Les plugins de sécurité sont naturellement des solutions d’atténuation des attaques de déni de service, de logiciels malveillants auxquelles un site web est confronté tous les jours.
Le plugin iThemes Security en est ainsi un exemple. Connu sous le nom de Better WP Security, on peut, de ce fait, dire que le plugin iThemes Security offre une expérience hors du commun en matière de sécurité d’un site sous le CMS WordPress.
La raison ? Nous vous l’expliquons dans cet article.
iThemes Security : le contexte d’utilisation
Tout d’abord, iThemes Security est un module gratuit. Assez étonnant pour une extension fournie avec une protection par brute force, une détection d’accès non autorisés aux fichiers. Il est donc en mesure :
- de désactiver l’exécution d’un script PHP dans le dossier des téléchargements.
- d’avertir également par le scanner jQuery si la version jQuery du thème est obsolète ou vulnérable
- d’empêcher la découverte des username. Cela se fait en forçant un surnom différent du nom d’utilisateur et en cachant les archives des utilisateurs vides de messages.
Les sauvegardes et les notifications sont améliorées par la capacité de sa version à ajouter plusieurs adresses électroniques de signalement. Et afin de faciliter la configuration le plugin rationalise les paramètres.
iThemes Security a été entièrement intégrée au plugin de sécurité BackupBuddy.
Côté assistance professionnel, une équipe de développeurs expérimentés s’occupe du support. Il est disponible pour les extensions et les thèmes commerciaux sous licence GPL.
Les techniques de iThemes Security pour sécuriser un site sous le CMS WordPress
iThemes Security propose ainsi plus de 30 moyens de sécuriser votre site contre les pirates informatiques, entre autres :
- L’interdiction aux adresses IP des pirates identifiés de se connecter sur le site
- Le verrouillage des utilisateurs après un excès de fausses tentatives de connexion (similaire à Login LockDown)
- Le scan du site pour détecter les logiciels malveillants ainsi que d’autres codes suspects
- Faire appliquer des mots de passe forts pour tous les comptes
- Forcer le SSL du tableau de bord ou n’importe quelle page ou message, tant que le serveur le prend en charge
- Surveillance des fichiers pour repérer toute modification non approuvée
- Envoi systématique de notifications par e-mail de toute opération suspecte sur le site
- Obscuration et dissimulation des informations systémiques importantes relatives à l’installation de WordPress.
- Masquage du back-end : il cache la page de connexion en changeant son nom et en empêchant l’accès à wp-login.php et wp-admin.
- Héritage de (quelques) fonctionnalités de WordPress Tweaks comme la désactivation des pingbacks XML-RPC (xmlrpc.php dans le répertoire racine), un tuyau pour les attaques DDoS, actuellement remplacé par l’API REST.
iThemes Security, c’est en deux versions : Pro or not Pro ?
Toutes les fonctionnalités de la version gratuite sont disponibles dans la version PRO. Cette dernière présente, quant à elle, des fonctionnalités supplémentaires :
- Magic Links pour se connecter au site WP pendant que le nom d’utilisateur est verrouillé par la fonction iThemes Security Local Brute.
- Planning de scan de malware – protection du site WP grâce à l’analyse automatisée des logiciels malveillants.
- Connexion sans mot de passe
- Gestion de privilèges pour que les administrateurs accordent temporairement un accès supplémentaire à un utilisateur du site pendant une période déterminée
- Google reCAPTCHA pour protéger le site contre les robots et les spammeurs
- Importation / exportation des paramètres en tant que sauvegarde ou pour les importer sur d’autres sites pour une configuration plus rapide
- Tableau de bord sécurisé – une vue d’ensemble en temps réel des activités sécuritaire du site web.
- Authentification 2FA – l’authentification à doubles facteurs augmente considérablement la sécurité d’un compte d’utilisateur WordPress en exigeant des informations supplémentaires en plus du couple login/password pour vous connecter.
- Journalisation de l’utilisateur pour enregistrer les actions de l’utilisateur telles que la connexion, la sauvegarde du contenu et autres.
- Gestion des releases pour servir de protection au site lorsque des logiciels obsolètes ne sont pas mis à jour assez rapidement
- Dispositifs de confiance pour identifier les dispositifs utilisés par l’utilisateur pour se connecter. Pour appliquer des restrictions supplémentaires aux dispositifs inconnus
Les (quelques) inconvénients d’iThemes Security
Nous avons détecté quelques problèmes en ce qui concerne le plugin iThemes Security.
Problème #1 Le plugin risque de nuire au site WP – chose qui arrive chez la majeure partie des plugins de sécurité. Faites une sauvegarde complète avant de configurer iThemes.
Problème #2 Les interaction pas toujours assurée avec certains hébergeurs web. Ceux à faible RAM ou VPS ont des performances réduites. C’est plus perceptible lors de l’utilisation des fonctions avancées comme la détection de changement de fichier, le changement de préfixe « wp », etc.
Problème #3 Modification nécessaire du fichier .htaccess pour appliquer certaines fonctionnalités en mode manuel.
