Sucuri pour WordPress : visite guidée de l’extension

par | 21 Avr 2022 | Sécurité WordPress

Parmi les extensions de sécurité les mieux connues, Sucuri pour WordPress arrive certainement vers le haut du classement. Elle comporte plus de 800 000 installations à la publication de cet article et vaut certainement la peine d’être examinée, puisqu’elle offre une alternative, voire une option complémentaire, à l’extension de sécurité la plus installée : Wordfence.

Sucuri propose à la fois une extension gratuite et un pare-feu payant, avec l’option de bénéficier d’un nettoyage si votre site est piraté. Notez également que Sucuri n’est pas une entreprise spécifiquement dédiée à WordPress, malgré ses connaissances approfondies du système de gestion de contenu. Elle offre donc aussi des services de scan et de nettoyage pour les sites Magento, Joomla et Drupal.

 

 

1. Fonctionnalités de l’extension gratuite Sucuri pour WordPress

 

Page de l’extension Sucuri dans le répertoire WordPress
Page de l’extension Sucuri dans le répertoire WordPress

 

1.1 Renforcer la sécurité

Tout d’abord, l’extension Sucuri pour WordPress permet de protéger un site, mais également de renforcer la sécurité de celui-ci. Dans sa version gratuite, c’est selon moi son point fort.

 

1.2 Scan hors site

Vous pourrez également scanner un site de l’extérieur, en passant par le service gratuit Sitecheck de Sucuri. Ceci permet de réduire la charge sur votre serveur en limitant les ressources utilisées par le scan.

 

1.3 Conservation des fichiers d’historiques

D’autre part, il est aussi possible de générer une clé API dès l’installation de l’extension pour permettre à Sucuri de stocker les fichiers d’historiques (ou fichiers logs) hors du site, sur les serveurs de l’extension. Par conséquent, les historiques étant conservés en lieu sûr, en cas de piratage, ils pourront permettre de comprendre comment l’attaque a été exécutée et de nettoyer le site de manière plus rapide et efficace.

 

1.4 Audit de sécurité

Sucuri offre aussi un audit de sécurité. Elle vérifie l’ensemble des fichiers du site et détermine si certains présentent des failles de sécurité à corriger. Elle recommande également de mettre en place quelques bonnes pratiques de sécurité si celles-ci ne sont pas encore appliquées sur le site.

 

1.5 Alertes de sécurité

Enfin, comme bon nombre d’extensions de sécurité, Sucuri pour WordPress propose de nombreuses notifications par email qui vous alertent lorsqu’un problème est détecté sur votre site. Il est possible de configurer chaque notification pour ne retenir que les plus importantes.

 

2. Pare-feu et nettoyage de site (payant)

Dans son offre payante, Sucuri propose deux services particulièrement intéressants : le pare-feu et un nombre de nettoyages illimités en cas de piratage.

 

2.1 Pare-feu

Tout d’abord, le pare-feu fonctionne hors serveur, autrement dit sur le cloud. Le trafic vers un site est donc filtré avant même d’atteindre le serveur sur lequel celui-ci est hébergé. Ce processus permet de réduire considérablement la charge supportée par le serveur et de préserver ses ressources.

En effet, le trafic malveillant et les attaques potentielles sont arrêtées et bloquées avant d’atteindre le serveur, mais le travail de filtre du pare-feu, également gourmand en ressources, est lui aussi effectué à distance. Le prix pour le pare-feu seul débute à $9,99/mois hors taxes.

 

2.2 Nettoyage

Enfin, le nettoyage est une forme d’assurance sur un site. En effet, en cas de piratage, vous serez assuré.e de retrouver votre site sain et sauf. Et avec Sucuri, vous pourrez avoir recours à ce service autant de fois que nécessaire, même si la protection du pare-feu vous évitera certainement la majorité des problèmes.

Ce service inclut donc d’office le pare-feu et commence à $199,99/an. Si vous souhaitez avoir l’esprit tranquille en cas d’attaque, sachez que c’est l’une des offres les moins chères du marché pour WordPress.

 

3. Configurer l’extension

Premièrement, il faut installer et activer Sucuri pour WordPress. Le service Sitecheck se met directement en route et scanne votre site. Ensuite, il vous sera possible de générer une clé API en cliquant sur “Generate API Key”, en haut à droite de l’écran. Une fois cette étape réalisée, vous pourrez passer au renforcement de la sécurité de votre site WordPress.

 

3.1 Audit de sécurité

Pour accéder à l’audit de sécurité d’un site, il faudra cliquer sur Sucuri Security > Dashboard et accéder ainsi au tableau de bord de l’extension. À cet endroit, vous pourrez voir l’historique de connexion et des changements effectués sur le site, autrement dit les fichiers logs.

 

Historiques enregistrés par Sucuri pour WordPress
Historiques enregistrés par Sucuri pour WordPress

 
Vous y verrez également un aperçu des recommandations de sécurité sur la droite, dans le cadre “WordPress Security Recommendations”. Je vous conseille de suivre les instructions pour corriger les problèmes indiqués à cet endroit. Notez que Sucuri relève parfois des erreurs qui ne sont pas forcément graves et qu’il n’est pas indispensable de corriger.

 

Recommandations de sécurité de Sucuri WordPress
Recommandations de sécurité

 

3.2 Surveillance de l’intégrité des fichiers

Sucuri veille par ailleurs à l’intégrité des fichiers du site. Vous recevrez donc une alerte, en haut du tableau de bord, si un fichier a été modifié. Sucuri compare les fichiers du cœur de votre installation WordPress avec ceux distribués sur wordpress.org, dans la version utilisée sur le site.

 

Fichiers du cœur de WordPress identifiés comme modifiés
Fichiers du cœur de WordPress identifiés comme modifiés

 
S’ils ne correspondent pas, il pourrait s’agir d’un piratage. Néanmoins, il arrive souvent que ces fichiers aient été modifiés, sans pour autant que le site ait subi une attaque. En effet, certains hébergeurs ou extensions peuvent ajouter des fichiers ou du code à un emplacement qui n’est simplement pas reconnu par Sucuri.

 

3.3 Scanner

Comme mentionné plus haut, le scan se fait à distance pour préserver le serveur. Cependant, vous pouvez configurer plus en détail ce que vous souhaitez inclure ou non dans vos scans. En accédant au menu “Settings”, puis en cliquant sur l’onglet “Scanner”, vous pourrez visualiser l’aperçu des tâches planifiées.

 

Programmer un scan avec Sucuri WordPress
Accéder au scanner de Sucuri

 
En cas de nécessité, vous pouvez lancer vous-même un scan en choisissant les tâches désirées, puis en sélectionnant “Execute Now” dans le menu déroulant en bas de la section et en cliquant sur “Submit”. Il est aussi possible de programmer des scans en suivant le même processus, mais en sélectionnant une option différente dans le menu déroulant.

 

3.4 Renforcement de la sécurité

Dans l’onglet “Hardening” de la section “Settings”, Sucuri pour WordPress vous proposera de renforcer la sécurité de votre installation. Vous pourrez cliquer sur le bouton “Apply Hardening” à droite des alertes indiquées en rouge. Si après avoir effectué cette étape, vous constatez que votre site ne fonctionne plus correctement, vous pourrez toujours revenir en arrière en cliquant sur le bouton “Revert Hardening”.

 

Renforcer la sécurité d’un site avec Sucuri pour WordPress
Renforcer la sécurité d’un site avec Sucuri

 

3.5 Actions de sécurité post piratage

Dans l’onglet “Post-Hack”, se trouve une série d’actions qu’il est judicieux d’entreprendre après un piratage. Vous pourrez notamment mettre à jour les clés secrètes, changer les mots de passe des utilisateur.rice.s, réinitialiser les extensions installées et les mettre à jour, ainsi que les thèmes.

 

3.6 Alertes de sécurité

Enfin, dans l’onglet “Alerts”, il est possible de configurer les alertes que vous souhaitez recevoir ou non et d’ajouter une ou plusieurs adresses email. À noter que vous pourrez également indiquer votre adresse IP et celles des personnes qui travaillent sur votre site pour éviter de recevoir des alertes pour des actions effectuées depuis ces adresses.

 

Configurer les alertes de sécurité de Sucuri WordPress
Configurer les alertes de sécurité

 

3.7 Service de communication avec l’API et informations du site

Finalement, les onglets “API Service Communication” et “Website Info” vous permettront d’avoir une vue d’ensemble sur le service de l’API et sur sa communication avec le site, ainsi que sur les informations du site.

 

4. Conclusion

Sucuri pour WordPress est une extension de sécurité qui mérite sa réputation et sera, dans certains cas, un bon complément à l’extension de sécurité que vous utilisez peut-être déjà. Néanmoins, il est important de vérifier qu’elles ne font pas double emploi. Par ailleurs, si votre choix d’extension se porte sur Sucuri, je vous recommande chaudement d’utiliser son pare-feu, sans quoi la sécurité de votre site ne serait que partielle.

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Réservez votre audit SEO gratuit et recevez un rapport personnalisé sur la santé de votre site web