Wordfence vs Sucuri : Comparaison des plugins de sécurité WordPress

Pour de nombreux utilisateurs de WordPress, l'ajout de fonctionnalités de renforcement de la sécurité à leur site Web se résume à un choix entre Wordfence et Sucuri. Bien qu'il existe de nombreuses autres options, ces deux options sont si populaires qu'il vaut la peine de savoir comment elles se situent dans une comparaison directe. Dans cet article, nous examinerons les offres gratuites et premium des plugins de sécurité WordPress et ferons des recommandations sur les types d'utilisateurs qui tireront le meilleur parti de chaque option.

Plongeons-nous !

Wordfence contre Sucuri

Le fait que ces deux plugins de sécurité soient constamment comparés est assez intéressant car ils offrent des services assez différents, du moins pour les utilisateurs gratuits. Et le nombre d'utilisateurs gratuits pour les deux est assez énorme. Les services de base, cependant, atteignent le même objectif final : protéger votre site contre les menaces telles que les logiciels malveillants cachés, les attaques par force brute et divers autres types d'intrusions et de compromission.

Parce que Sucuri et Wordfence gèrent cela par divers moyens, cela signifie que chaque plugin est idéal pour un ensemble différent d'utilisateurs. Aucun plugin WordPress ou plate-forme de sécurité ne répond à tous les besoins, mais les deux répondent à des besoins spécifiques. Nous voulons passer en revue les différentes manières dont les plugins protègent votre site, Wordfence via des mesures de sécurité préventives et Sucuri avec la surveillance du site et l'analyse/suppression des logiciels malveillants , afin que vous puissiez prendre la décision la plus éclairée possible pour assurer la sécurité de votre site.

Nous tenons à noter, cependant, que malgré les différences entre les plugins, l'un ou l'autre choix fournira à votre site une suite de sécurité complète.

Wordfence

En tant que plate-forme, Wordfence est conçu comme un bouclier initial qui protège votre site des attaques entrantes. Jetons un coup d'œil à la façon dont il fait cela.

1. Configuration simple

La sécurité Internet est un domaine hautement technique et complexe. La plupart d'entre nous ne sont pas des experts de loin. Wordfence est bon pour nous car lorsqu'il est installé et activé, il fonctionne.

Oui, il y a absolument des paramètres à modifier et des options à configurer. Mais même si vous n'appuyez jamais sur un autre bouton, Wordfence bloquera les menaces entrantes sur votre site et vous tiendra au courant de ce qui se passe par des alertes par e-mail et des alertes basées sur le tableau de bord.

Certes, le tableau de bord est un peu chargé avec des onglets, des boîtes et des liens partout. Mais en ce qui concerne la mise en place du plugin, cela demande très peu d'efforts et aucun véritable arrière-plan de sécurité.

2. Pare-feu applicatif Web (WAF)

Le cœur de la version gratuite de Wordfence est le WAF (vs Sucuri, où le WAF est une fonctionnalité premium). Dès l'installation, Wordfence met en place une barrière autour de votre site et bloque le trafic suspect et les tentatives d'entrée. Dans le pare-feu, les utilisateurs peuvent bloquer des pays, des plages d'adresses IP ou des adresses IP individuelles.

De plus, les fonctionnalités de liste blanche et de liste noire vous permettent d'autoriser uniquement le trafic provenant de certains endroits, ce qui est un moyen proactif d'empêcher toute activité suspecte.

La limitation du débit est une fonctionnalité incroyable que Wordfence propose également via le WAF, en ce sens que vous pouvez décider comment traiter différents robots et robots d'exploration sur votre site. vous déterminez si les humains peuvent accéder à un certain nombre de pages ou si quelqu'un utilise une quantité excessive de ressources du serveur.

Non seulement la fonction de limitation du débit contribue à la protection du contenu et à la stabilité/performance du serveur, mais elle peut également limiter les dommages que les logiciels malveillants peuvent causer à votre site si vous êtes infecté d'une manière ou d'une autre.

3. Authentification à deux facteurs (2FA)

La fonctionnalité la plus intéressante offerte par la version gratuite de Wordfence est de configurer une authentification à deux facteurs pour les utilisateurs de votre site. Dans la section Sécurité de connexion de l'élément de menu Wordfence, vous pouvez facilement configurer 2FA pour vos utilisateurs en utilisant un code QR. Ils peuvent choisir d'utiliser Google Authenticator, FreeOTP ou un certain nombre d'autres applications et jetons 2FA.

En termes de sécurité passive, l'authentification à deux facteurs pour les utilisateurs est l'un des meilleurs moyens de le faire. L'inclure en tant que fonctionnalité gratuite dans Wordfence va au-delà à notre avis.

4. Analyse du site

Que serait un plugin de sécurité WordPress sans analyse de site ? Vous pouvez exécuter manuellement une analyse. Ou vous pouvez les configurer pour qu'ils s'exécutent automatiquement à des heures définies.

Les scans Wordfence sont profonds car le logiciel existe sur votre serveur (vs Sucuri qui est un scanner distant). Les résultats sont facilement déchiffrables avec des réponses codées par couleur. De nombreux problèmes que vous verrez proviennent de plugins ou de thèmes obsolètes. Mais si Wordfence trouve des logiciels malveillants ou des fichiers suspects, vous pouvez les supprimer immédiatement dans la fenêtre d'analyse. (Bien que s'il vous plaît toujours sauvegarder votre site avant de supprimer quoi que ce soit.)

Wordfence Premium vs Gratuit

La version gratuite de Wordfence offre beaucoup aux utilisateurs. Être un utilisateur gratuit a ses inconvénients. Vous n'obtenez pas de mises à jour de pare-feu en temps réel, de listes noires IP ou de signatures de logiciels malveillants. Lorsque des problèmes de sécurité sont découverts par l'équipe Wordfence, ils sont immédiatement corrigés pour les utilisateurs premium. Les utilisateurs gratuits, cependant, obtiennent ces correctifs 30 jours plus tard.

De plus, avec un plan premium, vous payez pour un support premium. Si quelque chose arrive à votre site, vous avez accès à l'équipe Wordfence directement dans un délai très court.

Si vous exploitez un site qui traite des données sensibles ou confidentielles, la version premium vaut de loin l'argent. Pour un seul site, cela revient à 99 $ par an .

Sucuri

Sucuri, contrairement à Wordfence, est basé sur une plate-forme externe qui surveille votre site à la recherche de menaces à distance. Au lieu d'utiliser les ressources de votre serveur pour mettre en place un bouclier, Sucuri ressemble plus à un super-héros, attendant de fondre pour sauver la journée lorsque vous avez des ennuis.

1. Connexion API

Parce que Sucuri n'est pas basé sur vos serveurs, vous avez besoin d'un moyen de vous connecter en toute sécurité au service. Sucuri est entièrement basé hors site, ce qui signifie que vous devez générer une clé API à partir du tableau de bord WordPress pour permettre au service d'avoir accès à votre site.

À bien des égards, il s'agit d'une fonctionnalité supérieure aux analyses sur site de Wordfence. Si votre site est hors ligne, Wordfence le fait aussi car il est stocké et exécuté sur le matériel local. Sucuri, cependant, est externe, donc les menaces qui ont mis votre site hors ligne en premier lieu peuvent toujours être gérées par la plate-forme.

2. Renforcement du site Web

Le renforcement du site Web est une fonctionnalité majeure que Sucuri propose sur Wordfence. La version gratuite de Sucuri n'offre pas de WAF, ce qui signifie que le trafic de certaines adresses IP, pays, plages d'adresses IP et menaces en temps réel peut toujours atteindre votre site. Le renforcement des sites Web, cependant, est un ensemble de règles détaillées qui peuvent empêcher les personnes ayant un accès non autorisé de prendre des mesures spécifiques.

Comme la création de fichiers PHP dans les répertoires principaux de WP, l'édition de plugins et de thèmes à partir du tableau de bord, voire l'obscurcissement de la version WordPress en cours d'exécution pour dissuader les pirates à la recherche de versions obsolètes.

Ce sont des mesures proactives plutôt que réactionnaires. Avec Sucuri, vous vous préparez au pire en bloquant à l'avance les chemins d'accès les plus courants.

3. Analyse des logiciels malveillants

L'analyse des logiciels malveillants de Sucuri est un sac mélangé. L'analyse elle-même est approfondie et trouvera absolument un certain nombre de problèmes et de menaces sur votre site (le cas échéant). Cependant, il s'agit d'une analyse à distance et même leur connexion API à votre site ne peut pas obtenir un accès complet à votre serveur. Leur scanner est livré avec un avertissement indiquant cela.

D'après notre expérience, cependant, les résultats de l'analyse de Sucuri ont été précis et ont trouvé des menaces réelles dont nous ignorions l'existence. Cependant, pour obtenir une analyse complète, vous devez payer pour que l'équipe de Sucuri le fasse, ce qui semble être une surcharge inutile sur un élément apparemment fondamental d'un plugin de sécurité WP.

Nous pensons cependant que l'analyse à distance connectée à l'API a une portée plus limitée, car elle peut analyser et réparer votre site après qu'une attaque l'a mis hors ligne. Cela en soi peut économiser un temps et des revenus précieux.

4. Sécurité de connexion.

Sucuri vous permet de suivre les utilisateurs qui se connectent à votre site. Dans le tableau de bord du plugin, vous pouvez rechercher tout utilisateur qui s'est connecté, tout utilisateur actuellement connecté et tout utilisateur qui n'a pas réussi à se connecter à votre site. Cette fonctionnalité peut faire la différence dans un site sécurisé avec un certain nombre d'utilisateurs satisfaits, ou un site compromis auquel quelqu'un a accès qu'il ne devrait pas.

Voir les échecs de connexion peut indiquer une attaque par force brute, tandis que voir les utilisateurs actuellement connectés peut vous permettre de savoir quels comptes ont déjà été compromis. Par exemple, Sucuri montre que Bob Smith est connecté à votre site, mais que Bob a pris sa retraite de votre entreprise il y a trois ans… quelque chose ne va probablement pas et que l'accès est non autorisé.

Toutes les mesures préventives, le renforcement du site Web et la protection par mot de passe dans le monde sont inutiles une fois que quelqu'un a un accès légitime à votre site avec des autorisations actives.

Sucuri gratuit vs Premium

Nous n'avons aucun scrupule à dire que Sucuri est un service fantastique qui protège votre site Web et le mérite d'être considéré comme un standard de sécurité WP. La version gratuite de Sucuri fonctionne bien comme un scanner et un outil où vous pouvez être proactif contre les menaces.

Si, toutefois, vous souhaitez une approche plus pratique lors de l'utilisation de Sucuri, vous devrez effectuer une mise à niveau. La version gratuite n'est pas livrée avec un WAF, ce qui nous semble nécessaire pour la sécurité de nos jours. Vous devez mettre à niveau pour l'activer.

Les plans pour le WAF Sucuri commencent à 9,99 $ par mois . C'est la partie où les choses deviennent collantes, cependant. Le forfait à 9,99 $ n'inclut pas le nettoyage des logiciels malveillants/piratage (pas plus que le forfait à 19,98 $ par mois). Si vous vous abonnez à leur plan de plate-forme à 199,99 $ par an , vous obtenez cela en plus d'autres fonctionnalités telles que l'intégration CDN et plus encore.

Cependant, le vrai point d'achoppement est qu'aucun des plans de base de Sucuri (9,99 $/mois pour WAF ou 199,99 $/an pour la plate-forme) n'inclut la prise en charge des certificats SSL existants. Étant donné que Google a presque tous les sites requis pour utiliser les certificats SSL en l'utilisant comme facteur de classement des pages, le fait de ne pas avoir de prise en charge des certificats SSL sur les plans de base rend les plans de base inutiles pour presque tous les clients .

L'inscription d'un prix inférieur mais la suppression d'une fonctionnalité aussi fondamentale que la prise en charge des certificats SSL crée une fausse idée que le service complet est disponible à ce prix, alors qu'il ne l'est pas en réalité. Les forfaits Pro sont vraiment les forfaits de base, et le niveau Basic existe (apparemment) comme un stratagème marketing pour pouvoir annoncer des « forfaits aussi bas que 9,99 $/mois » lorsque ce forfait est intenable pour la majorité des utilisateurs.

En réalité, les plans de Sucuri commencent à 19,98 $ par mois pour l'accès WAF et à 299,99 $ par an pour la plate-forme complète . Ce ne sont pas des prix absurdes, et ils offrent d'excellentes fonctionnalités pour ces prix. Cependant, nous ne sommes pas fans de la façon dont les niveaux de prix sont gérés.

Wordfence contre Sucuri

Lorsque vous regardez les versions gratuites des deux, cela dépend vraiment de ce dont votre site a besoin. Pour les utilisateurs de set-it-and-forget-it, Wordfence arrive en tête. Les analyses automatisées, les alertes par e-mail, les paramètres WAF par défaut assez décents et l'authentification à deux facteurs font de Wordfence notre choix pour les utilisateurs gratuits . Le plugin offre tout simplement trop de gratuité pour être détrôné.

Cependant, en regardant les versions premium, les utilisateurs de Sucuri obtiennent plus de valeur ajoutée pour leur argent . Là où les mises à niveau premium de Wordfence sont utiles pour maintenir la protection de votre site à jour contre les menaces émergentes, Sucuri ajoute beaucoup aux fonctionnalités que nous soulignons ci-dessus. Intégration CDN, WAF continuellement mis à jour, protection DDoS et suppression des logiciels malveillants/nettoyage du site. Et plus. Dans cet esprit, Sucuri arrive en tête.

Cependant, nous voulons nuancer cela en disant que le premium Wordfence est 1/3 du prix du premium Sucuri. La différence entre 99,99 $ par an et 299,99 $ n'est pas négligeable. Dans cet esprit, notre suggestion est d'utiliser Wordfence pour protéger votre site gratuitement (ou à moindre coût), et si vous avez besoin de fonctionnalités de sécurité accrues, jetez un œil aux plans de Sucuri pour voir si leur plate-forme offre suffisamment pour le prix accru.

Quelles ont été vos expériences face à Wordfence vs Sucuri ?