Accueil » Le Point Sécu » 🛡 Point SECU #12 : Comment choisir un bon plugin de sécurité

Vidéo : 🛡 Point SECU #12 : Comment choisir un bon plugin de sécurité



Salut à tous et bienvenue dans ce nouveau « point sécu » avec Julio, et aujourd’hui, on va voir comment choisir un bon plugin de sécurité.

Allez c’est parti !

Alors du coup Julio tu vas essayer de répondre à cette question que beaucoup de personnes se posent : quel plugin de sécurité utiliser pour son site WordPress ?

Julio : On va essayer d’être objectif dans cette vidéo… C’est forcément un peu plus compliqué.

Pour moi, quand on choisit un plugin de sécurité, on pourrait dire, c’est un peu comme choisir un plugin dans un autre thème, puisque justement il existe différents plugins un peu pour tout. Dans tous les cas, ça doit répondre à un besoin.

Qu’est-ce qu’on a besoin de sécuriser et qu’est-ce qu’on souhaite faire finalement ?

Comme on en a parlé récemment, dans une liste de points de sécurité à faire, on ne va pas forcément tout faire, on ne va pas pouvoir tout faire, il se peut qu’il y ait des restrictions du serveur, de la part du client, etc. On va essayer de se tenir à ce que l’on a besoin de faire.

1. La traduction du plugin en français

Pour moi un point principal pour nous qui sommes en France et pour moi c’est quelque chose qui est important, j’aime bien que les plugins soient au moins traduits en français, pas forcément un plugin français, même si « cocorico » c’est mieux ! mais qu’il soit en français c’est mieux.

En tout cas, quand je le donne à un client pour moi c’est quasiment obligatoire, je ne peux pas dire à mon client qui a un site totalement français, qui me demande de faire du développement en français, de lui donner un plugin supplémentaire en disant « celui-là désolé c’est de l’anglais » non, ça pour moi c’est impossible.

Donc déjà pour moi je dirais : l’avoir en français.

2. Le support

Ensuite, je vais vous recommander, si encore une fois c’est pour des clients, de prendre un plugin qui va être premium pour avoir du support, car vous n’avez pas envie de faire le support pour votre client, c’est quelque chose que vous n’avez pas du tout du tout avoir envie de faire.

D’autant plus que vous allez faire du support sur des produits qui ne vous appartiennent pas, c’est vous qui ferez le support à la place de votre client, etc. donc vraiment évitez !

Si le plugin est gratuit, gardez bien en tête, que le support, il peut y en avoir, il peut aussi ne pas y en avoir, mais s’il y en a, il n’est pas assuré, il n’est pas rapide, c’est pour ça que c’est gratuit ! Mais on le sait, on le sait à l’avance, moi je recommanderai tout de même vers quelque chose où il y a du support.

Par chance, je pense que la majorité des plugins de sécurité ont du support, parce qu’ils ont tous une version payante, parce que justement c’est quelque chose qui ne s’arrête pas en fait, on ne peut pas se dire « ça y est, il est fait mon plugin, je le balance, et terminé pendant deux ans ».

Alex : Comme on expliquait… ça bouge vite… c’est le chat et la souris, il y a de nouvelles choses qui sont découvertes, il y en a qui s’infiltre donc il faut protéger cela.

quel est le meilleur plugin de securité wordpress

3. Les utilisateurs

Julio : Exactement ! Ensuite on peut directement entrer ce que l’on a besoin de sécuriser. On peut se dire : OK, mon site, c’est un site qui n’utilise aucun utilisateur, juste un admin et tout le reste, il n’y a jamais d’inscriptions possibles, on est une seule et unique personne à gérer.

Donc est-ce qu’on a besoin de sécuriser ses utilisateurs ?

Si vous être un e-commerce, je vous donne tout de suite la réponse c’est OUI ! Vous devez sécuriser vos utilisateurs, leur donner leur compte, tout cela, il faut vraiment que ce soit au plus secure ! Je ne parle pas juste de faire des backups (encore une fois il faut aussi des backups).

Donc, sécuriser les utilisateurs, avez-vous besoin de ça ? Cocher quelque part : OUI j’ai besoin de sécuriser les utilisateurs.

4. La mise à jour des thèmes et plugins

Quelque chose que je vais forcément recommander, on l’a déjà dit, nous on l’a déjà dit, vous l’avez déjà lu, c’est à la fois se tenir à jour pour les plugins et les thèmes, mais aussi s’assurer que les plugins et les thèmes ne soient pas connus comme vulnérables.

Vous avez peut-être déjà vu notamment sur Facebook et même Twitter, il y a des listes qui tournent sur les nouveaux plugins qui ont été découverts contenant des failles : si vous les avez, c’est un peu dommage !

Alors comment est-ce qu’on peut être alerté de ça ? Il existe des solutions qui vous permettent d’être alerté en temps réel du plugin « untel » que vous utilisez sur tel site, il contient une faille de sécurité… ça, je pense que tout le monde en a besoin, dans le sens où si vous utilisez des plugins, vous avez besoin de savoir qu’ils sont toujours sécurisés.

5. Sécuriser les données sensibles avec des backups

Je vous dirais aussi de sécuriser ce que j’appelle les données sensibles, il y a celles des utilisateurs et aussi les vôtres, votre site web. Si vous avez votre site sur GitHub par exemple, vous n’avez pas envie que quelqu’un puisse trouver le contenu, si vous avez des backups, il faut que les backups soient dans un endroit sécurisé, si possible, vous ne les laissez pas sur site, vous les retéléchargez en local.

Ou alors si vous uploadez directement, automatiquement dans un cloud : Dropbox, Amazon... C’est ce que tu fais peut-être ?

Alex : Oui sur Dropbox, Amazon et du coup forcément avec Dropbox c’est automatiquement remis sur l’ordinateur, donc en fait il y a 3 points de sauvegarde.

Julio : C’est une bonne idée, parce que les laisser sur le site, ça veut dire qu’on les laisse quelque part en accès à une personne.

Vous allez me dire « oui, mais j’ai déjà essayé de les télécharger en tapant le lien et ça donne une erreur »… oui je comprends bien, mais on en revient au problème dont on a déjà parlé avec le fichier wpconfig et le fameux « deny from all » : ça empêche l’accès depuis le navigateur, mais pas depuis un script PHP, donc de nouveau, la faille de RevSlider aurait pu télécharger les backups.

Donc voilà, ne pas les laisser sur le site ça me semble important.

Qu’est ce qu’on a encore besoin pour choisir un plugin de sécurité ?

6. Un pare-feu

Et bien écoutez, il faut qu’il propose des fonctionnalités de type « pare-feu », c’est-à-dire les requêtes qui viennent des mauvais bots des moteurs de recherches, il faut qu’ils soient bloqués, évidemment il laisse passer Google, Bing, etc., mais dès qu’il s’agit d’un bot qui est potentiellement connu pour être mauvais, il faut que ce soit bloqué.

Si les URLS contiennent des mots clés qui lui paraissent un peu louches, qui sont d’habitude utilisés pour du hacking, ça doit être bloqué.

On peut très bien se dire voilà, il y a tel, tel et tel pays, ils sont en train de faire des vagues d’attaques, je les bloque. Il faudrait que ça propose ce genre de choses qui est relativement important. Surtout encore une fois pour des sites e-commerce, parce que ça fait tomber un site marchand.

Alex : Tout le business tourne… si c’est un blog, juste un blog, ou même un site vitrine sur lequel il n’y a pas de ventes…

Julio : C’est moins grave, mais on n’a quand même pas envie que ça tombe longtemps dans tous les cas.

Alex : Dans tous les cas oui…

7. Un scanner de virus

Julio : Après, ce qui est pour moi aussi très important, c’est que le plugin propose un scanner de virus. C’est-à-dire qu’il se peut très bien que votre site soit nickel, il ne se passe rien, le backend c’est pareil, les utilisateurs vont bien, mais finalement, il y a eu quand même à un moment, un pirate qui a réussi à venir sur votre site, il a inséré des fichiers malicieux et ce qu’il va faire, il va attendre trois mois environ et au bout des trois mois, il va activer son script malicieux.

Pourquoi trois mois ? Parce qu’il sait très bien que la majorité des scripts gardent trois mois de backups, c’est-à-dire que là il est certain…

Alex : La majorité des sites oui…

Julio : Oui c’est ça, et maintenant ce qu’il fait, c’est qu’il est certain que si vous remettez un ancien backup, vous remettez ses fichiers avec.

Alex : Pas bête !

Julio : Donc, au lieu d’attendre trois mois, grâce à un scanner de virus, vous pouvez toutes les semaines, maximum, je vous conseille toutes les semaines, c’est pas mal, de vérifier s’il n’y a pas de nouveaux fichiers qui sont arrivés, inattendus, pouvant potentiellement contenir du code malicieux, et là vous devez être alerté, par mail minimum, pour se dire « OK, ce fichier, je ne vois pas qu’est-ce qu’il fait là, je ne l’ai pas demandé, je ne sais pas d’où ça sort »

Si vous avez un doute, demandez à un ami, demandez à un développeur, demandez encore une fois sur les réseaux sociaux : j’ai trouvé ça qu’est ce que vous en pensez ? Vous aurez une aide assez rapidement pour vous dire que c’est propre ou pas propre, dans ces cas-là vous êtes en alerte pour vous dire : « Ouh là ! Y’a un truc pas normal, maintenant il faut que j’aille plus loin, qu’est-ce qui se passe sur mon site ».

Donc on a parlé des backups, vous ne les stockez pas sur votre site. Quand vous faites des backups, ce qui serait bien aussi c’est que vous n’ayez pas à les faire à la main, pouvoir planifier les backups…

Alex : C’est comme les… on ne le fera pas…

Julio : On ne le fera pas.

Alex : On va le faire peut-être… quelques fois !

Julio : Maintenant ! Je vais essayer le plugin, je teste, j’ai mon backup… mais demain et après-demain ? Tous les jours la base de données doit être sauvegardée, les fichiers c’est un peu moins grave, on peut toujours les récupérer, mais la base de données c’est vos articles, vos commentaires, non vous n’avez pas envie de perdre tout ça tous les jours, vous ne réalisez pas devoir retaper tous vos contenus…

Alex : Tout dépend l’activité du site, si on le met à jour une fois par mois, là c’est sûr c’est moins grave…

Julio : Moi je prends toujours un site marchand qui fait des ventes tous les jours !

Alex : Voilà c’est ça !

Julio : Imaginez : vous perdez les identifiants des ventes, les identifiants PayPal, vos numéros de factures… OK… l’horreur ! ça, c’est grave pour un site marchand parce que même au niveau légal, il a besoin de ses numéros de facturation qui se suivent, très important de faire des backups au moins une fois par journée, je sais qu’il y a des sites marchands qui font un backup à l’heure

Alex : Les gros sites quoi !

Julio : Oui, ils sont un peu obligés parce que ça va très très vite… Je ne sais combien en fait Amazon d’ailleurs ? Un backup à la seconde tu crois que c’est possible ?

Alex : Je ne sais pas…

8. Un antispam des inscriptions et des commentaires

Julio : Si vos sites justement sont des blogs ou acceptent les commentaires, ou les inscriptions : un antispam des inscriptions, un antispam des commentaires pour que les bots ne puissent pas s’inscrire sans protection et que les bots ne puissent pas essayer de commenter. Ils sont de plus en plus forts : il y a quelques années encore on les grillait tout de suite, mais là, je dois avouer qu’ils ont des avatars, ils ont des noms différents, ils utilisent des adresses mail beaucoup plus correctes, ils utilisent du wording qui correspond à l’article.

C’est de plus en plus pro…

Alex : C’est très subtil.

Julio : C’est très subtil et à la fois, comme ils sont venus poser un lien, ils ne le font plus dès le premier commentaire, maintenant, il y a des bots qui gratuitement balancent de vrais commentaires, une à deux fois, pour que vous les acceptiez, c’est énorme !

Après ils viennent insérer leur lien au troisième, parce qu’ils savent aussi que par défaut WordPress demande deux commentaires acceptés pour accepter les liens, il me semble.

De tout cela, ils sont au courant, bien sûr, et ils mettent des petits subterfuges en place, dont l’antispam à avoir.

9. Recevoir les journaux

Qu’est-ce qu’on pourrait encore dire ? Allez les journaux !

Les journaux c’est : qu’est-ce que s’est passé sur mon site de potentiellement critique : un ami qui change un mot de passe pour moi c’est critique, est-ce que c’est normal de le faire à ce moment-là ? Peut être que oui bien sûr ! Mais c’est bien de le savoir.

Un admin qui se connecte à 4 heures du matin : est-ce que c’est prévu ? Est-ce que c’est normal ?

Par contre, quelqu’un qui met à jour un article : non, là je n’appelle pas cela quelque chose de critique.

L’installation d’un plugin, suppression d’un plugin, tout ça me paraît potentiellement critique, surtout qu’on est censé être en production donc on n’a pas à faire ce genre de choses, ça serait bien d’avoir les logs. Tous les jours, recevoir à la fin de la journée, tout ce qui s’est passé sur le site, etc.

10. Un service de maintenance

Et là, si on veut aller un peu plus loin que le plugin, ce serait bien si le plugin et donc les services associés à ce plugin, vous offrent d’autres services par exemple de l’aide sur la sécurité, ça peut être une configuration du plugin parfaite, parce que soit votre client la veut, soit vous n’avez pas le temps, la compétence, faites-le faire.

Et encore plus loin, si finalement vous avez un site qui est tout de même piraté, est-ce que la personne, est-ce que le plugin, l’équipe, sauraient vous aider en cas de plugin piraté.

Alex : De site piraté, si le site tombe est-ce que vous vous débrouillez ?

Julio : S’il est tombé est-ce que vous vous dites « c’est bon là j’ai une page noire avec une tête de mort qui tourne, ce n’est pas normal ! » ben non… votre site est légèrement piraté, là vous devez faire appel à quelqu’un : à qui faire appel ?

Quels sont les meilleurs plugins de sécurité ?

Je vous ai donné pas mal de points, essayez de voir tous vos besoins. Vous pourriez potentiellement avoir besoin de tout, personnellement j’avoue que plus il y a de sécurité et plus j’aime ça, du coup, je regarderai un peu tout ce donc j’ai besoin et j’essaierais de comparer un peu tous les plugins qui existent.

Si j’avais à donner un top des plugins – parce qu’on va nous les demander en commentaires !

Alex : Ouais ! Au final qu’est-ce que tu recommandes Julio ?!

Julio : Est-ce qu’on attend les commentaires ?

Forcément je vais parler du mien, je vais parler de SecuPress, parce qu’on a voulu tout de suite se mettre au niveau de la concurrence dès la création du plugin.

Les concurrents que vous pouvez vérifier sont :

qui sont vraiment trois groupes qui font un énorme travail de sécurité.

Je sais que Wordfence et Sucuri ont vraiment des gens qui sont payés pour trouver des failles, à vrai dire forcément qui ne rapportent pas d’argent, c’est énorme d’avoir réussi à faire cette veille de sécurité.

Après il y en a d’autres qui sont pour moi un petit peu plus fouillis, mais bon… WebProof Security, All in One WP Security & Firewall et… un dont j’oublie toujours le nom, je ne m’en souviens plus, mais ce n’est pas grave.

Alexandre : Acunix non ?

Julio : Acunetix, Acunetix ce n’est pas encore pareil, on ne pas vraiment les comparer à celui-là. Il y a 6 Scan, mais 6 Scan il met une iframe et tout est basé ailleurs, donc là je n’aime pas non plus. Je préfère que le plugin reste interne à votre installation. Si on doit toujours avoir tout le contenu sur des serveurs distants, pour moi ce n’est pas normal.

Alex : OK super ! Bon là je pense qu’on a fait le tour, on vous a même parlé d’autres plugins de sécurité ! Voilà maintenant c’est à vous de faire votre choix en fonction de vos besoins.

Merci d’avoir écouté ce nouvel épisode du « Point sécu » avec Julio.

Abonnez-vous à la chaîne YouTube de la Marmite pour recevoir les futurs épisodes et les autres contenus que je publie sur la chaîne et bien sûr allez jeter un Å“il à SecuPress, installez-le et là, en particulier, c’est en français, contrairement à d’autres plugins, donc si ça fait partie des critères qui sont… je ne trouve pas mes mots !

Julio : Requis

Alex : Requis voilà ! Allez voir SecuPress.

Merci de nous avoir écoutés

Ciao, au revoir !

Dites-nous tout ! Quel plugin de sécurité avez-vous choisi ?



Si vous avez apprécié cet article, inscrivez-vous à la newsletter

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20 000 personnes l'ont fait, pourquoi pas vous ?

C'est parti, je m'inscris !

Partagez
Tweetez
Partagez
risus odio commodo libero. efficitur. venenatis, in