Anciennement connu sous le nom d'iThemes Security, Solid Security est un plugin de sécurité WordPress permettant de se protéger des tentatives de piratage.
- La version gratuite qui conviendra à la plupart des besoins.
- Bonne protection contre les attaques par force brute.
- Surveillance des fichiers critiques de WordPress.
- Oblige l'utilisateur à choisir un mot de passe sécurisé.
- Peut bloquer les tentatives de connexion suspectes.
- Permet de déplacer la page de connexion.
- Sauvegardes du site et de la base de données.
- Peut casser ton site en cas de conflit avec d'autres extensions (comme tout plugin de sécurité).
- Peut générer des conflits avec les systèmes d'hébergements mutualisés.
- Ne propose pas de pare-feu applicatif (WAF).
Disclaimer : Cet article inclut des liens affiliés, ce qui signifie qu’on gagne une petite commission si tu réalises un achat après avoir cliqué sur le lien. Passer par un de nos liens affiliés est un moyen de supporter l’équipe Web & SEO. Merci pour ton soutien et bonne lecture !
Créer et maintenir un site, que ce soit sur WordPress ou un autre CMS, représente souvent des centaines d’heures de travail. WordPress étant le CMS le plus connu pour créer des sites web, c’est une cible de choix pour les hackers qui connaissent les failles du système. C’est pourquoi il est primordial d’utiliser un plugin de sécurité comme Solid Security (anciennement iThemes Security).
Car tu pourrais un jour tenter de te connecter pour voir que ton site tout entier (pages, articles, textes, images, produits…) n’est plus accessible. Il pourrait aussi afficher des images à caractère pornographique ou encore un écran blanc. Des années de travail réduites à néant en l’espace de quelques minutes. Un véritable cauchemar pour la plupart des éditeurs de sites.
C’est justement pour éviter ce genre de scénario catastrophe qu’il est indispensable d’installer une extension comme Solid Security.
Solid Security va justement te permettre de protéger ton site WordPress de la plupart des attaques et tentatives de piratage. Mais alors, ce plugin est-il vraiment efficace ? Comment fonctionne-t-il ? Quel est son prix ?
C’est ce que nous allons voir ensemble dès maintenant. Je vais te partager ci-dessous mon avis sur iThemes Security, te présenter ses avantages et ses inconvénients, le prix de ses formules, ses alternatives…
Et on démarre tout de suite !
Avantages et inconvénients de Solid Security
Note globale : 4,6/5
Avantages
Solid Security (ex iThemes Security) présente plusieurs avantages, à commencer par sa version gratuite qui conviendra à la plupart des besoins. Il apporte au travers de ses fonctionnalités une bonne protection contre les attaques par force brute (dans ce cas, des robots tentent de découvrir les identifiants de connexion par énumération afin de se connecter à ton tableau de bord). Il peut notamment obliger l’utilisateur à choisir un mot de passe sécurisé, déplacer la page de connexion et bloquer les tentatives de connexion suspectes.
Ses fonctionnalités de surveillance des fichiers critiques de WordPress et de sauvegardes sont également bienvenues et font de cette extension un module très complet. Et si tes besoins sont plus importants, la version Pro du plugin ne manquera pas de t’apporter un niveau de protection encore plus avancé.
Inconvénients
Comme tout plugin de sécurité WordPress, Solid Security va accéder aux fichiers les plus sensibles de ton site. C’est pourquoi il faut être vigilant : en cas de conflit avec d’autres extensions, il est possible que ton site devienne inaccessible.
En cas d’hébergement mutualisé, l’extension pourrait également générer des lenteurs au niveau de ton serveur car certaines fonctionnalités peuvent demander plus de ressources que la normale.
Quel est le prix de Solid Security ?
L’extension Solid Security Pro coûte :
- 1 site : $99 / an
- 5 sites : $199 / an
- 10 sites : $299 / an
- 25 sites : $399 / an
- 50 sites : $499 / an
Toutes les formules de Solid Security Pro sont identiques en termes de fonctionnalités. Seul le nombre de sites qu’il est possible de sécuriser est différent.
Il existe aussi une formule gratuite : Solid Security Basic. Elle apporte les fonctions de base pour sécuriser un site WordPress et conviendra à la plupart des petits sites et blogs.
Voici la liste complète des fonctionnalités incluses dans la version gratuite Solid Security Basic (anciennement Better WP Security) :
- Blocage des bots et utilisateurs malveillants.
- Blocage d’adresses IP et de certains identifiants de connexion.
- Sauvegarde de la base de données.
- Détection des modifications sur les fichiers critiques de WordPress.
- Détection des commentaires spammy.
- Protection contre les attaques par force brute.
- Obligation d’une connexion SSL.
- Génération d’un log de sécurité.
- Notifications par email.
- Messages de blocage de connexion personnalisables.
- Obligation d’utilisation de mots de passe forts.
- Vérification des autorisations des fichiers critiques.
- Intégration de iThemes Sync.
- Scanner de site web.
- Authentification à 2 facteurs.
Rien que dans sa version free, ce plugin peut donc t’aider à mieux dormir. Mais la version Pro de Solid Security comprend pas moins de 30 fonctionnalités supplémentaires parmi lesquelles on retrouve :
- Importation / Exportation des réglages.
- Comparaison des fichiers du cœur de WordPress.
- Log des connexions des utilisateurs.
- Délai d’expiration des mots de passe.
- Suivi en temps réel de la sécurité.
- reCAPTCHA.
- Configuration d’appareils de confiance.
- Accès au service client par ticket.
- Etc.
Pour un blog ou un site vitrine, la version gratuite devrait suffire. Mais si tu as un site avec un trafic important ou un e-shop, je pense qu’il vaut mieux passer à la version Pro.
Pourquoi sécuriser un site WordPress ?
Alors, tu te demandes peut-être s’il est vraiment nécessaire d’installer un plugin de sécurité sur WordPress. Après tout, c’est le CMS le plus utilisé au monde : il devrait donc déjà être sécurisé, non ?
Dans une certaine mesure, tu aurais raison de le penser. WordPress est en effet un logiciel déjà sécurisé. Mais il comporte malgré tout certaines failles qui ne proviennent pas d’un mauvais codage du logiciel mais de mauvaises pratiques de la part des utilisateurs en eux-mêmes.
D’après iThemes Security, près de 30 000 sites se font pirater chaque jour. Avec une augmentation de 300% des cyberattaques au cours des dernières années. La question n’est donc pas de savoir si ton site va se faire attaquer mais quand.
La plupart des tentatives de piratage visent en effet la page de connexion. Beaucoup trop d’utilisateurs choisissent des identifiants faciles à pirater (« admin », « administrateur », « toto1234″…). Et il n’y a pas besoin d’avoir 100 000 visites par mois pour devenir une cible. Les hackers le savent et visent donc ces sites-là en priorité.
Parfois, les failles proviennent d’un thème ou d’une extension. C’est pourquoi il est important d’utiliser des modules éprouvés et de les maintenir à jour.
Quand bien même tu utilisais des identifiants moins courants ou des extensions réputées pour être sûres, utiliser un plugin comme iThemes Security va tout de même t’apporter une protection bienvenue, notamment au niveau des fichiers du cœur de WordPress sans lesquels ton site ne peut plus fonctionner.
Cela va également te permettre de faire des sauvegardes du site : en cas de piratage ou de dysfonctionnement, c’est le meilleur filet de sécurité possible pour ne pas perdre toutes tes données.
Comment installer Solid Security sur WordPress ?
La sécurité de ton site WordPress n’est donc pas un sujet à prendre à la légère. Solid Security (ex iThemes Security) a été développé par des experts en cybersécurité.
Propulsé en 2014, il s’appelait alors Better WP Security. Il a ensuite changé de nom en iThemes Security lors de son rachat par iThemes. Enfin, le plugin s’est vu rebrandé une nouvelle fois en Solid Security, suite au rachat par le géant StellarWP.
StellarWP édite un thème (KadenceWP) et des plugins très populaires dans l’éco-système WordPress : LearnDash, The Events Calendar, GiveWP, RestrictContentPro et IconicWP.
Avant de te montrer comment l’extension fonctionne, je vais te montrer comment l’installer et la configurer. Cela te permettra de mieux comprendre comment l’utiliser par la suite.
Dans tous les cas, il est conseillé d’effectuer une sauvegarde complète de ton site et de la base de données avant de commencer.
Installer et activer Solid Security
Pour installer Solid Security (ex iThemes Security) sur un site WordPress, il faut se rendre dans la rubrique Extensions de ton tableau de bord puis cliquer sur le bouton Ajouter. Dans le moteur de recherche, tape le mot-clé « Solid Security » : l’extension devrait apparaître en tête des résultats.
À ce stade, il faut cliquer sur le bouton Installer maintenant puis sur le bouton Activer. Et voilà ! Tu as maintenant installé le plugin sur ton site. Attention, il vaut mieux éviter d’utiliser plusieurs extensions de sécurité en même temps car cela peut générer des conflits et briser ton site web.
Configurer l’extension
La barre latérale de ton tableau de bord WordPress devrait maintenant afficher une rubrique Solid Security. Avant de pouvoir l’utiliser, il faut commencer par configurer le module.
Voilà comment ça se présente :
Pour commencer, il faut indiquer le type de site que tu souhaites sécuriser :
- E-commerce
- Réseau
- À but non lucratif
- Blog
- Portfolio
- Brochure
Ensuite, il faut indiquer si tu configures le plugin pour toi-même ou pour un client.
Durant la procédure, tu vas aussi indiquer si tu souhaites instaurer une politique de mots de passe forts (c’est-à-dire compliqués et qui n’ont pas été compromis) pour tous les utilisateurs du site.
La deuxième partie du processus de configuration te permet de définir les fonctionnalités que tu souhaites activer.
Les fonctionnalités sont organisées en plusieurs onglets et un bouton radio permet d’activer ou de désactiver chacune d’entre elles.
Une fois que c’est fait, iThemes Security te propose de configurer des groupes de comptes d’utilisateurs. Il est en effet possible d’activer certaines fonctionnalités uniquement pour certains groupes.
Comme tu peux le voir, il est possible de définir des règles spécifiques à chaque groupe : administrateurs, éditeurs, auteurs, contributeurs, abonnés et autres.
L’étape suivante consiste à définir les réglages généraux de Solid Security :
- Comptes autorisés via les adresses IP
- Détection d’IP via un proxy
Avant de finir, l’assistant de configuration de l’extension te permet de définir une adresse email pour recevoir les notifications de sécurité. Il est possible d’ajouter par défaut tous les comptes administrateurs du site.
La toute dernière étape récapitule l’ensemble des paramètres que tu viens de sélectionner :
- Fonctionnalités
- Réglages
- Groupes de comptes utilisateurs
- Réglages du groupe de comptes utilisateurs
À ce moment, il ne te reste plus qu’à cliquer sur le bouton Sécuriser le site puis Terminer.
Tu peux alors accéder au tableau de bord et utiliser Solid Security comme on le verra par la suite.
Configurer les outils du plugin
En plus des différents réglages que je viens de te présenter, Solid Security propose un certain nombre d’outils qui vont apporter un niveau de sécurité encore plus important. En restant dans la rubrique des réglages du plugin, il faut cliquer sur l’icône Outils pour y accéder.
Comme tu peux le voir, la liste de ces outils se compose des éléments suivants :
- Identifier l’adresse IP du serveur : donner au plugin la liste des bonnes adresses IP de ton serveur permet d’éviter les erreurs de blocage ou d’identification au back-office.
- Modifier les préfixes des tables de base de données : par défaut, WordPress utilise le préfixe wp_ pour toutes les tables (qui contiennent absolument toutes les données de ton site). Changer le préfixe des tables permet de protéger ces fichiers de la plupart des attaques informatiques qui les prennent pour cible.
- Définir une clé de chiffrement : permet d’ajouter une constante au fichier wp-config.php. Cet outil permet de rechiffrer automatiquement toutes les clés secrètes avec une nouvelle clé.
- Vérifier les droits sur les fichiers : permet de connaître les autorisations octroyées aux différents fichiers et répertoires du site.
- Règles de configuration serveur : permet de consulter les règles de configuration du serveur au format HTML.
- Règles wp-config.php : permet de consulter les règles de configuration du fichier wp-config.php au format HTML.
- Modifier les clés de salage de WordPress : si tu penses que ton site WordPress est compromis, utiliser cet outil obligera tous les utilisateurs à se connecter une nouvelle fois.
Accéder aux réglages avancés
À côté du menu Outils, on retrouve un menu Avancé qui permet de configurer les réglages propres au serveur du site. Il se compose de 3 onglets ::
- Ajustements système
- Ajustements WordPress
- Déplacer la page de connexion
Je te conseille de laisser les réglages par défaut pour les 2 premiers onglets. Ce qui nous intéresse réellement ici concerne le déplacement de la page de connexion.
Comme son nom l’indique, ce réglage permet de modifier l’URL de la page de connexion au back-office WordPress de ton site (par défaut, cette URL est la suivante : « monsupersite.fr/wp-login.php » ou « monsupersite.fr/wp-admin »). Modifier cette URL va te permettre de modifier le slug comme tu le souhaites et de bloquer une bonne partie des bots qui cherchent à se connecter.
Comment utiliser Solid Security ?
Solid Security est globalement simple à utiliser. Une fois que le processus de configuration terminé, l’extension propose un tableau de bord composé de plusieurs rubriques qui vont te permettre de sécuriser et de suivre les activités de connexion sur ton site WordPress.
Version gratuite
Ce tableau de bord de affiche un résumé de l’activité qui a lieu sur ton site WordPress :
- Analyses du site et éventuelles anomalies détectées
- Attaques par force brute
- Activités bloquées
- Adresses IP surveillées
- Comptes utilisateurs bannis
- Sauvegardes de la base de données
- Blocages actifs
Voici comment ça se présente sur mon site de test :
Toutes les informations sont répertoriées en petits encarts séparés (appelés « cartes ») pour t’aider à mieux comprendre les informations affichées. Avec ce tableau de bord, tu peux donc suivre et voir facilement ce qui va et ce qui ne va pas sur ton site.
Avec la version Pro de l’extension, tu pourrais également ajouter des cartes sur les appareils autorisés, le résumé des mises à jour (WordPress, thèmes et extensions) et les profils de sécurité des comptes.
Si tu viens d’installer l’extension, je te conseille d’utiliser la fonction d’analyse du site et de sauvegarder la base de données. Tu recevras alors le fichier de sauvegarde par email, à l’adresse utilisée pour ton compte d’utilisateur WordPress.
Version Pro
Dans sa version Pro, Solid Security propose évidemment quelques fonctionnalités supplémentaires pour sécuriser ton site. Parmi ces fonctionnalités, on retrouve par exemple les Liens Magiques et la connexion sans mot de passe.
Les Liens Magiques permettent d’envoyer un message par email à un utilisateur si ce dernier se retrouve bloqué par le plugin suite à une attaque par force brute.
Comme son nom l’indique, la connexion sans mot de passe est un système inédit qui permet de vérifier les identifiants de connexion sans avoir à utiliser de mot de passe. Ça fonctionne de manière similaire aux Liens Magiques. Avec cette fonctionnalité, il devient possible d’envoyer à ton adresse de connexion un email contenant un lien. Un simple clic sur ce lien te permet de te connecter à ton compte WordPress ce qui permet de contourner le processus de connexion classique.
Avec Solid Security Pro, il est également possible de générer un rapport de sécurité et une note indiquée par une lettre. Ce rapport se base sur les plugins installés et les réglages de sécurité du site. L’intérêt de ce rapport est qu’il génère une liste des améliorations possibles pour sécuriser ton site web au mieux.
Enfin, la dernière fonctionnalité que je trouve intéressante dans la version Pro de Solid Security est le Mode Absent. Ce mode permet de totalement fermer l’accès au tableau de bord WordPress, pour les utilisateurs comme pour les pirates. Avec cette fonction, il est possible de fermer l’accès à des horaires définis ou d’activer ce mode manuellement.
Comment contacter le support de Solid Security ?
Le support de Solid Security est disponible sur le site officiel du plugin. Les utilisateurs de la version Pro peuvent en effet ouvrir un ticket en se connectant au Help Desk. Il est donc nécessaire de créer un compte SolidWP pour y accéder.
En tant qu’utilisateur de la version gratuite et sans compte SolidWP, on accède tout de même à une documentation détaillée (mais en anglais) du plugin et de l’ensemble de ses composants : connexion, fonctionnalités de base, fonctionnalités avancées et fonctionnalités Pro. La documentation comporte également des FAQs et des tutoriels avec des vidéos et des impressions d’écran.
Top 3 des alternatives à Solid Security
Voici les 3 meilleures alternatives à Solid Security en 2024 :
Note:
4.7
|
Note:
4.5
|
Note:
3.8
|
Prix: Freemium
|
Prix: Freemium
|
Prix: Freemium
|
1. Wordfence
Wordfence est un plugin parmi les plus fiables et les plus intéressants du catalogue WordPress, notamment grâce à son excellent pare-feu
- Simple à utiliser
- Excellent pare-feu
- Scan quotidien
- Alerte en temps réel
- Version gratuite
- Seulement en anglais
- Version Premium relativement chère
Wordfence se focalise principalement sur des fonctions de pare-feu (WAF) intégrées à WordPress, une chose qui manque malheureusement chez Solid Security.
Wordfence propose aussi un scanner de site dans sa version gratuite ce qui permet à tout un chacun de vérifier l’intégrité de ses données, des fichiers, des thèmes et des plugins. Il permet également de suivre les tentatives de connexion en temps réel en générant un log des adresses IP, des identifiants de connexion, de bloquer des pays, etc.
Enfin, Wordfence est une bonne alternative à Solid Security car ce plugin propose aussi l’activation d’une connexion à 2 facteurs qui apporte une protection supérieure face aux attaques par force brute.
Mais il existe bien sûr d’autres alternatives crédibles à Solid Security…
2. SecuPress
SecuPress est un plugin de sécurité WordPress permettant de se protéger de la plupart des attaques informatiques.
- La facilité d'utilisation et l'ergonomie du scanner.
- Les fonctionnalités de la version gratuite.
- Le prix avantageux en comparaison de la concurrence.
- Les mises à jour fréquentes.
- Le service client français.
- Pare-feu pas aussi robuste que Wordfence ou Sucuri.
- Le système de modules peut prêter à confusion.
SecuPress est une extension de sécurité française qui propose une interface ergonomique et de nombreuses fonctionnalités, même dans sa version gratuite.
3. Sucuri
- Version gratuite
- Facile à utiliser
- Bonne protection contre la plupart des attaques
- Pare-feu WAF sur les plans payants
- CDN et optimisation pour les performances
- Support réactif
- Prix élevé des fonctions premium
- Interface en anglais
- Configuration du plugin compliquée pour les utilisateurs débutants
Sucuri est un plugin de sécurité freemium robuste. Il propose de belles fonctionnalités, mais l’offre gratuite n’inclut pas de pare-feu. Je recommanderais donc leur offre premium.
Mon avis sur Solid Security en 2024
Note globale : 4,6/5
Anciennement connu sous le nom d'iThemes Security, Solid Security est un plugin de sécurité WordPress permettant de se protéger des tentatives de piratage.
- La version gratuite qui conviendra à la plupart des besoins.
- Bonne protection contre les attaques par force brute.
- Surveillance des fichiers critiques de WordPress.
- Oblige l'utilisateur à choisir un mot de passe sécurisé.
- Peut bloquer les tentatives de connexion suspectes.
- Permet de déplacer la page de connexion.
- Sauvegardes du site et de la base de données.
- Peut casser ton site en cas de conflit avec d'autres extensions (comme tout plugin de sécurité).
- Peut générer des conflits avec les systèmes d'hébergements mutualisés.
- Ne propose pas de pare-feu applicatif (WAF).
La première chose à considérer pour sécuriser un site WordPress, c’est de suivre un certain nombre de bonnes pratiques, notamment au niveau de ses identifiants de connexion. Mais installer une extension comme Solid Security peut justement t’aider à suivre ces bonnes pratiques sachant qu’elle apporte aussi un ensemble de dispositifs supplémentaires.
Malgré toutes ses qualités, WordPress n’est pas parfait et il est primordial d’utiliser une extension pour protéger ses contenus (et les données de ses utilisateurs) de personnes malveillantes. À ce titre, SolidWP peut y contribuer et c’est à mon avis un excellent choix.
En prenant quelques minutes pour correctement le configurer, tu vas en effet pouvoir te concentrer plus sereinement sur ce qui importe vraiment : faire grandir ton site, que ce soit en publiant de nouveaux contenus sur un blog ou en vendant plus de produits sur un WooCommerce.
J’espère que mon avis sur Solid Security (ex iThemes Security) aura éclairé ta lanterne. Si tu souhaites nous partager un retour d’expérience, je t’invite à le faire sans attendre via les commentaires ci-dessous !
Y. Menard
C’est incontestablement un des plugins les plus connus et complets pour la sécurité des site Internet, je l’utilise sur plusieurs sites pour compléter la sécurité
Lysander Galewind
Fred, ton article sur Solid Security est très instructif et offre une analyse approfondie. Je suis curieux de savoir si tu as expérimenté des problèmes de compatibilité spécifiques lors de l’utilisation de Solid Security avec d’autres plugins populaires ? Cela pourrait éclairer de nombreuses personnes ayant un site hébergé en mutualisé. Merci d’avance pour ton retour !
Elara Finn
Merci pour cet article détaillé sur Solid Security ! En tant que débutant, je me demande quelles sont les meilleures astuces pour configurer Solid Security afin d’assurer une protection optimale dès le début. Des recommandations particulières pour éviter les erreurs courantes lors de l’installation ?