Vous recherchez un avis sur All-In-One Security (AIOS) pour vous aider à décider si c'est le bon plugin de sécurité pour vous ?
AIOS est une solution tout-en-un qui peut protéger votre site contre les attaques par force brute, les logiciels malveillants, le scripting inter-sites (XSS) et d'autres menaces de sécurité courantes. Il est doté d'un pare-feu intégré et d'un blocage d'IP, promettant ainsi d'empêcher les pirates d'atteindre votre site.
Dans cet avis sur All-In-One Security (AIOS), nous examinerons de plus près ce plugin de sécurité populaire pour voir s'il convient à votre site WordPress.
Avis sur All-In-One Security : pourquoi l'utiliser sur WordPress ?
All-In-One Security (AIOS) est un plugin populaire d'audit de sécurité, de surveillance et de pare-feu. Il peut protéger votre site contre un large éventail de menaces de sécurité, y compris les attaques par force brute, les logiciels malveillants et le vol de contenu.
En particulier, son pare-feu peut filtrer le trafic suspect avant même qu'il n'atteigne votre site Web. Si des pirates informatiques parviennent à contourner le pare-feu, il dispose d'une multitude de fonctionnalités pour protéger votre tableau de bord, notamment la modification de l'URL de connexion et du préfixe de la base de données, et l'exigence d'une authentification à deux facteurs (2FA).
Si un tiers malveillant accède à votre tableau de bord, AIOS enregistre tout ce qui se passe sur votre blog WordPress. Cela vous aide à repérer rapidement les comportements suspects afin que vous puissiez prendre des mesures pour protéger votre site.
Si vous débutez ou si votre budget est limité, vous pouvez télécharger la version lite d'AIOS depuis le répertoire officiel de WordPress.
Ce plugin gratuit dispose de fonctionnalités essentielles pour combattre le spam de commentaires et sécuriser votre tableau de bord avec une authentification à deux facteurs. Il crée également un journal d'audit détaillé et vous informe des comportements suspects.
AIOS peut même protéger votre site contre les voleurs de contenu en désactivant les flux RSS et Atom, et en empêchant les utilisateurs de faire un clic droit sur votre site.
Cependant, le plugin premium est livré avec des fonctionnalités supplémentaires, notamment un scanner de sécurité, la possibilité de bloquer le trafic en fonction du pays d'origine, et plus encore.
Avis sur All-In-One Security : est-ce le bon plugin de sécurité pour vous ?
La sécurité WordPress est un sujet important pour tous les propriétaires de sites Web. Même si vous débutez ou si vous n'avez pas beaucoup de trafic, de nombreuses attaques sont effectuées à l'aide de bots et de scripts automatisés. Cela signifie que chaque site Web, blog et boutique en ligne est une cible potentielle.
Cela dit, voyons si AIOS est le bon plugin de sécurité pour votre site Web WordPress.
1. Protéger contre les attaques par force brute
AIOS peut aider à défendre votre site contre les attaques par force brute en bloquant automatiquement une adresse IP après un certain nombre de tentatives de connexion échouées. Dans les paramètres du plugin, vous pouvez définir le nombre maximum de tentatives de connexion avant que l'utilisateur ne soit bloqué de son compte, modifier la période de blocage, et plus encore.
Parfois, les robots génèrent de nombreuses erreurs 404 lorsqu'ils recherchent des failles de sécurité sur votre site. Cela dit, AIOS peut surveiller votre site et bloquer automatiquement les adresses IP qui génèrent un nombre inhabituel d'erreurs 404.
Enfin, AIOS peut bloquer le trafic en fonction du pays d'origine. Si vous activez cette fonctionnalité, vous pouvez ajouter des adresses IP ou des plages d'adresses IP spécifiques à la liste blanche dans les paramètres du plugin, même si elles font partie d'un pays bloqué.
2. Activez l'authentification à deux facteurs (2FA)
AIOS vous permet d'ajouter l'authentification à deux facteurs à WordPress en utilisant des outils tels que Google Authenticator, Microsoft Authenticator et Authy.
Cette authentification à deux facteurs est compatible avec WooCommerce, vous pouvez donc même l'ajouter à votre place de marché en ligne.
Vous pouvez limiter cette fonctionnalité à des rôles spécifiques, ou même rendre l'authentification à deux facteurs obligatoire pour certains rôles d'utilisateur. Par exemple, vous pourriez imposer l'authentification à deux facteurs à toute personne ayant un rôle d'administrateur ou d'éditeur.
Vous pouvez également demander aux nouveaux utilisateurs d'activer la protection à deux facteurs après une certaine période, par exemple une semaine après la création de leur compte.
Pour en savoir plus sur ce sujet, veuillez consulter notre guide sur la gestion sécurisée des mots de passe.
3. Scanner de logiciels malveillants
Les logiciels malveillants peuvent avoir un impact important sur l'expérience des visiteurs et votre SEO. Dans le pire des cas, les moteurs de recherche comme Google peuvent même mettre votre site sur liste noire s'il contient des logiciels malveillants.
Cela dit, vous serez heureux d'apprendre qu'AIOS est livré avec un scanner de logiciels malveillants. Cet outil vous informera de tout code suspect qu'il découvre sur votre site web.
De plus, AIOS surveillera l'état de votre site auprès des moteurs de recherche. Généralement, si vous êtes mis sur liste noire, il y a un problème sérieux avec votre sécurité WordPress, donc AIOS vous en informera immédiatement.
4. Protéger contre le spam de commentaires
Les commentaires de spam peuvent nuire à l'expérience utilisateur et même endommager votre SEO WordPress.
Cela dit, AIOS peut bloquer les commentaires provenant d'autres domaines. Selon vos paramètres, AIOS peut même mettre à la corbeille et supprimer ces commentaires, de sorte que vous ne les voyez jamais.
AIOS bloquera également automatiquement les adresses IP liées à des spammeurs connus.
5. Scanner de sécurité automatisé
AIOS est livré avec un scanner de sécurité intégré qui vérifiera votre site pour détecter les modifications de fichiers et vous avertira s'il trouve quelque chose de suspect. Vous pouvez effectuer ce scan manuellement ou le configurer pour qu'il s'exécute automatiquement selon un calendrier que vous définissez.
6. Pare-feu d'application Web (WAF)
Un pare-feu peut protéger votre site contre le piratage, les attaques par force brute et les attaques par déni de service distribué (DDoS). La bonne nouvelle est qu'AIOS est livré avec un pare-feu d'application Web (WAF) intégré.
Il utilise les règles de pare-feu « 6G Blacklist », qui protègent votre site contre les requêtes d'URL malveillantes connues, les bots, les référeurs spam et autres attaques. AIOS peut même protéger votre site contre les bots qui se font passer pour des robots d'exploration Google.
De nouvelles menaces de sécurité sont découvertes en permanence. Cela dit, l'équipe d'AIOS maintient une liste d'exploits connus et les publie sous forme de nouvelles règles de pare-feu, afin que vous puissiez être assuré que votre site est protégé contre les dernières menaces de sécurité connues.
7. Changer l'URL de connexion
WordPress alimente plus de 40 % des sites Web, ce qui en fait la plateforme CMS la plus populaire. Cependant, cette popularité en fait également une cible attrayante pour les pirates. Dans cet esprit, les bots et les scripts automatisés peuvent tenter de s'introduire sur votre site en utilisant des URL de connexion courantes telles que wp-admin et wp-login.
Avec AIOS, vous pouvez choisir une URL de connexion personnalisée à la place. Immédiatement, cela rend plus difficile pour les pirates de trouver votre page de connexion et de la cibler à l'aide d'attaques par force brute.
8. Forcer les déconnexions
Pour une sécurité accrue, il est conseillé de déconnecter automatiquement les utilisateurs après une certaine période. Ceci est particulièrement important si ces personnes peuvent accéder au tableau de bord WordPress sur des ordinateurs partagés, ou si vous autorisez l'enregistrement d'utilisateurs sur votre site WordPress.
Avec AIOS, vous pouvez forcer la déconnexion des utilisateurs en fonction d'un calendrier que vous définissez.
9. Approuver les comptes manuellement
Autorisez-vous l'enregistrement d'utilisateurs sur votre site WordPress ? Par exemple, vous pourriez accepter des articles invités ou permettre aux clients de créer un compte sur votre boutique WooCommerce.
Malheureusement, des pirates et des robots pourraient tenter de créer des comptes de spam sur votre site, afin d'obtenir un accès au tableau de bord ou à d'autres zones réservées aux membres.
Avec AIOS, vous pouvez marquer les nouveaux comptes comme « en attente » jusqu'à ce que vous les approuviez manuellement dans le tableau de bord WordPress.
Pour chaque compte, AIOS affiche le nom de connexion, la date d'enregistrement, l'adresse e-mail, le statut du compte et l'adresse IP, afin que vous puissiez prendre une décision éclairée quant à savoir s'il s'agit d'un nouvel utilisateur légitime, ou d'un enregistrement de spam.
10. Générateur CAPTCHA
Les pages de connexion et d'inscription de votre site sont une cible de choix pour les pirates, les spammeurs et les attaques par force brute. Cela dit, AIOS vous aide à sécuriser ces pages en générant un CAPTCHA puis en l'ajoutant à vos différents formulaires.
Mieux encore, vous avez la possibilité d'utiliser Cloudflare Turnstile, Google reCAPTCHA v2 ou un simple formulaire CAPTCHA mathématique.
11. Activer le pot de miel
Pour aider à garder votre site en sécurité, AIOS est livré avec une fonctionnalité de pot de miel. Lorsqu'il est activé, ce pot de miel ajoute un champ qui n'est visible que par les bots sur vos pages de connexion et d'inscription.
Si ce champ contient une valeur lors de la soumission du formulaire, AIOS redirigera cet utilisateur au lieu de lui permettre de se connecter à votre site Web.
12. Renommer les comptes « Admin »
Lorsque vous installez WordPress, il crée généralement un compte nommé « admin ». Comme de nombreux sites WordPress ont un compte « admin », de nombreux pirates informatiques l'utilisent comme point de départ pour leurs attaques par force brute.
Si quelqu'un utilise le nom d'utilisateur « admin » sur votre site, il est préférable de le changer. La bonne nouvelle est qu'AIOS peut trouver tous les comptes portant le nom d'utilisateur « admin » et inviter l'utilisateur à le remplacer par un autre nom.
Pour une sécurité supplémentaire, AIOS peut également identifier les personnes qui utilisent le même nom d'affichage et nom d'utilisateur, et leur demander de changer leur nom d'utilisateur.
13. Bannir des adresses IP
Bloquer une adresse IP d'accéder à votre site Web est un moyen efficace de traiter les visiteurs indésirables, le spam de commentaires, le spam d'e-mails, les tentatives de piratage, et les attaques DDoS. Cela dit, avec AIOS, vous pouvez rapidement et facilement bannir des adresses IP spécifiques, des plages d'adresses IP et des agents utilisateurs.
14. Protéger contre le vol de contenu
Des tiers peuvent voler votre contenu et soit le republier sans votre permission, soit le vendre en tant que téléchargement numérique.
Pour vous en protéger, AIOS peut empêcher d'autres sites d'afficher votre contenu via un iframe. Il peut également désactiver le clic droit sur votre site WordPress, ce qui rend plus difficile le vol de vos images.
Au-delà des images, les robots peuvent utiliser les flux RSS et Atom pour extraire le contenu de votre site Web et le présenter comme le leur. Parfois, ils peuvent même coller ce contenu directement sur un autre blog ou site Web.
Pour vous en prémunir, AIOS peut désactiver les flux RSS et Atom pour votre site WordPress.
15. Désactiver le hotlinking
Certaines personnes peuvent voler vos images en les chargeant depuis vos serveurs, puis en les affichant sur des sites Web tiers sans votre permission. Cela augmente la charge de votre serveur et l'utilisation de votre bande passante, ce qui peut même vous coûter de l'argent.
La bonne nouvelle est qu'AIOS empêche le hotlinking, vous pouvez donc protéger vos œuvres d'art numériques et graphiques contre le vol d'images, et économiser les ressources de votre serveur.
16. Outil de force des mots de passe
Les mots de passe faibles rendent votre site vulnérable aux attaques par force brute. Pour aider vos utilisateurs à créer des mots de passe forts et sécurisés, AIOS est doté d'un vérificateur de force de mot de passe intégré.
Cet outil AIOS calcule le temps qu'il faudrait à quelqu'un pour casser votre mot de passe en utilisant un PC de bureau modèle actuel avec un processeur haut de gamme, une carte graphique et un logiciel de craquage de mot de passe approprié.
17. Désactiver l'énumération d'utilisateurs
Par défaut, les utilisateurs peuvent rechercher les noms d'utilisateur de toute personne ayant publié une page ou article WordPress sur votre site web, via le permalien de l'auteur. Ces informations peuvent aider les pirates à lancer des attaques par force brute réussies, car ils n'ont besoin que du mot de passe pour accéder au compte d'une personne.
Avec AIOS, vous pouvez désactiver l'énumération des utilisateurs et empêcher les pirates d'obtenir une liste de noms d'utilisateur valides sur votre site web.
18. Sels supplémentaires
WordPress peut mémoriser les identifiants de connexion en stockant les détails d'authentification de l'utilisateur dans des cookies. Cependant, ces informations peuvent être compromises, surtout si la personne utilise un ordinateur public. C'est pourquoi WordPress utilise des clés de sécurité, ou clés de sel.
Ces clés de sel cryptographiques ajoutent des informations supplémentaires aux identifiants de connexion de l'utilisateur, ce qui offre une couche de sécurité supplémentaire. AIOS ajoute 64 nouveaux caractères aux sels WordPress standard et les modifie chaque semaine, ce qui rend encore plus difficile pour les pirates de voler les informations de connexion de l'utilisateur.
19. Désactiver XML-RPC
XML-RPC est une API WordPress qui vous permet d'interagir avec votre site Web en utilisant les protocoles XML et HTTPS. Par exemple, vous pourriez vouloir gérer votre site à l'aide d'une application mobile ou vous connecter à des services d'automatisation tels que Uncanny Automator.
Cependant, certains experts en sécurité WordPress recommandent de désactiver XML-RPC si vous ne l'utilisez pas réellement. Pour en savoir plus sur ce sujet, veuillez consulter notre guide sur comment désactiver XML-RPC dans WordPress.
Cela dit, AIOS peut bloquer complètement l'accès externe à XMLRP.
Alternativement, si vous utilisez Jetpack ou d'autres plugins qui ont besoin d'accéder à XML-RPC, vous pouvez alors activer la protection contre les vulnérabilités des pingbacks WordPress à la place.
20. Désactiver les éditeurs de fichiers
WordPress est livré avec un éditeur intégré qui vous permet de modifier vos fichiers de thème et de plugin directement dans le tableau de bord WordPress. Bien que ces éditeurs soient utiles, les pirates informatiques pourraient les utiliser pour ajouter du code malveillant à votre site Web, ou voler vos données.
Avec cela dit, vous pouvez désactiver ces éditeurs dans les paramètres de l'AIOS.
21. Préfixe de base de données personnalisé
L'AIOS peut vous aider à éviter les attaques automatisées en changeant votre préfixe de base de données de « wp_ » à une valeur aléatoire. Cela rendra plus difficile pour les pirates de trouver votre préfixe de base de données et d'exploiter les vulnérabilités de votre site Web WordPress.
Souvent, ce simple changement suffit à se protéger contre les attaques simples, en particulier les attaques automatisées. Cependant, sachez que les pirates peuvent toujours trouver votre préfixe de base de données par programmation, donc cela n'arrêtera pas les pirates plus déterminés.
22. Paramètres des autorisations
Les paramètres d'autorisation par défaut de WordPress sont assez sécurisés. Cependant, certains plugins WordPress peuvent modifier les paramètres d'autorisation des dossiers et fichiers principaux de WordPress, d'une manière qui les rend moins sûrs.
L'AIOS peut identifier les fichiers ou dossiers dont les paramètres d'autorisation ne sont pas idéaux. Vous pouvez ensuite corriger ces autorisations manquantes en un seul clic.
De plus, vous pouvez empêcher les utilisateurs externes d'accéder à vos fichiers readme.html, license.txt et wp-config-sample.php.
23. Journal d'audit détaillé
Si un pirate informatique parvient à accéder à votre site, il peut alors commencer à modifier le code de votre site web, installer de nouveaux plugins WordPress, supprimer du contenu et apporter d'autres modifications majeures. Cela dit, il est bon de surveiller exactement ce qui se passe sur votre site.
Ceci est également important si vous partagez le tableau de bord avec d'autres personnes. Par exemple, si vous gérez un blog WordPress multi-auteurs, un journal d'activité peut vous aider à identifier tout problème, à comprendre pourquoi il s'est produit et qui en est la cause.
La bonne nouvelle est qu'AIOS dispose d'un journal d'audit détaillé qui vous permet de surveiller les modifications et l'activité des utilisateurs, y compris le nom d'utilisateur de la personne, son adresse IP, ainsi que la date et l'heure de l'événement. Par exemple, il enregistrera chaque fois qu'un plugin ou un thème WordPress est installé, activé, désactivé et mis à jour.
Vous pouvez ensuite utiliser ces informations pour repérer les activités suspectes et sécuriser votre site web.
24. Surveillance de la réponse et de la disponibilité
Si votre site fonctionne lentement ou connaît des temps d'arrêt, vous voudrez le savoir dès que possible.
La bonne nouvelle est que AIOS peut surveiller votre site toutes les 5 minutes et vous avertir de tout temps d'arrêt ou problème de performance qu'il découvre. Pour en savoir plus sur ce sujet, veuillez consulter notre guide sur comment surveiller la disponibilité de votre serveur de site WordPress.
25. Mode maintenance
Parfois, vous voudrez empêcher les gens d'accéder à votre site. Par exemple, vous pourriez mettre votre site en mode maintenance pendant que vous apportez des changements majeurs tels que changer votre thème WordPress.
Avec AIOS, vous pouvez mettre votre site en mode maintenance simplement en cliquant sur un curseur. Vous pouvez également créer un message personnalisé qu'AIOS affichera à toute personne qui essaie d'accéder à votre site.
26. Support communautaire et professionnel
Bien que ce plugin soit facile à utiliser, la sécurité WordPress est un sujet vaste. Dans cette optique, vous pourriez avoir besoin d'une aide supplémentaire pour tirer le meilleur parti de ce plugin de sécurité populaire.
Pour commencer, il existe une documentation en ligne accessible 24h/24 et 7j/7. Vous y trouverez des articles détaillés sur les fonctionnalités du plugin, notamment comment bloquer les adresses IP, configurer le blocage par pays et désactiver les flux RSS.
Il existe également le blog AIOS où ils publient sur une gamme de sujets de sécurité, et partagent même leur checklist d'audit de sécurité.
Enfin, si vous achetez le plugin premium, vous aurez également accès à un support professionnel. Soumettez simplement un ticket et un membre de l'équipe AIOS s'efforcera de répondre dans les 24 heures.
Pour en savoir plus sur ce sujet, veuillez consulter notre guide sur comment demander correctement une assistance WordPress et l'obtenir.
Revue de sécurité tout-en-un : Tarifs et forfaits
Si vous recherchez un plugin de sécurité gratuit, vous pouvez télécharger la version lite d'AIOS. Cependant, le plugin premium est livré avec un scanner de logiciels malveillants supplémentaire et plus d'options pour l'authentification à deux facteurs.
Le plugin premium offre également une surveillance du temps de disponibilité et du temps de réponse, et vérifie si votre site est mis sur liste noire par les moteurs de recherche.
Contrairement à certains autres plugins de sécurité, tous les forfaits AIOS incluent l'ensemble complet des fonctionnalités. Cependant, le prix varie en fonction du nombre de sites sur lesquels vous souhaitez utiliser AIOS.
- Personnel. Pour 84 $ par an, vous pouvez installer AIOS sur 2 sites Web.
- Professionnel. Au prix de 114 $ par an, Professionnel vous permet d'utiliser AIOS sur jusqu'à 10 sites Web. Cela dit, ce forfait est idéal si vous gérez plusieurs sites Web professionnels ou blogs, tels qu'une série de blogs d'marketing d'affiliation connexes.
- Agence. Pour 174 $ par an, vous pouvez installer AIOS sur un maximum de 35 sites Web. Dans cette optique, ce forfait convient aux petites agences de développement WordPress, aux développeurs indépendants, ou à toute autre personne qui gère un portefeuille de sites clients.
- Illimité. Pour 234 $ par an, vous pouvez utiliser AIOS sur autant de sites Web que vous le souhaitez. Cela rend le forfait Illimité idéal pour les grandes agences de développement WordPress.
Avis sur All-In-One Security : est-ce le bon plugin de sécurité pour vous ?
Après avoir examiné les fonctionnalités, les options de support et les prix, nous sommes convaincus qu'AIOS est un excellent plugin de sécurité.
Il offre une tonne de fonctionnalités qui peuvent protéger votre site, y compris la possibilité de modifier l'URL de connexion WordPress, de renommer tous les comptes utilisant le nom non sécurisé 'admin' et de modifier le préfixe de la base de données. Une fois cela fait, vous pouvez activer l'authentification à deux facteurs pour une sécurité accrue.
AIOS peut également analyser automatiquement votre site à la recherche de logiciels malveillants et vous informer de tout code suspect qu'il découvre.
Nous espérons que cet avis sur AIOS vous a aidé à décider si c'est le bon plugin de sécurité pour vous. Vous pouvez également consulter notre guide sur comment augmenter le trafic de votre blog, ou découvrir notre sélection d'experts des meilleures solutions d'analyse pour les utilisateurs de WordPress.
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Avis des utilisateurs sur All-In-One Security
Veuillez partager votre avis sur All-In-One Security pour aider les autres membres de la communauté.