Parmi les extensions de sécurité les mieux connues, Sucuri pour WordPress arrive certainement vers le haut du classement. Elle comporte plus de 800 000 installations à la publication de cet article et vaut certainement la peine d’être examinée, puisqu’elle offre une alternative, voire une option complémentaire, à l’extension de sécurité la plus installée : Wordfence.
Sucuri propose à la fois une extension gratuite et un pare-feu payant, avec l’option de bénéficier d’un nettoyage si votre site est piraté. Notez également que Sucuri n’est pas une entreprise spécifiquement dédiée à WordPress, malgré ses connaissances approfondies du système de gestion de contenu. Elle offre donc aussi des services de scan et de nettoyage pour les sites Magento, Joomla et Drupal.
1. Fonctionnalités de l’extension gratuite Sucuri pour WordPress

1.1 Renforcer la sécurité
Tout d’abord, l’extension Sucuri pour WordPress permet de protéger un site, mais également de renforcer la sécurité de celui-ci. Dans sa version gratuite, c’est selon moi son point fort.
1.2 Scan hors site
Vous pourrez également scanner un site de l’extérieur, en passant par le service gratuit Sitecheck de Sucuri. Ceci permet de réduire la charge sur votre serveur en limitant les ressources utilisées par le scan.
1.3 Conservation des fichiers d’historiques
D’autre part, il est aussi possible de générer une clé API dès l’installation de l’extension pour permettre à Sucuri de stocker les fichiers d’historiques (ou fichiers logs) hors du site, sur les serveurs de l’extension. Par conséquent, les historiques étant conservés en lieu sûr, en cas de piratage, ils pourront permettre de comprendre comment l’attaque a été exécutée et de nettoyer le site de manière plus rapide et efficace.
1.4 Audit de sécurité
Sucuri offre aussi un audit de sécurité. Elle vérifie l’ensemble des fichiers du site et détermine si certains présentent des failles de sécurité à corriger. Elle recommande également de mettre en place quelques bonnes pratiques de sécurité si celles-ci ne sont pas encore appliquées sur le site.
1.5 Alertes de sécurité
Enfin, comme bon nombre d’extensions de sécurité, Sucuri pour WordPress propose de nombreuses notifications par email qui vous alertent lorsqu’un problème est détecté sur votre site. Il est possible de configurer chaque notification pour ne retenir que les plus importantes.
2. Pare-feu et nettoyage de site (payant)
Dans son offre payante, Sucuri propose deux services particulièrement intéressants : le pare-feu et un nombre de nettoyages illimités en cas de piratage.
2.1 Pare-feu
Tout d’abord, le pare-feu fonctionne hors serveur, autrement dit sur le cloud. Le trafic vers un site est donc filtré avant même d’atteindre le serveur sur lequel celui-ci est hébergé. Ce processus permet de réduire considérablement la charge supportée par le serveur et de préserver ses ressources.
En effet, le trafic malveillant et les attaques potentielles sont arrêtées et bloquées avant d’atteindre le serveur, mais le travail de filtre du pare-feu, également gourmand en ressources, est lui aussi effectué à distance. Le prix pour le pare-feu seul débute à $9,99/mois hors taxes.
2.2 Nettoyage
Enfin, le nettoyage est une forme d’assurance sur un site. En effet, en cas de piratage, vous serez assuré.e de retrouver votre site sain et sauf. Et avec Sucuri, vous pourrez avoir recours à ce service autant de fois que nécessaire, même si la protection du pare-feu vous évitera certainement la majorité des problèmes.
Ce service inclut donc d’office le pare-feu et commence à $199,99/an. Si vous souhaitez avoir l’esprit tranquille en cas d’attaque, sachez que c’est l’une des offres les moins chères du marché pour WordPress.
3. Configurer l’extension
Premièrement, il faut installer et activer Sucuri pour WordPress. Le service Sitecheck se met directement en route et scanne votre site. Ensuite, il vous sera possible de générer une clé API en cliquant sur “Generate API Key”, en haut à droite de l’écran. Une fois cette étape réalisée, vous pourrez passer au renforcement de la sécurité de votre site WordPress.
3.1 Audit de sécurité
Pour accéder à l’audit de sécurité d’un site, il faudra cliquer sur Sucuri Security > Dashboard et accéder ainsi au tableau de bord de l’extension. À cet endroit, vous pourrez voir l’historique de connexion et des changements effectués sur le site, autrement dit les fichiers logs.

Vous y verrez également un aperçu des recommandations de sécurité sur la droite, dans le cadre “WordPress Security Recommendations”. Je vous conseille de suivre les instructions pour corriger les problèmes indiqués à cet endroit. Notez que Sucuri relève parfois des erreurs qui ne sont pas forcément graves et qu’il n’est pas indispensable de corriger.

3.2 Surveillance de l’intégrité des fichiers
Sucuri veille par ailleurs à l’intégrité des fichiers du site. Vous recevrez donc une alerte, en haut du tableau de bord, si un fichier a été modifié. Sucuri compare les fichiers du cœur de votre installation WordPress avec ceux distribués sur wordpress.org, dans la version utilisée sur le site.

S’ils ne correspondent pas, il pourrait s’agir d’un piratage. Néanmoins, il arrive souvent que ces fichiers aient été modifiés, sans pour autant que le site ait subi une attaque. En effet, certains hébergeurs ou extensions peuvent ajouter des fichiers ou du code à un emplacement qui n’est simplement pas reconnu par Sucuri.
3.3 Scanner
Comme mentionné plus haut, le scan se fait à distance pour préserver le serveur. Cependant, vous pouvez configurer plus en détail ce que vous souhaitez inclure ou non dans vos scans. En accédant au menu “Settings”, puis en cliquant sur l’onglet “Scanner”, vous pourrez visualiser l’aperçu des tâches planifiées.

En cas de nécessité, vous pouvez lancer vous-même un scan en choisissant les tâches désirées, puis en sélectionnant “Execute Now” dans le menu déroulant en bas de la section et en cliquant sur “Submit”. Il est aussi possible de programmer des scans en suivant le même processus, mais en sélectionnant une option différente dans le menu déroulant.
3.4 Renforcement de la sécurité
Dans l’onglet “Hardening” de la section “Settings”, Sucuri pour WordPress vous proposera de renforcer la sécurité de votre installation. Vous pourrez cliquer sur le bouton “Apply Hardening” à droite des alertes indiquées en rouge. Si après avoir effectué cette étape, vous constatez que votre site ne fonctionne plus correctement, vous pourrez toujours revenir en arrière en cliquant sur le bouton “Revert Hardening”.

3.5 Actions de sécurité post piratage
Dans l’onglet “Post-Hack”, se trouve une série d’actions qu’il est judicieux d’entreprendre après un piratage. Vous pourrez notamment mettre à jour les clés secrètes, changer les mots de passe des utilisateur.rice.s, réinitialiser les extensions installées et les mettre à jour, ainsi que les thèmes.
3.6 Alertes de sécurité
Enfin, dans l’onglet “Alerts”, il est possible de configurer les alertes que vous souhaitez recevoir ou non et d’ajouter une ou plusieurs adresses email. À noter que vous pourrez également indiquer votre adresse IP et celles des personnes qui travaillent sur votre site pour éviter de recevoir des alertes pour des actions effectuées depuis ces adresses.

3.7 Service de communication avec l’API et informations du site
Finalement, les onglets “API Service Communication” et “Website Info” vous permettront d’avoir une vue d’ensemble sur le service de l’API et sur sa communication avec le site, ainsi que sur les informations du site.
4. Conclusion
Sucuri pour WordPress est une extension de sécurité qui mérite sa réputation et sera, dans certains cas, un bon complément à l’extension de sécurité que vous utilisez peut-être déjà. Néanmoins, il est important de vérifier qu’elles ne font pas double emploi. Par ailleurs, si votre choix d’extension se porte sur Sucuri, je vous recommande chaudement d’utiliser son pare-feu, sans quoi la sécurité de votre site ne serait que partielle.