Lorsque l’on parle de WordPress, un sujet récurrent remonte souvent à la surface. Les problèmes de sécurité. En effet, En tant que leader du marché, le CMS WordPress comporte des risques plus importants que sur les autres plateformes. Heureusement, comme la communauté est très importante, des solutions efficaces existent. Parmi elles, l’ajout de plugins de sécurité fait partie des « must have ». Nous vous présentons l’un d’entre eux, SecuPress, dans cet article. Alors que vaut ce plugin ? Devez-vous l’installer ou au contraire l’éviter absolument ? C’est ce que nous allons essayer de décrypter avec ce test.

La petite histoire de SecuPress

A l’origine, SecuPress est un plugin créé par la start-up WP Media. Si ce nom ne vous dit rien, il s’agit des créateurs de WP Rocket et d’Imagify qui sont certainement deux des plus grandes réussites en termes de développement de plugin WordPress en France. Portée par Julio Potier, expert sécurité sur WordPress, le projet va sortir du cadre de WP Media. Aujourd’hui porté exclusivement par ce dernier, SecuPress comptabilise plus de 10000 utilisations actives sur WordPress.org avec une note globale de 4,5/5 pour 65 votes.

SecuPress free et SecuPress pro

En faisant des recherches sur SecuPress, il est possible que vous vous retrouviez face à différente terminologie. Il s’agit en réalité de la version gratuite (SecuPress free) et de la version payante (SecuPress pro). Mais pas de panique, vous pourrez passer de la version gratuite à la payante sans aucun problème une fois le plugin téléchargé.

Que propose le plugin SecuPress ?

Comme nous l’avons évoqué, SecuPress est un plugin WordPress de sécurité. Mais le terme est vaste car la sécurité sur WordPress demande de nombreuses compétences. Alors voici un tour d’horizon des fonctionnalités de SecuPress

Le scanner de SecuPress, pour passer votre site en revue

Avant de commencer à rentrer dans toutes les actions mises en place par SecuPress, la fonctionnalité avec laquelle vous allez être confronté en premier est le scanner. Comme son nom l’indique, il s’agit d’un outil qui va passer votre cible à la moulinette pour analyser toutes les problématiques de sécurité. Une fois le scanner passé, vous aurez un état des lieux de toutes les failles en fonction des catégories de contrôle ainsi qu’une note pour vous puissiez vous repérer.

6 zones de contrôle de sécurité freemium

Maintenant que vous avez scanné votre site, vous allez passer à l’étape importante. Celle de la résolution des problèmes. Cela se passe par étape. Vous y retrouverez six catégories de contrôle de sécurité. Mais toutes les fonctionnalités ne sont pas actives dans la version gratuite. Il faudra parfois passer par la version payante.

1. Utilisateurs et login: Cette première partie a pour vocation de vous protéger contre les connexions malveillantes. Notamment ce que l’on appelle les attaques par « force brute » qui visent à craquer vos mots de passe. SecuPress vous proposera donc certaines actions telles que :

• Utiliser un bloqueur de connexions pour limiter le nombre de connexions possibles et empêcher celles provenant d’utilisateurs inconnus
• Utiliser un Captcha et une double authentification pour vos connexions
• Donner une durée de vie à vos mots de passe pour vous forcer à les changer et obliger la création de mots de passe forts
• Créer une liste noire d’utilisateurs interdits
• Déplacer la page de connexion pour éviter le classique monsite/wp-admin/

2. Plugins et thèmes: Par défaut, WordPress donne la possibilité de mettre en ligne vos thèmes et plugins en téléchargeant des fichiers zip. Cette manière de procéder n’est pas optimale en termes de sécurité. SecuPress donne donc la possibilité de supprimer cette manière de faire pour obliger l’intégration des plugins et thèmes par vos ftp. Vous pourrez aussi empêcher toutes installations de modules et thèmes supplémentaires.

3. Le cœur de WordPress: SecuPress peut vous aider à forcer les mises à jour mineures et majeures de WordPress. Celles-ci comprennent généralement des correctifs de sécurité.

4. Les données sensibles: WordPress est le CMS le plus utilisé en France. Il a donc quelques failles connues des hackers et notamment des possibilités de lire les informations de votre site : les plugins utilisés, votre version de WordPress ou encore votre version de PHP. Ces informations, entre autres peuvent être sécurisées et scellées pour empêcher la lecture de ces éléments.

5. Le pare-feu: Le pare-feu protège votre site des agresseurs et des robots. SecuPress propose de l’optimiser en bloquant de nombreuses ressources malveillantes complémentaires comme les faux user agent et les faux robots SEO. Sur cette partie, le plugin de sécurité propose aussi un zoom : un anti brute force permettant de bloquer votre site à toutes les IP qui l’attaque.

6. L’anti Spam: SecuPress intègre en natif un anti spam qui vous permettra de lutter contre les messages de ce type. L’avantage est qu’il propose de supprimer totalement les fonctions de commentaires pour les sites ne les utilisant pas.

4 zones de contrôle de sécurité payantes

Les quatre dernières catégories de contrôle ne sont accessibles que sur la version payante de SecuPress. Ce sont des fonctionnalités plus avancées. Soyons honnêtes si vous souhaitez une sécuriser pour votre site WordPress au maximum, il faudra prendre ces options complémentaires :

1. Scanner de virus: Comme son nom l’indique, il s’agit de mettre en place des scans réguliers de votre site web pour détecter la présence de virus. Comme pour la plupart des plugins WordPress de sécurité, SecuPress augmente sa base de données dès que de nouveaux virus sont détectés par la communauté.

2. Sauvegardes: Élément indispensable à tous les sites internet, les sauvegardes vont permettre de ne jamais perdre vos données même en cas de piratage de votre site.

3. Alertes: SecuPress vous donne la possibilité de vous créer des alertes quotidiennes afin d’avoir un résumé de tout ce qui s’est passé sur votre site. Une manière simple de réagir rapidement en cas de piratage.

4. Planifications: L’outil de planification va vous permettre d’automatiser toutes les actions de sécurité afin de vous assurer de ne pas subir de dommages. Vous recevrez des rapports quotidiens permettant d’analyser la sécurité de votre site.

SecuPress propose donc un panel d’actions de sécurité de très bonne gamme. 33 options sont disponibles en version gratuite et 37 de plus en version payante. La version gratuite est plus qu’honorable et la version payante vous donnera accès à une sécurisation de votre site assez poussée. Attention, pour autant toutes les attaques ne proviennent pas d’un piratage de votre site et le 100% sécurité n’est pas atteignable.

Les fonctionnalités complémentaires

En parallèle des options du plugin, SecuPress offre la possibilité d’être accompagné par des professionnels pour défendre votre site. Vous pourrez ainsi demander à l’équipe de configurer totalement le plugin pour éviter les erreurs. En cas d’attaque, l’équipe de SecuPress peut intervenir pour supprimer tous les virus présents.

Tarifs de SecuPress

SecuPress est un plugin de sécurité freemium. Si sa version gratuite est déjà très avancée, il est recommandé de passer sur la version premium. Celle-ci vous coutera 60€/an pour un site. Si vous souhaitez protéger plusieurs sites, le modèle est dégressif :

• 90€/an pour 5 sites
• 130€/an pour 10 sites
• 150€/an pour 15 sites …

SecuPress face à la concurrence des plugins WordPress de sécurité

Il faut savoir que SecuPress n’est pas le seul plugin de sécurité sur WordPress. Il existe notamment trois modules réputés sur le marché. Voici un petit comparatif (sans rentrer dans les détails techniques trop complexes) qui vous permettra de comprendre les différences.

Secupress vs Wordfence

Comparer ces deux plugins de sécurité reviens à comparer deux philosophies différentes. Dans les faits, SecuPress axe son plugin sur l’accessibilité et la sécurité pour tous. Là ou Wordfence travail sur la performance. A comparer les versions payante, Wordfence sera plus poussé mais aussi bien plus technique. Il ne sera donc pas accessible à tous car les paramétrages peuvent être parfois très complexes.

Secupress vs iThemes Security

Secupress et iThemes Security sont deux plugins de sécurité très proches l’un de l’autre. Ergonomique et simple d’utilisation iThemes Security est en revanche tout en anglais. Ce qui peut être un frein. Le paramétrage peut aussi être un peu plus complexe notamment sur des éléments techniques. Sur la version payante, le plugin de l’équipe d’iThemes coûte aussi un peu plus cher. Mais soyons clair, vous ne faites pas une erreur si vous êtes chez iThemes Security.

Secupress vs Sucuri Security

Un peu moins connu que les précédents, Sucuri Security n’en est pas moins efficace. Dans sa version gratuite, le plugin est plus limité. Le principal problème de Sucuri est son coût, plus du double de celui de SecuPress pour un outil, tout en anglais.

Notre avis sur le plugin WordPress de sécurité SecuPress

SecuPress est un plugin de sécurité sérieux et très accessible même pour les non-initiés. L’ergonomie du module est au top ce qui simplifie grandement son utilisation. Le modèle gratuit vous permettra déjà un travail poussé sur la sécurisation de votre site et le modèle payant n’est pas excessif par rapport aux bénéfices offerts. Dernier élément à prendre en compte, SecuPress est tout en français, ce qui facilite encore son utilisation. Cela peut parfois paraitre inutile mais en l’occurrence, c’est un atout sérieux face à des paramétrages parfois complexes et à ne pas prendre à la légère.

Vous l’aurez compris, nous recommandons les yeux fermés ce plugin qui vous permettra de limiter les risques. Attention, il est important de comprendre que malgré tout le risque 0 n’existe pas.

En résumé :

 Des résultats convaincants

 L’ergonomie du plugin

 Le prix attractif