Si votre site WordPress a besoin d’une protection à toute épreuve, le plugin Solid Security est sans doute le plugin qu’il vous faut. Cet outil de sécurité permet de mettre en place une authentification à deux facteurs, de protéger votre site contre des attaques de force brute, et plus encore.

Le plugin Solid Security est l’une des plus populaires parmi les solutions de sécurité pour WordPress. Ses multiples fonctionnalités robustes ont déjà séduit plus de 800 000 propriétaires de sites, et ce nombre ne cesse de croitre.

Dans cet article, nous regarderons en détails les diverses fonctionnalités et mesures de sécurité qu’il propose. Nous vous expliquerons également comment installer et configurer Solid Security afin d’optimiser la protection de votre site WordPress.

1. Installer et activer le plugin Solid Security

La version gratuite de Solid Security est disponible dans le répertoire officiel de plugins de WordPress. Vous pouvez donc le trouver facilement en sélectionnant l’option Extensions – Ajouter une nouvelle extension dans votre tableau de bord WordPress.

Cherchez ensuite le nom du plugin dans la barre de recherche afin de le trouver. Vous devriez alors le voir apparaitre, présenté comme ceci:

Pour installer le plugin, cliquez maintenant sur le bouton à cet effet, dans le coin supérieur droit de la fenêtre. Une fois l’installation complète, le bouton de la fenêtre changera, pour afficher « Activer ». Cliquez ensuite sur ce bouton pour activer le plugin sur votre site web.

Configurez le plugin Solid Security

À ce stade, le plugin est actif, mais il n’est pas encore configuré. Il ne protège donc pas encore votre site WordPress comme il se doit. Pour ce faire, il vous faut maintenant procéder à la configuration de Solid Security, et ajuster ses fonctionnalités à vos besoins.

1. Identifiez la nature de votre site web

Tout d’abord, le plugin vous demande d’identifier le type de site web que vous souhaiter protéger. Il pourra ainsi ajuster les options de sécurité en fonction de ses besoins spécifiques.

Bien entendu, un blog n’a pas les enjeux de sécurité qu’une boutique en ligne ou un forum communautaire. Solid Security ajustera donc les fonctionnalités pour votre site WordPress, en fonction de votre sélection.

2. Activez la vérification de sécurité Pro?

La seconde question du processus de configuration est lié à la fonction de vérification Pro des adresses IP. Cette fonction utilise des requêtes API pour configurer la détection des IP des visiteurs.

Cette fonctionnalité donne accès à certaines données concernant vos visiteurs à l’équipe de Solid Security. C’est pourquoi le plugin vous présente un lien vers la politique de confidentialité de l’entreprise.

Pour être conforme aux RGPD européennes, il faut prendre connaissance de cette politique et informer vos visiteurs des informations partagées dans les conditions d’utilisation. On vous néanmoins recommande d’activer cette option pour bénéficier d’une protection accrue.

3. Identifiez l’utilisateur principal site web

Il vous faut ensuite mentionner pour qui vous effectuez la configuration de Solid Security. S’il s’agit de votre site WordPress, la réponse est bien sûr Mon propre site.

Si vous développez un site pour quelqu’un d’autre, vous devriez alors choisir l’option Site Client. Le plugin permettra alors d’identifier un autre utilisateur comme administrateur et destinataire principal des notifications.

4. Activez la politique de mots de passe forts

Solid Security permet d’imposer un degré élevé de sécurité pour les mots de passe des utilisateurs. Cette fonctionnalité exige des identifiants nettement plus complexes que les critères par défaut de WordPress.

On vous recommande fortement d’activer cette protection. Des mots de passe suffisamment forts et complexes sont essentiels pour assurer la sécurité de votre site WordPress.

5. Identifiez la nature de votre connexion

Le plugin vous demande ensuite d’identifier le type de connexion que vous utilisez pour diffuser votre contenu. En somme, il veut savoir si vous utilisez un CDN (réseau de diffusion de contenu).

Si votre site n’utilise pas de CDN, cliquez sur Direct Connection. Si vous utilisez Cloudflare ou un autre réseau de serveurs pour diffuser votre contenu, cliquez sur Proxy Server.

6. Réglages généraux des adresses IP

L’étape suivante concerne le traitement des adresses IP. Tout d’abord, la section IP autorisées définie une liste blanche d’adresses préapprouvées. Sous celle-ci, un bouton Autoriser mon adresse IP permet d’ajouter automatiquement votre IP à cette liste.

On vous recommande fortement de l’utiliser et d’y inclure votre IP. Celle-ci sera alors incluse à la liste blanche, ce qui vous évitera d’être victime d’un quelconque blocage.

La section suivante concerne la détection d’IP. Il s’agit de définir la manière dont le plugin détectera l’IP des utilisateurs. À ce niveau, différentes options se présentent à vous, en fonction de vos besoins et vos préférences.

Si vous utilisez un CDN, il faut modifier la réponse du champs Détection du proxy. Remplacez alors Non configuré par Manuel, ce qui vous donnera accès à plusieurs choix de configuration pour les CDN les plus courants.

Bien entendu,, il existe une option liée aux paramètres de Cloudflare. Il s’agit de CF-Connecting-IP. Si vous utilisez un autre réseau de diffusion de contenu, votre fournisseur de CDN pourra transmettre l’information appropriée. Cliquer ensuite sur le bouton Suivant pour poursuivre la configuration.

Le plugin cherchera alors automatiquement les serveurs proxy utilisant l’entête que vous avez sélectionnez au moment de la détection.

7. Configurez les fonctionnalités de Solid Security

Une fois que vous avez définis les paramètres d’IP, il est temps de configurer les différentes fonctionnalités de Solid Security. Notez qu’une configuration plus poussée de ces éléments sera disponible plus loin dans le processus.

Sécurisation de connexion

La première fonctionnalité qui vous est présentée concerne la sécurité de connexion des utilisateurs à leurs comptes. Solid Security vous propose d’activer un processus de double authentification (2FA) lors de la connexion des utilisateurs.

Ce processus force les utilisateurs à s’identifier par deux moyens différents pour accéder au système. Ils doivent donc tout d’abord, fournir leur identifiant et leur mot de passe. Il leur faut ensuite confirmer leur identité en validant un code de sécurité reçu via leur téléphone mobile ou leur adresse e-mail.

On vous recommande d’activer cette fonctionnalité, pour assurer la sécurité des comptes des utilisateurs. Cette mesure réduit nettement les risques que ceux-ci soient piratés ou victimes d’attaques de force brute.

Pare-feu

La fenêtre suivante concerne les options de pares-feux de Solid Security. Le plugin vous présente alors différentes solutions que nous vous suggérons d’activer.

Le premier élément est un pare-feu au niveau du système, permettant d’ajouter une couche de protection supplémentaire pour votre site web.

Les deux options suivantes concernent les attaques de forces brute. Tout d’abord, vous pouvez activez une protection locale contre ces cybermenaces courantes. Vous pouvez ensuite activer un réseau de protection, mieux adapté à lutter contre des attaques DDoS.

Chacune de ces fonctionnalités ajoute une couche de protection supplémentaire pour votre site WordPress. C’est pourquoi on vous recommande de toutes les activer.

Analyse de site

Solid Security propose également un outil d’analyse du contenu pour des menaces de sécurité. Cet outil recherche des logiciels malveillants et des failles sur votre site web deux fois par jour.

L’utilité de cette fonction dépend grandement de votre service d’hébergement web. La plupart des hébergeurs propose déjà des analyses régulières du contenu, ce qui rend cette fonction redondante et superflue. Si votre hébergement web n’inclut pas d’analyse de sécurité, vous devriez alors activer cette fonction.

Utilitaires

La section Utilitaires du processus de configuration simplifiée vous propose uniquement une seconde opportunité d’activer la vérification de sécurité Pro.

Comme nous l’avons mentionné précédemment, nous vous recommandons d’activer cette fonctionnalité.

8. Configurez les groupes d’utilisateurs du plugin

L’étape suivante correspond aux paramètres des différents groupes d’utilisateurs. Il s’agit en fait de configurer les paramètres associés aux différents rôles d’utilisateurs WordPress.

Vous pouvez donc éditer les réglages de n’importe que des rôles par défaut, ou même en créer de nouveaux. On vous recommande toutefois de choisir groupes par défaut. Cela accordera les autorisation de modifier la configuration de Solid Security uniquement aux administrateurs.

Vous pouvez définir différents paramètres s’appliquant aux comptes des utilisateurs. On vous recommande toutefois d’utiliser les paramètres par défaut, à moins de savoir précisément ce que vous faites.

9. Configurez les destinataires des notifications de sécurité

L’étape suivante est de définir à quelles adresses e-mail seront envoyées les notifications de Solid Security. On vous recommande ici d’ajouter une adresse que vous consulter très régulièrement, pour vous assurer de voir les messages dans des délais appropriés.

Dans la section Destinataires par défaut, on vous recommande également de choisir d’aviser tous les administrateurs. Cela augmente les chances que les notifications soient vues rapidement.

Une fois que vous avez défini les destinataires, cliquez sur le bouton Terminer la configuration. Un message de félicitation devrait alors confirmer le succès de la configuration.

Vous pouvez alors retourner au tableau de bord WordPress, ou encore procédé à une configuration plus avancée en sélectionnant Réglages. C’est l’option que nous recommandons, pour finaliser la personnalisation de divers éléments.

3. Configurez les paramètres avancés de Solid Security

À ce stade du processus, le plugin Solid Security est déjà actif et fonctionnel. Il protège donc déjà votre site WordPress en ajoutant diverses mesures de sécurité. Le plugin peut toutefois vous en offrir plus, si vous prenez le temps de finaliser la configuration avancée. C’est pourquoi nous vous accompagnons maintenant à travers ces étapes suivantes.

Petites notes avant de continuer

Si votre site n’en est pas à ces débuts, on vous recommande de procéder à une analyse du site avant de continuer. Cela prendra quelques minutes et  peut nécessiter des ressources de votre hébergement. On vous recommande donc alors de la faire dans une période calme  et peu achalandé.

Cliquer sur Démarrer l’analyse dans la fenêtre du plugin. Cela vous permettra de vous assurer que la sécurité de votre site n’est pas compromise, avant de poursuivre la configuration.

Demande de partage de données

Quand vous lancez le processus de configuration avancée, un message apparaitra dans une fenêtre contextuelle (pop-up). Il s’agit d’une demande de partage de données provenant des développeurs du plugin.

Cette demande est sans aucun doute bien intentionnée, et destinée à améliorer le plugin. On vous recommande néanmoins de cliquer sur Skip, pour ne pas partager plus de données que nécessaires.

Configurez les réglages généraux de Solid Security

Une fois que vous avez passée la demande de partage de données, vous serez dirigez vers la première étape de la configuration avancées. Il s’agit de la page des réglages généraux.

Droits d’écriture

Le premier élément de cette section concerne les droits d’écriture sur les fichiers système. On vous conseille fortement d’autoriser le plugin à modifier lui-même les fichiers wp-config.php et .htaccess. Autrement, vous devrez faire manuellement les modifications nécessaires, ce qui prend du temps et augmente les risques d’erreurs.

Blocages

Vous pouvez ensuite configurer différents paramètres concernant les blocages d’Adresse IP par Solid Security. Il est tout d’abord possible de définir la durée du blocage et le nombre de jour durant lesquels le système les garde en mémoire.

Il est ensuite possible d’activer des blocages permanents pour les fautifs récidivistes, et définir le seuil à partir duquel ils s’appliquent.

Messages de blocages

Au bas des réglages généraux, vous pouvez définir les messages affichés lors des blocages d’adresses IP. Vous pouvez ainsi définir différents textes, applicables pour chacune des situations.

IP autorisées

L’étape suivante concerne les adresses IP autorisées. Si vous n’avez pas ajouté votre adresse à la liste blanche au cours du processus initial, c’est l’occasion de le faire.

Journalisation

L’étape suivante concerne la journalisation. Le plugin explique très clairement que les sites un peu plus lourd et volumineux, il faut enregistrer les journaux sous forme fichier, plutôt que Base de données uniquement. Autrement, cela ralentira nettement la base de données, et donc, inévitablement, le site aussi.

Pour ce qui est de la durée de conservation des journaux, 30 jours devrait normalement être largement suffisant. Il vaut donc mieux réduire la valeur par défaut, qui est de 60 jours.

Notez que cette fonctionnalité ajoute un certain nombre de tâches cron, dont il est préférable de planifier l’exécution à des moments moins achalandés.

Détection d’IP

L’étape suivante concerne les analyses de sécurité, liées à la détection des IP. Cette fonction s’assure de la sécurité de la connexion avec les serveurs proxy. On vous recommande donc de l’activer.

Autre

Au bas de la fenêtre, vous trouverez finalement la section Autre. Vous pouvez y cocher un case pour masquer les notifications du plugin de la barre d’administration WordPress.  Vous pouvez également modifier votre choix à propos du partage de données avec les développeurs.

Une fois que vous avez modifiez les différents éléments, on vous conseille de cliquer dès maintenant sur le bouton Enregistrer, au bas de la fenêtre.

Vous pouvez ensuite passer aux autres sections des réglages du plugin. Pour ce faire il vous suffit d’utiliser le menu latéral à la gauche de la fenêtre.

Dans le cadre de cet article, nous ferons les différentes section dans l’ordre, de haut en bas. Nous poursuivrons donc avec la configuration des fonctionnalités.

Configurez les fonctionnalités de Solid Security

Cette section est l’une des plus importantes des réglages du plugin. Elle permet de configurer divers éléments importants comme la 2FA, les pares-feux et les analyses de sécurité.

Sécurisation de connexion

Le premier onglet de cette section concerne la connexion de utilisateurs et l’authentification à deux facteurs. Si vous ne l’avez pas activé à l’étape précédente, on vous recommande de le faire dès maintenant. Pour ce faire, il vous suffit de cocher la case à cet effet au haut de la fenêtre.

Vous pouvez ensuite définir les méthodes d’authentification acceptés. On vous recommande, tout comme les développeurs, d’accepter toutes les méthodes. Vous pouvez ensuite définir le message envoyer aux utilisateurs lors de la configuration de la 2FA.

ATTENTION quand vous activez la 2FA, c’est important de bien noter les informations et les codes de récupération. Une fois que c’est fait, on vous recommande de vous rendre dans les comptes utilisateurs de la section Solid Security. Vous pouvez alors en profiter pour réinitialiser les mots de passe des autres utilisateurs et administrateurs (et les déconnecter). Cela forcera aussi l’activation de la 2FA lors de la reconnexion.

Pour ce faire, sélectionner tous les comptes ayant comme rôle Administrateur et Éditeur (sauf le vôtre). Cliquez sur le bouton Action rapides dans la barre supérieure et choisissez ensuite Forcer la réinitialisation du mot de passe. Une fois que c’est fait, cliquez maintenant sur Forcer la déconnexion. Vous pouvez ensuite vérifier en cliquant sur Examiner les modifications pour suivre la procédure en cours.

Pare-feu

Le second onglet des fonctionnalités concerne les pares-feux proposés par Solid Security. Contrairement à la section du même nom au cours de la configuration de base, vous verrez cette fois quatre options au lieu de trois.

On vous recommande d’activer toutes ces mesures de sécurité. Chacun de ces pare-feu joue un rôle spécifique et contribue à protéger votre site WordPress.

Analyse du site

Solid Security propose une solutions qui permet de contrôler les modifications aux fichiers du site. Cette fonctionnalité n’est toutefois pas dépourvue d’enjeux. Pour un utilisateur qui ne s’y connait pas trop, cela peut rapidement porter à confusion.

Le fait est quotidiennement, lors de diverses mises à jour, des changements sont apportés à certains fichiers. Il est possible de créer des exclusions mais, le processus n’est pas nécessairement simple ou intuitif.

Surtout, avant d’exclure quoi que ce soit, il vaut mieux réellement être certain de ce que vous faites. Bien sûr, le tri est généralement plus simple si vous avez plusieurs sites / sous-domaines au sein du même site.

Si vous activez ces notifications, il ne faut pas s’affoler chaque fois que vous recevez un courriel de à propos d’un fichier modifié. Vous en recevrez sans doute beaucoup. Contentez-vous plutôt de jeter un coup d’œil, et vous assurer que ce sont des changements normaux.

Utilitaires

Le dernier onglet des fonctionnalités concernes les utilitaires de Solid Security.  Vous y trouverez trois éléments distincts, concernant différentes mesures de sécurités.

Forcer le SSL

Le premier point est appelé Forcer le SSL. Cette fonctionnalité est très pratique, mais peut parfois jouer des tours. Si votre site n’utilisais pas déjà le protocole sécurisé HTTPS, la redirection forcée peut résulter en une catastrophe. On vous recommande donc de ne pas activer cette fonctionnalité du plugin.

Sauvegarde de la base de données

L’élément suivant concerne la Sauvegarde de la base de données. Cette option peut elle aussi se révéler une épée à double tranchant. Si votre base de donnée est volumineuse, la sauvegarde sera elle aussi énorme. Avant d’activer cette option, on vous recommande donc de vérifier le système de sauvegarde mis en place par votre hébergeur web. Vérifiez également les conditions d’utilisation de votre service, car certains hébergeurs n’autorisent pas le stockage des sauvegardes sur l’espace disque de leurs forfaits.

Notez également que plusieurs bases de données sont également trop grosse pour être envoyé par email, ce qui complique la sauvegarde. Idéalement, la sauvegarde de la base de données est une tâche qui devrait toujours être programmée de nuit (via wp-cron).

Conserver seulement 3 sauvegardes est généralement suffisant. Dans le cas d’une boutique en ligne,  il peut toutefois être approprié d’aller jusqu’à 7. On vous recommande de choisir l’option de sauvegarde par Fichier plutôt que par email, surtout si votre site est de moyenne à grande taille.

Vérification de sécurité pro

Finalement, vous pouvez activer la Vérification de sécurité pro si vous ne l’avez pas fait la première fois.

Vous pouvez maintenant enregistrer les changements apportés à cette section, avant de poursuivre avec la suite. La section Groupe est la même que celle que l’on a déjà vu. Vous pouvez le revisiter, pour vous assurez que tout est correct, mais nous ne la traiterons pas en détails une seconde. Nous passerons dons à la section suivante.

Notifications

Si vous le souhaitez, vous pouvez personnalisé les différents messages envoyés par Solid Security. Le menu des notifications est subdivisé de manière à vous permettre de trouver facilement les éléments désirés.

Voyons donc brièvement ce que vous trouverez dans ces sections.

Rapport de sécurité

Le rapport est une option très utile en cas d’attaque. Cette option permet d’éviter d’être submergé de e-mails et de notifications si les problèmes se multiplient soudainement. Le plugin accumule alors les données pour les réunir en un seul rapport complet.

On vous recommande d’activer cette option. La fréquence quotidienne est également correcte en règle générale.

Verrouillage du site

Les section suivantes concernent différentes notifications. Vous pouvez d’abord choisir de les activer, ou pas. Vous pouvez ensuite personnalisé le sujet et les destinataires. Vous pouvez notamment ajuster les notification pour les blocages et verrouillages.

E-mail de double authentification et E-mail de confirmation, et notification de rappel

Les options sont les mêmes pour le reste des options de notifications. Vous pouvez toutes les personnalisées une par une, ou passer immédiatement à la section Avancé.

Paramètres avancés

Il est maintenant temps de passer à la toute dernière étape de la configuration. La section Avancé est néanmoins très importante, et offre de nombreuses options intéressantes.

Ajustements système

Solid Security propose plusieurs ajustements pouvant augmenter la sécurité de votre site WordPress. On vous recommande fortement d’activer chacune de ces mesures.

Ajustements WordPress

Les choix fait à ce niveau peuvent avoir un impact assez important. C’est pourquoi on vous suggère de faire une sélection très spécifique parmi les options proposées.

Tout d’abord, on vous conseille de désactiver l’éditeur de code, qui peut représenter un menace.

Accès API

Le protocole XML-RPC doit absolument être activer dans le premier champs, pour offrir au site un accès à des ressources externes.

Ensuite, il est important de décocher la case Autoriser les tentatives d’authentification multiples par XML RPC si elle est coché. Cette option peut ouvrir une faille béante que les pirates pourraient exploiter.

Au niveau de l’API REST, assurez-vous de sélectionner l’option accès restreint.

Utilisateurs

Cette section détermine les règles que vous souhaitez imposer aux utilisateurs. Elle a un peu moins d’impact sur la sécurité du site web, alors on vous laisse déterminer quelles options vous préférez.

Déplacer la page de connexion

La page de connexion par défaut des site WordPress suit toujours la même structure. Il suffit donc aux pirates d’ajouter eux aussi /wp-login/ ou /wp-admin/ au nom de domaine pour accéder à la page de connexion.

Par mesure de sécurité, on vous conseille donc fortement de modifier cette URL, afin de rendre l’accès plus difficile aux bots et aux pirates. Pour ce faire, il vous suffit de cocher la case à cet effet.

Bien entendu, il est important de prendre note de votre nouvelle URL de connexion. Après tout, l’ancienne URL  sera redirigé vers la page de votre choix, plutôt que vers la page de connexion. On vous recommande d’ailleurs de rediriger ces visiteurs vers votre page d’accueil.

Pour accéder à votre tableau de bord d’administration, il vous faudra désormais utilisé le « slug » /letextechoisi/ plutôt que /wp-admin/ ou /wp-login/.

Vous pouvez désormais enregistrer vos changements, et vous féliciter d’avoir terminer la configuration.

Vérification finale

Une fois que vous avez terminé la configuration, on vous recommande de vous assurer que tout fonctionne bien.

Pour ce faire, il est préférable d’ouvrir un onglet en navigation privé dans votre navigateur, et tester la nouvelle configuration. Vérifier par exemple que la connexion de fait bien à la nouvelle URL, et que la 2FA est bien en place.

Finalement, une dernière étape, on vous recommande de vous rendre dans la sections Outils du tableau de bord et de lancer chacun des outils pour bien sécuriser le site. Par contre, attention, pour la modification du préfixe.

Il faut s’assurer de le faire que si le site utilise wp_ et que si vous avez une sauvegarde de sa base avant de procéder. Dans une autre cas, sinon, on déconseille fortement.

Pour conclure sur le plugin Solid Security pour WordPress

Si vous désirez augmenter la sécurité de votre site WordPress, le plugin Solid Security est une excellente solution. Sa gamme complète de fonctionnalités fournie une protection très efficace contre plusieurs types de menaces.

Bien entendu, il faut prendre soin de bien configurer la 2FA, l’analyse des IP et la sélection de pares-feux afin de jouir d’une pleine protection. Ces efforts en valent toutefois la peine, car ils renforcent grandement la sécurité de vos données et de celles de vos utilisateurs.

Nous espérons que cet article vous a plus et vous a aidé à. Si c’est le cas, nous vous enjoignons à consulter nos autres articles et tutoriels sur tout ce qui concerne WordPress.