Comment protéger votre site avec le plugin iThemes Security

Mont-de-Marsan. Maubeuge. Périgueux. Vous avez sûrement déjà vu ou entendu le nom de ces trois communes. 

Leur point commun, à quelques détails près ? Elles comptent environ 30 000 habitants. Maintenant, imaginez que chaque habitant de l’une de ces villes possède un site WordPress … et se le fasse pirater tous les jours.

Cela vous semble fou ? Et pourtant. 30 000, c’est le nombre de sites victimes d’un piratage au quotidien, d’après des chiffres communiqués par iThemes Security.

Au-delà des analyses statistiques qu’il fournit de temps en temps, ce plugin WordPress propose aussi des options intéressantes pour renforcer la sécurité de votre site. 

Embarquez avec moi pour un tour d’horizon complet de ses fonctionnalités. À la fin de cet article, vous saurez comment installer et configurer cette extension, et saurez si elle vaut la peine d’être activée sur votre site.

Important : iThemes Security se nomme désormais Solid Security.

Qu’est-ce qu’iThemes Security ?

iThemes Security est une extension pour protéger et sécuriser votre site WordPress. Elle propose différentes fonctionnalités pour cela, parmi lesquelles : l’authentification à deux facteurs, la protection contre les attaques par force brute, le renforcement des mots de passe, le blocage d’adresses IP, etc.

Avec 900K installations actives, iThemes Security est l’un des plugins de sécurité figurant parmi les plus populaires sur le répertoire officiel WordPress. Il est concurrence avec des extensions comme :

• Wordfence Security (5M+ installations actives) ;
• All in One Security (1M+ installations actives) ;
• Sucuri (800K+ installations actives) ;
• Jetpack (4M+ installations actives) ;
• SecuPress (40K+ installations actives), une extension 100 % made in France !

iThemes Security, un plugin intégré à une large galaxie de produits

D’abord lancé sous le nom de Better WP Security par le développeur Chris Wiegman, le plugin a changé d’appellation après son rachat par iThemes, en décembre 2013. 

À côté de cela, la marque iThemes propose deux autres produits :

• BackupBuddy, pour sauvegarder, déplacer et restaurer un site WordPress ;
• iThemes Sync, pour assurer la maintenance de vos sites WordPress depuis un seul et même tableau de bord.

Racheté en 2018 par l’hébergeur Liquid Web, iThemes fait partie d’une galaxie de produits WordPress réunis sous la marque StellarWP. On y retrouve par exemple :

• le thème Kadence ;
• le LMS (Learning Management System, Système de gestion de l’apprentissage) LearnDash ;
• les extensions The Events Calendar, Restrict Content Pro ou GiveWP. 

Voilà pour ce premier topo général, utile pour bien comprendre l’écosystème dans lequel se fond iThemes Security. Voyez maintenant en quoi iThemes peut vous aider à sécuriser votre site web WordPress. 

Quelles sont les fonctionnalités majeures de ce plugin de sécurité ?

Pour protéger au maximum votre installation, la version gratuite d’iThemes est notamment en mesure de :

• bannir les adresses IP des pirates ou robots malveillants (bots) qui souhaitent accéder à votre site web ;
• sauvegarder la base de données de votre installation WordPress ;
• détecter tout changement non autorisé opéré sur vos fichiers ;
• bloquer les attaques par force brute (brute force attack). Dans ce cas, des robots (bots) tentent de découvrir l’identifiant et le mot de passe du compte administrateur de votre site en testant des combinaisons différentes, afin d’en prendre le contrôle ;
• vous aider à mettre en place l’authentification à deux facteurs pour se connecter à votre site ;
• vous imposer la mise en place de mots de passe forts pour tous les comptes ;
• rendre la connexion à votre site obligatoire via SSL, obligatoire pour mettre en place le HTTPS sur votre site ;  
• vous envoyer des notifications par e-mail de toute activité suspecte sur votre site ;
• changer le préfixe de la base de données de votre site internet ;
• modifier l’URL de votre page de connexion.

Cependant, ne considérez pas iThemes Security comme une recette miracle pour vous protéger à 100 %. Aucune extension de sécurité ne peut vous garantir ça, d’ailleurs.

Comme indiqué sur sa page de présentation sur le répertoire officiel, « iThemes Security est conçu pour aider à améliorer la sécurité de votre installation WordPress contre de nombreuses méthodes d’attaque courantes, mais il ne peut pas prévenir toutes les attaques possibles ».

Disons que l’extension vous rendra la vie plus facile en matière de sécurité, parce que vous avez du boulot à faire là-dessus. Pour vous en persuader, lisez les lignes suivantes. 

Quelle est l’importance de la sécurité pour un site WordPress ?

J’enfonce une porte ouverte en vous disant ça, mais allons-y quand même : la sécurité de votre site est primordiale. En cas de piratage, les conséquences peuvent être très fâcheuses et engendrer :

• la perte et le vol de nombreuses données, plus ou moins sensibles, notamment celles de vos clients ;
• une perte de temps, car vous devrez nettoyer le site piraté et tout remettre à jour ;
• des dépenses financières non prévues, surtout si vous faites appel à un expert en matière de sécurité ;
• une dégradation de votre image de marque et une éventuelle perte de confiance de la part de vos utilisateurs actuels et/ou de vos clients à venir.

Loin de moi l’idée de vous effrayer, mais gardez bien à l’esprit que ce genre de mésaventure n’arrive pas qu’aux autres. 

Un petit tour sur la page de présentation d’iThemes Security Pro suffira peut-être à vous en persuader (si vous êtes du genre coriace à convaincre). D’après les données que l’entreprise communique :

• 50 % des cyber-attaques viseraient des TPE/PME ;
• 45 % des propriétaires de sites ne seraient pas suffisamment préparés à subir un piratage, dans le sens où ils n’ont pas mis en place de mesures de protection suffisantes. 

Comme l’indique l’expert en sécurité Patchstack dans un rapport publié en 2021, la quasi-totalité des vulnérabilités détectées proviennent des thèmes et surtout des plugins WordPress (99,42 % des failles totales). Les attaques peuvent être multiples et variées. Vous pouvez être visé par :  

• du script de site à site (Cross-site scripting, aussi appelé XSS) ;  
• du Cross site request forgery (CSRF ou XSRF) ;
• des injections SQL (attaques sur votre base de données) ;
• des vulnérabilités PHP, le langage sous lequel tourne WordPress ;
• des téléchargements de fichiers malveillants, etc.

En tant que webmaster, vous avez un rôle à jouer dans la sécurité de votre site. Il est nécessaire que vous appliquiez des bonnes pratiques au quotidien, comme la sauvegarde de vos fichiers et de votre base de données, ou la réalisation de mises à jour fréquentes.

Sans oublier l’usage d’un plugin de sécurité comme iThemes Security. Découvrez-le plus en détails dans la partie suivante, qui vous montre comment l’activer sur votre interface d’administration (back-office). 

Comment installer et configurer iThemes en 6 étapes ?

Étape 1 : Sauvegarder votre site

Dans un premier temps, avant même d’activer iThemes Security, sauvegardez votre site à l’aide d’une extension dédiée.

On vous en présente quelques-unes dans ce comparatif, dont UpdraftPlus. Pourquoi prendre une telle précaution ? Déjà, parce qu’il s’agit d’une bonne pratique.

Et ensuite, parce qu’iThemes Security vous le recommande dans sa Foire aux Questions, sur le répertoire officiel. 

Voici ce qui est détaillé : « iThemes Security apporte des modifications importantes à votre base de données et à d’autres fichiers du site, ce qui peut être problématique pour les sites WordPress existants.
Encore une fois, nous vous recommandons fortement de faire une sauvegarde complète de votre site avant d’utiliser ce plugin. Bien que les problèmes soient rares, la plupart des demandes d’assistance concernent l’absence d’une sauvegarde correcte avant l’installation. »

Dont acte. Passons à l’étape n°2.

Étape 2 : Activer l’extension sur votre tableau de bord

Passez à présent à l’installation d’iThemes Security. Pour cela, allez dans Extensions > Ajouter et tapez « iThemes Security » dans la barre de recherche :

Cliquez sur le bouton « Installer maintenant ». Et, dans la foulée, activez l’extension. Félicitations. Le plugin tourne sur votre site.

Vous pouvez constater la présence d’un nouveau type de contenu personnalisé (custom post type) dans votre barre latérale de gauche. Il se compose de deux menus principaux : 

1. Configuration.
2. Plus de sécurité.

Intéressons-nous tout de suite au premier cité. Rendez-vous dans le menu iThemes Security > Configuration.

Étape 3 : Choisir un type de site

Pour vous faciliter la vie au démarrage, iThemes Security vous propose de vous guider « dans la configuration pour que les fonctionnalités de sécurité les plus importantes soient activées sur votre site ».

Vous pouvez d’abord choisir parmi 6 types de sites qui représentent le mieux le vôtre :

• « E-commerce » ;
• « Réseau » (pour les forums et sites de membres) ;
• « À but non lucratif » (pour les sites soutenant une cause et récoltant des dons, par exemple des associations) ; 
• « Blog » ; 
• « Portfolio » ;
• « Brochure » (pour les sites vitrine).

Personnellement, j’opte pour le template « Blog », qui correspond le mieux à mon site de test. 

iThemes vous propose ensuite d’entrer les renseignements suivants :

• Pour qui configurez-vous l’extension : votre site personnel ou celui d’un client.
• Si vous souhaitez sécuriser vos comptes utilisateurs avec une politique de mots de passe. Dans ces cas, les utilisateurs de votre site seront invités à utiliser des mots de passe forts. Cochez « Oui » reste une bonne pratique.

Étape 4 : Activer des fonctionnalités de sécurité

Lors de l’étape suivante, iThemes vous propose d’activer/désactiver les fonctionnalités de votre choix, réparties en 4 familles : 

1. « Sécurisation de connexion ».
2. « Blocages ».
3. « Analyse de site ».
4. « Utilitaires ».

Dans la version gratuite d’iThemes Security, 5 fonctionnalités sont proposées : 

• Double facteur, pour activer l’authentification à deux facteurs (2FA) lors de la connexion à l’interface d’administration ;
• Force brute locale, pour protéger votre site contre les attaques par force brute (option active par défaut) ;
• Réseau de force brute, pour bloquer les utilisateurs qui ont essayé de s’introduire dans d’autres sites avant de s’attaquer au vôtre (option active par défaut) ;
• Planification d’analyse de site, pour vérifier votre site deux fois par jour à la recherche de fichiers malveillants ;
• Vérification de sécurité Pro, pour identifier les adresses IP en fonction de votre configuration serveur en faisant une requête API aux serveurs d’iThemes.com (option active par défaut).

En plus des fonctionnalités déjà activées par défaut, il peut être intéressant d’activer l’authentification à double facteur et le scan de votre site. Je reviendrai en détails sur les réglages à opérer plus tard.

Étape 5 : Paramétrer des groupes de comptes

Juste après ça, iThemes vous suggère de paramétrer des « Groupes de comptes ».

Comme indiqué, « les groupes de comptes utilisateurs vous permettent d’activer des fonctionnalités de sécurité pour certains groupes d’utilisateurs seulement ».

Vous avez le choix parmi 2 options : 

• Par défaut. Dans ce cas, vos comptes utilisateurs seront catégorisés automatiquement par leurs permissions dans WordPress et le plugin activera les réglages de sécurité recommandés pour chaque groupe. Je vous recommande de partir sur cette option.
• Personnaliser. Ici, vous partez de zéro avec des groupes personnalisés et vous catégorisez vos comptes utilisateurs comme vous le souhaitez.

Vous accédez alors à divers réglages en fonction du rôle utilisateur (administrateur, éditeur, auteur, contributeur ou abonné) :

Étape 6 : Paramétrer des réglages généraux et des notifications

Pour pouvoir terminer la configuration de votre site, iThemes Security va vous demander, entre autres : 

• d’ajouter votre adresse IP à la liste des comptes autorisés ; 
• de choisir comment le plugin déterminera les adresses IP de vos visiteurs ;
• de rejoindre ou non son réseau de force brute : il suffit juste d’entrer votre adresse e-mail si vous le souhaitez ;
• de saisir une adresse e-mail sur laquelle elle enverra toutes ses notifications.

Voilà pour cette première salve de mesures de protection. iThemes vous précise que votre site a déjà reçu quelques améliorations notables : 

• la sécurité de vos comptes est renforcée ; 
• les attaques par force brute sont bloquées, tout comme les robots et agents utilisateurs malveillants ; 
• la détection des logiciels malveillants et des thèmes et extensions vulnérables est active.

C’est un premier pas intéressant, mais il est possible d’aller plus loin dans la personnalisation. Dans la partie suivante, je vous montre comment procéder à des réglages plus en profondeur sur des fonctionnalités majeures de l’extension. 

Quels sont les réglages proposés par iThemes Security ?

Lorsque vous avez terminé d’utiliser son assistant de configuration, iThemes Security vous propose notamment un nouveau menu baptisé « Réglages ». 

Il regroupe notamment les fonctionnalités de l’extension, dont certaines ont été entrevues lors de la phase de configuration.

iThemes Security adopte une approche modulaire : vous pouvez activer les fonctionnalités dont vous avez besoin (et désactiver celles qui ne vous sont pas utiles).

Lorsque le bouton est bleu, la fonctionnalité est active. Pour la désactiver, cliquez simplement dessus. Et vous pouvez accéder à ses réglages en cliquant sur la roue dentée :

Sans transition, je vous propose de décortiquer chaque option proposée. 

L’altération de fichiers

Grâce au module « Altération de fichiers », iThemes Security est capable de vous informer dès qu’un fichier a subi une altération, ce qui peut être le signe d’un piratage.

Par défaut, tous les dossiers inclus dans chaque nouvelle installation fraîche de WordPress sont pris en compte. 

Cependant, les réglages de ce module permettent d’exclure les fichiers et dossiers de votre choix, si vous le souhaitez.

Si vous n’êtes pas sûr de ce que vous faites, ne touchez à rien. L’avantage d’exclure certains fichiers et dossiers, c’est que cela consomme un peu moins de ressources serveur. Le temps de chargement de vos pages est donc moins impacté.

Si vous êtes chez un bon hébergeur comme o2switch (lien aff), cela ne devrait pas poser de problème.

Le blocage des comptes

Le module « Bloquer des comptes » empêche l’accès à votre site à des adresses IP et à des agents utilisateurs spécifiques (ex : des navigateurs web ou les robots d’indexation des moteurs de recherche).

Par défaut, iThemes vous propose d’activer une liste proposée par le site HackRepair.com. Cette liste bloque certains bots jugés malicieux, vous pouvez donc l’activer.

Dans la partie correspondant aux blocages personnalisés, vous pouvez : 

• limiter le nombre d’IP bloquées dans les fichiers de configuration serveur. iThemes précise que cela diminue le risque de coupure serveur lors de la mise à jour du fichier ;
• bloquer manuellement des agents utilisateurs (user agents).

L’authentification à deux facteurs

Passons maintenant au module consacré à l’authentification à deux facteurs. Cette dernière ajoute une mesure de sécurité supplémentaire pour se connecter à votre site WordPress.

Après avoir entré votre identifiant et votre mot de passe, on va vous demander d’utiliser un appareil, bien souvent votre smartphone ou votre tablette, pour pouvoir valider le processus de connexion.

C’est une méthode déjà utilisée par les établissements bancaires lorsque vous procédez à des paiements en ligne. Elle est très efficace pour vous protéger contre les attaques par force brute.

Au niveau des réglages, vous devez d’abord choisir une méthode d’authentification à deux facteurs. iThemes Security indique qu’elle prend en charge plusieurs possibilités :

• application mobile ; 
• e-mail ;
• codes de secours. 

Il est recommandé de choisir le réglage « Toutes les méthodes ». Ainsi, chaque compte pourra choisir sa méthode préférée.

Vous pouvez aussi choisir de désactiver la double authentification lors de la première connexion, et pouvez éditer le texte qui s’affichera à l’utilisateur lors de la configuration de l’authentification à deux facteurs. 

Lorsque ce module sera actif, vous devrez ensuite sélectionner une méthode pour vous authentifier, après avoir entré votre identifiant et votre mot de passe.

Vous pourrez par exemple passer par une application mobile comme Google Authenticator, Authy, FreeOTP ou Toopher.

Lors de votre prochaine connexion à l’interface d’administration, on vous demandera maintenant d’utiliser cette méthode pour vous authentifier. 

La protection par force brute

Si l’authentification à deux facteurs représente un bon bouclier pour vous protéger contre les attaques par force brute, ce n’est pas le seul. 

iThemes propose aussi deux modules spécifiques pour cela. Avec le premier, intitulé « Force brute locale », vous pouvez : 

• bloquer automatiquement une adresse IP qui tenterait de se connecter avec l’identifiant « admin ». Je vous conseille de cocher cette option ;
• limiter le nombre maximum de tentatives de connexions par adresse IP avant un blocage ;
• limiter le nombre maximum de tentatives de connexions par identifiant avant un blocage ;
• paramétrer le nombre de minutes prises en compte pour compter les connexions infructueuses.

Les réglages proposés par défaut sont déjà efficaces, mais vous pouvez moduler à votre guise.

Par exemple, si vous vous rendez compte que les attaques par force brute se multiplient, réduisez le nombre maximum de tentatives de connexions par identifiant en le passant de 10 à 5.

En parallèle, vous pouvez aussi profiter du module « Réseau de force brute ». Sa présentation est assez nébuleuse. iThemes indique qu’il s’agit d’« un réseau de sites qui protège contre les mauvais acteurs sur Internet ».

Alors que le module « Force brute locale » concerne uniquement les tentatives d’accès à votre site, « Réseau de force brute » bloque quant à lui les utilisateurs qui ont essayé de s’introduire dans d’autres sites avant de s’attaquer au vôtre.

Activez cette option en entrant votre adresse e-mail, et cochez la case pour recevoir des mises à jour par e-mail.

La sauvegarde de la base de données

En cas de piratage (je touche du doigt pour vous), vous devrez ensuite restaurer votre site. Pour cela, il est indispensable de posséder une sauvegarde récente.

Grâce au module « Sauvegarde de la base de données », vous pouvez créer manuellement ou planifier des sauvegardes automatiques de votre base de données.

Par contre, attention : le module sauvegarde seulement votre base de données, et pas les fichiers de votre site (ceux que vous retrouvez dans le dossier « wordpress », après l’avoir téléchargé).

Voici les réglages proposés : 

• Planification des sauvegardes de la base de données. Cochez cette case si vous désirez créer des sauvegardes automatiques. Si vous n’utilisez pas d’extension de sauvegarde en parallèle, activez cette option. Vous pouvez sélectionner le nombre de jours s’écoulant entre deux sauvegardes. Par défaut, le réglage est sur 3 jours. Si le contenu de votre site n’évolue pas, vous pouvez augmenter cette fréquence. Si vous faites des modifications sur votre site au quotidien, planifiez une sauvegarde quotidienne ;
• Configuration de vos sauvegardes. Vous avez le choix parmi 3 méthodes de sauvegarde : par e-mail, sauvegarde locale ou les deux. La sauvegarde locale prendra de la place sur votre espace de stockage, donc préférez l’envoi par e-mail.
  Vous pouvez aussi compresser vos fichiers de sauvegarde pour réduire leur taille (laissez cette case cochée) ;
• Tables à sauvegarder. iThemes permet d’exclure certaines tables de votre base de données de la sauvegarde. Par défaut, toutes les tables du Cœur de WordPress sont incluses. Pour le reste, ne touchez à rien, sauf si vous êtes sûr de comprendre à quoi sert la table que vous souhaitez exclure.

Si ce module a le mérite d’exister, il est limité à la sauvegarde de votre base de données uniquement.

Pour mieux faire, je vous conseille plutôt d’utiliser une extension dédiée pour sauvegarder votre site dans sa totalité (fichiers + base de données). 

Privilégiez un plugin (ex : UpdraftPlus) qui permette d’envoyer vos sauvegardes sur un espace de stockage distant (Dropbox, Google Drive, Amazon S3, etc.).

Le centre de notifications

Après la configuration des fonctionnalités (on vous proposera aussi de forcer le SSL si votre site est en HTTPS), iThemes Security propose à l’utilisateur un menu pour paramétrer les notifications qu’il envoie :

iThemes permet d’abord d’activer/désactiver l’envoi de notifications en cochant/décochant la case associée au niveau de chaque sous-menu :

Pour la plupart des options proposées, vous pouvez ensuite paramétrer : 

• l’objet de l’e-mail envoyé ; 
• la fréquence d’envoi ;
• le destinataire : l’administrateur, un autre rôle utilisateur ou une adresse e-mail personnalisée.

Les outils et options avancées d’iThemes Security

Pour terminer, iThemes propose d’autres réglages de sécurité intéressants dans ses menus « Avancé » et « Outils » (il faut avoir l’œil dessus car ils sont bien planqués ^^). 

Menu Avancé

Vous disposerez de 3 onglets dans le menu « Avancé », afin d’effectuer des modifications à la configuration serveur de votre site.

Laissez les réglages proposés par défaut au niveau des deux premiers : « Ajustements système » et « Ajustements WordPress ».

Le troisième onglet, « Déplacer la page de connexion », permet de changer la page de connexion à l’administration de votre site. Par défaut, on peut y accéder facilement en entrant l’une des deux URLs ci-dessous dans un navigateur web : 

• votresite.fr/wp-admin ;
• votresite.fr/wp-login.php.

En la modifiant, vous complexifiez le boulot des bots qui souhaitent se connecter à votre site. Les réglages vous permettent notamment de :

• changer le slug de connexion, c’est-à-dire la dernière partie de votre URL. Entrez la valeur de votre choix (ex : xc78ygvk).
  Préférez une combinaison difficile à deviner et pensez à noter votre nouvelle URL à plusieurs endroits (dans votre appli de notes, dans les favoris de votre navigateur, etc.) ;
• spécifier une URL de redirection (ex : https://votresite.fr/404), sur laquelle seront renvoyés le bot ou le hacker non connectés qui souhaitent accéder à votre page de connexion. Cochez la case associée si vous voulez bénéficier de cette option.

Menu Outils

Terminons cette revue des réglages avec le menu « Outils », qui liste 10 options de configuration supplémentaires. 

Pour commencer, je vous conseille d’utiliser les outils suivants en priorité : 

• « Change admin user », afin de modifier les noms d’utilisateur commençant par « admin » ;
• « Modifier le préfixe des tables de base de données ». En changeant le préfixe wp_, attribué par défaut sur toute nouvelle installation de WordPress, il est plus difficile pour les outils qui tentent de tirer partie des vulnérabilités d’accéder à la base de données de votre site ;
• « Vérifier les droits sur les fichiers », pour vérifier leurs permissions. En cas d’avertissement, vous pouvez ensuite les modifier sur votre client FTP.

Encore une fois, pensez à sauvegarder votre site avant d’utiliser les outils proposés par l’extension de sécurité.

Eh bien voilà : vous disposez désormais d’un aperçu détaillé du menu « Réglages » d’iThemes Security. Il est temps de voir ce que vous réserve le menu « Tableau de bord ».

Comment surveiller l’état de votre site avec iThemes Security ?

En vous dirigeant dans iThemes Security > Tableau de bord, vous aurez un récapitulatif sous forme de graphiques de l’état de votre site.

Le plugin affiche les informations suivantes : 

• blocages rencontrés au niveau des adresses IP, des utilisateurs et des identifiants ;
• le nombre de sauvegardes de votre base de données, avec un bouton pour lancer une sauvegarde manuelle immédiate ;
• le nombre d’attaques par force brute recensées sur une période donnée. Par défaut, l’intervalle de date est réglé sur 30 jours, mais vous pouvez entrer une valeur personnalisée ; 
• les erreurs d’analyse détectées ; 
• les comptes bloqués ;
• un aperçu des blocages : tentatives de connexion, connexions avec « admin », reCAPTCHA.

Quelles sont les options premium de l’extension ?

Avec iThemes Security Pro, la version premium du plugin, vous profitez de « couches supplémentaires de protection pour votre site web WordPress en tenant compte des performances », explique iThemes.

Vous vous demandez comment activer la version Pro d’iThemes Security ? C’est très simple. Après avoir acheté l’une des licences payantes de l’extension, téléchargez le fichier zip associé au plugin sur votre espace client. Puis téléchargez-le dans Extensions > Ajouter, en cliquant sur « Téléverser une extension ». 

Voici la plupart des options majeures proposées dans l’offre premium du plugin :

• mise à jour automatique de vos plugins, thèmes et fichiers du Cœur de WordPress en cas de détection d’une vulnérabilité ;
• activation possible d’un reCAPTCHA lors de l’enregistrement de nouveaux utilisateurs, la réinitialisation du mot de passe, la connexion et la publication de commentaires. Il s’agit d’une option efficace pour lutter contre le spam. Google reCAPTCHA V3 est notamment pris en charge ;
• possibilité pour vos utilisateurs de se connecter à votre site WordPress à partir d’un lien envoyé en toute sécurité sur leur e-mail (option « Password-less Login ») ;
• possibilité pour les utilisateurs bloqués par le réseau de protection contre les attaques par force brute de se connecter à l’aide d’un lien magique (option « Magic Links ») ;
• exportation des réglages du plugin. Une option utile si vous désirez activer l’extension sur plusieurs sites sans avoir à le paramétrer à chaque fois ;
• modification rapide des cinq éléments les plus critiques pour la sécurité de vos utilisateurs : authentification à deux facteurs, âge et force du mot de passe, dernière heure d’activité, sessions WordPress actives et rôle de l’utilisateur (option « User Security Check ») ;
• mises à jour automatiques du Cœur, des plugins et des thèmes (option « Version Management ») ; 
• octroi d’un accès temporaire d’administrateur à des utilisateurs temporaires (ex : techniciens de maintenance) sans avoir à créer de nouvel utilisateur (option « Temporary Privilege Escalation »). 

Passer à iThemes Security Pro vous intéresse ? Abordons la question des tarifs juste en dessous.

Combien coûte iThemes Security ?

iThemes Security est un plugin freemium. Vous pouvez d’abord l’utiliser gratuitement en l’activant depuis votre interface d’administration.

Ses créateurs proposent aussi 3 licences premium pour profiter de toutes les fonctionnalités proposées par l’extension : 

1. Basic : 99 $/an (93 €) pour un usage sur un site au maximum.
2. Plus : 199 $/an (187 €) pour un usage sur 5 sites au maximum.
3. Agency : 299 $/an (281 €) pour un usage sur 10 sites au maximum.

Chaque licence propose exactement les mêmes options, les mises à jour du plugin, et inclut de l’assistance par e-mail (support). 

Le choix parmi l’une ou l’autre des licences dépend du nombre de sites sur lequel vous comptez activer iThemes Security Pro. 

Note : iThemes propose aussi un pack à 749 $/an (704 €) comprenant de nombreux outils commercialisés sous la marque StellarWP : iThemes Security, Backup Buddy, Kadence, Restrict Content Pro, etc. 

iThemes Security free vs pro, quelle version choisir ?

La principale plus-value d’iThemes Security Pro en matière de sécurité, par rapport à sa version gratuite, réside dans l’application automatique d’un correctif aux logiciels vulnérables détectés par l’analyse du site lorsqu’il est disponible.

C’est évidemment intéressant pour protéger un peu plus votre site, mais vous devrez tout de même débourser au minimum 99 $/an (93 €) pour profiter de cela.

Le reste des options sont surtout destinées à faciliter certaines actions (connexion via un lien magique, export rapide des options, etc.), pas vraiment à renforcer la protection de votre site.

En résumé, la version gratuite de l’extension me semble déjà suffisante pour renforcer la sécurité de votre site, grâce notamment à la protection contre les attaques par force brute et à la double authentification.

Mais elle comporte quand même des limites, comme vous allez le voir dans le récapitulatif ci-dessous.

Notre avis final sur iThemes Security

Avantages d’iThemes Security

• Les préréglages de sécurité déjà effectués en activant l’extension.
• L’interface, plutôt intuitive et claire. Cela facilite la prise en main de l’extension. 
• L’approche modulaire, qui permet d’activer uniquement les options dont vous avez besoin. Cela permet de moins consommer de ressources serveur, ce qui est toujours mieux pour la vitesse de chargement de vos pages.
• La traduction en français de l’interface.
• Le fait que l’extension utilise assez peu de jargon technique. Les options sont plus compréhensibles que chez des concurrents comme Wordfence Security ou Sucuri.
• La version gratuite, bien fournie en fonctionnalités. 

Limites de l’extension

• Le principal inconvénient de l’extension est qu’elle ne propose pas de pare-feu applicatif (firewall), qui reste quand même une mesure de protection de base pour un plugin de sécurité.
• Il n’y a pas de scanner de sécurité à proprement parler.
• Le trafic en temps réel n’est pas analysé dans la version gratuite.
• L’extension ne corrige pas les vulnérabilités détectées dans sa version gratuite.
• iThemes indique que son plugin peut faire planter votre site car il procède à des changements significatifs sur vos fichiers et votre base de données.

Devez-vous l’utiliser ?

Au final, reste une ultime question : devez-vous activer l’extension sur votre site WordPress ?

Pour y répondre, il faut d’abord avoir en tête certains points importants :

• oui, iThemes est dépourvu de certaines options importantes, comme un pare-feu ou un scan ;
• mais l’extension peut faire le job SI vous mettez en place d’autres mesures de sécurité en parallèle. Par exemple, si vous êtes hébergé chez o2switch (lien aff), vous bénéficiez automatiquement de l’outil Tiger Protect, qui active par défaut certaines règles de sécurité supplémentaires (et agit un peu comme un pare-feu que ne propose pas iThemes).
  Pensez aussi à sauvegarder régulièrement votre site et à le mettre à jour dès que possible.

Au final, si vous respectez ces règles d’usage (utilisation conjointe d’iThemes avec d’autres mesures de sécurité), iThemes me semble adapté aux profils débutants qui souhaitent renforcer la sécurité de leur site gratuitement, sans trop se casser la tête.

S’il comporte moins de fonctionnalités pures de sécurité, iThemes Security est quand même plus facile à paramétrer que Wordfence Security, qui utilise par exemple plus de jargon (et a la réputation d’être plus gourmand en ressources serveur).

Télécharger iThemes Security :

De votre côté, quel est votre opinion sur iThemes Security ? Dites-nous tout dans les commentaires.