SecuPress un bon plugin de sécurisation pour WordPress

 

Un novice vous parle de SecuPress dans sa version Pro

Comme à mon habitude où je ne fais rien académiquement, j’ai découvert SecuPress.me un plugin de sécurisation pour WordPress. Il existe dans une version gratuite et fait sans doute déjà bien son travail mais j’ai décidé d’acheter la version payante par abonnement annuel. Je me suis dit «  autant avoir la totale » pour la sécurisation de mon site web.

Les modules de SecuPress

Comme beaucoup de plugin, SecuPress se décompose sous la forme de modules

les modules SecuPress

les modules SecuPress

On y trouve un certain nombre de cases à cocher ou non. Le plus souvent on trouve une explication succincte et pas toujours compréhensive par le commun des mortels.

Sur cette copie d’écran, vous pouvez voir à gauche, les différents modules. Il faut cliquer sur chaque module pour accéder aux détails et aux filtres. L’image vous montre le 1er module : Utilisateurs & Login

C’est d’ailleurs avec ce module dans lequel j’avais presque tout cochévalidé que je me suis fait piégé tout seul.

Je vous explique

J’ai changé, sans savoir exactement ce que je faisais, l’adresse de connexion de ma page d’administrationLe tableau de bord, je n’ai pas pu accéder à mon admin WordPress pendant 2 jours.

C’est vrai, il est expliqué partout que pour accéder à un tableau de bord d’un site WordPress, il faut écrire dans la base d’adresse le nom de domaine, suivi de wp-admin.php.

J’avais cette adresse dans mes favoris et il me suffisait de cliquer pour ouvrir ma page d’identification pour mon tableau de bord.

Et bien, l’adresse n’était plus valable.

Je viens de retrouver l’accès à mon tableau de bord en recherchant une vieille page en cache.

Donc, tout ça pour vous dire que ce plugin est puissant et qu’il vaut mieux ne pas tout cocher les différents modules de sécurisation de SecuPress si vous ne savez pas exactement ce que vous faites.

Certains disent que la version gratuite est suffisante, je ne pourrai hélas, pas vous le confirmer puisque je suis novice en la matière.

On peut reprocher qu’il n’y ait pas un bon tuto bien détaillé concernant l’utilisation de cet excellent plugin mais, sans doute que ça viendra!

Voici pour finir une autre copie d’écran. Le scan et la note de mon site web. J’ai eu un B et pas uncar, le plugin a repéré que je n’ai pas parfaitement protégé mon site.

Je vous ai expliqué pourquoi dans cet article.

Si vous agrandissez mes copies d’écran, vous verrez que SecuPress me dit :  » que mon système de connexion n’est pas assez fort et que j’aurais besoin d’un système de double authentification« , chose qui est faite maintenant.

La double authentification nous fait sans doute perdre 30 secondes de plus mais c’est un plus, on s’habitue très vite. Elle consiste à donner au moins 2 E-mails et à valider un lien dans notre boîte de réception pour acéder au tableau de bord WordPress.

Pour avoir un A il faudrait encore faire une chose manuellement que je n’ai pas encore osé faire, vu mon faible niveau dans le paramétrage de mon CPanelcPanel est un outil permettant de gérer son serveur dédié de manière graphique. Il permet en quelques clics de configurer un nouvel utilisateur pour lequel sera créé automatiquement un accès FTP, un accès SSH, ainsi qu’un Vhost Apache..

Je dois changer le préfix des tables de WordPress qui est par défaut :  » wp_« . J’ai pourtant trouvé un excellent tutoriel sur wpchannel. Pour celles et ceux qui feront le changement, ils pourrons espérer atteindre la note supprême de A dans SecuPress.

scan SecuPress

Résultat d’un scan SecuPress

Explications sur le déplacement de sa page de connexion

Formulaire connexion

Formulaire de connexion SecuPress

Je viens de recevoir une réponse du staff de SecuPress concernant mon problème, résolu depuis.

Pour la plupart d’entre nous qui travaillons avec WordPress, nos pages de connexion on toujours l’extension : wp-admin.php et les robots ou les malfaisants n’on plus qu’à rechercher l’identifiant et le mot de passe. On peut leur compliquer la tâche en déplaçant l’adresse de notre tableau de bord.

Il suffit de remplir le champs de «  login » et de mettre un autre mot.

Extrait du mail que j’ai reçu :

-« Vous n’êtes pas obligé de modifier les valeurs dans ces champs mais c’est conseillé sinon les URLs seront facilement devinables.
Par exemple si vous laissez « login » pour le champs « Connexion », l’URL pour se connecter sera example.com/login au lieu de example.com/wp-login.php. À la place vous pouvez mettre par exemple « bonjour », ce qui donnera doncexample.com/bonjour.« 

Conclusion :

Ce petit article n’a pas pour but de dénigrer SecuPress, il s’adresse aux novices qui veulent adopter ce plugin de sécurisation. Il n’est pas à mettre entre toutes les mains car il est vraiment très puissant. Dans ce court article, vous ne pourrez pas y lire un vrai, un bon tutoriel sur comment bien se servir de SecuPress. Ce n’était pas le but. J’espère que les concepteurs de SecuPress penseront, lorsqu’ils auront le temps ou le désir, de nous gratifier d’un bon tutoriel, module par module.

 

, ,

Pas de commentaires pour le moment.

Laisser un commentaire

9b26daff6122ec335c27e5ec8cfee966HHHH