Sucuri, un plugin de sécurité à installer d’urgence ?

Une gueule grande ouverte. Des crochets acérés prêts à fracturer un pauvre petit animal. Et ce corps interminable qui doit mesurer pas loin de 10 mètres. 

Taper « sucuri » sur Google, c’est se retrouver en tête à tête avec des images de serpents assez terrifiants. Mais pourquoi donc, au fait ? Eh bien tout simplement parce que ce mot tapé sur le moteur de recherche est la traduction portugaise d’anaconda…

Dire qu’au départ, je cherchais simplement à en savoir plus sur Sucuri, un plugin de sécurité pour WordPress…

Heureusement, ce dernier n’a rien de bien méchant. Et il ne va pas vous dévorer après que vous l’ayez activé. Ouf, vous pouvez respirer un grand coup. 

Cette extension est plutôt conçue pour vous aider à éradiquer d’autres prédateurs : les vilains pirates et autres fichiers et logiciels malveillants qui peuvent infecter votre site. 

À la fin de cet article, vous saurez comment fonctionne Sucuri (le plugin, pas le serpent), et surtout comment le paramétrer pas à pas. Prêt pour une petite promenade sans danger ? Psssstttt, suivez le guide.

Qu’est-ce que Sucuri ?

Sucuri Security est un plugin WordPress de sécurité qui propose une suite d’outils pour vous aider à protéger votre site web : audit des fichiers du Cœur de WordPress (PHP, CSS, JavaScript), analyse de programmes et logiciels malveillants, renforcement de la sécurité, alertes par e-mail, actions de sécurité post-piratage etc.

Fondé en 2012 par Daniel Cid, Sucuri a été racheté en 2017 par le géant de l’hébergement américain GoDaddy, qui en assure depuis la maintenance et le développement.

Après avoir proposé une extension premium jusqu’en 2014, le plugin est aujourd’hui totalement gratuit. 

Avec 800K+ installations actives, Sucuri est l’un des plugins de sécurité WordPress les plus populaires du répertoire officiel, au côté de concurrents comme Wordfence (5M+ installations actives), iThemes Security (900K installations actives) ou All-in-One Security (1M+ installations actives). 

Sucuri, un plugin gratuit adossé à des services premium

Si elle dispose d’un plugin de sécurité dédié au CMS WordPress, l’entreprise Sucuri propose à côté de cela plusieurs services premium basés dans le cloud destinés à protéger votre site web, quel que soit le CMS (Content Management System, Système de Gestion de Contenu) sur lequel il tourne : WordPress, Joomla, Magento, Drupal, Shopify, etc.

Parmi ces services, il y a notamment : 

• un pare-feu applicatif (WAF, Web Application Firewall), pour protéger votre serveur web contre différentes attaques : attaques DDOS (par déni de service), attaques par force brute, malwares (logiciels malveillants), phishing (hameçonnage), ransomware (demande d’une rançon) etc.
  Ce pare-feu est livré avec un CDN (Content Delivery Network, Réseau de Diffusion de Contenu), pour booster la vitesse de chargement de vos pages.
  Le WAF peut s’utiliser tout seul ou en complément du plugin Sucuri ;
• la plateforme de sécurité Sucuri (Sucuri Website Security). En plus du pare-feu et du CDN, Sucuri propose plusieurs services pour monitorer la sécurité de votre site et peut mettre à votre disposition une équipe dédiée pour nettoyer votre WordPress en cas de piratage.

Bien que ces services soient séparés et peuvent être utilisés indépendamment les uns des autres, Sucuri précise sur le répertoire officiel que son extension « complète vos outils de sécurité existants. Elle n’est pas conçue pour remplacer les produits Sucuri Website Security ou Firewall. »

Dit autrement,  si vous souhaitez protéger au mieux votre site WordPress, le seul usage du plugin n’est pas suffisant. 

Pourquoi sécuriser votre site WordPress est-il important ?

Avant de découvrir les fonctionnalités et autres réglages proposés par Sucuri, arrêtons-nous quelques instants sur l’importance de la sécurité sur une installation WordPress.

Utiliser une extension dédiée pour vous protéger est un minimum, sachant qu’aucun site WordPress n’est infaillible. Comme il est le CMS (Content Management System) le plus utilisé à travers la planète, WordPress est naturellement la cible de nombreuses attaques au quotidien.

2 800 attaques à la seconde cibleraient même des installations WordPress, à travers le monde !

Pour autant, ne cédez pas à la panique. WordPress est un CMS sécurisé. Dans son rapport de sécurité de l’écosystème WordPress, l’expert en sécurité Patchstack explique que 96 % des failles de sécurité proviennent de code tiers (extensions et thèmes tiers), contre 4 % au sein du Core (Cœur) de WordPress. 

C’est la raison pour laquelle il est essentiel de protéger votre site. Les conséquences d’un piratage peuvent être désastreuses et engendrer : 

• la perte et le vol de nombreuses données, plus ou moins sensibles, notamment celles de vos clients ;
• une perte de temps, car vous devrez nettoyer le site piraté et tout remettre à jour ;
• des dépenses financières non prévues, surtout si vous faites appel à un expert en matière de sécurité ;
• une dégradation de votre image de marque et une éventuelle perte de confiance de la part de vos utilisateurs actuels et/ou de vos clients à venir.

Vous l’avez compris, ne négligez surtout pas l’aspect sécurité de votre site. En complément de l’usage d’un plugin dédié comme Sucuri, consultez la série de vidéos « Le Point Sécu » sur la chaîne YouTube de WPMarmite :

C’est tout bon pour vous ? Alors on passe tout de suite à la présentation détaillée de Sucuri.

Comment installer Sucuri ?

Étape 1 : Activer l’extension Sucuri sur WordPress

Pour commencer, installez l’extension à partir de votre interface d’administration en passant par le menu Extensions > Ajouter. Cliquez sur  « Installer maintenant » :

Pensez ensuite à activer l’extension. Vous retrouverez alors un nouveau menu baptisé « Sucuri Security », dans la colonne latérale gauche de votre back-office WordPress :

Malheureusement, l’interface et les réglages sont disponibles uniquement en anglais, ce qui ne facilite pas la prise en main et la compréhension générale.

Malgré tout, vous pouvez traduire tout cela grâce à l’extension Loco Translate, qu’Alex vous présente en vidéo ci-dessous :

Étape 2 : Générer une clé API

Afin de pouvoir activer certains outils supplémentaires proposés par l’extension, Sucuri vous recommande de générer une clé API. 

API est l’acronyme d’Application Programming Interface (interface de programmation d’application). Comme expliqué très clairement dans cet article, « une API permet de rendre disponibles les données ou les fonctionnalités d’une application existante afin que d’autres applications les utilisent. »

Pour cela, cliquez sur le bouton « Generate API Key », en haut de votre tableau de bord (Dashboard) :

Dans la fenêtre qui s’ouvre en surbrillance sur votre écran, choisissez l’adresse e-mail associée à votre compte, puis cochez les conditions d’utilisation (si vous êtes d’accord). Cliquez sur « Submit » quand c’est bon pour vous :

Et voilà, c’est tout bon ! Sucuri est prêt à fonctionner. Comme il vous l’indique après avoir généré une clé API, « il ne s’agit pas d’une solution miracle pour vos besoins en matière de sécurité, mais il vous permettra d’être plus conscient de la sécurité et d’adopter une meilleure posture, dans le but de réduire les risques. »

Voyez maintenant comment configurer l’extension, grâce à une immersion menu par menu.

Comment paramétrer et utiliser Sucuri Security ?

Présentation du tableau de bord de Sucuri

Le premier menu principal proposé par Sucuri Security est le tableau de bord (Dashboard). C’est ici que vous retrouverez les résultats de l’audit mené par l’extension sur votre site.

Concrètement, Sucuri inspecte votre installation WordPress à la recherche d’éventuelles modifications sur les fichiers de base de WordPress (ceux que vous retrouvez à chaque fois lorsque vous téléchargez le CMS).

Sucuri analyse automatiquement les fichiers qui se trouvent dans les répertoires racine, wp-admin et wp-includes, puis les compare aux fichiers distribués avec la version majeure de WordPress installée sur votre site (la 6.1.1, dans mon cas).

Dès que Sucuri détecte un fichier présentant des incohérences, elle vous l’indique sur votre tableau de bord.

En cas de problème, une croix rouge s’affiche, accompagnée d’un message peu rassurant de la même couleur : « Core WordPress files were modified : » (« Les fichiers du Cœur de WordPress ont été modifiés ») :

Le ou les fichiers peuvent avoir été piratés. Dans mon cas, Sucuri me remonte deux supposées anomalies sur un fichier .txt et un fichier error.log.

Ce dernier recense des journaux d’erreurs intervenues sur votre site (erreurs PHP, notamment). Je dispose alors de plusieurs possibilités pour résoudre les problèmes : 

• marquer le fichier comme faux positif, si c’est par exemple un fichier que j’ai moi-même ajouté. Sucuri l’ignorera lors d’un prochain scan ;
• supprimer le fichier, si vous pensez qu’il est malicieux ; 
• restaurer la version originale du fichier.

Ce scan est pratique mais il y a un problème principal : pour un débutant, il est quand même assez difficile de savoir si le fichier supposé présenter une anomalie cause un vrai problème de sécurité sur votre site ou pas. 

Le fait que toutes les informations soient uniquement disponibles en anglais n’aide pas vraiment à la compréhension, d’autant que les termes et fichiers techniques sont légion.

Du coup, on ne sait pas vraiment quoi faire : laisser le fichier tel quel ? Restaurer sa version originale ? Le supprimer quitte à prendre le risque d’effacer des données importantes ? Pas simple, tout ça.

Sous l’encart consacré à l’analyse du Cœur de WordPress, en plus des Journaux d’audit (Audit logs), vous retrouvez plusieurs onglets vous indiquant des changements qui se seraient produits sur : 

• des iframes (des balises HTML) ;
• des liens ;
• des scripts.

Enfin, Sucuri me fait également plusieurs recommandations pour renforcer la sécurité de mon installation en me proposant par exemple de supprimer les extensions inutilisées ou de désactiver l’éditeur de fichier dans l’administration :

Le pare-feu applicatif : Firewall (WAF)

Le deuxième sous-menu de Sucuri correspond au pare-feu de la solution (Sucuri firewall). Pour en bénéficier, vous devez opter pour l’un des plans premium proposés par Sucuri. 

Si vous souhaitez franchir le pas, vous n’aurez ensuite plus qu’à ajouter votre clé API dans la case prévue à cet effet. 

Avec ce pare-feu actif, Sucuri vous assure que votre site sera protégé des attaques et empêchera les infections et réinfections de logiciels malveillants.

De plus, le firewall « bloquera les tentatives d’injection SQL, les attaques par force brute, XSS (script de site à site), RFI (inclusion d’un fichier distant sur votre serveur), les backdoors (accès à distance de votre site) et bien d’autres menaces contre votre site ».

Via les onglets de réglages, vous êtes aussi en mesure de :

• bloquer certaines adresses IP en les entrant manuellement, afin qu’elles ne puissent pas accéder à votre site ;
• activer la mise en cache, ce qui aura pour effet d’améliorer les performances de votre site WordPress.

Le menu lié aux connexions : Last logins

Place maintenant au troisième menu du plugin Sucuri : « Last Logins », littéralement « Dernières connexions ». 4 onglets sont disponibles : 

• « All Users », présente tous les utilisateurs qui se sont connectés avec succès à votre admin WordPress ;
• « Admins » affiche toutes les personnes disposant d’un compte « admin » sur votre site ;
• « Logged-in Users » détaille tous les utilisateurs actuellement connectés ;
• « Failed logins » vous montre les tentatives de connexion échouées à votre page de connexion. De quoi vous aider à discerner très vite si vous êtes victime d’attaques par force brute, par exemple.

Le menu Réglages de Sucuri

Et pour terminer, place au dernier menu. Il s’agit du plus copieux. Vous y retrouvez plusieurs options majeures de Sucuri, que l’on va décortiquer en détails, onglet par onglet.

Onglet Réglages généraux

L’onglet « General Settings » (« Réglages généraux ») dispose de plusieurs encarts. Ils présentent certains des éléments suivants, sur lesquels vous pouvez agir :

• un répertoire présentant tous vos logs de sécurité (« Data storage ») ;
• un exportateur de logs ;
• un proxy inversé, que vous pouvez activer ;
• un module pour importer et exporter vos réglages Sucuri sur un autre site WordPress.

Onglet Scanner

L’onglet « Scanner » embarque un outil gratuit proposé par Sucuri appelé SiteCheck. Ce dernier va analyser votre site à la recherche des éléments suivants :

• malwares ;
• erreurs sur votre site web WordPress ; 
• présence de logiciels obsolètes ;
• anomalies de sécurité.

Sucuri vous présente notamment :

• les tâches programmées lors de son scan (« Scheduled tasks »). Par défaut, le scan a lieu une fois par jour ;
• l’utilitaire  « WordPress Integrity Diff » qui compare les fichiers présents sur votre serveur avec les fichiers originaux de votre site (répertoires situés à la racine, thèmes, plugins et fichiers du Cœur de WP) ;
• les faux positifs détectés ;
• une option pour exclure certains fichiers et dossiers lors du scan, notamment s’ils sont trop volumineux.

Onglet Hardening

L’onglet « Hardening » (« Renforcement ») liste 10 mesures de sécurité que vous pouvez appliquer en prévention d’éventuelles attaques. Elles renforceront la sécurité de votre installation WordPress.

Vous pouvez par exemple, en un clic : 

• bloquer l’exécution de certains fichiers PHP dans les répertoires wp-content et wp-includes ;
• désactiver l’éditeur de fichier au niveau de votre interface d’administration, afin d’empêcher un pirate de modifier vos fichiers ;
• supprimer l’affichage de votre version de WordPress ;
• vérifier si votre version de WordPress est à jour.

En bas de la page, il est aussi possible d’exclure manuellement certains fichiers PHP dont l’exécution aurait été bloquée.

Par mesure de précaution, sauvegardez votre site (fichiers + base de données) afin de procéder à l’application d’une de ces mesures. Vous pouvez pour cela vous servir d’une extension de sauvegarde comme UpdraftPlus. Et si possible, procédez sur un environnement de test, pas en production. 

Onglet Post-Hack

Comme son nom l’indique, l’onglet « Post-Hack » propose plusieurs mesures à appliquer immédiatement après le piratage de votre site. J’espère que vous n’aurez jamais à vous en servir, donc ^^.

Voici ce que vous pouvez faire ici :

• générer de nouvelles clés de sécurité. Présentes dans le fichier wp-config.php, elles permettent notamment un meilleur cryptage de certaines informations, notamment les cookies d’un utilisateur qui se connecte à l’administration de votre site.
  Si un pirate est en possession de ces cookies, il pourra se connecter à votre site même si vous réinitialisez votre mot de passe. Sauf si vous modifiez vos clés de sécurité ;
• mettre à jour les mots de passe des utilisateurs ;
• réinstaller les plugins de votre site ;
• mettre à jour vos thèmes et extensions.

Onglet Alertes de Sucuri

Dans l’onglet « Alerts », vous pouvez configurer des réglages liés aux alertes de sécurité que va vous envoyer Sucuri par e-mail.

Par défaut, l’extension envoie des notifications de sécurité à l’administrateur principal du site (celui créé lors de son installation). Cependant, vous pouvez spécifier d’autres adresses e-mail susceptibles de recevoir ces notifications.

En parallèle, vous pouvez aussi gérer les types d’alertes que vous allez recevoir, et autoriser les adresses IP de confiance afin qu’elles ne génèrent pas d’alertes. 

Vous pouvez par exemple indiquer :

• un nombre d’alertes maximum à recevoir par heure (de 5 heures à illimité) ;
• le nombre de tentatives de connexion échouées par heure (attaques par force brute) avant l’envoi d’une alerte e-mail ;
• les événements qui déclencheront une alerte de sécurité (ex : changements dans les réglages d’un plugin, création d’un nouvel identifiant, désactivation d’un thème ou plugin etc.).

Pour être tout à fait exhaustif, Sucuri propose deux autres onglets de réglages : « API Service Communication » et « Website Info ». Ces deux onglets ne permettent pas de réglages spécifiques : ils donnent des infos sur votre API et votre site WordPress.

Après ce large tour du propriétaire, je vous propose tout de suite d’aborder la partie finale de cet article. On va d’abord parler du prix de Sucuri, puis je vous livrerai mon avis sur cette extension de sécurité.

Combien coûte Sucuri Security ?

Sucuri se présente comme un plugin gratuit, ce qui est vrai… mais jusqu’à une certaine limite.

En effet, vous devez par exemple payer si vous désirez utiliser le pare-feu applicatif proposé par Sucuri. En matière de sécurité, l’usage d’un pare-feu est très fortement recommandé. 

Cette option, qui comprend aussi l’accès à un CDN, est proposée à partir de 9,99 $/mois (9,60 €) pour un usage sur un site :

Par ailleurs, Sucuri propose un pack de sécurité beaucoup plus complet appelé « Website Security Platform ». Les prix démarrent à 199,99 $/an (environ 193 €) pour un usage sur un site.

Ce plan tarifaire englobe bien sûr le firewall de Sucuri, le CDN, mais aussi le nettoyage de logiciels malveillants et de fichiers piratés par des experts maison :

Notre avis final sur le plugin de sécurité Sucuri

Pour conclure, que penser de Sucuri ? Pour y répondre, je vais aborder deux aspects cruciaux au moment de choisir une extension : sa facilité d’usage et son efficacité.

Concernant la prise en main, d’abord. Elle n’est pas forcément complexe car Sucuri a pris le parti de proposer des options claires, bien réparties dans différents onglets.
Les menus ne sont pas trop surchargés et il est très simple de réaliser une action (un clic suffit la plupart du temps).

Par contre, le fait que toute l’interface ne soit pas traduite en français représente un frein à l’usage. Et comme le domaine de la sécurité regorge de termes techniques – là-dessus, Sucuri n’y est pour rien -, l’utilisateur débutant ne sera pas toujours dans ses petits chaussons pour vraiment comprendre ce qu’on lui propose de faire ET ce qu’il doit faire. C’est une première limite à signaler.

Passons à l’efficacité du plugin, maintenant. Sucuri est avant tout un outil de monitoring conçu pour vous signaler des problèmes de sécurité sur votre WordPress. Il scanne vos pages à la recherche d’anomalies, vous envoie des alertes en cas de problème etc.

Mais l’extension ne permet pas vraiment de résoudre des problèmes de sécurité (hormis sur quelques petits aspects), sauf après piratage (mais ce sera déjà trop tard).

L’un des principaux boucliers en matière de sécurité reste l’usage d’un pare-feu. Sucuri en propose bien un, mais dans son offre payante uniquement. 

Télécharger l’extension Sucuri :

En conclusion, je ne recommanderais pas l’extension gratuite si vous souhaitez protéger efficacement votre site WordPress. 

Partagez-vous mon opinion et utilisez-vous Sucuri ? Donnez-moi votre avis en publiant un commentaire.