- Version gratuite
- Facile à utiliser
- Bonne protection contre la plupart des attaques
- Pare-feu WAF sur les plans payants
- CDN et optimisation pour les performances
- Support réactif
- Prix élevé des fonctions premium
- Interface en anglais
- Configuration du plugin compliquée pour les utilisateurs débutants
Disclaimer : Cet article inclut des liens affiliés, ce qui signifie qu’on gagne une petite commission si tu réalises un achat après avoir cliqué sur le lien. Passer par un de nos liens affiliés est un moyen de supporter l’équipe Web & SEO. Merci pour ton soutien et bonne lecture !
Quand on doit gérer un ou plusieurs sites WordPress, la question de la sécurité devrait figurer en haut de ta liste des choses à faire. WordPress est le CMS le plus populaire au monde, c’est aussi pour cela qu’il est la cible d’un nombre incalculable d’attaques chaque jour. Pour pouvoir dormir sur tes deux oreilles, il est donc essentiel d’installer une extension de sécurité comme Sucuri.
Le plugin Sucuri va en effet protéger ton site web de la plupart des attaques informatiques. Dans un monde dominé par l’excellente extension Wordfence, on peut se demander si Sucuri présente un intérêt.
C’est tout l’objet de cet article dans lequel je vais te partager mon avis sur Sucuri, le plugin de sécurité WordPress qui cherche à challenger le leader du marché. Avantages, inconvénients, prix, utilisation : nous allons voir tout ça ensemble.
Avantages et inconvénients de Sucuri
Note globale 3.8/5
Avantages
Sucuri est une extension WordPress assez simple à utiliser au quotidien. Installer ce plugin sur ton site permet donc de se protéger facilement de la plupart des attaques et tentatives de piratage. Autre point positif non-négligeable, son service client est très disponible et réactif.
Inconvénients
Malheureusement, Sucuri impose un prix élevé pour accéder aux fonctions premium. Si tu débutes, tu pourrais aussi rencontrer quelques difficultés pour configurer le plugin selon tes besoins. Enfin, il est important de bien maîtriser l’anglais car l’extension n’est pas traduite.
Quel est le prix de Sucuri ?
Prix de la plateforme de sécurité
Le prix de la plateforme de sécurisation de site de Sucuri dépend du niveau de protection recherché :
- Basic Platform : $199,99 par an.
- Pro Platform : $299,99 par an.
- Business Platform : $499,99 par an.
- Protection Multisite et plan personnalisé : tarif sur demande.
Sur l’image ci-dessous, tu peux voir le détail de ce qui est inclut dans chaque formule :
Tous les forfaits de Sucuri proposent les mêmes fonctionnalités :
- Recherche et suppression de virus par l’équipe de Sucuri.
- Rapports de sécurité.
- Scan de sécurité avancé.
- Pare-feu applicatif (Website Application Firewall ou “WAF”).
- Liste noire d’adresses IP.
- Gestion de certificats SSL.
- Protection contre les attaques DDoS.
- Installation d’un CDN (Content Delivery Network) pour améliorer la vitesse du site et réduire la charge du serveur.
- Gestion de la charge serveur pour éviter les crashes.
- Accès au support 365 jours par an, 24h/24.
Ils comprennent une protection complète pour 1 seul site internet. La différence entre les forfaits se trouve au niveau de la fréquence des scans de sécurité (toutes les 12h, toutes les 6h ou toutes les 30 mins) et de la vitesse de sauvetage en cas de piratage (30h, 12h ou 6h maxi).
D’après le site officiel de Sucuri, le forfait Basic peut tout à fait convenir si tu gères un blog ou un petit site. La plateforme Pro s’adresse aux entreprises avec un réseau de serveurs locaux qui ont besoin de faire des transferts de fichiers de façon sécurisée. Enfin le plan Business propose les temps de réponse les plus courts pour nettoyer les bases de données infectées avec des scans de sécurité très fréquents.
Sucuri propose aussi un plan totalement personnalisé pour les sites web les plus spécifiques. Si tu gères par exemple un multi-site, que tu as besoin d’une intégration totale de la solution, d’une configuration de serveur particulière ou encore d’une équipe de support dédiée, Sucuri pourra te proposer un tarif adapté.
Pare-feu WAF
En parallèle de cette plateforme, Sucuri propose une offre pare-feu avec CDN :
- Pare-feu Basique : $9,99 par mois.
- Pare-feu Pro : $19,98 par mois.
Cette offre de pare-feu peut s’utiliser en complément de l’extension WordPress que je vais te présenter ci-dessous.
Prix de Sucuri pour WordPress
En parallèle de ce service de sécurité qui s’adresse à tous les sites web, quel que soit le CMS, Sucuri propose également une extension WordPress gratuite.
Sucuri Security est un plugin qui offre toutes les fonctionnalités de protection de base pour un site web :
- Surveillance des activités.
- Monitoring de l’intégrité des fichiers.
- Scan à la recherche d’anomalies ou de virus.
- Gestion d’une liste de blocage.
- Actions de récupération suite à un piratage.
- Notifications de sécurité.
- Pare-feu WAF (version Premium).
- Etc.
Tu peux donc protéger ton site WordPress gratuitement avec cette extension. Et tu peux, si tu le souhaites la connecter au pare-feu WAF, disponible sous 2 formules (Basique à $9,99 par mois ou Pro à $19,98 par mois).
Il faut donc bien distinguer l’extension WordPress de la plateforme de sécurité et du pare-feu.
Utiliser uniquement le plugin permet de bénéficier d’une protection assez basique mais elle n’offre évidemment pas le meilleur niveau de protection possible. Si les données de ton site sont d’une importance capitale, mieux vaut donc réfléchir à coupler l’extension avec le pare-feu, voire se connecter à la plateforme de sécurité complète.
Une réflexion qui m’amène naturellement à la question suivante…
Pourquoi sécuriser son site WordPress ?
WordPress est le logiciel de gestion de contenus web le plus populaire au monde. Malgré un apprentissage parfois fastidieux, on l’apprécie notamment pour le niveau de liberté qu’il offre en termes de création de sites et de fonctionnalités.
Si je schématise, un site WordPress se compose de 3 éléments :
- Le cœur de WordPress (les fichiers de base nécessaires pour que le système fonctionne).
- Le thème qui permet de personnaliser l’apparence.
- Les extensions qui permettent d’ajouter des fonctionnalités.
Tous ces éléments doivent être maintenus à jour. WordPress étant un logiciel très répandu, les hackers connaissent ses principales failles et lancent chaque jour des milliers d’attaques informatiques pour tenter d’accéder aux données des sites :
- Informations de connexion.
- Données personnelles des clients.
- Etc.
Parfois, les hackers cherchent à voler des données sensibles, parfois ils cherchent seulement à faire crasher le site. Dans tous les cas, sécuriser WordPress est absolument indispensable car réparer un site piraté va te causer pas mal de soucis et parfois te coûter de l’argent en plus d’impacter ton image. Un site qui ne s’affiche pas, ou pire, qui affiche des images porno n’étant évidemment pas ce qu’il y a de mieux…
Des milliers de sites WordPress se font pirater chaque jour. Je crois que cette seule info devrait te convaincre d’installer une extension de sécurité dès maintenant 😉
Quelles sont les fonctionnalités de Sucuri sur WordPress ?
Comme on vient de le voir, Sucuri propose donc des forfaits de protection pour n’importe quel site web, quel que soit le CMS utilisé pour le créer. Mais je vais me concentrer ici sur les fonctionnalités de l’extension WordPress. Cela t’aidera à voir comment elle fonctionne sur notre CMS préféré afin de la comparer à sa grande rivale, l’extension Wordfence.
Sucuri pour WordPress est une extension créée en 2012 qui a depuis été rachetée par l’hébergeur américain GoDaddy. Comme on l’a vu précédemment, cette extension est gratuite, mais tu peux la coupler avec l’offre payante de pare-feu WAF si besoin.
Le plugin intègre de nombreux outils qui protègent ton site des attaques et qui peut t’aider à récupérer tes données en cas d’infection. Elle peut notamment faire des audits des fichiers du cœur de WordPress, analyser les programmes comme le ferait un antivirus sur un ordinateur ou encore t’envoyer des notifications par email.
Avec plus de 800 000 installations actives et une note de 4/5 sur le catalogue WordPress, Sucuri est une extension connue qui dispose d’une réputation respectable. Sans être au même niveau que Wordfence (note de 4,5/5 et plus de 4 000 000 d’installations actives), Sucuri reste globalement appréciée des utilisateurs.
Comment configurer et utiliser Sucuri pour WordPress ?
Voyons maintenant comme installer l’extension Sucuri sur un site WordPress. Tu vas voir, il n’y a rien de vraiment compliqué.
Installer et activer le plugin Sucuri Security
Sur le catalogue WordPress, tu trouveras l’extension en renseignant simplement “Sucuri” dans le moteur de recherche. Le plugin s’intitule “Sucuri Security – Audit, analyse de programmes malveillants et renforcement de sécurité”.
Pour l’installer, il suffit de cliquer sur le bouton Installer maintenant puis sur le bouton bleu Activer. Ensuite, le plugin va s’afficher dans le panneau latéral du back-office sous le nom de Sucuri Security.
Ça y est, Sucuri est maintenant activé. Maintenant, on va voir comment le configurer pour apporter la meilleure protection possible à ton site web.
Utiliser le tableau de bord
Une fois cette étape franchie, on se retrouve dans le tableau de bord (Dashboard) de Sucuri.
Cet écran permet de voir en un clin d’œil l’état de santé de ton site WordPress. Sucuri affiche en haut de l’écran les informations sur le cœur de WP et le serveur :
- Version PHP.
- Version de WordPress.
- Type de serveur.
- URL de redirection.
- Check de sécurité des fichiers “core”.
En cas d’anomalie sur ton site, c’est ici que tu en seras informé(e). Comme tu peux le voir avec l’exemple ci-dessous, Sucuri vient d’être installé et à déjà fait un premier scan à la recherche de virus. L’extension fera automatiquement un nouveau scan dans 6h mais tu peux le relancer immédiatement si tu le souhaites en cliquant sur Refresh Malware Scan.
En cas d’anomalie, Sucuri va t’afficher l’erreur et te proposer certaines actions pour la corriger. C’est là que le bât blesse pour les utilisateurs débutants. Il est difficile de savoir si l’anomalie est vraiment critique et on n’a que peu de visibilité sur l’impact des actions de correction. Corriger une fausse erreur positive pourrait en effet provoquer un crash du site…
En-dessous, l’extension affiche un log des actions qui ont eu lieu sur le site. Ici, on retrouve par exemple une ligne pour me notifier qu’un utilisateur à activé le plugin Sucuri en m’indiquant son adresse IP.
Sur le bas de la page, Sucuri affiche les indicateurs qui ont été scannés (JavaScript, iFrames, redirections, blackhat SEO…) et les sites qui ne sont pas sur la liste noire (Google Safe Browsing, McAdee, Sucuri Labs, etc.).
Enfin, le tableau de bord affiche un certain nombre de recommandations pour t’aider à sécuriser encore plus ton site :
- Headers de sécurité recommandés.
- Bonnes pratiques en matière de comptes WordPress.
- Désactivation de la modification des fichiers critiques.
- Restriction d’accès à certains répertoires.
- Etc.
Utiliser le pare-feu (premium)
La deuxième rubrique est rattachée au pare-feu : la fameuse option payante de Sucuri. Pour l’utiliser, il est nécessaire de créer un compte et de souscrire à l’option. Cette action va te permettre de générer la clé API qui va ensuite débloquer les fonctionnalités premium de l’extension WordPress.
Pour générer cette clé, il faut cliquer sur le lien Firewall API key qui redirige sur la page de connexion de Sucuri. De là, tu vas pouvoir te connecter à ton compte ou créer un compte en cliquant sur Sign up Now.
Tu vas avoir besoin de choisir un plan (Basic Firewall ou Pro Firewall) puis de renseigner une adresse email et un mot de passe.
Une fois que c’est fait, tu trouveras dans ton compte Sucuri la clé d’API qu’il faut copier-coller dans le champ FIREWALL API KEY de l’extension WordPress. Ensuite, ton site bénéficiera de la protection de pare-feu applicatif de Sucuri :
- Blocage des infections par des logiciels malveillants.
- Blocage des tentatives d’injection SQL.
- Prévention des attaques par force brute.
- Empêchement d’installation de fichier distant sur le serveur.
- Suppression des backdoors.
- Etc.
Que tu souhaites utiliser le pare-feu ou non, il faut tout de même prendre le temps de paramétrer Sucuri pour obtenir le meilleur niveau de protection possible.
Suivre les connexions
Dans la barre latérale de WordPress, le plugin Sucuri comporte une rubrique dédiée au suivi des connexions (Last Logins).
Comme tu peux le voir, cet écran comporte un certain nombre d’onglets qui vont te permettre de suivre les activités de connexion qui ont lieu sur ton site :
- All Users : suivi de tous les utilisateurs qui ont réussi à se connecter au back-office du site.
- Admins : liste de tous les utilisateurs ayant un compte Administrateur.
- Logged-in Users : liste de tous les utilisateurs connectés.
- Failed Logins : liste des tentatives de connexion ayant échoué. Si un hacker tente de pirater ton site avec une attaque par force brute, tu vas sans doute le voir ici.
Paramétrer l’extension
La quatrième et dernière rubrique de l’extension Sucuri pour WordPress est dédiée aux réglages et autres paramètres. Contrairement aux autres rubriques qui sont extrêmement simples, le menu des réglages est très dense. Il faut s’accrocher un peu…
Cet écran se compose de plusieurs onglets :
- General Settings (réglages généraux).
- Scanner.
- Hardening (renforcement).
- Post-Hack.
- Alerts.
- API Service Communication.
- Website info.
L’onglet des réglages généraux comporte plusieurs rubriques :
- Liste des logs de sécurité (Data Storage).
- Exportateur de log (Log Exporter).
- Proxy inversé (Reverse Proxy).
- Outil de découverte d’adresse IP (IP Discoverer).
- Sélecteur de créneau horaire (Timezone Override).
- Outil d’importation de réglages (Import & Export Settings).
- Mise à zéro complète du plugin et des réglages (Reset Security Logs, Hardening and Settings).
En tant qu’utilisateur lambda, tu ne devrais pas avoir à passer beaucoup de temps dans cet onglet.
Vient ensuite l’onglet Scanner qui intègre l’outil pour analyser ton site web à la recherche de virus, d’erreurs ou encore de programmes obsolètes (qui présentent un risque de sécurité).
On y retrouve notamment :
- les tâches programmées dans le prochain scan (Scheduled Tasks)
- un comparateur de fichiers entre le serveur et les originaux du site (WordPress Integrity Diff Utility)
- une détection des faux positifs (WordPress Integrity False Positives).
Enfin, cet écran permet d’ignorer certains fichiers lors du scan s’ils sont trop lourds comme les images, vidéos et audios (Ignore Files And Folders During The Scans).
Le troisième onglet des réglages de Sucuri concerne les options de renforcement (Hardening). Il affiche les mesures de sécurité recommandées pour se protéger des attaques informatiques. Un clic de souris peut donc te permettre de bloquer les fichier PHP dans certains répertoires, de désactiver l’éditeur pour les extensions et les thèmes ou encore d’activer un moteur de mise à jour automatique des sessions qui force l’utilisateur à se reconnecter régulièrement.
Cet onglet comporte aussi une rubrique pour bloquer certains fichiers PHP critiques.
Passons maintenant au quatrième onglet qui concerne les actions post-hack.
On retrouve ici les actions que l’on peut mener si le site a été piraté :
- Mettre à jour les clés secrètes de sécurité qui permettent de crypter des informations nécessaires à l’administration du site web. En modifiant ces clés, un pirate ayant réussi à se connecter devrait ne plus avoir accès au back-office.
- Mettre à jour les mots de passe des utilisateurs.
- Réinitialiser les plugins installés sur le site.
- Mettre à jour les plugins et thèmes.
Pour finir, regardons maintenant l’onglet des Alertes. Sucuri peut en effet envoyer des notifications de sécurité par email en cas d’activité suspecte. C’est donc là que tu vas pouvoir :
- Renseigner l’adresse email de contact.
- Renseigner les adresses IP de confiance.
- Choisir la structure de l’objet des emails.
- Définir un montant maximum d’alertes par heure.
- Définir le nombre maximum de tentatives de connexion pour être considéré comme une attaque par force brute.
- De sélectionner les alertes de sécurité que tu souhaites recevoir.
Voilà, on a terminé cette visite guidée de l’extension Sucuri pour WordPress. Comme tu peux le constater, ce plugin demande un certain temps pour procéder aux réglages. Mais une fois que tout est paramétré, tu n’auras normalement plus besoin d’y revenir.
Comment contacter le service client Sucuri ?
En cas de souci sur ton site internet, tu peux compter sur le service client Sucuri pour te venir en aide. Le support est disponible par téléphone au numéro suivant 1-888-873-0817, par chat ou par email en envoyant un ticket. Pour déposer une demande de support, il est nécessaire de disposer d’un compte Sucuri.
En parallèle, Sucuri propose de nombreuses ressources pour comprendre le service et l’exploiter au mieux. Pour y accéder, il suffit de se rendre sur le site officiel où tout est en libre accès :
- Guides.
- Webinaires.
- Infographies.
- Blog.
- SiteCheck.
- Rapports.
- Formations.
Que pensent les utilisateurs de Sucuri sur WordPress ?
Sur le catalogue WordPress.org, Sucuri obtient une note de 4/5 ce qui est tout à fait respectable bien qu’un peu en deçà de son grand concurrent Wordfence.
Parmi les points positifs, les utilisateurs saluent le côté assez complet du plugin pour sécuriser un site. Les fonctions de renforcement de la sécurité sont aussi très appréciées en parallèle des notifications envoyées par email.
Mais il faut noter que certains utilisateurs déconseillent fortement de l’utiliser. Parmi les défauts qui remontent dans les avis, on retrouve le pare-feu bien trop restrictif qui empêche certains administrateurs de se connecter à leurs propres sites. D’autres déplorent le manque de cohérence du scan qui fait remonter des faux positifs et qui ne montre pas assez en détail comment corriger les anomalies.
Si cette extension t’intéresse, je te conseille donc de la tester sur un site vierge avant de l’installer sur ton site principal. N’oublie pas non plus de faire une sauvegarde de ton site avant de l’installer pour être encore plus tranquille.
Sucuri ou Wordfence : qui est le meilleur ?
Sécuriser un site, qu’il soit sur WordPress ou sur un autre CMS, est une question cruciale. Un site vulnérable implique un risque de perte de données ou d’arrêt complet du service en cas d’attaque. Une chose qui est malheureusement plus fréquente qu’on ne le croit.
Face à Sucuri, on retrouve le leader du marché : l’excellente extension Wordfence.
Wordfence est un plugin parmi les plus fiables et les plus intéressants du catalogue WordPress, notamment grâce à son excellent pare-feu
- Simple à utiliser
- Excellent pare-feu
- Scan quotidien
- Alerte en temps réel
- Version gratuite
- Seulement en anglais
- Version Premium relativement chère
Dans l’ensemble, Sucuri est un peu plus simple à utiliser au quotidien du fait de son interface minimaliste. Niveau paramétrage, c’est cependant l’inverse puisque je trouve Wordfence bien plus simple à configurer. Sachant qu’on installe généralement un plugin de sécurité pour le laisser travailler en arrière-plan, je pense que Wordfence s’en sort mieux sur ce point.
Je pense aussi que Wordfence est meilleur que Sucuri car il offre des fonctionnalités plus complètes dans sa version gratuite. Celle-ci inclut par exemple un pare-feu tandis qu’il faut souscrire à un abonnement chez Sucuri.
Mais Wordfence est un plugin plus lourd que Sucuri. Pour les gros sites internet, tu pourrais donc avoir une petite réduction de performances avec Wordfence.
3 meilleures alternatives à Sucuri en 2024
Note:
4.7
|
Note:
4.6
|
Note:
4.5
|
Prix: Freemium
|
Prix: À partir de $99 / an
|
Prix: Freemium
|
Avis Sucuri 2024 : le verdict
Note globale 3.8/5
- Version gratuite
- Facile à utiliser
- Bonne protection contre la plupart des attaques
- Pare-feu WAF sur les plans payants
- CDN et optimisation pour les performances
- Support réactif
- Prix élevé des fonctions premium
- Interface en anglais
- Configuration du plugin compliquée pour les utilisateurs débutants
Alors, est-ce que Sucuri vaut le coup ?
Sucuri propose une solution pour sécuriser son site WordPress assez facilement. Mis à part la rubrique des réglages qui va demander un peu de temps, le reste de l’extension est claire et bien construite. Tu pourrais presque l’installer sans jamais toucher aux réglages (mais je te le déconseille) puisque l’outil est fait pour travailler en arrière-plan.
Le souci, c’est que Sucuri n’inclut pas de pare-feu dans son offre gratuite. Et c’est justement une protection dont il faut absolument disposer pour dormir sur ses deux oreilles. Plutôt qu’une véritable extension de sécurité, je pense qu’il faut plutôt considérer Sucuri comme un logiciel de surveillance qui t’alerte en cas de souci sur ton site.
Un autre problème, c’est que l’interface du plugin est entièrement en anglais. Quand on sait à quel point la sécurité d’un site est un sujet technique, c’est loin d’être négligeable.
Si tu as envie de sécuriser ton site plus efficacement et gratuitement, je te conseille donc plutôt d’utiliser Wordfence. Néanmoins, la plateforme de sécurité de Sucuri reste une solution bien plus complète, du moment que tu es prêt à mettre à la main au portefeuille.
Quel est ton avis sur Sucuri ? As-tu déjà eu l’occasion de tester ce plugin ? N’hésite pas à venir partager ton retour d’expérience dans la section des commentaires !
Laisser un commentaire