Tout savoir sur WordPress

SecuPress : le grand test !

La sécurité d’un site est l’un des sujets chaud du moment. Après de nombreuses vagues de piratages qui ont fait la une depuis 2014, les créateurs de sites sont devenus plus sensibles à la sécurité de leurs sites. Je vous présente en détails la toute nouvelle extension SecuPress, par les créateurs de WP Rocket, et je peux vous dire qu’il y a du lourd !

Apres WP Rocket et Imagify, Voici Secupress

Difficile de passer à côté du succès de WP Rocket et Imagify, les extensions d’optimisation lancées par la start-up WP Media composée notamment de Julio Potier, Jonathan Buttigieg et Jean-Baptiste Marchand-Arvier.

Après de nombreux mois de travail acharné, ils ont enfin sorti leur tout dernier projet : SecuPress, une extension tout-en-un visant à maximiser la sécurité de votre site WordPress.  Au programme un scanner sécurité qui va vérifier de nombreux points sensibles et pour la plupart les corriger automatiquement, et une vingtaine de modules supplémentaires pour faire de votre site un vrai château fort.

secupress-action

Je l’ai testé en détails et je peux vous dire que c’est un must, autant en terme de fonctionnalités que niveau ergonomie. Est-ce que c’est compliqué à utiliser ? Pas du tout ! Le scanner s’occupe de la plupart des tâches pour vous, n’importe qui pourra renforcer son site en à peine quelques clics.

Vous utilisez déjà peut-être des solutions concurrentes comme iThemes security (anciennement Better WP security) ou WordFence qui proposent déjà pas mal d’outils de sécurité ? Je peux dire que ce sont de très bons outils, mais bien souvent l’ergonomie n’est pas au rendez-vous et il est compliqué de configurer correctement les paramètres. SecuPress apportera une simplicité et un sentiment de sécurité inégalés !

C’est gratuit ? SecuPress est un plugin Freemium, c’est-à-dire qu’il propose une version gratuite et certaines options payantes. En restant sur le gratuit vous pourrez déjà bien sécuriser votre site. La version payante vous apporte des fonctions supplémentaires comme le scan antivirus et les sauvegardes régulières de votre site.

Si vous avez la flemme de lire le test en entier, je vous invite à consulter le site de SecuPress qui est une vraie petite merveille, où vous pourrez télécharger la version gratuite. On y retrouve d’ailleurs un blog avec des actus utiles sur la sécurité de WordPress.

[smoothie_button url=”https://secupress.me/fr/” label=”Site SecuPress”]

Voilà pour la version courte ! C’est parti pour un test du plugin dans les moindres détails !

0. guidé dès l’activation

Contrairement à de nombreux plugins où on ne sait pas quoi faire après l’avoir activé, SecuPress vous accompagne directement après l’activation en proposant un bandeau qui vous amènera vers votre premier scan de sécurité, afin d’établir un audit complet en quelques secondes à peine !

secupress-activation

1. Le scanner de sécurité

Pierre angulaire de SecuPress, le scanner de sécurité est un outil complet qui va lancer un scan de votre site et valider 35 points différents organisés autours de 6 catégories principales :

  • Utilisateurs et login : pas de rôle sur admin ? Le réglages d’inscription est configuré correctement ?  Mot de passe de base de données fort ? Les erreurs de connexion sont cachées ? Fermeture du back office à certaines heures…
  • Plugins et thèmes : Les plugins et thèmes sont à jour ? Vérification des plugins désuets. Pas de plugin vulnérables en utilisation ? Suppression des plugins inactifs
  • Coeur de WordPress : WordPress est à jour ? Et peut-il se mettre à jour lui même, nettoyage de fichiers obsolètes, les erreurs sont bien cachées ? Le préfixe de la BDD est-il sécurisé ?
  • Données sensibles : Le site ne révèle pas les infos de PHP comme la version ? Les readme ne sont pas directement lisibles ? Il est impossible de connaitre les modules PHP installés ?
  • Scanner de virus : Les droits sur les fichiers et dossiers sont corrects ? Le site ne révèle pas la liste des fichiers ? index.php est chargé en priorité sur index.html ?
  • Pare-feu : PHP à jour ? Mauvaises requêtes bloquées ? Requêtes malicieuses bloquées ? Les mauvais user agent sont bloqués ? les injections SQL sont bloquées ? Les attaques rapides sont bloquées ? Les URLs trop longues sont bloquées ?

Bref, on dénote énormément de points ! Auriez-vous pensé à tout cela par vous même ? Personnellement il y a beaucoup de points dont j’ignorais complètement les potentielles failles ! Laissons donc le scanner analyser tout cela.

1.1 Le scanner

secupress-scan

Le scan dure en général quelques secondes à peine. Une fois terminé, vous aurez un rapport complet sur l’état de votre site.

Généralement au début, si vous n’avez jamais rien pour la sécurité de votre site, vous aurez comme moi la note des cancres, à savoir le F.

secupress-resultat

En dessous, on retrouve l’intégralité des 35 points vérifiés accompagnés d’une notation : Bon ou Mauvais. 

secupresss-moduls

 

Il y a beaucoup de mauvais, mais ne nous alarmons pas ! Nous allons pouvoir corriger la plupart de ces points automatiquement, car SecuPress s’en charge pour vous ! Ouf ! Certains points cependant ne pourront pas être traités par le plugin et nécessiteront une intervention manuelle de votre part.

En cliquant sur Prochaine étape le plugin se charge de fixer le maximum de choses de lui même !

1.2 La correction automatique

C’est parti ! SecuPress me résume les actions qu’il va lancer automatiquement afin de corriger les points jugés mauvais. On peut choisir les points que l’on veut corriger ou non en décochant la case à droite. Enfin, je clique sur le bouton jaune Corriger pour lancer la machine.

secupress-fix

Sur mon site de test j’avais laissé comme identifiant : admin. SecuPress me permet de le modifier facilement  grâce à cet écran qui vient s’afficher :

secupress-username

Il suffit d’en définir un nouveau et l’extension s’occupe du nécessaire. Après plusieurs manipulations on peut passer à l’étape 3.

1.3 Les opérations manuelles

Viennent ensuite les opérations manuelles, c’est-à-dire les actions que SecuPress ne peut pas faire automatiquement ou qui demandent une validation de votre part. Dans la capture ci-dessous le plugin me demande si je veux supprimer les plugins inactifs et on voit que j’ai 8 actions à mener de concert avec le plugin.

secupress-manual

1.4 Le résultat

Et voilà, pour ce scan j’ai réussi à corriger 16 mauvais points ! Le plugin m’invite à aller configurer plus en détails les différents modules (j’en parle dans la prochaine partie) ou alors de planifier un scan à intervalles régulières afin que le site soit toujours protégé au maximum !

secupress-suite

Ma note s’est améliorée, je suis passé de F à B ! Et oui, pas un A malheureusement. Mais la note ultime est réservée à ceux qui ont traité absolument tous les points de sécurité et qui n’ont plus rien classé comme mauvais dans le scanner. Mais là, c’est déjà bien !

secupress-scanner-report

Je trouve que le processus en 4 étapes est très bien conçu ! En quelques clics on sent très bien la sécurité et la sérénité s’installer sur votre site et dans votre esprit. A partir de là on peut dormir sur nos deux oreilles !

Mais SecuPress ne s’arrête pas là ! Nous allons pouvoir désormais configurer chacun de ces modules et activer des fonctions supplémentaires comme la sauvegarde automatisée du site.

2. Les modules

Rendons-nous maintenant dans SecuPress > Modules ou depuis le scanner sur chaque bloc  avec Réglages du module. On retrouve ici toutes les fonctionnalités de l’extension, et on va pouvoir configurer avec précision chacun d’entre eux selon nos préférences. A l’heure où j’écris ce test 83 options sont proposées, dont une partie faisant partie de l’offre premium. J’aborderais ce point un peu plus tard, mais sachez que si vous ne voulez pas opter pour une version payante, vous aurez tout de même une protection très efficace.

secupress-modules-new

Personnellement, je trouve que c’est très bien conçu. Même si on est loin d’être expert en sécurité, chaque option est expliquée, et simple à activer ou configurer. L’effort sur l’expérience utilisateur est remarquable. Je vous propose de faire un tour rapide dans chacun des modules afin de vous rendre compte de l’immensité de SecuPress et découvrir ses fonctions avancées.

2.1 Utilisateurs et Login

Dans cette section vous trouverez pas mal d’options utiles, à commencer par un bloqueur de tentatives de connexion : Si un utilisateur tente de se connecter à de trop nombreuses reprises, vous pourrez le bloquer. Idem pour les tentatives de connexion avec un nom d’utilisateur qui n’existerait pas. Vous pouvez bloquer l’accès au site sur certaines heures (par exemple la nuit) et éviter d’être connecté à plusieurs endroits en même temps. Vous pourrez également déconnecter des utilisateurs de votre site.

secupress-modules-login

Plus bas on retrouve la double authentification : au lieu de devoir taper un mot de passe, l’utilisateur reçoit un lien sur son mail qui lui permettra de se connecter directement. C’est très moderne au final, ça évite aux utilisateurs de devoir retenir un mot de passe de plus. On retrouve ce fonctionnement notamment sur l’application Slack.

secupress-authentification

On peut activer le classique Captcha pour éviter les tentatives de connexion de robots ou encore définir une durée de vie du mot de passe qui expirera régulièrement et qu’il faudra changer.

Enfin, on retrouvera la possibilité d’interdire certains noms d’utilisateurs, et déplacer la page de connexion, ce qui vous évitera d’ajouter un plugin comme Move Login.

Bref on retrouve de nombreuses mesures de sécurité, mais pensez bien que si vous les activez toutes, vous ajoutez des couches de complexité pour l’utilisateur. Donc à jauger avec parcimonie. Le but n’étant pas forcément de tout activer, mais de choisir les méthodes qui vous conviennent le plus.

2.2 Plugins et thèmes

Côté thèmes et extensions, on retrouve quelques mesures bien utiles également. Tout d’abord on peut interdire l’envoi de .zip depuis l’interface d’administration (comme ça on laisse pas trop de pouvoirs au client, et donc pas trop de responsabilités, comme disait l’oncle Ben, pas celui du riz, tu m’as compris).

Dans la même lignée on peut aussi interdire l’ajout de nouveaux plugins, empêcher la désactivation des plugins existants ou même leur suppression et contrôler automatiquement que notre installation n’a pas des plugins qui sont jugés dangereux ou obsolètes.

Et idem pour les thèmes.

secupress-modules-plugins-themes

2.3 Coeur de WordPress

Ici on va pouvoir activer la mise à jour automatique des patchs mineurs, mais aussi la mise à jour du coeur en version majeure. Après tout c’est ultra rare qu’une mise à jour face planter un site de nos jours.

secupress-modules-coeur

2.4 Données sensibles

Cette section va vous permettre de désactiver le protocole XML-RPC (que personne n’utilise) ainsi que la toute nouvelle API REST (qui va bientôt arriver complète dans le coeur).

Si vous n’avez pas besoin d’utiliser ces systèmes pour connecter les données vers d’autres plateformes, il est sage de les désactiver.

Il y a aussi le trou noir, qui est un piège à robots spammeurs : si le robot se fait piéger il sera alors banni du site.

Vous pouvez également désactiver le hotlinking, c’est à dire empêcher les autres sites de faire un lien direct vers vos images (ce qui arrive énormément sur mon site d’informatique aux débutants).

Et enfin vous allez pouvoir exiger le mot de passe avant d’entrer dans la page de profil (où vous pouvez changer votre mot de passe) et protéger les paramètres de SecuPress également. Comme ça personne ne vous la fera de travers à partir de votre machine si vous avez le dos tourné.

secupress-modules-donnees

2.5 Pare-feu

Le Pare-feu va s’occuper de bloquer les vilaines requêtes qui tentent de s’en prendre à votre site. Il bloque notamment les mauvais user agents des robots, les requêtes qui sont différentes de GET, POST et HEAD, les tentatives d’accès à de mauvaises URLS (ou les robots qui ajoutent des paramètres pour tenter d’exploiter des potentielles failles) et un blocage de tentatives d’injections SQL.

Un module permet d’éviter les brute force, si par exemple un visiteur tente d’accéder à votre site des dizaines de fois par seconde.

Enfin vous pouvez bloquer complètement l’accès à votre site depuis certains pays. Un peu radical, mais efficace.

secupress-modules-parefeu

2.6 Scanner de virus

Lorsqu’un virus a réussi à s’introduire sur votre site, généralement la première chose qu’il fait est d’ajouter du code malicieux un peu partout dans les fichiers.

SecuPress vous fourni un scanner de virus qui va comparer le code des fichiers de votre WordPress avec le code original correspondant à votre version.

Cela vous permettra de savoir immédiatement si les fichiers du coeur ont été corrompus.

Vous pouvez aussi décider de bloquer l’accès direct aux fichiers du dossier des uploads. De cette manière si un virus a réussi à importer un fichier malicieux, il ne pourra pas être exécuté  directement.

secupress-modules-scanner-virus

2.7 Sauvegardes

Et si le pire devait arriver, il vous faut de solides sauvegardes pour restaurer rapidement votre site. Il existe déjà de nombreuses extensions comme Updraft Plus qui vous permet de le faire. Mais tant qu’à faire, si on peut tout avoir dans une seule extension, c’est mieux non ?

SecuPress vous offre la possibilité, dans sa version pro, d’effectuer des sauvegardes régulières de votre site Internet (fichiers et données) et de les sauvegarder dans une archive sur votre site, ou alors via Dropbox (à venir), et ça c’est plutôt cool.

D’ici vous pourrez lancer manuellement une sauvegarde, et sinon vous pourrez les automatiser depuis la rubrique Modules > Planifications.

secupress-modules-sauvegardes

2.8 Anti Spam

Vous allez pouvoir activer l’anti spam de commentaires dans cette section. Comme ça plus besoin de mettre Akismet et devoir avoir une clé d’api (bon ok, c’est pas comme si c’était dur).

Et si vous n’utilisez pas du tout les commentaires sur votre site, vous pouvez complètement les désactiver à partir d’ici.

secupress-modules-antispam

2.9 Alertes

Bon, et si malgré ça vous vous faites quand même attaquer, il va falloir réagir plutôt vite ! Le système d’alerte vous permet de vous alerter par exemple toutes les 15 minutes en cas d’attaque pour avoir des informations précises sur l’état de votre site. Vous pouvez ensuite choisir de recevoir un rapport journalier qui relatera les tentatives d’attaques et autres événements importants.

secupress-modules-alertes

2.10 Planifications

C’est ici que vous allez pouvoir planifier le lancement automatique des sauvegardes, des scanners de sécurité et de la surveillance de l’intégrité des fichiers à intervalle régulier. A configurer en fonction de l’importance de votre site et à quelle fréquence le contenu évolue.

2.11 Journaux

Ici vous allez pouvoir consulter les adresses IP bannies et en bannir manuellement, ou en autoriser en liste blanche. Vous pourrez également consulter les journaux de toutes les actions effectuées sur WordPress (surtout en ce qui concerne les actions sensibles : connexion d’un admin, changement d’un mot de passe…)

Vous pourrez aussi suivre les erreurs 404, ça peut servir pour vérifier vos redirections ou voir quelles URLS ont tenté d’être atteintes par vos visiteurs.

secupress-modules-journaux

2.12 Services

Et enfin, pour finir ce long tour du propriétaire, la page services vous propose des prestations personnalisées par l’équipe de SecuPress. On retrouve :

  • Une prestation de configuration de l’extension en fonction des besoins de votre site
  • Un service de récupération de votre site piraté

Vous pourrez également lancer un message au support directement à partir d’ici.

secupress-services

Que vaut secupress face aux autres plugins de sécurité WP

SecuPress se démarque de ses concurrents car il a une vraie approche utilisateur. Vous êtes guidé. On vous explique tout. Avec les autres plugins, comme iThemes security, je ne savais jamais si j’avais fait toutes les actions nécessaires pour améliorer la sécurité, et je ne savais pas forcément à quoi servaient tous les modules.

Pour moi c’est le gros avantage de SecuPress face à ses concurrents.

SecuPress souhaite dès le début proposer plus de fonctionnalités que ses confrères. Un travail titanesque a été fait par les développeurs (qui ont vu le plugin être repoussé de nombreuses fois au passage, mais c’est pour le mieux).

Si vous êtes plutôt jusqu’à présent partisan d’opter pour un plugin par fonction (un pour déplacer le login, l’autre pour bloquer les attaques) je pense que SecuPress va vous permettre de vous réconcilier avec les outils tout en un. En effet prendre plusieurs plugins vous permet d’avoir un meilleur contrôle sur les fonctions à activer, mais là comme on a pu le voir, vous allez pouvoir simplement activer ce qui vous semble nécessaire.

De plus, opter pour plusieurs plugins peut un jour causer des conflits et poser des soucis sur le fonctionnement global du site. Inversement, avec un plugin qui inclus tout, les modules peuvent se “parler entre eux”, les alertes peuvent lire toutes les données de SecuPress par exemple, un autre avantage.

Pour l’instant il est difficile de se prononcer sur l’efficacité du plugin face aux autres. Le temps fera office de benchmark, mais de ce que j’en ai vu j’ai entièrement confiance et je n’hésiterais pas à remplacer mes anciens plugins de sécurité et utiliser SecuPress.

Les autres produits de WP Media, à savoir WP Rocket et Imagify ont déjà démontré leurs qualités depuis des années.

Gratuit, payant, que choisir ?

La version payante apporte de nombreuses fonctionnalités supplémentaires par rapport à la gratuit. Alors faut-il payer ou non ? Cela dépend de votre site et de son importance.

Avec la version gratuite vous ne pourrez avoir que la note B au maximum. Mais c’est déjà bien : pour des petits sites cela suffira amplement.

Votre site sera donc moins sécurisé ? Non bien sûr, il le sera tout autant, mais les services suivants ne seront pas accessibles :

  • Scanner de Virus
  • Sauvegardes
  • Anti Spam
  • Alertes
  • Planifications
  • D’autres options dans chacun des autres modules

Certes, ils apportent une couche de sécurité supplémentaire en cas d’attaque. Mais sans eux vous pourrez aussi être tranquille.

Pour obtenir un A, il faudra donc la version Pro absolument, et avoir “bon” sur les 35 points énoncés dans le scanner.

Pour ma part : j’utiliserais la version gratuite pour mon site personnel, et la version pro pour mon site d’informatique qui accueille chaque jour plusieurs milliers de visiteurs.

Alors, c’est de la bonne ?

Personnellement, je suis fan. Et ce n’est pas parce que je connais à peu près toute la team WP Media. en restant objectif, je dirais que le plugin est sexy, ergonomique, bien plus que ses concurrents.

Certes ça ne fait pas tout ! Mais c’est déjà plaisant d’avoir cette sensation de bien comprendre toutes les actions engagées pour la protection de son site et aussi très grisant de voir le scanner résoudre la plupart des points tout seul : on sent la montée en puissance de notre protection, on part d’une caleche pour finir dans un char blindé.

Ce n’est pas quelque chose que j’ai retrouvé chez les autres plugins.

Niveau solidité, le plugin a été réalisé par certains des meilleurs développeurs WordPress Français, dont l’excellent Julio Potier, expert en sécurité WordPress et Web depuis de très nombreuses années, ainsi que Grégory Viguier..

Alors je ne peux que vous conseiller de tester SecuPress, et s’il vous plait, vous pourrez retirer iThemes Security, Move Login, et tout autre plugin pour n’en garder qu’un seul !

SecuPress a une belle place à prendre sur ce marché et j’espère que d’ici 2 ans on entendra presque plus de mauvaise pub sur la “faible sécurité” de notre CMS favori.

Utilisez les commentaires pour me donner votre avis, je serais heureux d’avoir vos impressions !

Cet article a été mis à jour il y a 2710 jours - Il n'est peut être plus à jour !

Article écrit par Maxime BJ

Développeur, bloggeur et formateur Web spécialisé WordPress. 36 ans. Grenoblois. Co-fondateur de WPChef, l’organisme de formation WordPress.

Co-fondateur de WPChef, la formation WordPress pour les débutants. Vous pouvez me rencontrer lors d’événements tels que les WordCamp. Traducteur Français de l’extension Advanced Custom Fields. Je m’occupe un site pour apprendre l’informatique aux débutants gratuitement.

27 Commentaires

  1. super nouvelle est en Français

    j’ai les 2 autres plugins trop bien et celui là celas me tente vraiment s’il est moins lourd que les autres antivirus ,
    moi j’ai celui là WordfenceScan qui est lourd .Merci pour votre article qui donne une seule envie de l’essayer c’est l’adopté

  2. Personnellement, j’utilise Ninja Firewall qui semble bien faire son boulot – et qui a priori, vu sa philosophie, ne pèse pas trop sur le WP. Je suis quand même un peu estomaqué par plusieurs phrases relevées dans le billet.
    “C’est super rare qu’une mise à jour majeure fasse planter un WP” est à fortement relativiser. “Super rare” pour un WP aux extensions et thèmes bien suivis et régulièrement mis à jour. Le forum wp.fr est rempli de messages de personnes qui ont vu leur site planter suite à une mise à jour même mineure.
    “désactiver le protocole XML-RPC (que personne n’utilise)” : j’ignore si ça a été modifié mais Jetpack a besoin de communiquer via ce biais pour certains de ses modules. Ninja Firewall fait d’ailleurs la distinction entre les deux.
    Et enfin, je me méfie des extensions trousse à outils et, personnellement, je déconseillerai de mélanger extension de sécurité et extension de sauvegarde. Parce que si un des modules plante, bonjour la cascade d’ennuis à prévoir (plantage de sécurité + sauvegarde pas effectuée ? Oula).

    • Merci pour ton retour !

      Statistiquement il est avéré que très très peu de WP mis à jour provoquent des erreurs. Etant donné que le point essentiel des core dev est de conserver une retro compatibilité forte (limite trop forte). Après bien sûr si la personne a des plugins vétustes et mal codés ouais, mais dans 99% des cas il n’y a pas de souci.

      Sur le forum WPFR on a beaucoup de gens qui ne sont pas forcément très experts et qui utilisent de nombreux plugins cumulés, donc oui pour eux le risque est plus élevé.

      Je vois pas le souci de la trousse à outils. Bien au contraire c’est mieux d’avoir une brique multi usage codée par la même team que 50 plugins avec des codes et logiques différents. Après tout WordPress lui même n’est-il pas une trousse à outils de fonctionnalités CMS?

      Là on parle en plus pas de n’importe quelle équipe. WPMedia possède de très bons développeurs. Personnellement j’ai confiance en leur code.

      Quant au XML-RPC tu n’es pas obligé de le désactiver. En effet JetPack se base dessus pour le moment. Mais pour ceux qui n’ont pas jetpack c’est un bon moyen de sécuriser cette partie, qui a connu des failles de sécurité il n’y a pas si longtemps que ça d’ailleurs.

    • Je suis bien d’accord avec Li-An. Une extension de type pare-feu applicatif comme Ninjafirewall est bien plus puissante que ces extensions de sécurité “tout en un” qui proposent des options qui ne servent pas à grand chose. iThemes Security m’a bien fait changer mon nom d’administrateur, mon passe, mon préfixe de BdD et pleins d’autres choses, mais cela n’a pas beaucoup gêné le type qui m’a injecter 300 KB de données dans ma BdD :(
      Avec Ninjafirewall au niveau de WordPress et ModSecurity au niveau d’Apache, on a tout de suite un CMS vraiment bien sécurisé. Ne pas oublier aussi de s’assurer que tout est à jour et de supprimer les extensions et themes inutilisés.

    • C’est le principe même de la sécurité. Tu ne peux évidemment pas sécuriser ton site en entier au niveau du PHP. Il faut bien sur une base solide également au niveau du serveur. Après il faut un mix des 2 . Car même chez WP engine avec une sécurité accrue je m’étais fait avoir sur le revolution slider. La moindre petite faille compromet tout le système et le risque 0 n’existe pas

  3. Je lis sur un autre test que la version gratuite ne gère pas les attaques force brute ? Si c’est le cas, c’est une solution inutile – en version gratuite.

    • Bonjour,

      @ Li-An

      Si tu déplaces ta page de connexion , ce qui est possible grâce au plugin, tu te protèges de la plupart des attaques force brute non ?
      Ou pas du tout ?

    • @Camille : Absolument pas. Déplacer la page “wp-admin”, c’est repousser de quelques mètres l’échéance que l’on trouve notre panneau d’administration. Ca se “snif” aisément :)

  4. Bonjour,
    j’ai été convaincu par votre article et j’ai directement acheté la version pro. Je ne trouve aucun champs pour renseigner la clé d’activation ?

    Peut-être que vous ne savez pas non plus si vous n’avez pas essayer à ce jour cette version pro ?

    Je pense que je finirai bien par trouver.

    Cordialement

    • Normalement s’ils ont fait comme d’habitude ce devrait être préactivé avec le zip que tu télécharges, donc tu met secupress + pro et tu actives les 2 et ça devrait marcher

  5. Bonjour,
    Tout d’abord un grand merci pour toutes ces infos. Personnellement ce n’est plus un bonnet d’âne que je recevrais en matière de sécurité pour mon blog mais plutôt le troupeau en entier. Je suis débutante sur wordpress et plutôt moyennement à l’aise avec ce qui est ftp, codage et tout mais j’essaie de progresser. Pour la première fois je m’interesse donc à la sécu du site (j’ai akismet et backupwordpress), je suis vraiment intéressée par Sécupress, j’ai lu que la version gratuite est une version beta c’est possible ? Je peux quand même l’installer ou bien je dois attendre sa sortie finale ? Comment puis-je l’installer sur mon blog à partir du fichier zip téléchargeable sur leur site (parce que je ne l’ai pas trouvé dans ma recherche d’extension sur wordpress) ? La version gratuite est suffisante pour un blog ?
    Je suis désolée pour toutes ces questions un peu pourries qui doivent sûrement égayer la journée de bien d’utilisateurs wordpress confirmés (j’avoue j’ai honte) et je vous remercie d’avance pour votre aide :)
    Très belle journée

    • Hello,
      Si tu as lu mon article alors tu sauras que SecuPress est sorti définitivement le jour où j’ai justement publié cet article. Tu peux donc utiliser cette extension sans aucun souci !
      Encore une fois j’explique dans l’article que la version gratuite suffit dans la plupart des cas en effet pour une sécurité améliorée.
      Pour installer l’extension tu peux, depuis ton admin, aller dans extensions > ajouter > mettre une extension en ligne (en haut de l’écran) et sélectionner le zip sur ton ordinateur, qui sera ensuite importé et décompressé. Alternative : importer ton dossier secupress dézippé avec un logiciel ftp dans wp-content > plugins
      On est tous passés par la case débutant on sait ce que c’est ;) au plaisir de t’aider

  6. Bonjour,

    Merci pour cet article très complet sur Secupress, j’ai d’ailleurs testé le plugin suite à sa lecture. En version gratuite et payante.

    Il fait très bien le job notamment au niveau de la correction automatique de certains points de sécurité. Il permet aussi d’éviter l’installation de plusieurs plugins en proposant de supprimer les commentaires, changer l’URL de connexion, la double authentification, un captcha… etc. etc. J’ai quand même eu quelques soucis avec notamment au niveau de l’accès à l’admis le plugin ayant bloqué mon IP sans raison apparente (que j’ai dû mettre en whitelist par la suite). Malgré cela c’est un excellent plugin mais qui ne remplacera pas une politique de sécurité faite à la “mano” via le htaccess et le serveur.

  7. Salut, je viens de linstaller en version gratuite, pourtant jai achete hier la suite complete itheme. Jai installe ce logiciel en lisant leurs articles tres interessants. Du coup, cet article me donne encore plusenvie de tester, dautant que je suis deja client des deux autres plug ins.

    Personnellement, jaime avoir une interface claire et facile et je trouve leur contrat amplement rempli.

    Je m.en vais tester la version pro alors :-)

  8. Bonsoir
    très bon article, j avais dèjà vue leurs plugins mais je ne l es pas installer pour le moment mais au vue de ce que je viens de lire, je doit dire que je pense moi aussi passer le cap, jai dèjà wprocket qui je doit dire est un must , pour le moment en sècuritè jai installer disons 2 plugins block bad queries et Login Lockdown, se plugins que vous présenter peut il simplement remplacer ces deux la ?

    merci

    cordialement

    • Oui SecuPress prend bien en compte ces fonctionnalités, et bien plus encore ! Personnellement ça a remplacé tous mes plugins de sécurité !

  9. Test bien complet :)

    Dommage que le système de sauvegarde ne soit équivalent à un système comme BlogVault. C’est quand même pratique de pouvoir restaurer une sauvegarde en 1 clic et d’avoir ses sauvegardes à distances (je sais que Dropbox est prévu mais il faudra payer un abonnement en plus).

    J’aurais été prêt à payer plus pour cette fonction.

    Du coup, je pense plutôt souscrire à ManageWP.

  10. Bonjour,

    jai installer depuis quelques semaines le plugin en version pro donc achat de la licence, je doit dire que c est un très bon plugins malgré quelques petit soucie pour ma pars, le premier à ètait la double identification qui m avais complètement bloque l accès au site, jai juste désactivè et c est rentrer dans l ordre, le réglage du plugin et compréhensible et bien expliquer un autre bon point.

    je rencontre un problème , je n en m était pas aperçus au départ , c est lors d un ajout de quelques lignes sur une page que jai remarquer que le bloc seo de yoast ne fonctionner plus.
    je n est plus aucun accès pour mon plugin yoast seo premium , vide il est désespérément vide,, je voi le plugin mais toute les fonctions rien bloc blanc, jai essayer de désactiver l action sur les plugins dans secupress rien ni fait, jai même désactivè secupress rien, je me demande si lors du premier scann par le plugins puis ça correction quelques chose à fait que je n est plus accès au seo de yoast, c est assez gênant comme soucie quant même, quelqu un à t il rencontrer ce problème ? on ne sen aperçois qu en modifiant une page.

    cordialement

    • bonjour,

      je me fait ma propre réponse, pour ma part jai désactivé ce plugins sur mes 3 sites et jai aussi annulè mon abonnement premium , jai rencontrè plusieurs soucie avec ce plugin, mais je garde un œil dessus , peut être un jour je réinstallerais celui ci, mais pour le moment je l oublie.
      mais wp rocket celui la je l adore il est sur tout mes sites !

    • Subjectivement, j’aime pas du tout. Il est bordélique et on n’y comprend pas grand chose. Selon moi une application, une extension devraient toujours travailler leur expérience utilisateur

  11. bonjour
    depuis votre mise a jour impossible de me connecté a mon site
    alors que je n’est rien fait du tout
    merci de votre aide

    il me dit ceci
    Si vous êtes un administrateur et que vous vous êtes accidentellement coincé dehors, entrez votre adresse email principale ou l’adresse de récupération dans le champ suivant. Un message sera envoyé à vos deux adresses contenant un lien vous permettant de vous déverrouiller.

    • Oui alors je crois que t’es tombé pile au moment où ils ont eu ce bug.

      Ce que je te conseille de faire c’est de les contacter depuis leur site officiel et leur expliquer le problème afin qu’ils t’apportent de l’aide (même si tu es en version gratuite)

      Je pense qu’une solution est de télécharger la dernière version manuellement depuis le répertoire WP. Ensuite tu remplace le dossier secupress par celui téléchargé via ton FTP (wp-content/plugins/secupress)

      Car j’ai vu passer la mise à jour qui corrigeais le bug justement

  12. Après avoir testé pas mal de modules, Secupress s’avère être le plus performant, le plus complet et le plus simple à prendre en main grâce à une ergonomie vraiment superbe.
    Je tire mon chapeau aux développeurs !