WordPress est un CMS relativement bien sécurisé notamment grâce à ses fréquentes mises à jour qui viennent réparer des bugs et combler les failles de sécurité qui apparaissent quotidiennement.

Mais c’est aussi le CMS le plus ciblé par les pirates à cause de son incroyable popularité, plus de 25% des sites internet existants ayant été créés avec WordPress.

Les utilisateurs de WordPress n’étant pas nécessairement des spécialistes en sécurité informatique, ils ne sont pas toujours au courant des actions indispensables à mener pour garder leur site WordPress le plus sécurisé possible.

Tous les sites sont des cibles potentielles (vols de données, infection par malware, etc.) et une fois votre site piraté, il se peut qu’il soit très difficile de réparer les dégâts commis. Sans parler de la réputation du site lui-même qui peut être impactée et subir le manque de confiance des lecteurs (chutes des inscriptions, de la participation, etc.).

C’est pourquoi votre site WordPress a besoin d’être protégé par plugins spécialisés comme iThemes Security que je vais vous présenter aujourd’hui.

Présentation : iThemes Security

iThemes Security est l’un des tous meilleurs plugin en ce qui concerne la sécurisation de votre site WordPress. Ce plugin va vous aider à le protéger de toutes les menaces susceptibles d’arriver.
Très simple à utiliser même pour un débutant, il se décline en deux versions, l’une payante et l’autre gratuite.
Point non négligeable, le plugin est traduit en français.

iThemes Security : fonctionnalités

iThemes Security dans sa version gratuite fournit plus d’une trentaine de fonctionnalités pour protéger votre site contre les pirates. En voici quelques-unes :
Brute Force Protection (Protection de force brute) qui limite le nombre de tentatives infructueuses de connexions. Si quelqu’un essaye de deviner votre mode passe, il sera bloqué après quelques tentatives.

File Change Detection (Détection d’altération de fichiers)
Si quelqu’un parvient à pirater votre site, il va probablement commencer à changer, ajouter ou enlever des fichiers, si tel est le cas vous recevrez une notification par email récapitulant tous les fichiers qui ont subi des modifications.

404 Detection (Détection d’erreurs 404)
Si un robot ou un pirate scanne votre site pour y trouver des failles, il va générer un grand nombre d’erreurs 404 (lien introuvable). iThemes security va bloquer l’adresse IP de ce dernier après un nombre de tentatives déterminé en avance (par défaut : 20 erreurs en 5 minutes).

Strong Password Enforcement (Exigences de mot de passe)
Définit le type d’utilisateurs (administrateurs, éditeurs, utilisateurs) qui ont besoin d’utiliser un mot de passe renforcé.

Lock Out Bad Users (Blocage d’utilisateurs)
Permet de définir des règles pour bloquer des utilisateurs au comportement suspect.

Away Mode (Mode « absent »)
Si vous avez prévu de ne faire aucun changement sur votre site pendant quelques heures, vous pouvez rendre le tableau de bord de WordPress inaccessible durant ce laps de temps.

Hide Login & Admin (Déplacer l’administration)
Permet de changer l’adresse (url) par défaut du panneau de connexion à WordPress. Ainsi les pirates ne pourront pas le trouver et tenter de s’y connecter.

Database Backups (Sauvegarde de la base de données)
Possibilité de programmer des sauvegardes de votre base de données et de les copier dans un fichier.

Email Notifications (Centre de notifications)
Recevez un email en cas de tentative de piratage de votre site WordPress.

Malware Scan
Scanne votre site à la recherche de malwares, virus etc.

iThemes Security version pro (payante)

La version payante (pro) propose plus de fonctionnalités. En voici quelques-unes :

WordPress Two-Factor Authentification (Authentification à deux facteurs.)
Si vous sélectionnez cette option, vous devrez, pour vous connecter à WordPress, utiliser à la fois votre mot de passe habituel, mais aussi un code qui vous sera envoyé sur votre mobile. Ceci accroît la sécurité de votre site, car même si une personne a réussi à pirater votre mot de passe, elle ne pourra pas se connecter, car elle ne possédera pas le code qui vous a été envoyé.

Malware Scan Scheduling (Planification d’analyse de logiciels malveillants)
Permet de programmer automatiquement la recherche de code malicieux (scan) en avance, plus besoin d’y penser.

Password Expirations (Expiration des mots de passe)
Oblige les utilisateurs à changer de mot de passe après une certaine durée que vous aurez choisie.

Import and Export Security Settings (Importation et exportation des réglages)
Permet d’exporter ou d’importer les paramètres que vous avez définis dans iThemes Security. Idéal si vous avez plusieurs sites et que vous voulez avoir des paramètres identiques pour chacun d’entre eux.

Retrouvez toutes les autres fonctionnalités proposées par iThemes Security ainsi que les différences entre la version gratuite et payante, directement sur leur site : iThemes security

Avec la version payante, vous aurez en plus accès à un tableau de bord de sécurité que nous verrons un peu plus tard dans cet article.

Comment paramétrer iThemes Security ?

Avant d’activer iThemes Security, je vous conseille de faire une sauvegarde complète de votre site, car le plugin va faire des changements dans votre base de données ce qui pourrait causer (rarement) des problèmes.

Lors de son premier lancement iThemes security fait un état des lieux et règle les premiers paramètres qu’ils jugent nécessaires en affichant l’onglet « contrôle de sécurité »

Une fois ce premier contrôle réalisé, vous arrivez à l’onglet réglage où vous allez pouvoir configurer tous vos paramètres de sécurité, avec d’effectuer les réglages inclus dans la version gratuite suivis par ceux de la version payante (pro).

Vous pouvez activer ou désactiver chacun des paramètres un par un, mais comme vous pouvez le voir, les options les plus recommandées sont automatiquement activées.
Une description vous aide à faire votre choix pour chacun des réglages. Dans le doute, laissez les paramètres par défaut, ils vous protégeront déjà suffisamment.

Alors que les paramètres simples ont seulement deux choix (activer ou désactiver), les paramètres avancés requièrent plus de configuration.
Par exemple le réglage « Blocage d’utilisateurs » une fois activé va vous demander de rentrer manuellement une adresse IP à bannir.

iThemes Security Dashboard (tableau de bord)

Le tableau de bord d’iThemes Security est disponible seulement avec la version payante. Dans l’onglet réglage, vous verrez apparaître une nouvelle option «SecurityDashboard »

Une fois activé, vous verrez un nouvel onglet « Security Dashboard » dans le tableau de bord de WordPress. En cliquant dessus vous pourrez choisir soit une mise en page par défaut soit en configurer une selon vos besoins !

iThemes Security Dashboard en détail

1 : Events tracked
Affiche le nombre total d’événements enregistrés.

2 : Activities Blocked
Le nombre de fois ou iThemes Security a bloqué un utilisateur (parce que son IP est banni, parce qu’il a tenté de pirater votre connexion, etc.).

3 : Supsicious Activities
Le nombre total d’activités qu’iThemes Security a jugé dangereuses ou suspicieuses, telles que les erreurs 404, les tentatives de connexions infructueuses, etc.

Les éléments qui vont suivre sont intitulés « Card »

      Card Name Description
1. Malware Scans Historique de tous les Scans réalisés
2. User Security Profiles Liste de tous les administrateurs enregistrés sur votre site. On peut cliquer sur leur nom pour avoir un rapport plus détaillé.
3. User Security Profile En cliquant sur le profil d’un utilisateur on peut voir son rôle, la force de son mot passe, la dernière fois qu’il a visité votre site etc.
4. Active Lockouts Affiche tous les blocages en vigueur. Vous pouvez débloquer un de vos membres ici.
5. Lockout Historique des tous les blocages.
6. Banned Users Historique de toutes les IPs bannies.
7. Brute Force Attacks Affiche un graphique de toutes attaques de type « Brute Force »
8. Trusted Devices Affiche un graphique montrant les appareils approuvés, approuvés automatiquement ou bloqués.
9. 404s Le nombre d’erreurs 404 au cours des 30 derniers jours.
10.Database Backups Affiche l’historique du nombre de sauvegardes de votre base de données lors des 30 derniers jours et vous permet de créer une nouvelle sauvegarde.
11. Update Summary Fait un résumé de toutes les mises à jour WordPress, thème, plugin effectuées au cours des 30 derniers jours.

A noter :
Le positionnement des « cards » ne vous convient pas ? Pas de problème vous pouvez changer leur disposition par simple glisser / déposer !

Lancez un scan avec iThemes Security

Point primordial, scannez votre site WordPress pour rechercher des virus, malwares, etc.

Cliquez sur l’onglet iThemes Security dans votre tableau de bord WordPress, puis en bas à droite dans la section « Analyse des logiciels malveillants » cliquez sur «Analyser la page d’accueil à la recherche de logiciels malveillants ».
Vous retrouverez les résultats de votre analyse ainsi que les résultats des analyses précédentes dans l’onglet « journaux ».

Planifier un scan avec iThemes Security pro

La version payante d’iThemes Security vous donne la possibilité de planifier vos scans tous les jours automatiquement. Plus besoin de lancer manuellement. De plus, si le plugin trouve un problème, il peut automatiquement vous envoyer un email.

Pour ce faire, cliquez sur « Security » dans le tableau de bord de WordPress puis sur « Pro » comme sur l’image ci-dessous, cochez les options qui vous intéressent et lancez le scan.

iThemes security Pro, compte rendu et score du niveau de sécurité de votre site WordPress.

La dernière version d’iThemes Security Pro a totalement changé la mise en page du compte rendu de votre site.

D’un simple clic sur l’onglet « Security » puis « Grade Report » vous accédez à un tableau de bord vous permettant non seulement de réaliser les actions recommandées par le plugin, mais aussi d’améliorer votre score global et donc d’améliorer la sécurité de votre site.

Une fois dans le compte rendu, la première chose que vous apercevez est la note globale du rapport de sécurité de votre site.

iThemes Security prend en considération plusieurs facteurs pour déterminer cette note globale qui sont « software » et « Security Settings » (nous allons y revenir plus en détails un peu plus loin).

Dans notre exemple, nous recevons la note « C » ce qui n’est pas très fameux.

Chacun de ces deux facteurs (software et Security Settings) ont droit à un sommaire affichant les opérations à effectuer pour améliorer votre note globale !
1 : La partie logiciel « software » qui inclut :
• WordPress en tant que tel.
• Le thème activé
• Les plugins installés
• La version PHP
• Etc.

Pour améliorer votre score, cliquez simplement sur « Resolve issues ».

*Pour ce qui concerne la version PHP, vous aurez besoin de contacter votre hébergeur et de lui demander de mettre à jour la version PHP de votre serveur.

2 : Les différents réglages que vous avez effectués dans iTthemes security (Security Settings).

Ici Vous pouvez effectuer les améliorations recommandées de deux manières. Soit manuellement en vous rendant dans le tableau de bord d’iTthemes security et en changeant uniquement les options que vous désirez comme ci-desous, soit comme pour la partie software en cliquant sur « Resolve issues »

.

Une fois les problèmes résolus, vous verrez votre note globale grimper en flèche !

Support and Documentation

Les explications fournies (je sais tu en as plein le cul de corriger) dans le tableau de bord d’iTthemes security seront dans la grande majorité des cas suffisants pour vous permettre de paramétrer le plugin de manière efficace.
Si néanmoins cela ne suffit pas, les créateurs d’iTthemes security ont mis en ligne de nombreux tutoriels pour vous aider.
Et si cela ne suffit toujours pas vous pouvez contacter leur support technique directement sur leur site via le système de ticket.

Le prix

En plus de sa version gratuite iTthemes security est disponible en 3 plans différents. La seule différence entres ces forfaits réside dans le nombre de sites sur lesquels vous pouvez l’installer.

Dans tous les plans sont inclus :
• 1 an de support par système de ticket
• 1 an de mise à jour.
• 10 Synchronisation de site.

Conclusion

De nos jours, il est presque devenu indispensable d’installer un plugin de sécurité sur votre site WordPress tant les attaques sont monnaie courante.
La question est donc lequel choisir ?
De ce point de vue, iThemes Security est très facile à utiliser avec un tableau de bord bien pensé et des explications claires pour chacun des réglages proposés, ce qui vous évitera bien des déconvenues ne nous le cachons pas.
De plus, la version gratuite est déjà très bien fournie et vous permettra de sécuriser correctement votre site sans dépenser un centime.
La version payante, quant à elle, vous apportera un plus grand confort d’utilisation, des paramétrages plus précis et des options plus nombreuses.
Dans tous les cas iThemes Security fait partie des meilleurs plugins du genre dans le monde WordPress, je ne peux que vous le conseiller.

0 commentaires

Soumettre un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *