Sécurité tout-en-un

Vous cherchez un avis sur All-In-One Security (AIOS), pour vous aider à décider si c’est le plugin de sécurité qu’il vous faut ?

AIOS est une solution tout-en-un qui peut protéger votre site contre les attaques par force brute, les logiciels malveillants, le cross site scripting (XSS) et d’autres menaces de sécurité courantes. Il est doté d’un pare-feu intégré et d’un système de blocage des adresses IP, ce qui promet d’empêcher les pirates d’accéder à votre site.

Dans cette revue de All-In-One Security (AIOS), nous allons examiner de plus près ce plugin de sécurité populaire, afin de déterminer s’il convient à votre site Web WordPress.

Examen de All-In-One Security : Pourquoi l’utiliser avec WordPress ?

All-In-One Security (AIOS ) est un plugin populaire d’audit de sécurité, de surveillance et de pare-feu. Il peut protéger votre site contre un large éventail de menaces de sécurité, notamment les attaques par force brute, les logiciels malveillants et le vol de contenu.

En particulier, son pare-feu peut filtrer le trafic suspect avant même qu’il n’ait une chance d’atteindre votre site web. Si les pirates parviennent à contourner le pare-feu, il dispose d’une multitude de fonctionnalités qui peuvent protéger votre tableau de bord, notamment la modification de l’URL de connexion et du préfixe de la base de données, ainsi que l’exigence d’une authentification à deux facteurs (2FA).

Si un tiers malveillant accède à votre tableau de bord, l’AIOS enregistre tout ce qui se passe sur votre blog WordPress. Vous pouvez ainsi repérer rapidement les comportements suspects et prendre les mesures nécessaires pour protéger votre site.

Si vous débutez ou si vous avez un budget limité, vous pouvez télécharger la version Lite d’AIOS depuis le dépôt officiel de WordPress.

Ce plugin gratuit possède des fonctionnalités essentielles qui permettent de lutter contre le spam de commentaires et de sécuriser votre tableau de bord grâce à une authentification à deux facteurs. Il crée également un journal d’audit détaillé et vous avertit en cas de comportement suspect.

AIOS peut même protéger votre site contre les voleurs de contenu en désactivant les flux RSS et Atom, et en empêchant les utilisateurs de faire un clic droit sur votre site.

Cependant, le plugin premium propose des fonctionnalités supplémentaires, notamment un scanner de sécurité, la possibilité de bloquer le trafic en fonction du pays d’origine, et bien d’autres encore.

Examen de All-In-One Security : Est-ce le bon plugin de sécurité pour vous ?

Lasécurité de WordPress est un sujet important pour tous les propriétaires de sites web. Même si vous débutez ou si vous n’avez pas beaucoup de trafic, de nombreuses attaques sont effectuées à l’aide de bots et de scripts automatisés. Cela signifie que chaque site web, blog et boutique en ligne est une cible potentielle.

Ceci étant dit, voyons si AIOS est le bon plugin de sécurité pour votre site web WordPress.

1. Se protéger contre les attaques par force brute

AIOS peut aider à défendre votre site contre les attaques par force brute en bloquant automatiquement une adresse IP après un certain nombre de tentatives de connexion infructueuses. Dans les paramètres du plugin, vous pouvez définir le nombre maximum de tentatives de connexion avant que l’utilisateur ne soit bloqué sur son compte, modifier la période de blocage, etc.

Parfois, les robots génèrent un grand nombre d’erreurs 404 lorsqu’ils recherchent des faiblesses de sécurité sur votre site. AIOS peut donc surveiller votre site et bloquer automatiquement les adresses IP qui génèrent un nombre inhabituel d’erreurs 404.

Enfin, AIOS peut bloquer le trafic en fonction du pays d’origine. Si vous activez cette fonctionnalité, vous pouvez mettre sur liste blanche des adresses IP ou des plages d’adresses IP spécifiques dans les paramètres du plugin, même si elles font partie d’un pays bloqué.

2. Activer l’authentification à deux facteurs (2FA)

AIOS vous permet d’ajouter une authentification à deux facteurs à WordPress en utilisant des outils tels que Google Authenticator, Microsoft Authenticator et Authy.

Cette authentification à deux facteurs est compatible avec WooCommerce, de sorte que vous pouvez même l’ajouter à votre place de marché en ligne.

Vous pouvez limiter cette fonctionnalité à des rôles spécifiques, voire rendre l’authentification à deux facteurs obligatoire pour certains rôles d’utilisateur. Par exemple, vous pouvez imposer l’authentification à deux facteurs à toutes les personnes ayant un rôle d’administrateur ou d’éditeur.

Vous pouvez également demander aux nouveaux utilisateurs d’activer la protection à deux facteurs après un certain temps, par exemple lorsqu’ils possèdent un compte depuis une semaine.

Pour en savoir plus sur ce sujet, consultez notre guide sur la gestion sécurisée des mots de passe.

3. Scanner de logiciels malveillants

Les logiciels malveillants peuvent avoir un impact important sur l’expérience des visiteurs et sur votre référencement. Dans le pire des cas, les moteurs de recherche tels que Google peuvent même mettre votre site sur liste noire s’il contient des logiciels malveillants.

Cela dit, vous serez heureux d’apprendre qu’AIOS est doté d’un scanner de logiciels malveillants. Cet outil vous informera de tout code suspect qu’il découvrira sur votre site web.

De plus, l’AIOS surveille le statut de votre site auprès des moteurs de recherche. En général, si vous êtes sur la liste noire, c’est qu’il y a un problème sérieux avec la sécurité de votre site WordPress, et AIOS vous en informera immédiatement.

4. Protection contre le spam de commentaires

Les commentaires de spam peuvent nuire à l’expérience de l’utilisateur, et peuvent même nuire au référencement de WordPress.

Cela dit, AIOS peut bloquer les commentaires provenant d’autres domaines. En fonction de vos paramètres, AIOS peut même mettre ces commentaires à la poubelle et les supprimer, afin que vous ne les voyiez jamais.

L’AIOS bloque également automatiquement les adresses IP liées à des spammeurs connus.

5. Scanner de sécurité automatisé

AIOS est doté d’un scanner de sécurité intégré qui vérifie les changements de fichiers sur votre site et vous avertit s’il trouve quoi que ce soit de suspect. Vous pouvez effectuer cette analyse manuellement ou la configurer pour qu’elle s’exécute automatiquement en fonction d’un calendrier que vous aurez défini.

6. Pare-feu d’application web (WAF)

Un pare-feu peut protéger votre site contre le piratage, la force brute et les attaques par déni de service distribué (DDoS ). La bonne nouvelle, c’est qu’AIOS est doté d’un pare-feu d’application Web (WAF) intégré.

Il utilise des règles de pare-feu de type « 6G Blacklist », qui protègent votre site contre les demandes d’URL malveillantes connues, les robots, les référents de spam et d’autres attaques. AIOS peut même protéger votre site contre les robots qui se font passer pour des robots d’indexation de Google.

De nouvelles menaces de sécurité sont découvertes en permanence. C’est pourquoi l’équipe AIOS tient à jour une liste des exploits connus et les publie sous forme de nouvelles règles de pare-feu. Vous pouvez donc être certain que votre site est protégé contre les dernières menaces de sécurité connues.

7. Modifier l’URL de connexion

WordPress équipe plus de 40 % des sites web, ce qui en fait la plateforme CMS la plus populaire. Toutefois, cette popularité en fait également une cible attrayante pour les pirates informatiques. C’est pourquoi des robots et des scripts automatisés peuvent tenter de s’introduire sur votre site en utilisant des URL de connexion courantes telles que wp-admin et wp-login.

Avec AIOS, vous pouvez choisir une URL de connexion personnalisée. Immédiatement, il est plus difficile pour les pirates de trouver votre page de connexion et de la cibler en utilisant des attaques par force brute.

8. Forcer la déconnexion

Pour plus de sécurité, il est conseillé de déconnecter automatiquement les utilisateurs après un certain temps. Ceci est particulièrement important si ces personnes sont susceptibles d’accéder au tableau de bord de WordPress sur des ordinateurs partagés, ou si vous autorisez l’enregistrement d’utilisateurs sur votre site web WordPress.

Avec l’AIOS, vous pouvez déconnecter de force les utilisateurs selon un calendrier que vous aurez défini.

9. Approbation manuelle des comptes

Autorisez-vous l’enregistrement d’utilisateurs sur votre site web WordPress ? Par exemple, vous pouvez accepter des blogs d’invités ou permettre aux clients de créer un compte sur votre boutique WooCommerce.

Malheureusement, des pirates et des robots peuvent essayer de créer des comptes de spam sur votre site, afin d’accéder au tableau de bord ou à d’autres zones réservées aux membres.

Avec l’AIOS, vous pouvez marquer les nouveaux comptes comme « en attente » jusqu’à ce que vous les approuviez manuellement dans le tableau de bord de WordPress.

Pour chaque compte, l’AIOS affiche le nom de connexion, la date d’enregistrement, l’adresse électronique, l’état du compte et l’adresse IP, afin que vous puissiez décider en connaissance de cause s’il s’agit d’un nouvel utilisateur légitime ou d’un enregistrement de spam.

10. Générateur CAPTCHA

Les pages de connexion et d’enregistrement des utilisateurs de votre site sont une cible privilégiée pour les pirates, les spammeurs et les attaques par force brute. AIOS vous aide à sécuriser ces pages en générant un CAPTCHA et en l’ajoutant à vos différents formulaires.

Mieux encore, vous avez la possibilité d’utiliser Cloudflare Turnstile, Google reCAPTCHA v2 ou un simple formulaire CAPTCHA mathématique.

11. Activer le pot de miel

Pour assurer la sécurité de votre site, AIOS est doté d’une fonction « honeypot ». Lorsqu’il est activé, ce pot de miel ajoute un champ qui n’est visible que par les robots sur vos pages de connexion et d’enregistrement.

Si ce champ contient une valeur lorsque le formulaire est soumis, l’AIOS redirigera l’utilisateur au lieu de lui permettre de se connecter à votre site web.

12. Renommer les comptes « Admin

Lorsque vous installez WordPress, il crée généralement un compte portant le nom d' »administrateur ». Étant donné que de nombreux sites WordPress disposent d’un compte « admin », de nombreux pirates l’utilisent comme point de départ pour leurs attaques par force brute.

Si quelqu’un utilise le nom d’utilisateur « admin » sur votre site, il est préférable de le changer. La bonne nouvelle, c’est que l’AIOS peut trouver tous les comptes qui ont un nom d’utilisateur « admin » et inviter l’utilisateur à le remplacer par un autre nom.

Pour plus de sécurité, l’AIOS peut également identifier les personnes qui utilisent le même nom d’affichage et le même nom d’utilisateur, et leur demander de changer de nom d’utilisateur.

13. Liste noire d’adresses IP

Bloquer l’accès d’une adresse IP à votre site web est un moyen efficace de lutter contre les visiteurs indésirables, les spams de commentaires et d’e-mails, les tentatives de piratage et les attaques DDoS. AIOS vous permet de bloquer rapidement et facilement des adresses IP spécifiques, des plages d’adresses IP et des agents utilisateurs.

14. Se protéger contre le vol de contenu

Des tiers peuvent voler votre contenu et le rediffuser sans votre autorisation ou le vendre sous forme de téléchargement numérique.

Pour se prémunir contre cela, l’AIOS peut empêcher d’autres sites d’afficher votre contenu par le biais d’une iframe. Il peut également désactiver le clic droit sur votre site WordPress, ce qui rend plus difficile le vol de vos images.

Outre les images, les robots peuvent utiliser les flux RSS et Atom pour récupérer le contenu de votre site web et le présenter comme le leur. Parfois, ils peuvent même coller ce contenu directement sur un autre blog ou site web.

Pour éviter cela, l’AIOS peut désactiver les flux RSS et Atom pour votre site web WordPress.

15. Désactiver les liens chauds

Certaines personnes peuvent voler vos images en les chargeant à partir de vos serveurs et en les affichant ensuite sur des sites web tiers sans votre autorisation. Cela augmente la charge de votre serveur et l’utilisation de la bande passante, et peut même vous coûter de l’argent.

La bonne nouvelle, c’est que l’AIOS empêche le hotlinking, ce qui vous permet de protéger vos œuvres et graphiques numériques contre le vol d’images et d’économiser les ressources de votre serveur.

16. Outil d’évaluation de la force du mot de passe

Les mots de passe faibles rendent votre site vulnérable aux attaques par force brute. Pour aider vos utilisateurs à créer des mots de passe forts et sécurisés, AIOS est livré avec un vérificateur de force de mot de passe intégré.

Cet outil de l’AIOS calcule le temps qu’il faudrait à quelqu’un pour déchiffrer votre mot de passe à l’aide d’un modèle actuel de PC de bureau équipé d’un processeur haut de gamme, d’une carte graphique et d’un logiciel de déchiffrement de mot de passe approprié.

17. Désactiver l’énumération des utilisateurs

Par défaut, il est possible de consulter le nom d’utilisateur de toute personne ayant publié une page ou un article WordPress sur votre site web, via le permalien de l’auteur. Ces informations peuvent aider les pirates à lancer des attaques par force brute, puisqu’ils n’ont besoin que du mot de passe pour accéder au compte d’une personne.

Avec AIOS, vous pouvez désactiver l’énumération des utilisateurs et empêcher les pirates d’obtenir une liste de noms d’utilisateur valides sur votre site web.

18. Sels supplémentaires

WordPress peut se souvenir des identifiants de connexion en stockant les données d’authentification de l’utilisateur dans des cookies. Toutefois, ces informations peuvent être compromises, en particulier si la personne utilise un ordinateur public. C’est pourquoi WordPress utilise des clés de sécurité, ou clés salines.

Ces clés de sel cryptographiques ajoutent des informations supplémentaires aux données de connexion de l’utilisateur, ce qui constitue un autre niveau de sécurité. AIOS ajoute 64 nouveaux caractères aux sels standards de WordPress et les modifie chaque semaine, ce qui rend encore plus difficile le vol des informations de connexion de l’utilisateur par les pirates.

19. Désactiver XML-RPC

XML-RPC est une API WordPress qui vous permet d’interagir avec votre site web en utilisant les protocoles XML et HTTPS. Par exemple, vous pourriez vouloir gérer votre site à l’aide d’une application mobile ou vous connecter à des services d’automatisation tels que Uncanny Automator.

Cependant, certains experts en sécurité de WordPress recommandent de désactiver XML-RPC si vous ne l’utilisez pas. Pour plus d’informations sur ce sujet, veuillez consulter notre guide sur la façon de désactiver XML-RPC dans WordPress.

Cela dit, AIOS peut complètement bloquer l’accès externe à XMLRP.

Par ailleurs, si vous utilisez Jetpack ou d’autres plugins qui nécessitent un accès à XML-RPC, vous pouvez activer la protection contre les vulnérabilités du pingback de WordPress.

20. Désactiver les éditeurs de fichiers

WordPress est livré avec un éditeur intégré qui vous permet de modifier les fichiers de votre thème et de vos plugins directement dans le tableau de bord de WordPress. Bien que ces éditeurs soient utiles, les pirates informatiques peuvent les utiliser pour ajouter du code malveillant à votre site web ou voler vos données.

Cela dit, vous pouvez désactiver ces éditeurs dans les paramètres de l’AIOS.

21. Préfixe de base de données personnalisé

AIOS peut vous aider à éviter les attaques automatisées en remplaçant le préfixe de votre base de données « wp_ » par une valeur aléatoire. Il sera ainsi plus difficile pour les pirates de trouver le préfixe de votre base de données et d’exploiter les vulnérabilités de votre site WordPress.

Souvent, ce simple changement suffit à protéger contre les attaques simples, en particulier les attaques automatisées. Cependant, sachez que les pirates peuvent toujours trouver le préfixe de votre base de données par programme, ce qui n’arrêtera pas les pirates plus déterminés.

22. Paramètres de permission

Les paramètres de permission par défaut de WordPress sont relativement sûrs. Cependant, certains plugins WordPress peuvent modifier les paramètres d’autorisation des dossiers et fichiers principaux de WordPress, d’une manière qui les rend moins sûrs.

AIOS peut identifier les fichiers ou les dossiers pour lesquels les paramètres de permission ne sont pas idéaux. Vous pouvez alors corriger ces autorisations manquantes d’un simple clic.

En outre, vous pouvez empêcher les utilisateurs externes d’accéder à vos fichiers readme.html, license.txt et wp-config-sample.php.

23. Journal d’audit détaillé

Si un pirate informatique parvient à accéder à votre site, il peut commencer à modifier le code de votre site web, à installer de nouveaux plugins WordPress, à supprimer du contenu et à effectuer d’autres changements majeurs. Cela dit, il est bon de surveiller exactement ce qui se passe sur votre site.

C’est également important si vous partagez le tableau de bord avec d’autres personnes. Par exemple, si vous gérez un blog WordPress à auteurs multiples, un journal d’activité peut vous aider à identifier les problèmes, à comprendre pourquoi ils se sont produits et qui en est à l’origine.

La bonne nouvelle, c’est que l’AIOS dispose d’un journal d’audit détaillé qui vous permet de surveiller les changements et l’activité des utilisateurs, y compris le nom d’utilisateur de la personne, son adresse IP, ainsi que la date et l’heure de l’événement. Par exemple, il enregistre chaque installation, activation, désactivation et mise à jour d’un plugin ou d’un thème WordPress.

Vous pouvez ensuite utiliser ces informations pour repérer les activités suspectes et sécuriser votre site web.

24. Contrôle des temps de réponse et de disponibilité

Si votre site fonctionne lentement ou connaît des temps d’arrêt, vous devez en être informé le plus rapidement possible.

La bonne nouvelle, c’est que l’AIOS analyse votre site toutes les 5 minutes et vous informe de tout temps d’arrêt ou de tout problème de performance qu’il découvre. Pour plus d’informations sur ce sujet, veuillez consulter notre guide sur la façon de surveiller le temps de fonctionnement du serveur de votre site WordPress.

25. Mode maintenance

Il peut arriver que vous souhaitiez empêcher les internautes d’accéder à votre site. Par exemple, vous pouvez mettre votre site en mode maintenance pendant que vous effectuez des changements importants tels que le changement de votre thème WordPress.

Avec AIOS, vous pouvez mettre votre site en mode maintenance en cliquant simplement sur un curseur. Vous pouvez également créer un message personnalisé qu’AIOS affichera à toute personne qui tente d’accéder à votre site.

26. Soutien communautaire et professionnel

Bien que ce plugin soit facile à utiliser, la sécurité de WordPress est un sujet très vaste. C’est pourquoi vous aurez peut-être besoin d’une aide supplémentaire pour tirer le meilleur parti de ce plugin de sécurité très populaire.

Pour commencer, il existe une documentation en ligne à laquelle vous pouvez accéder 24 heures sur 24 et 7 jours sur 7. Vous y trouverez des articles détaillés sur les fonctionnalités du plugin, notamment sur la manière de bloquer les adresses IP, de configurer le blocage des pays et de désactiver les flux RSS.

Il y a aussi le blog de l’AIOS, qui aborde toute une série de sujets liés à la sécurité et partage même sa liste de contrôle pour les audits de sécurité.

Enfin, si vous achetez le plugin premium, vous aurez également accès à une assistance professionnelle. Il vous suffit de soumettre un ticket et un membre de l’équipe AIOS s’efforcera de vous répondre dans les 24 heures.

Pour plus d’informations sur ce sujet, veuillez consulter notre guide sur la façon de demander de l’aide à WordPress et de l’obtenir.

Examen de All-In-One Security : Tarifs et plans

Si vous recherchez un plugin de sécurité gratuit, vous pouvez télécharger la version Lite d’AIOS. Cependant, le plugin premium comprend un scanner de logiciels malveillants supplémentaire et davantage d’options pour l’authentification à deux facteurs.

Le plugin premium offre également une surveillance du temps de fonctionnement et du temps de réponse, et vérifie si votre site est inscrit sur la liste noire des moteurs de recherche.

Contrairement à d’autres plugins de sécurité, tous les plans AIOS comprennent l’ensemble des fonctionnalités. Cependant, les prix varient en fonction du nombre de sites sur lesquels vous souhaitez utiliser AIOS.

• Personnel. Pour 84 $ par an, vous pouvez installer AIOS sur 2 sites web.
• Business. Au prix de 114 $ par an, Business vous permet d’utiliser AIOS sur un maximum de 10 sites web. Cette formule est donc idéale si vous gérez plusieurs sites ou blogs professionnels, par exemple une série de blogs de marketing d’affiliation.
• Agence. Pour 174 $ par an, vous pouvez installer AIOS sur un maximum de 35 sites web. Cette formule convient donc parfaitement aux petites agences de développement WordPress, aux développeurs indépendants et à tous ceux qui gèrent un portefeuille de sites clients.
• Illimité. Pour 234 $ par an, vous pouvez utiliser AIOS sur autant de sites web que vous le souhaitez. Unlimited est donc idéal pour les grandes agences de développement WordPress.

Examen de All-In-One Security : Est-ce le bon plugin de sécurité pour vous ?

Après avoir examiné les fonctionnalités, les options d’assistance et les prix, nous sommes convaincus qu’AIOS est un excellent plugin de sécurité.

Il offre une multitude de fonctionnalités qui peuvent protéger votre site, y compris la possibilité de modifier l’URL de connexion de WordPress, de renommer tous les comptes utilisant le nom non sécurisé « admin » et de modifier le préfixe de la base de données. Une fois cela fait, vous pouvez activer l’authentification à deux facteurs pour plus de sécurité.

AIOS peut également analyser automatiquement votre site à la recherche de logiciels malveillants et vous avertir de tout code suspect qu’il découvre.

Nous espérons que cette évaluation d’AIOS vous a aidé à décider s’il s’agit du bon plugin de sécurité pour vous. Vous pouvez également consulter notre guide sur la façon d’augmenter le trafic de votre blog, ou voir notre choix d’experts des meilleures solutions d’analyse pour les utilisateurs de WordPress.

Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.