logiciels malveillants dans ses plans payants, et après avoir vu comment Sucuri s'est effondré sur la partie numérisation, nous avons été agréablement surpris de voir que Jetpack a en fait signalé certains des logiciels malveillants.

Analyse du jetpack

L'excitation a cependant été de courte durée, car Jetpack n'a pas signalé tous les logiciels malveillants. En fait, il n'a pas détecté une grande partie des logiciels malveillants. Ainsi, bien qu'il ait fait mieux que Sucuri à cet égard, la détection de certains logiciels malveillants est aussi bonne que la détection d'aucun logiciel malveillant. Le site Web est susceptible de rester piraté en conséquence. Pour une analyse approfondie de votre site Web, ne cherchez pas plus loin que le scanner de logiciels malveillants MalCare.

Nettoyage des logiciels malveillants

Jetpack n'a pas de nettoyage des logiciels malveillants. Sucuri propose un excellent service de nettoyage manuel des logiciels malveillants qui élimine les logiciels malveillants de notre site Web dans les 12 heures.

Nous sommes en conflit à propos de Sucuri à ce stade, car bien que nous ayons été sérieusement impressionnés par leur service de nettoyage, le scanner avait donné à notre site piraté une note propre. Sur la base de ces résultats, nous n'aurions théoriquement pas su que notre site Web contenait des logiciels malveillants. Mais comme il s'agissait d'une activité de test, nous avons demandé un nettoyage manuel sachant que notre site contenait définitivement des logiciels malveillants.

Selon notre plan, nous pouvions nous attendre à ce que notre nettoyage soit effectué dans les 30 heures. À première vue, c'est long à attendre si votre site Web est piraté. Si votre site Web est sur la liste noire de Google, par exemple, le temps passé est une perte de revenus. Cependant, nous avons récupéré un site nettoyé en moins de 10 heures. Nous avons été super impressionnés.

Nettoyage des logiciels malveillants Sucuri

Pour demander un nettoyage de logiciels malveillants à Sucuri, vous devez remplir un formulaire avec tous les détails que vous pouvez entrer. Indiquez vos capacités techniques, entrez vos informations d'identification FTP et vous obtenez un site nettoyé. Nous avons vérifié le site nettoyé avec MalCare, et il était parfaitement propre. Fantastique! L'équipe nous a donné une liste de contrôle post-nettoyage, nous a avertis des vulnérabilités du site Web et nous étions prêts à partir.

Sauf pour une petite chose : après que l'équipe de Sucuri ait supprimé le logiciel malveillant et que MalCare l'ait confirmé, le scanner de Sucuri a alors déclaré que le site avait été piraté. Après qu'il ait été nettoyé par leur équipe ? Allez comprendre.

Les plans de sécurité de Jetpack n'incluent pas la suppression des logiciels malveillants, bien qu'ils disent qu'ils peuvent se débarrasser de certaines infections. Après avoir exécuté le scanner de logiciels malveillants, nous avons constaté que certains logiciels malveillants étaient signalés, mais qu'aucun n'était réparable. En fait, dans tous les cas de logiciels malveillants signalés, Jetpack nous recommande gentiment d'approcher un service de suppression de logiciels malveillants.

analyse des logiciels malveillants jetpack

Notre préoccupation avec Jetpack est qu'en signalant l'emplacement du logiciel malveillant et le code lui-même, il semble préconiser le nettoyage manuel en option. Ce n'est pas une sage décision. Les sites Web piratés sont des champs de mines, d'autant plus que les logiciels malveillants peuvent se cacher n'importe où. Le nettoyage manuel des logiciels malveillants est sujet aux erreurs humaines et risque de casser complètement le site Web.

Un service de suppression de logiciels malveillants est une proposition coûteuse, et il n'y a aucune garantie que votre site Web ne sera pas à nouveau piraté. Les coûts peuvent s'accumuler considérablement dans ce cas. Les plans de Sucuri ont des nettoyages illimités, ce qui est génial. Notre seul problème avec Sucuri est que le scanner ne vous alertera pas de la plupart des logiciels malveillants, alors comment sauriez-vous quand demander un nettoyage ?

Nous avons utilisé MalCare pour rechercher les logiciels malveillants et également pour nettoyer notre site Web en quelques minutes. La fonction de nettoyage automatique a éliminé les logiciels malveillants de notre site, sans avoir besoin d'informations d'identification FTP ni de demande de suppression. C'était indolore et sans couture, et presque instantané. Difficile de battre ça.

Pare-feu

Le pare-feu de Sucuri a fait un travail décent pour faire face aux attaques les plus courantes, mais était un cauchemar à installer. Jetpack n'a pas de pare-feu.

Sucuri a un pare-feu inclus avec ses plans de sécurité, mais a également des plans de pare-feu autonomes. Nous voulions tester l'efficacité du pare-feu, nous avons donc essayé de le configurer sur notre site Web.

Avant même de parler du fonctionnement du pare-feu, nous devons prendre le temps d'exprimer à quel point l'expérience d'installation du pare-feu de Sucuri est horrible. Nous avions un plan premium existant et il y avait déjà un site Web configuré pour le pare-feu. Ainsi, lorsque nous avons essayé de remplacer ce site Web par notre site Web de test, Sucuri a simplement refusé de bouger.

configuration du pare-feu sucuri

Le problème ici est que pour utiliser le pare-feu, vous devez faire pointer le DNS de votre site Web vers les serveurs de noms du pare-feu. Ce qui signifie que tout le trafic arrivant sur votre site Web passera d'abord par le pare-feu de Sucuri, puis sera redirigé vers votre site Web. Si cela semble compliqué, c'est parce que c'est incroyablement compliqué.

Dans tous les cas, nous avons pu configurer un site de test avec des vulnérabilités telles que les téléchargements de fichiers sans restriction, XSS et l'injection SQL après quelques jours. Le pare-feu a bloqué toutes nos tentatives d'exploitation de ces vulnérabilités et de téléchargement de fichiers malveillants.

En toute transparence, nous n'avons pas pu tester des attaques plus complexes dans le temps imparti. Cependant, tout ce que nous avons lancé sur le pare-feu de Sucuri a été arrêté.

journaux de pare-feu sucuri

Les pare-feu font partie intégrante de la sécurité de votre site Web. Ils empêchent les logiciels malveillants d'entrer en empêchant les pirates d'exploiter les vulnérabilités du site Web. Jetpack n'en a pas, et c'est un trou béant dans leur plugin de sécurité.

MalCare fait un excellent travail pour protéger votre site Web contre différents types d'attaques. Et il est facile à configurer contrairement à celui de Sucuri.

Détection de vulnérabilité

Jetpack et Sucuri n'ont détecté que certaines des vulnérabilités de nos sites Web.

Une fois que nous avons installé le scanner côté serveur de Sucuri, le scan nous a indiqué que nous avions quelques vulnérabilités sur notre site Web. Le scanner n'a pas détecté certains des plus obscurs et a essentiellement recommandé de mettre à jour les plugins et les thèmes obsolètes.

Fait intéressant, il existe un onglet post-hack sur le plugin Sucuri sur wp-admin. Il contient une liste des versions des plugins et des thèmes installés, ainsi que les dernières versions. Dans les petits caractères de cette page, Sucuri mentionne que les logiciels obsolètes constituent un risque pour la sécurité et conduisent souvent à des infections par des logiciels malveillants.

L'équipe de Sucuri nous a également envoyé une liste de recommandations pour mettre à jour les plugins et les thèmes obsolètes, afin de remédier aux vulnérabilités. Encore une fois, ils n'ont pu détecter que certaines des vulnérabilités, pas toutes.

Le scanner de Jetpack a également détecté certaines des vulnérabilités et nous a proposé une option de correction automatique ; essentiellement, nous pourrions les mettre à jour. Il y a peu de différence entre Sucuri et Jetpack dans ce cas. L'interface Jetpack était plus facile à gérer, mais encore une fois, Sucuri est un plugin beaucoup plus compliqué en général.

analyse de vulnérabilité jetpack

Protection de connexion par force brute

Jetpack ajoute un captcha à la page de connexion après plusieurs tentatives de connexion infructueuses, mais ne bloque pas l'IP. Sucuri ne semble pas avoir de fonction de protection de connexion fonctionnelle.

Jetpack a une protection de connexion par force brute sur ses plans gratuits et payants. Lorsque nous avons essayé de forcer brutalement la page de connexion, nous avons vu un captcha numérique ajouté après 10 tentatives infructueuses. Les journaux affichent toutes les tentatives de connexion échouées après les 3 premières comme une attaque par force brute.

protection de connexion jetpack

Jetpack dispose également d'une fonctionnalité élaborée de liste blanche IP, nous avons donc supposé qu'à un moment donné, nous pourrions être complètement exclus du site Web. Cependant, cela ne s'est pas produit du tout. Nous avons essayé plus de 50 mots de passe incorrects pour le compte administrateur en moins d'une minute, et rien ne s'est passé.

verrouillage du jetpack

Franchement, la liste blanche IP est un peu un collyre. Les adresses IP des appareils peuvent changer, donc la mise en liste blanche de l'adresse IP d'un administrateur n'est pas une garantie contre un verrouillage potentiel. Cependant, si la fonctionnalité existe, elle devrait fonctionner. Mais ce n'était pas le cas.

Nous pensions que Sucuri ferait beaucoup mieux que Jetpack sur ce point, car il dispose d'un ensemble élaboré d'options pour configurer les alertes de force brute. Vous pouvez définir le seuil à partir duquel une attaque est considérée comme une force brute. Les limites sont cependant irréalistes, car il est possible de considérer 30 tentatives infructueuses par heure comme une attaque, alors qu'en réalité, une attaque par force brute écrase la page de connexion à plus de 100 requêtes par minute. En fait, il y a généralement tellement de demandes de connexion que le serveur est incapable de les traiter.

force brute sucuri

Pour faire court, Sucuri ne nous a pas alertés sur les attaques de connexion. Les attaques sont apparues dans les journaux d'audit, mais nous n'avons reçu aucune alerte.

Journal d'activité

Les journaux de Jetpack sont excellents. Ils suivent chaque action de l'utilisateur et du plug-in. Les journaux d'audit de Sucuri fonctionnent également, mais peuvent être totalement incompréhensibles.

Les journaux d'audit de Sucuri suivent toutes les actions des utilisateurs, ainsi que les changements de plugins et de thèmes. Toutes les modifications apportées aux fichiers et aux tables s'affichent dans les journaux d'audit. Jusqu'ici, tout va bien. Il existe également une option permettant de définir une clé API pour empêcher les attaquants de supprimer les journaux, en permettant à Sucuri d'enregistrer les journaux de votre site Web hors site.

Les journaux collectent les informations requises telles que l'utilisateur, l'action, l'horodatage, etc. Cependant, nous avons remarqué que dans certains cas, ils sont très difficiles à comprendre. Exemple : nous avons installé un plugin de galerie sur notre site Web. Les journaux ont enregistré 7 entrées différentes pour le plugin, indiquant que 7 fichiers avaient été modifiés. Ou alors nous avons pensé. Il s'agissait en fait de consigner les modifications apportées au modèle de publication, mais nous n'avons rien pu comprendre à partir des journaux.

journaux d'audit sucuri

Jetpack a une excellente fonctionnalité de journal d'activité, et il est disponible en aperçu sur les plans gratuits. Les journaux affichent toutes les activités des utilisateurs, des plugins et des thèmes, en plus d'afficher les éléments qui nécessitent une attention immédiate, comme les logiciels malveillants ou les vulnérabilités détectés.

journal d'activité du jetpack

Cependant, les données de Jetpack ne durent que 30 jours. Idéalement, les journaux doivent être conservés pendant une période beaucoup plus longue.

Authentification à deux facteurs

Aucun des plugins de sécurité n'a d'authentification à deux facteurs.

Il n'y a pas grand-chose à dire dans cette section, car ni Jetpack ni Sucuri ne disposent d'une authentification à deux facteurs pour vos sites Web.

Cependant, lorsque nous testions les plugins, nous avons recherché une authentification à deux facteurs sur Sucuri. Il existe en fait une authentification à deux facteurs sur le tableau de bord Sucuri, mais elle était disponible pour votre compte Sucuri. Pas votre site Web.

Sucuri 2FA
Uniquement pour votre compte Sucuri, attention.

Utilisation des ressources du serveur

Les deux plugins consommeront des ressources de serveur pour effectuer des analyses sur votre site Web. Le scanner de Sucuri a sensiblement ralenti notre site Web.

Nous donnons des points à Sucuri pour l'honnêteté, car ils prétendent utiliser les ressources du serveur pour les analyses directement sur le tableau de bord. A part ça, c'est terrible qu'ils le fassent.

Les analyses de Sucuri ont montré une baisse notable de l'utilisation du processeur de notre serveur. Et nos sites de test sont petits ; à peine plus de 100 Mo pour le plus gros. Si nous avions un site WooCommerce ou un site avec une grande base de données, les performances du site Web seraient sérieusement affectées. De plus, les scans Sucuri prennent également beaucoup de temps. L'impact durerait donc un certain temps.

utilisation du processeur sucuri
Aïe, Sucuri.

Outre l'utilisation du processeur, dans les paramètres généraux de wp-admin, vous verrez que Sucuri utilise votre serveur pour stocker des données. Même si l'espace de stockage est négligeable, il n'en reste pas moins que c'est l'espace serveur de votre site web qui est utilisé.

Jetpack a également eu un impact sur les ressources du serveur. Certes, ce n'était pas aussi visible que les scans de Sucuri, mais ce n'est toujours pas idéal du tout.

Honnêtement, nous ne sommes pas impressionnés par cet état de choses. Aucun administrateur de site Web ne devrait avoir à choisir entre sécurité et performances. Un manque de l'un ou l'autre peut affecter les revenus de manière majeure, il ne devrait donc pas être un compromis.

Alertes

Les alertes de Sucuri peuvent remplir votre boîte de réception en une heure, vous devez donc être absolument certain de ce dont vous souhaitez être alerté. Jetpack envoie des alertes uniquement sur les éléments critiques.

Sucuri permet de personnaliser le format des alertes, de les envoyer pour des actions spécifiques, de les envoyer à certaines personnes, etc. Vous pouvez également configurer un paramètre pour ignorer certaines adresses IP afin qu'elles ne déclenchent pas d'alerte.

alertes sucuri
Ce n'est même pas toutes les options; juste ce qui correspond à notre capture d'écran.

Le nombre d'options pour les alertes de Sucuri est stupéfiant. Bien sûr, vous n'avez vraiment besoin de le configurer qu'une seule fois, puis de l'oublier. Mais vraiment, les options elles-mêmes méritent une mention spéciale. Et si le nombre n'était pas assez décourageant, le langage technique était totalement rebutant.

En fin de compte, les alertes sont trop granulaires pour être utiles. Un administrateur devrait pouvoir s'appuyer sur son plugin de sécurité pour l'alerter des choses qui doivent être traitées et filtrer tout le bruit. Dans le cas de Sucuri, nous sommes à peu près certains qu'il y a de bonnes chances de manquer le signal dans tout le bruit.

Jetpack gère les alertes avec élégance. Il n'y a pas un million d'options à parcourir, et le plugin vous enverra des alertes sur les choses qui nécessitent votre attention. Comme les vulnérabilités et les logiciels malveillants, par exemple.

alerte jetpack

En passant, nous avons également testé la fonction de surveillance des temps d'arrêt de Jetpack. Il est censé nous alerter si le site tombe en panne, mais ce n'est pas le cas. Nous avons planté le site de différentes manières et avons constaté que Jetpack n'enregistrait pas du tout ces plantages.

surveillance des temps d'arrêt des jetpacks

Bien que la surveillance des temps d'arrêt ne soit pas une fonctionnalité de sécurité en tant que telle, il s'agit d'une mesure importante pour votre site Web. Les sites Web en panne ou en panne sont souvent une indication de l'activité des pirates ou des logiciels malveillants. La fonction de temps d'arrêt de Jetpack ne fonctionne pas.

Installation, configuration et convivialité

Sucuri était facile au début, mais est devenu progressivement plus difficile. Jetpack était facile à configurer mais l'interface vous pousse constamment vers une mise à niveau.

L'installation du Jetpack était fastidieuse. Bien que votre plugin soit installé, il n'y a aucun moyen d'aller de l'avant sans créer un tableau de bord WordPress.com. Il sert cependant de tableau de bord externe, vous avez donc besoin du compte. Il est juste quelque peu déconcertant d'être emmené de votre propre tableau de bord à celui de Jetpack sans comprendre clairement quand et pourquoi cela est nécessaire.

installation de jetpack

L'installation de Sucuri a été facile et le scanner frontal a commencé à fonctionner immédiatement. Pour accéder aux fonctionnalités payantes, comme le pare-feu et le scanner côté serveur, vous devez créer un compte sur Sucuri. Cependant, la version gratuite se suffit à elle-même.

Le tableau de bord externe de Jetpack est confortable à utiliser car il imite wp-admin. Cependant, il existe une tonne de fonctionnalités verrouillées en fonction de votre plan, ce n'est donc pas la meilleure expérience utilisateur pour voir une «mise à niveau» partout. Certaines des mesures sont inutiles du point de vue de la sécurité, donc dans l'ensemble, nous ne sommes pas amoureux de l'interface de Jetpack.

Cela dit, nous préférerions l'interface de Jetpack à celle de Sucuri. Si nous devions décrire Sucuri en un mot, ce mot serait confusion. Il y a tellement de jargon technique dans la configuration et les paramètres. Nous avons en fait passé des heures à essayer de comprendre ce que certains termes signifiaient même. De plus, les descriptions sont inutiles et, dans certains cas, condescendantes. Je ne sais pas pourquoi quelqu'un a pensé que c'était une bonne idée d'écrire des descriptions qui disent effectivement : si vous ne savez pas ce que cela signifie, mieux vaut laisser tomber.

microcopie sucuri
Message reçu.

La configuration du pare-feu de Sucuri était un cauchemar. Cela peut sembler simple si vous avez accès à un bureau d'enregistrement de domaine et le savoir-faire pour jouer avec les serveurs de noms (dont la mise à jour prend d'ailleurs quelques heures). Notre site de test n'a pas de domaine, car nous ne voulons pas que Google l'indexe ou que les gens y atterrissent accidentellement, donc changer les serveurs de noms n'était pas une tâche simple. Si quelqu'un voulait configurer le pare-feu sur un site intermédiaire, il aurait du mal à se passer de l'assistance d'un ingénieur.

Paramètres du pare-feu Sucuri

Jetpack : Suppléments

Jetpack combine plusieurs tâches d'administration WordPress en un seul plugin, il y a donc beaucoup d'extras. Nous aimons le fait qu'il ait des sauvegardes, car les sauvegardes sont très importantes pour n'importe quel site Web. En dehors de cela, le compte WordPress.com est familier à utiliser, bien que si vous avez plusieurs sites Web sur un seul compte, il est fastidieux de basculer entre eux pour la gestion.

Sucuri : Extras

Sucuri a une tonne de cloches et de sifflets supplémentaires dans son plugin. Contrairement à Jetpack qui offre plus que de la sécurité, Sucuri n'est qu'une question de sécurité. Nous avons donc essayé de creuser dans les fonctionnalités pour voir ce qui pourrait avoir un impact sur la sécurité.

Lorsque vous installez le plugin, le premier et le plus grand que vous verrez est la boîte d'informations sur l'intégrité de WordPress. Cela a l'air vraiment impressionnant, mais c'est en fait une version très habillée d'un moniteur de changement de fichier de base WordPress. Il est évidemment utile d'avoir un moniteur de changement de fichier pour les fichiers principaux, d'autant plus que les logiciels malveillants sont connus pour infester régulièrement les fichiers principaux. Cependant, la proéminence et le placement sont trompeurs, à notre avis. Un moniteur de changement de fichier n'est pas l'étendue de la sécurité WordPress. Franchement, ce n'est même pas le début.

sucuri intégrité wordpress

Il existe également un utilitaire de comparaison d'intégrité pour comparer les fichiers principaux du site Web avec la version d'origine. C'est plus facile que d'utiliser un vérificateur de différences en ligne pour les fichiers principaux, si vous nettoyez manuellement les logiciels malveillants.

Sucuri wp intégrité utilitaire diff

Sucuri a une tonne d'options de durcissement WordPress. Certains d'entre eux sont utiles, tandis que les autres sont des hacks plus anciens qui ont depuis cessé d'être utiles en termes de sécurité.

Caractéristiques de durcissement de Sucuri

Par exemple, bloquer PHP dans le dossier de téléchargement est une bonne idée, tout comme la possibilité de modifier facilement les sels WordPress à partir du tableau de bord. Mais ce n'est pas une approbation sans équivoque cependant. Il aurait été beaucoup plus sûr d'avoir la fonctionnalité sur le tableau de bord Sucuri plutôt que sur wp-admin. Si un pirate accède au backend du site Web, les sels seront compromis car ils sont affichés en clair.

Options de durcissement Sucuri wp

Des choses comme vérifier la version de WordPress, supprimer la version de WordPress, éviter les fuites d'informations et vérifier le compte administrateur par défaut sont des fonctionnalités de sécurité sans signification. Ils font très peu pour sécuriser le site Web de manière concrète. Oubliez l'industrie de la sécurité, même les pirates ont abandonné ces astuces.

Certaines des caractéristiques de durcissement nous ont laissé perplexes. Si nous choisissions de désactiver l'éditeur de plugins et de thèmes, comment mettrions-nous à jour nos plugins et nos thèmes lorsque des vulnérabilités seraient découvertes ? De plus, Sucuri stocke les fichiers PHP dans le dossier de téléchargement, donc couper tout accès externe signifie qu'ils ne pourront pas accéder à leurs propres fichiers. Il existe peut-être une règle qui leur permet cet accès, mais ce n'est pas du tout clair pour un utilisateur final.

Il existe une fonction de gestion des mots de passe, mais l'avertissement qui l'accompagne effrayerait la plupart des gens de l'utiliser : « Sélectionnez les utilisateurs dans la liste afin de changer leurs mots de passe, mettez fin à leurs sessions et envoyez-leur un lien de réinitialisation du mot de passe. Veuillez noter que le plugin changera les mots de passe avant d'envoyer les e-mails, ce qui signifie que si votre serveur Web est incapable d'envoyer des e-mails, vos utilisateurs seront bloqués hors du site.

Ce qui manque à Jetpack et Sucuri

Notre plus gros problème avec Sucuri est le fait que le scanner de logiciels malveillants ne fonctionne pas. Nous nous serions attendus à ce qu'il détecte certains des logiciels malveillants, compte tenu de la large utilisation de Sucuri sur les sites Web. Mais il n'a rien détecté ! Impardonnable à notre avis.

Jetpack n'a pas de pare-feu ni de nettoyage de logiciels malveillants, automatisé ou autre. Il fait la moitié du travail pour trouver le malware qui est déjà sur le site Web, mais rien pour le supprimer ou le protéger. Nulle part près d'adéquat, en termes de sécurité.

Sucuri vs Jetpack : prix

Le plan premium le plus bas de Sucuri est de 199,99 $ par an et par site. C'est une bonne affaire pour les demandes de suppression de logiciels malveillants illimitées que vous pouvez avoir. Le pare-feu est également correct, mais le scanner est terrible. Ce n'est pas tout à fait la valeur pour l'argent. Jetpack n'est pas un bon plugin de sécurité pour le prix de 300 $.

Si nous devions payer 300 $ pour un plugin de sécurité, nous demanderions beaucoup à ce plugin : un scanner de logiciels malveillants infaillible, un pare-feu et des options de nettoyage. Jetpack n'a rien de tout cela. Cela a aidé à identifier certains des logiciels malveillants, à détecter certaines des vulnérabilités et à disposer d'une protection moyenne contre la force brute.

prix du jetpack
Tarification Jetpack pour les plans de sécurité

La suppression illimitée des logiciels malveillants est un énorme avantage en faveur de Sucuri. Le temps de réponse a été excellent, une liste de contrôle post-piratage a été partagée avec nous et tous les logiciels malveillants ont été nettoyés. Mais, et c'est un gros mais, le scanner de logiciels malveillants a été un échec complet. Nous avons été tellement déçus qu'il n'a pas détecté un scintillement de malware. Et pourtant, l'équipe a tout nettoyé. Si Sucuri pouvait apporter une partie de l'énergie de nettoyage manuel des logiciels malveillants au scanner, il deviendrait un formidable plugin. Jusque-là cependant, pas tellement.

Tarification Sucuri
Tarification Sucuri

Meilleure alternative à Jetpack et Sucuri : MalCare

Dans cet article, nous avons présenté tous les résultats de nos sessions de tests intensifs. Ni Jetpack ni Sucuri ne fonctionnent efficacement pour protéger les sites Web WordPress contre les pirates et leurs logiciels malveillants. Si vous avez lu cet article jusqu'au bout, vous savez que la sécurité n'est pas négociable. Investir dans un plugin de sécurité solide et fiable est donc la voie à suivre.

Le meilleur plugin de sécurité WordPress disponible aujourd'hui est MalCare. MalCare dispose d'un scanner de logiciels malveillants de premier ordre, d'un nettoyage automatisé des logiciels malveillants et d'un pare-feu avancé pour protéger votre site Web contre les attaques.

Dans une comparaison fonctionnalité par fonctionnalité entre tous les autres plugins de sécurité, MalCare s'avère également beaucoup plus économique. Contre les 300 $ de Jetpack, le plan de 150 $ de MalCare est une bien meilleure offre pour de nombreuses autres fonctionnalités. De même pour Sucuri, le plan à 99 $ de MalCare est bien meilleur que son plan de plate-forme de base à 199,99 $.

Conclusion

Un plugin de sécurité est un élément essentiel de votre boîte à outils d'administration. C'est l'une de ces choses qui devrait nécessiter une intervention minimale et un travail prêt à l'emploi. MalCare a la meilleure sécurité, sans le bruit inutile que la plupart des autres plugins apportent à la table. C'est un investissement rentable pour protéger vos revenus contre les pirates.

Cet article vous a-t-il aidé ? Écrivez-nous et faites-le nous savoir. Nous aimerions avoir de vos nouvelles!