Security Ninja Review : plugin de sécurité WordPress facile à utiliser

Vous recherchez le meilleur plugin de sécurité WordPress pour protéger votre site WordPress des acteurs malveillants ?

En raison de sa popularité, WordPress est une cible juteuse pour les acteurs malveillants du monde entier. Parce qu'avoir un site Web piraté est à peu près le pire cauchemar de tout webmaster, c'est une bonne idée de chercher une petite protection supplémentaire pour votre site.

Dans notre examen pratique de Security Ninja, nous allons jeter un œil à un plugin de sécurité freemium populaire qui vous aide à mettre en œuvre à la fois des tactiques de renforcement de base et une surveillance et une protection proactives.

Nous allons commencer par une introduction à ce que fait le plugin. Ensuite, nous vous donnerons un aperçu pratique de ce que c'est que d'utiliser Security Ninja sur votre site.

Allons creuser !

Examen de Security Ninja : ce que fait le plugin

En un mot, Security Ninja vise à être une solution complète pour la sécurité de WordPress. Autrement dit, il offre une approche globale de la sécurité, plutôt que de se concentrer uniquement sur un seul domaine.

À cette fin, il propose différents types de fonctionnalités :

• Ajustements de renforcement de base pour suivre les meilleures pratiques de sécurité générales
• Protection de connexion pour se protéger contre les attaques par force brute
• Pare-feu pour bloquer les menaces de manière proactive
• Analyse/détection des vulnérabilités de sécurité pour trouver les problèmes potentiels
• Analyse des logiciels malveillants pour trouver et supprimer les fichiers malveillants
• Journalisation des visiteurs pour suivre les activités suspectes

Il comprend également des fonctionnalités pour vous aider à suivre plus facilement l'état de sécurité de votre site Web, telles que les notifications par e-mail.

Passons par eux…

Réglages de base du durcissement

Tout d'abord, Security Ninja peut vous aider à mettre en œuvre un certain nombre de réglages de renforcement de base et de meilleures pratiques de sécurité.

Cette liste n'est pas exhaustive, mais voici les types de protections dont je parle :

• Désactiver l'édition de fichiers dans le tableau de bord
• Masquer le numéro de version de WordPress
• Activer les en-têtes de sécurité
• Désactiver les mots de passe d'application
• Etc.

Protection de connexion

Vous bénéficiez également d'un ensemble complet de fonctionnalités pour protéger votre page de connexion contre les attaques par force brute :

• Modifier l'URL de la page de connexion
• Limiter les tentatives de connexion ( comme la sécurité que votre banque en ligne utilise )
• Safelist/blocklist certaines adresses IP
• Masquer les erreurs de connexion qui indiquent aux utilisateurs si un compte existe

Pare-feu pour bloquer les menaces

Pour bloquer les menaces ailleurs sur votre site, Security Ninja inclut son propre pare-feu proactif, y compris une option pour activer la protection basée sur le cloud qui bloque automatiquement plus de 600 millions d'adresses IP malveillantes connues.

Vous pouvez également bloquer les demandes de pages suspectes, ainsi que mettre en place des règles de blocage géographique pour bloquer les visiteurs de certains pays.

Analyse/détection des vulnérabilités de sécurité

Security Ninja comprend un certain nombre de fonctionnalités différentes pour détecter les problèmes ou les vulnérabilités sur votre site.

Tout d'abord, vous pouvez tester la configuration de votre site contre plus de 40 problèmes potentiels, tels que la force du mot de passe de votre base de données, les extensions obsolètes, la version PHP, etc.

Pour de nombreux problèmes, vous pouvez résoudre le problème en cliquant sur un bouton si vous échouez au test.

Deuxièmement, Security Ninja surveillera vos plugins installés pour les vulnérabilités connues. S'il en détecte un, il vous alertera immédiatement afin que vous puissiez mettre à jour le plugin ( si le développeur a corrigé le problème ) ou passer à un autre outil.

Troisièmement, vous pouvez analyser les fichiers principaux de WordPress pour vérifier l'intégrité des fichiers. Security Ninja vous avertira si des fichiers principaux ont été modifiés ou si d'autres fichiers ont été ajoutés. C'est un signe que votre site a peut-être été piraté.

Au-delà de cela, il existe également un autre type de numérisation utile…

Analyse des logiciels malveillants

Au cas où un fichier malveillant arriverait d'une manière ou d'une autre sur votre serveur, Security Ninja inclut également sa propre fonction d'analyse des logiciels malveillants pour détecter les fichiers suspects sur votre serveur qui existent en dehors des fichiers principaux de WordPress.

Si un fichier est authentique (faux positif), vous pouvez le mettre sur liste sûre pour éviter qu'il n'apparaisse à l'avenir.

Journalisation des visiteurs

Security Ninja vous aide également à suivre ce qui se passe sur votre site grâce à deux outils différents :

• Un enregistreur d'événements pour garder une trace des actions que les utilisateurs connectés effectuent sur votre site, comme l'installation d'un nouveau plugin.
• Un journal des visiteurs pour montrer les actions de chaque visiteur de votre site (avec une option pour interdire facilement l'adresse IP des visiteurs malveillants). Par exemple, vous pouvez trouver des personnes qui tentent d'accéder à votre page de connexion.

Outils pour surveiller l'état de la sécurité

Pour vous aider à suivre la sécurité de votre site sans avoir à vous connecter au tableau de bord tous les jours, vous disposez de quelques outils différents.

Tout d'abord, vous pouvez configurer des alertes automatiques par e-mail pour les problèmes importants. De cette façon, vous n'aurez besoin de vous enregistrer que si vous recevez une notification sur votre adresse e-mail.

Deuxièmement, si vous utilisez MainWP pour gérer plusieurs sites à partir d'un tableau de bord, il existe une extension pour MainWP qui vous permet de gérer la sécurité de tous vos sites à partir du tableau de bord MainWP unifié.

Comment utiliser Security Ninja pour protéger votre site

Maintenant que vous savez ce que fait le plugin, voyons ce que c'est que d'utiliser réellement Security Ninja sur votre site WordPress.

Terminer l'assistant de configuration

Lorsque vous activez Security Ninja pour la première fois, il vous invite à exécuter son assistant de sécurité intégré, qui vous aidera à configurer certains paramètres de base importants pour votre site.

Tout d'abord, vous pouvez activer la protection par pare-feu pour arrêter de manière proactive les menaces et bannir les adresses IP malveillantes :

Ensuite, vous pouvez choisir d'activer ou non un ensemble de mesures de sécurité par défaut. Vous pouvez toujours désactiver certains d'entre eux ultérieurement si vous ne les souhaitez pas .

Et c'est tout pour l'assistant de configuration de base !

Configurer des paramètres plus avancés

Pour accéder à des paramètres plus avancés à un niveau individuel, vous pouvez ensuite vous diriger vers Security Ninja → Correctifs .

Ici, vous verrez une liste de tous les correctifs de sécurité potentiels que Security Ninja peut créer pour vous.

Pour chaque correctif, vous obtenez un simple bouton bascule pour activer ou désactiver ce correctif spécifique :

La capture d'écran ci-dessus n'affiche pas la liste complète des correctifs disponibles .

Vous pouvez également accéder à certains paramètres spécifiques au pare-feu en accédant à Security Ninja → Firewall . Par exemple, vous pouvez choisir d'utiliser ou non les règles de pare-feu basées sur le cloud ou de configurer des blocages géographiques spécifiques à un pays pour votre site :

Plus bas sur la page, vous obtenez d'autres options de renforcement, notamment la protection de votre page de connexion. Par exemple, vous pouvez modifier l'URL de la page de connexion, limiter les tentatives de connexion, mettre en liste sûre/bloquer certaines adresses IP, etc. :

Exécuter des analyses de sécurité

C'est principalement pour les paramètres réels de Security Ninja.

La plupart des autres fonctionnalités impliquent l'analyse de votre site.

Security Ninja vous propose différentes options pour analyser votre site :

• Tests de sécurité - ceux-ci vous permettent de tester des aspects spécifiques de la configuration de votre site pour détecter les problèmes potentiels. Par exemple, vous pouvez tester s'il existe un logiciel obsolète, si le mode de débogage est activé, les en-têtes de réponse, etc.
• Vulnérabilités - cet onglet vérifie automatiquement vos plugins pour les vulnérabilités connues.
• Core Scanner – ce test analyse les fichiers principaux de WordPress pour voir s'ils ont été modifiés ou si des fichiers ont été ajoutés.
• Logiciels malveillants - cela vous permet de scanner votre site à la recherche de logiciels malveillants.

Essais de sécurité

Pour l'option Tests de sécurité , vous pouvez d'abord utiliser les cases à cocher pour choisir les tests que vous souhaitez exécuter. Pour un test complet, vous pouvez facilement cocher toutes les cases.

Ensuite, vous pouvez cliquer sur Exécuter les tests pour démarrer le test :

Après une courte attente, vous verrez les résultats de chaque test individuel, ainsi qu'un résumé en haut.

Si vous cliquez sur l'option Détails à côté d'un test, vous pouvez voir des informations spécifiques sur ce test. Pour certains tests, vous obtiendrez également une option en un clic pour résoudre le problème :

Vulnérabilités

Le test de vulnérabilités vérifiera automatiquement vos plugins et thèmes WordPress pour les vulnérabilités connues.

Contrairement au test précédent, vous n'avez pas besoin de l'exécuter manuellement - il vous alertera toujours. Vous verrez des alertes volumineuses dans votre tableau de bord et vous pouvez également configurer des avertissements par e-mail :

Je pense que c'est une fonctionnalité très pratique car les vulnérabilités des plugins sont un moyen courant pour les sites de se faire pirater. En recevant ces alertes immédiatement, vous pouvez rapidement mettre à jour le plugin concerné et éviter les problèmes.

Analyseur de base

Pour le test Core Scanner , il vous suffit de vous diriger vers cet onglet et de cliquer sur le bouton Analyser les fichiers principaux .

Security Ninja vérifiera alors tous les fichiers. Si tout semble correct, le message "Aucun problème détecté" s'affiche :

Logiciels malveillants

Pour exécuter une analyse des logiciels malveillants, vous vous dirigerez vers l'onglet Malware et cliquez sur le bouton Analyser votre site Web .

Vous allez maintenant avoir une courte attente - cela peut durer de quelques secondes à quelques minutes selon la taille de votre site :

Une fois terminé, vous devriez voir les résultats du test.

Dans certains cas, Security Ninja peut signaler un fichier légitime. Pour éviter ces faux positifs à l'avenir, vous pouvez ajouter ce fichier spécifique à la liste sûre afin qu'il n'apparaisse plus dans l'analyse.

Comment programmer des tests

En plus d'exécuter des tests manuellement, vous pouvez également programmer des tests pour qu'ils s'exécutent selon certains horaires et vous envoyer automatiquement un rapport par e-mail avec les résultats.

Vous pouvez le configurer à partir de l'onglet Planificateur :

Regardes les connexions

La dernière fonctionnalité clé est la fonctionnalité de journalisation de Security Ninja, qui se présente sous deux formats principaux.

Tout d'abord, vous pouvez voir un journal des événements spécifiques qui se sont produits sur votre site en accédant à l'onglet Événements .

Par exemple, vous pouvez voir qu'il était déjà capable de consigner une tentative de connexion infructueuse :

Deuxièmement, vous pouvez accéder à Security Ninja → Journal des visiteurs pour voir chaque visiteur individuel de votre site, ainsi que les actions qu'ils ont entreprises. Vous pouvez également bannir rapidement une adresse IP si vous détectez une activité malveillante :

Et c'est à peu près tout pour ce que c'est que d'utiliser Security Ninja pour protéger votre site !

Tarification des ninjas de la sécurité

Security Ninja est disponible à la fois en version gratuite sur WordPress.org et en version premium qui ajoute des fonctionnalités plus avancées.

En général, la version gratuite se concentre principalement sur les stratégies de renforcement de base, y compris plus de 50 tests de sécurité dans divers domaines.

Pour une protection plus complète, vous pouvez passer à Security Ninja Pro. Voici quelques-unes des fonctionnalités les plus remarquables que vous obtenez avec la version Pro :

• Pare-feu, y compris le blocage des demandes de pages suspectes, des pays, etc.
• Analyseur de base WordPress.
• Analyseur de logiciels malveillants.
• Correction automatique pour certains tests ( la version gratuite vous oblige à effectuer des modifications manuellement ).
• Journalisation des événements.
• Analyse de sécurité planifiée.

Si vous souhaitez accéder à Security Ninja Pro, il existe quatre forfaits payants différents disponibles sur une base de paiement mensuel ou annuel.

Tous les plans sont complets - la seule différence est le nombre de sites sur lesquels vous pouvez activer le plugin :

• Starter - un site Web - 39,99 $ par an ou 6,99 $ par mois.
• Plus - trois sites Web - 99,99 $ par an ou 12,99 $ par mois.
• Pro - cinq sites Web - 149,99 $ par an ou 18,99 $ par mois.
• Agence – dix sites Web – 199,99 $ par an ou 29,99 $ par mois.

Voici les plans annuels :

Et voici les plans mensuels :

Vous pouvez également tester les fonctionnalités premium avec un essai gratuit de 14 jours . Vous devrez entrer votre carte de crédit pour activer l'essai, mais vous ne serez facturé qu'après 14 jours. Le plugin vous enverra également un rappel avant le début de la facturation et le processus d'annulation est sans friction - il vous suffit de cliquer sur quelques boutons.

Réflexions finales sur Security Ninja

Tester des plugins de sécurité est toujours un peu délicat car il est difficile de simuler une véritable attaque de sécurité. C'est-à-dire un acteur malveillant essayant d'infecter mon site avec des logiciels malveillants.

Cela étant dit, je peux tirer quelques conclusions pratiques basées sur mon expérience.

Tout d'abord, je trouve que l'interface de Security Ninja est vraiment bien faite. Il est propre et facile à utiliser tout en vous donnant une bonne quantité de détails.

Deuxièmement, vous obtenez un bon nombre de fonctionnalités pour protéger votre site.

Troisièmement, vous obtenez des tonnes de règles de durcissement de base. Je dirais que Security Ninja facilite la mise en œuvre de presque tous les éléments de base, tels que la désactivation de l'édition de fichiers dans le tableau de bord et la configuration correcte des en-têtes de réponse.

Vous bénéficiez également d'une protection plus proactive, en particulier avec la version premium. Par exemple, les pare-feu, la protection de connexion, l'analyse des logiciels malveillants, etc.

J'ai aussi beaucoup aimé qu'il soit capable de détecter automatiquement les vulnérabilités connues dans les plugins installés. Je pense que cette fonctionnalité peut vraiment aider les gens à appliquer les mises à jour rapidement, plutôt que d'attendre pour mettre à jour leurs plugins.

Sur la base de ces expériences, Security Ninja semble être une autre option de qualité pour la sécurité WordPress.

Si vous voulez le tester, vous avez trois options :

1. Vous pouvez installer la version gratuite de WordPress.org pour accéder aux fonctionnalités de base.
2. Vous pouvez utiliser l'essai gratuit de 14 jours pour tester toutes les fonctionnalités de Security Ninja Pro.
3. Vous pouvez créer un site de test entièrement fonctionnel avec la version Pro en utilisant InstaWP (un service que nous avons examiné). Vous pouvez cliquer sur ce lien pour lancer votre site de test.

Dans tous les cas, vous pouvez utiliser le bouton ci-dessous pour commencer.