Examen de la sécurité tout-en-un : analyse approfondie des avantages et des inconvénients - MalCare

Si vous recherchez un examen de la sécurité tout-en-un, vous espérez peut-être savoir si le plug-in est efficace pour protéger votre site Web contre les menaces telles que le piratage, les logiciels malveillants et d'autres vulnérabilités de sécurité. Vous voudrez peut-être également en savoir plus sur ses fonctionnalités et sa facilité d'utilisation, ainsi que sur sa compatibilité avec d'autres plugins et thèmes WordPress.

Nous avons testé All-In-One Security sur plusieurs sites, ce qui nous a permis d'évaluer ses performances et sa compatibilité sur une gamme de configurations. Notre examen est impartial et basé sur nos connaissances en tant qu'experts en sécurité. Notre objectif est de fournir un examen complet et fiable.

Cet examen approfondi fournira des informations précieuses sur ces domaines, vous aidant à prendre une décision éclairée pour savoir si All-In-One Security est la bonne solution de sécurité pour votre site Web.

Les 3 fonctionnalités les plus annoncées de la sécurité tout-en-un sont : la protection de la connexion, le pare-feu et la protection du contenu. Protection de connexion ? Ne fonctionne pas trop bien et est sujet aux erreurs. Pare-feu? Pas une bonne configuration. Protection du contenu ? Fondamentalement, des fonctionnalités anti-spam qui sont décentes. Dans l'ensemble, c'est loin d'être un plugin de sécurité. MalCare est une bien meilleure alternative. Il dispose d'un excellent scanner, d'une suppression des logiciels malveillants en un clic et d'un puissant pare-feu.

Aperçu

All-In-One Security n'est pas le plugin de sécurité complet qu'il prétend être. Au lieu de cela, il s'agit simplement d'un plugin anti-spam avec au mieux quelques fonctionnalités de sécurité médiocres, et quelques-unes qui sont complètement absentes ou non fonctionnelles.

Il y a cependant de bonnes nouvelles. La fonction de protection du contenu permet de se protéger contre le spam. Il existe une fonction d'authentification à deux facteurs pour plus de sécurité et vous pouvez limiter les connexions, ce qui empêche tout accès non autorisé. Le manque de charge sur le serveur du site et l'absence d'alertes excessives sont un plus.

Maintenant, parlons du mal. La version gratuite de All-In-One Security n'inclut pas de scanner, nous n'avons donc pas pu tester cette fonctionnalité. Nous ne pouvons donc pas nous prononcer sur son efficacité. Il n'y a pas non plus de détection de vulnérabilité, de nettoyeur de logiciels malveillants ou de service de nettoyage. Le pare-feu dépend fortement du fichier .htaccess et semble se limiter à bloquer certaines catégories de robots malveillants. Les fonctionnalités de durcissement sont correctes, mais rien que vous ne puissiez obtenir aussi facilement à partir d'un plugin plus petit.

Nous suggérons uniquement d'installer All-In-One Security pour les fonctionnalités anti-spam, bien que nous préférions CleanTalk ou même Akismet à cette fin. Le plugin nous rappelle en fait iThemes à certains égards. La multitude de paramètres sur la page wp-admin semble tenter de masquer le fait que le plugin manque de valeur réelle. Nous ne recommandons pas du tout ce plugin en tant que plugin de sécurité.

Fonctions de sécurité critiques et sécurité tout-en-un

Chaque plug-in de sécurité viable doit avoir trois fonctionnalités non négociables : analyse des logiciels malveillants, protection par pare-feu et suppression des logiciels malveillants. All-In-One Security possède-t-il ces fonctionnalités ? Dans quelle mesure All-In-One Security gère-t-il ces fonctionnalités ?

Analyseur de logiciels malveillants

Nous n'avons pas pu tester la fonctionnalité d'analyse des logiciels malveillants car il s'agit d'une fonctionnalité premium. Cependant, selon leur site Web, ils utilisent leurs propres serveurs pour rechercher les logiciels malveillants, ce qui est une bonne pratique pour éviter de surcharger le site. Donc, c'est excellent.

Suppression des logiciels malveillants

Malheureusement, All-In-One Security ne fournit pas de fonction de nettoyage des logiciels malveillants ni de service de nettoyage professionnel. Ils offrent des conseils, mais ce n'est pas très utile. Donc, si votre site a été piraté, All-In-One Security ne sera d'aucune utilité.

Pare-feu

Cette fonctionnalité est venue avec une surprise.

All-In-One Security utilise le pare-feu 6G de Perishable Press, et c'est un peu dommage. Ils s'appuient fortement sur le fichier .htaccess pour les opérations et, même si nous aimons la puissance du fichier .htaccess, il n'est pas conçu pour faire le travail d'un véritable pare-feu. De plus, la 6G ne fonctionne que sur les serveurs Apache, car elle utilise le fichier .htaccess, elle est donc inutile pour les sites sur les serveurs nginx. Pas idéal !

La sécurité tout-en-un peut avoir des fonctionnalités de pare-feu. Vous pouvez mettre sur liste noire les adresses IP et les agents utilisateurs à partir du tableau de bord, si vous êtes assez courageux pour l'essayer.

Le pare-feu peut arrêter certains robots (spam, connexions par force brute et scrapers) et bloquer l'accès à certains fichiers. Il s'agit d'un type rudimentaire de protection contre les robots qui est censé empêcher les faux googlebots d'entrer, ce qui est formidable, mais il arrête également les véritables googlebots. Les sites ont signalé avoir perdu leur classement à cause du plugin.

Nous n'avons cependant pas rencontré ce problème de première main, et il est possible qu'il s'agisse d'un géoblocage mal appliqué. Nous ne sommes pas sûrs. Le blocage géographique lui-même est une fonctionnalité premium.

Caractéristiques de sécurité secondaires

Les fonctions de sécurité critiques n'étaient pas à la hauteur. De quelles autres fonctionnalités de sécurité All-In-One Security dispose (ou manque) ?

Protection de connexion

Il existe un tas de paramètres pour empêcher les attaques par force brute sur l'écran de connexion de l'utilisateur. Nous l'avons testé en essayant de forcer brutalement la page de connexion avec des mots de passe et des noms d'utilisateur incorrects, et cela a très bien fonctionné. Vous pouvez utiliser les autres paramètres pour modifier vos préférences, mais dans l'ensemble, cette fonctionnalité est l'une des meilleures versions que nous ayons vues pour limiter les connexions.

Il existe également un ensemble distinct de bascules spécifiquement pour la prévention de la force brute, dont l'une consiste à modifier l'URL de connexion. Il s'agit d'une mesure de durcissement, et particulièrement flagrante, qui se fait passer pour une prévention de la force brute.

De plus, il existe également une option de pot de miel, qui ne sera visible que par les bots. Vous pouvez l'activer pour rejeter automatiquement les enregistrements qui tombent dans le piège du pot de miel. Cette fonctionnalité permet d'empêcher les enregistrements de spam.

Détection de vulnérabilité

Il semble que All-In-One Security manque complètement de détection de vulnérabilité. La plupart des plugins de sécurité ont cette fonctionnalité intégrée à leur scanner de logiciels malveillants, nous avons donc supposé que ce serait dans la version premium. Mais, après avoir fait beaucoup de vérifications, il ne semble pas être là non plus.

Authentification à deux facteurs

La sécurité tout-en-un vous permet de configurer une authentification à deux facteurs (2FA) pour tous les types d'utilisateurs ou uniquement ceux que vous jugez les plus importants à sécuriser.

Cette bascule ajoute 2FA en option dans le profil utilisateur, et les utilisateurs peuvent choisir parmi une variété de mécanismes d'authentification. Dans l'ensemble, All-In-One Security 2FA est une fonctionnalité assez complète.

Journal d'activité

Le plugin a une fonction de journal de connexion, mais ce n'est pas le meilleur. Dans l'ensemble, il se sent un peu à moitié cuit. Il ne remplace pas un journal d'activité.

Caractéristiques de durcissement

Les mesures de durcissement ne sont jamais aussi efficaces qu'on pourrait le penser, peu importe le nombre d'articles de sécurité WordPress qui en parlent.

• La suppression de la version de WordPress ne protégera pas contre les vulnérabilités. La bonne solution serait de mettre à jour la version de WordPress.
• Une fonctionnalité encore plus inutile consiste à changer le préfixe de la base de données , ce qui ne fait que gâcher la structure de la base de données.
• La modification des autorisations de fichiers aurait été utile si les paramètres n'étaient pas aussi limités.
• La détection de changement de fichier a également une utilisation limitée.

Les seules exceptions réellement utiles sont la possibilité de désactiver l'accès à XML-RPC . Nous pensons également que l'outil de mot de passe d'All-In-One Security peut être utile.

Installation et configuration de la sécurité tout-en-un

Avons-nous déjà constaté un succès avec la mise en œuvre de fonctionnalités de sécurité ? Pas vraiment. Mais, en termes de convivialité, à quel point le processus d'installation et de configuration est-il simple ?

Installation

L'installation et l'activation ont été un jeu d'enfant, mais la configuration de notre sécurité était une toute autre histoire. Comme MalCare était déjà installé sur nos sites de test, nous ne pouvions pas simplement passer au pare-feu de sécurité tout-en-un. Nous avons dû aller dans le fichier .htaccess et remplacer le pare-feu MalCare par All-In-One Security. Cela signifiait que nous devions être en mesure de répertorier les fichiers cachés dans le terminal pour effectuer la modification.

Fait intéressant, cela n'a fonctionné que parce que nos sites sont sur des serveurs Apache. Je me demande ce qui se serait passé sur les serveurs nginx.

Il y a un score de sécurité pour notre site sur le tableau de bord. A première vue, c'était un peu décourageant. Le cadran sur le plugin indique que nous devrions avoir 505 points de sécurité, mais notre site en a 0. Nous aimons le système de notation, nous avons donc commencé à renforcer notre sécurité en activant les fonctionnalités de sécurité de base dans le menu des paramètres. Cependant, ces paramètres étaient dans l'ensemble assez inutiles, de sorte que le système de notation vous donne un faux sentiment de sécurité.

Facilité d'utilisation

La configuration du tableau de bord était assez facile, même s'il a fallu un certain temps pour parcourir toutes les options. La plupart d'entre eux n'ont pas vraiment eu d'impact significatif sur notre sécurité. Le plus gros problème que nous avons rencontré avec All-In-One Security était qu'il était trop facile de nous exclure de notre site en activant les mauvais paramètres.

Même changer l'URL de connexion (ce qui n'est pas du tout recommandé) n'était pas aussi efficace. Le plugin aide uniquement à changer le slug d'URL. Vous devez également apporter des modifications à d'autres parties du code pour qu'il fonctionne correctement.

Notifications et alertes

Il y a suffisamment d'alertes pour des choses importantes comme les utilisateurs verrouillés, etc. De plus, vous pouvez personnaliser les notifications que vous souhaitez recevoir.

Autres facteurs à considérer

Outre les fonctionnalités de sécurité, que devez-vous prendre en compte lorsque vous envisagez la sécurité tout-en-un ? Eh bien, vous voudrez vérifier l'impact du plugin sur votre serveur et la réactivité de l'équipe d'assistance lorsque vous avez besoin d'aide.

Impact sur les performances du site

Nous avons essayé la version gratuite de All-In-One Security et cela n'a pas bien fonctionné. Il n'a pas son propre scanner, c'est donc un plugin assez léger et n'a pas affecté les performances de notre site.

Aide et soutien

L'équipe All-In-One Security est très active sur le forum WordPress. Ils répondent à toutes les requêtes qui se présentent à eux. Malheureusement, il ne semble pas y avoir d'autre moyen de les contacter pour obtenir de l'aide.

Tarification

Pour 70 $ par an pour deux sites, All-In-One Security n'est pas une mauvaise affaire à première vue. Mais gardez à l'esprit que vous n'obtenez aucun nettoyage et que la suppression des logiciels malveillants entraînera un coût supplémentaire. Nous ne pouvons pas non plus dire à quel point le scanner est efficace.

Meilleures alternatives à la sécurité tout-en-un

All-In-One Security est-il le meilleur plugin de sécurité ? Non. Alors, quelles sont vos meilleures options ?

• MalCare : MalCare est la meilleure alternative. Il dispose d'un excellent scanner et d'un pare-feu, et n'aura aucun effet sur votre serveur. Il est également facile de supprimer les logiciels malveillants et fournit une solution de sécurité complète pour votre site.
• Wordfence : La version gratuite de Wordfence fournit de formidables fonctionnalités de sécurité telles qu'un scanner et un pare-feu, ce dernier étant constamment mis à jour. Cependant, si un matériel nocif est détecté, une mise à niveau vers un plan plus coûteux sera nécessaire pour l'éliminer.
• Sucuri : Sucuri est une excellente option pour une élimination complète des logiciels malveillants. Avec tous leurs plans payants, les utilisateurs ont accès à des services de suppression de logiciels malveillants illimités. Cependant, un inconvénient est que le scanner n'est pas génial, il est donc crucial d'être vigilant quant à tout problème de logiciel malveillant potentiel avant d'utiliser la fonction de suppression.

Comment choisir un plugin de sécurité pour WordPress ?

Avec autant de plugins de sécurité WordPress disponibles sur le marché, il peut être écrasant de parcourir toutes les critiques et comparaisons, en particulier avec tout le jargon qui les accompagne. Cependant, choisir le bon plugin de sécurité est crucial pour protéger votre site Web contre les menaces potentielles et assurer son bon fonctionnement. Dans cette section, nous détaillerons les principales fonctionnalités et facteurs à prendre en compte lors de votre choix, ce qui vous permettra de choisir plus facilement le meilleur plugin de sécurité pour votre site Web WordPress.

• Scanner de logiciels malveillants : Un scanner de logiciels malveillants est important car il aide à détecter tout code malveillant qui aurait pu être injecté dans votre site WordPress. De plus, des analyses régulières peuvent aider à garantir que votre site reste sécurisé et protégé contre les attaques potentielles.
• Suppression des logiciels malveillants : les logiciels malveillants peuvent endommager ou corrompre des fichiers, voler des informations personnelles ou sensibles, ralentir ou planter votre site, et même permettre aux pirates d'y accéder. Les logiciels malveillants peuvent également rendre votre site Web vulnérable à de nouvelles attaques et compromettre la sécurité des informations de vos visiteurs. Il est important de supprimer les logiciels malveillants dès que possible pour éviter qu'ils ne se propagent et ne causent davantage de dommages.
• Pare-feu : en matière de sécurité, un pare-feu est comme un filtre. C'est une protection qui empêche les logiciels malveillants, les robots malveillants et bien plus encore. Le meilleur pare-feu est celui qui est constamment mis à jour et qui peut faire la différence entre le bon et le mauvais trafic.
• Détection des vulnérabilités : les pirates sont toujours à l'affût des moyens d'accéder à votre site via des plugins et des thèmes. C'est pourquoi les plugins et les thèmes sont fréquemment mis à jour pour corriger les vulnérabilités de sécurité. Un scanner de vulnérabilité vous alerte chaque fois qu'une vulnérabilité est détectée, vous donnant la possibilité de la corriger ou d'en informer les développeurs.
• Authentification à deux facteurs : L'authentification à deux facteurs est une couche de sécurité supplémentaire qui oblige les utilisateurs à fournir deux façons différentes de confirmer leur identité. Cela pourrait inclure un mot de passe et un code supplémentaire envoyé sur leur téléphone ou par e-mail. Cela en fait une bonne fonctionnalité de sécurité à avoir.
• Protection de la connexion : les attaques par force brute sont des tentatives automatisées de s'introduire dans votre compte en devinant au hasard votre nom d'utilisateur et votre mot de passe. Pour les empêcher d'entrer, vous devez installer un plugin avec des fonctionnalités de protection de connexion. Par exemple, vous pouvez définir le nombre de tentatives de connexion erronées qui déclenchent un verrouillage.
• Journal d'activité : un journal d'activité est un excellent moyen de surveiller ce qui se passe sur votre site. Il garde une trace de toutes les activités et événements qui se produisent sur votre site. De cette façon, vous pouvez facilement identifier tout comportement inhabituel qui pourrait indiquer un logiciel malveillant. C'est également un excellent moyen de vérifier qui a accédé et modifié votre site, afin que vous puissiez garder le contrôle.
• Impact sur le serveur : les plug-ins de sécurité peuvent peser lourdement sur les ressources de votre serveur. Cela ralentira votre site et, à son tour, affectera votre classement ou votre expérience client. C'est pourquoi il est important qu'un plugin de sécurité recherche les logiciels malveillants sur son propre serveur. MalCare, par exemple, est conçu pour n'utiliser aucune de vos ressources.

Dernières pensées

All-In-One WordPress Security est un plugin qui fournit de bonnes fonctionnalités comme l'anti-spam et l'authentification à deux facteurs. Cependant, il n'inclut pas les fonctionnalités de sécurité critiques telles qu'un scanner de logiciels malveillants, la suppression de logiciels malveillants ou un pare-feu. Par conséquent, nous vous recommandons d'investir dans un plugin de sécurité plus complet comme MalCare pour vous assurer que votre site Web est correctement protégé.

FAQ

Quels sont les paramètres du pare-feu de All-In-One WP Security ?

All-In-One WordPress Security utilise le pare-feu 6G de Perishable Press, qui dépend du .htaccess et ne fonctionne donc que sur les serveurs Apache. Le pare-feu est efficace pour arrêter les bots malveillants, mais peut aussi parfois arrêter googlebot. Il permet également aux utilisateurs de mettre sur liste noire les adresses IP et les agents utilisateurs à partir du tableau de bord.