Sucuri Security : comment configurer l’extension sur un site WordPress ?

Qu’est-ce que Sucuri Security ?

Sucuri est une extension gratuite pour les sites Web créés avec la version open source de WordPress. Elle permet de faire une veille continue de votre site, vérifier l’intégrité des fichiers de WordPress, renforcer la sécurité et être avisé rapidement si une activité louche est détectée. La version premium inclut également un pare-feu (firewall).

Pourquoi une sécurité accrue est importante ?

WordPress est un des gestionnaires de contenu les plus populaires pour la création de sites Web. Ceci en fait une cible de choix pour les pirates informatiques (hackers). Sucuri complémente alors les mesures de sécurité que votre hébergeur a mis en place sur son serveur.

Quelles sont les alternatives à Sucuri ?

Il existe plusieurs compétiteurs à Sucuri. Voici ceux que je connais :

• Wordfence Security
• iThemes Security
• All In One WP Security & Firewall

Ces solutions offrent des fonctionnalités similaires à Sucuri. Si votre site a une incompatibilité avec Sucuri, une de ces extensions conviendra.

La configuration de Sucuri en 6 étapes

Étape 1 : Installer et activer l’extension

Allez au menu Extensions puis cliquez sur le bouton Ajouter :

Faites une recherche pour Sucuri et cliquez Installer :

Cliquez sur Activer :

Étape 2 : Vérifier s’il y a des fichiers de WordPress modifiés ou des fichiers louches

Allez au menu Sucuri Security et vérifiez si Sucuri rapporte quelque chose :

Il peut y avoir un délai de quelques minutes avant que les informations soient disponibles. Si Sucuri détecte des anomalies, ça pourrait avoir l’air de :

Dans la plupart des cas, ce sont de fichiers créés par le serveur Web pour rapporter des erreurs (les fichiers error_log ou error_log.txt) que vous pouvez cocher et indiquer Mark as fixed. Par contre, si les fichiers dans cette liste se terminent par .php ou .js, il y a cause de s’inquiéter. Rapportez immédiatement la situation à votre programmeur Web ou votre hébergeur Web.

Si les fichiers rapportés par Sucuri ne sont pas une indication que le site a été modifié par une personne malicieuse, vous pouvez demander à Sucuri de dorénavant ignorer ces fichiers. Il suffit de les sélectionner, cocher I understand that this operation cannot be reverted, choisir Mark as fixed dans le menu déroulant et cliquer Submit :

Étape 3 : Générer une clé d’API

Cliquez sur Generate API Key :

Cochez toutes les cases puis Submit :

Si tout s’est bien passé, vous verrez ce message :

Parfois Sucuri retourne une erreur indiquant que le nombre de requête maximum par jour a été atteint. À ce moment, tentez de nouveau le lendemain. Vous pouvez poursuivre à la prochaine étape même s’il y a une erreur.

Étape 4 : Activer le Hardening

Allez à Settings puis cliquez l’onglet Hardening :

Cliquez Apply Hardening sur un des boutons, attendez que la page recharge et que ce bouton devienne vert. Ensuite, répétez pour chacun des boutons Apply Hardening. Dans la version gratuite de Sucuri, il n’y a que Enable Website Firewall Protection qui n’est pas disponible.

Une fois tous cliqués, les boutons seront verts :

Étape 6 : Configurer les alertes

Cliquez sur l’onglet Alerts :

Si ce n’est déjà fait, ajoutez votre adresse courriel pour recevoir les alertes.
Note : Vous pouvez ajouter plus d’une adresse.

Ensuite sous Security Alerts, cochez les alertes que vous désirez recevoir et cliquez le bouton Submit pour enregistrer. Voici la sélection que je vous recommande :

La sélection finale va dépendre de quelles alertes vous jugez importantes à recevoir. L’important c’est de ne pas cocher les alertes suivante :

• Receive email alerts for failed login attempts (you may receive tons of emails)
• Receive email alerts for password guessing attacks (summary of failed logins per hour)

Étant donné que votre site Web se fait attaquer en continu par des robots créés par des hackers désirant trouver une faille de sécurité, cocher ces options va vous envoyer une tonne de courriel innondant votre boite de réception et réduisant la visibilité des autres alertes plus importantes.

Si vous désirez en cocher le moins possible, voici lesquelles cocher et pourquoi :

• Receive email alerts for core integrity checks : Cette alerte vous avise si des fichiers faisant partie du coeur de WordPress ont été modifiés ou si de nouveaux fichiers ont été ajoutés dans les dossiers de WordPress. Tel que mentionné à l’étape 2, ce type d’événement peut être signe que le site a été hacké.
• Receive email alerts for new user registration : Vous voudrez savoir si quelqu’un a créé un nouveau compte administrateur sur votre site car si ce n’est pas vous, ça pourrait être un hacker. Par contre, si votre site comporte une boutique, une section clients, une section membres ou tout autre module où les internautes créés des comptes sur votre site; vous voudrez désactiver cette alerte.
• Receive email alerts for successful login attempts : Si quelqu’un se connecte au backend administateur de WordPress et que vous savez que personne ne devrait s’être connecté, c’est louche. Changez immédiatement tous les mot de passe administrateur du site.

Prévention ou remède ?

Que ce soit par prévention ou suite à une attaque réussie, vous voudrez mettre en place une extension de sécurité tel Sucuri pour protéger votre site. Comme dans bien des situations de la vie courante, la prévention coûte beaucoup moins que de réparer les pots cassés.

Vous avez besoin d’aide avec la mise en place de mesures de sécurité? Vous aimeriez que mon équipe et moi vous supportions avec ceux enjeux? Contactez-nous sans plus attendre!