Cherchez-vous une critique de Really Simple SSL pour savoir si c'est le bon plugin de sécurité pour votre site WordPress ?
Ce plugin populaire peut ajouter un certificat SSL à votre site, puis sécuriser vos pages en utilisant le HTTPS. Il est également doté de fonctionnalités supplémentaires conçues pour renforcer la sécurité de votre WordPress, notamment des vérifications de l'état du serveur et la détection de vulnérabilités.
Dans cette critique de Really Simple SSL, nous vous aiderons à décider si ce plugin populaire de Secure Sockets Layer vous convient.
Really Simple SSL : pourquoi l'utiliser sur WordPress ?
Really Simple SSL est un plugin axé sur la sécurité qui vous aide à installer un certificat SSL sur votre site WordPress.
Après activation, ce plugin populaire vérifiera les paramètres de votre site, puis créera un certificat SSL en utilisant Let's Encrypt. Selon la configuration de votre serveur, Really Simple SSL pourra même installer ce certificat SSL pour vous.
Une fois cela fait, Really Simple SSL remplacera les URL HTTP par HTTPS et tentera de corriger les erreurs de contenu mixte sur l'ensemble de votre blog ou site Web WordPress.
Il peut également vous informer lorsque vos plugins WordPress, votre thème ou votre version du cœur de WordPress contiennent des vulnérabilités de sécurité connues. Cela vous permet d'agir rapidement pour assurer la sécurité de votre site Web et de vos visiteurs.
Si vous débutez ou si vous avez un budget limité, vous pouvez télécharger une version allégée de Really Simple SSL depuis WordPress.org.
Ce plugin peut installer un certificat SSL gratuit sur votre site et le migrer vers HTTPS en toute simplicité. Il affichera également des informations sur l'état de votre serveur, vous permettant d'analyser la configuration du serveur et son impact sur la sécurité de votre site.
Cependant, si vous passez à la version premium du plugin Really Simple SSL, vous aurez accès à des fonctionnalités plus avancées. Cela inclut un correcteur de contenu mixte et la possibilité de mettre à jour ou de mettre en quarantaine automatiquement tout logiciel non sécurisé.
Really Simple SSL : Est-ce le bon plugin SSL pour vous ?
Un certificat SSL chiffre les données échangées entre votre site web et vos visiteurs. Cela rend plus difficile pour les pirates de voler des informations sensibles. En fait, vous aurez besoin d'un certificat SSL avant de pouvoir accepter des paiements en ligne, c'est donc un élément indispensable pour les boutiques en ligne, les places de marché et les sites professionnels.
Cela dit, voyons si Really Simple SSL est le bon plugin Secure Sockets Layer pour vous.
1. Facile à configurer
Il est facile de commencer avec ce plugin SSL populaire. Pour commencer, installez-le et activez-le, comme n'importe quel autre plugin WordPress.
Après l'activation, Really Simple SSL vérifiera votre site pour un certificat SSL actif. S'il n'en trouve pas, il générera un certificat et pourra même l'installer automatiquement, en fonction de la configuration de votre serveur.
Après cela, il mettra à jour votre site Web pour utiliser HTTPs et tentera de corriger les erreurs de contenu mixte.
Bien qu'il y ait des paramètres et des fonctionnalités supplémentaires à explorer, c'est tout ce dont vous avez besoin pour améliorer instantanément la sécurité de votre WordPress. Cela dit, c'est un excellent plugin de sécurité pour les débutants.
2. Migrer de HTTP vers HTTPS
HTTPS ou Secure HTTP est une méthode de chiffrement qui sécurise la connexion entre le navigateur de l'utilisateur et votre serveur.
Cela rend plus difficile le vol de données par les pirates, c'est donc particulièrement important si vous collectez des informations sensibles. Par exemple, HTTPS est indispensable pour les boutiques en ligne, les places de marché de produits numériques, et tout autre site qui collecte des informations de paiement.
Really Simple SSL mettra à jour votre site web pour utiliser HTTPs, en un seul clic. Il configurera également des redirections de HTTP vers HTTPs. Par défaut, il redirigera toutes les requêtes entrantes vers HTTPs en utilisant une redirection 301, mais vous pouvez le configurer pour utiliser une redirection .htaccess à la place.
3. Scanner et correcteur de contenu mixte
Même après l'installation de Really Simple SSL, votre site peut toujours être signalé comme non sécurisé. Cela se produit souvent en raison de contenu mixte, causé par des paramètres HTTPS/SSL incorrects.
Les erreurs de contenu mixte peuvent avoir un impact important sur votre SEO WordPress, il est donc important de les trouver et de les corriger. La bonne nouvelle est que Really Simply SSL dispose d'un correcteur de contenu mixte intégré qui détecte lorsque des fichiers sont demandés via HTTP.
Il affichera ensuite ces problèmes, avec un bouton « Corriger ». Cela dit, vous pourrez peut-être supprimer toutes les erreurs de contenu corrigées de votre site, en quelques clics.
Si Really Simple SSL ne peut pas corriger une erreur pour vous, il affichera des instructions sur la façon de résoudre manuellement l'erreur de contenu mixte.
4. Vérification de l'état du serveur
Really Simple SSL est livré avec un vérificateur d'état intégré qui analysera votre serveur et vérifiera le déploiement de votre certificat SSL.
Il affichera ensuite un score basé sur la configuration de votre serveur, les en-têtes de sécurité et la manière dont votre SSL est utilisé. Vous pouvez utiliser ces informations pour affiner votre site et améliorer sa sécurité globale.
5. Détection de vulnérabilités
Il existe une tonne de thèmes et de plugins qui peuvent étendre le cœur de WordPress. Par exemple, vous pouvez transformer WordPress en une plateforme eCommerce en installant des plugins tels que WooCommerce.
Les thèmes et les plugins font partie intégrante de l'expérience WordPress, mais ils peuvent également introduire des vulnérabilités de sécurité. C'est particulièrement vrai si vous utilisez des thèmes et des plugins obsolètes, plutôt que de mettre à jour automatiquement vers la dernière version.
La bonne nouvelle est que Really Simple SSL analysera votre site à la recherche de vulnérabilités connues dans les thèmes, les plugins et même le cœur de WordPress. Il vous informera ensuite de toute vulnérabilité qu'il découvre, afin que vous puissiez agir.
Alternativement, vous pouvez configurer Really Simple SSL pour vérifier si une mise à jour est disponible, puis installer automatiquement la dernière version. Généralement, les développeurs corrigent rapidement les vulnérabilités connues, donc une simple mise à jour vers la dernière version peut suffire à sécuriser votre site web.
S'il n'y a pas de mise à jour disponible, Really Simple SSL peut désactiver automatiquement le thème ou le plugin WordPress.
Cette fonctionnalité est facultative, car la désactivation de logiciels importants peut entraîner toutes sortes d'erreurs WordPress et des comportements étranges qui peuvent affecter l'expérience utilisateur. Cela dit, nous vous recommandons d'utiliser cette fonctionnalité avec prudence.
La bonne nouvelle est que Really Simple SSL vous permet de définir un niveau de risque pour chaque action. Dans cette optique, vous pourriez uniquement mettre en quarantaine un thème ou un plugin lorsque la menace est considérée comme critique.
De cette façon, Really Simple SSL peut réagir différemment, en fonction du niveau de menace.
6. Ajoutez facilement des en-têtes de sécurité
Les en-têtes de sécurité HTTP peuvent protéger votre site contre les menaces courantes telles que le clickjacking, les attaques par falsification de requête inter-sites (CSRF) et les logiciels malveillants. Ils peuvent également rendre plus difficile le vol de vos informations de connexion par les pirates.
Really Simple SSL facilite l'ajout d'une gamme d'en-têtes de sécurité à votre site web. Cela inclut X-XSS Protection, X-Content-Type-Options et X-Frame-Options.
7. Politique de sécurité du contenu
En plus des en-têtes de sécurité standard, Really Simple SSL peut vous aider à créer une politique de sécurité de contenu (CSP) personnalisée. Cela indiquera au navigateur quel contenu il est autorisé à charger, ce qui peut prévenir les attaques par script intersite (XSS) et le détournement de clics.
Pour faciliter encore plus ce processus, Really Simple SSL dispose d'un mode apprentissage qui détectera les ressources utilisées par vos visiteurs. Vous pourrez ensuite approuver ces ressources et créer une CSP parfaitement adaptée à votre blog WordPress ou votre site web.
8. Générateur de politique d'autorisations
Really Simple SSL est livré avec un générateur d'en-tête de politique d'autorisations intégré.
Cela vous permet de choisir les fonctionnalités du navigateur que votre site peut utiliser, y compris les iFrames externes. Par exemple, vous pourriez empêcher votre site d'accéder au microphone du visiteur, ou l'empêcher d'utiliser l'API Payment Request.
Avec Really Simple SSL, vous pouvez appliquer une politique d'autorisations à votre site en quelques clics.
Vous pouvez également marquer une autorisation comme autorisée, désactivée ou propre. Si vous choisissez 'propre', Really Simple SSL autorisera l'autorisation pour le contenu provenant de votre propre nom de domaine. Cependant, cela bloquera la fonctionnalité pour tous les iFrames externes.
9. Surveiller les comptes administrateur
Si un pirate parvient à obtenir des privilèges d'administrateur, il aura un accès illimité à votre site web et à toutes ses données. Cela dit, Really Simple SSL peut vérifier chaque nouvel administrateur ajouté à votre compte, pour voir comment il a acquis ces privilèges d'administrateur.
Si la personne n’a pas reçu le rôle d’administrateur rôle d’utilisateur via le tableau de bord WordPress, Really Simple SSL changera automatiquement le rôle de cette personne en Abonné et vous enverra une notification par e-mail. De cette façon, vous pouvez identifier les pirates qui s’attribuent des privilèges d’administrateur en exploitant une vulnérabilité ou une faille de sécurité.
10. URL de connexion personnalisée
WordPress est la plateforme CMS la plus populaire et alimente plus de 40 % des sites Web. Cependant, en raison de sa popularité, c’est aussi une cible fréquente pour les pirates. Souvent, ces pirates essaieront de s’introduire sur votre site en utilisant des URL de connexion courantes telles que wp-admin et wp-login.
Avec Really Simple SSL, vous pouvez choisir une URL de connexion personnalisée à la place. Immédiatement, cela rend plus difficile pour les pirates de trouver votre page de connexion, puis de vous cibler à l'aide d'attaques par force brute.
11. Masquez votre version de WordPress
Les pirates peuvent cibler des vulnérabilités de sécurité connues dans des versions spécifiques de WordPress. Cela dit, il est bon de masquer votre numéro de version de WordPress, afin que les pirates ne puissent pas voir immédiatement quelle version vous utilisez.
La bonne nouvelle est que Really Simple SSL peut apporter de nombreuses petites modifications aux fichiers de votre site Web, de sorte que les pirates ne peuvent pas facilement voir votre numéro de version de WordPress.
12. Préfixe de base de données personnalisé
Really Simple SSL peut vous aider à éviter les attaques simples en changeant votre préfixe de base de données de 'wp_' à une valeur aléatoire.
Cela rendra plus difficile pour les pirates de trouver votre préfixe de base de données et d'exploiter les vulnérabilités de votre site Web. Sachez simplement qu'ils peuvent toujours trouver votre préfixe de base de données par programmation, donc il est peu probable que cela arrête les attaques plus sophistiquées.
13. Protégez le fichier Debug.log
Le fichier debug.log de votre site peut contenir des informations sensibles telles que des noms d'utilisateur, des chemins de serveur et même des mots de passe. Par défaut, tous les sites Web WordPress utilisent le même chemin pour leur debug.log, ce qui permet aux pirates de le trouver et de le télécharger facilement.
Pour améliorer la sécurité de votre WordPress, Really Simple SSL peut ajouter le fichier debug.log à un dossier au nom aléatoire et modifier son chemin. Ce simple changement ajoute une couche de sécurité supplémentaire à votre site.
Pour en savoir plus sur ce sujet, veuillez consulter notre guide sur comment trouver et accéder aux journaux d'erreurs WordPress.
14. Désactiver les mots de passe d'application
Parfois, vous pourriez avoir une raison d'utiliser des mots de passe d'application sur votre site web plutôt que des mots de passe utilisateur réguliers.
Cependant, certains pirates utilisent les mots de passe d'application pour contourner l'authentification à deux facteurs. Cela dit, si vous n'avez pas besoin d'utiliser de mots de passe d'application, vous pouvez les désactiver à l'aide de Really Simple SSL.
15. Désactiver les éditeurs de fichiers
WordPress est livré avec un éditeur intégré qui vous permet de modifier vos fichiers de thème et de plugin directement dans le tableau de bord WordPress. Bien que ces éditeurs soient utiles, les pirates pourraient les utiliser pour ajouter du code malveillant à votre site web, ou voler vos données.
Cela dit, vous pouvez désactiver ces éditeurs dans les paramètres de Really Simple SSL.
16. Empêcher l'exécution de code
Par défaut, WordPress empêche les utilisateurs de télécharger des fichiers .php dans le dossier « uploads » de votre site. Cependant, si quelqu'un parvient à contourner cette restriction, Really Simple SSL empêchera l'exécution de ce code PHP.
Sachez simplement que cette fonctionnalité ne fonctionne que sur les serveurs Apache et Lightspeed.
17. Désactiver la navigation dans les répertoires
La navigation dans les répertoires peut mettre votre site en danger en révélant des informations importantes à des tiers. Si vous avez déjà visité un site et vu une liste de fichiers et de dossiers plutôt qu'une page web, alors vous avez vu la navigation dans les répertoires en action.
Cela permet aux pirates de voir tous les fichiers qui composent votre site web, y compris tous vos thèmes et plugins WordPress.
Si l'un de ces éléments présente des vulnérabilités connues, les pirates pourraient utiliser ces informations pour prendre le contrôle de votre site, voler vos données ou effectuer d'autres actions malveillantes.
Really Simple SSL peut désactiver la navigation dans les répertoires en créant un fichier index.html dans tous vos dossiers. Une fois cela fait, les pirates ne pourront pas utiliser le répertoire pour en savoir plus sur votre site web.
18. Renommer les comptes « Admin »
Lorsque vous installez WordPress, il crée généralement un compte nommé « admin ». Comme de nombreux sites WordPress ont un compte « admin », les pirates l'utilisent souvent comme point de départ pour leurs attaques par force brute.
Si quelqu'un utilise le nom d'utilisateur « admin » sur votre site, il est préférable de le changer. La bonne nouvelle est que Really Simple SSL peut trouver tous les comptes portant le nom d'utilisateur « admin » et le remplacer par un autre nom de votre choix.
Really Simple SSL notifiera alors cette personne par e-mail.
Une fois cela fait, vous pouvez configurer le plugin pour empêcher les nouvelles personnes de s'enregistrer avec le nom d'utilisateur « admin ».
19. Désactiver l'énumération d'utilisateurs
Par défaut, les utilisateurs peuvent rechercher les noms d'utilisateur de toute personne ayant publié une page ou un article WordPress sur votre site web. Ces informations peuvent aider les pirates à lancer des attaques par force brute réussies, car ils n'ont besoin que du mot de passe pour accéder au compte d'une personne.
Really Simple SSL dispose d'un paramètre « Désactiver l'énumération d'utilisateurs » qui empêche les personnes et les robots de compiler une liste de noms d'utilisateur valides sur votre site web.
Pour une sécurité supplémentaire, Really Simple SSL peut également empêcher les utilisateurs de créer un compte où le nom d'affichage et le nom d'utilisateur sont identiques. Encore une fois, cela rend plus difficile pour les pirates de trouver des noms d'utilisateur valides sur votre site WordPress.
20. Désactiver XML-RPC
XML-RPC est une API WordPress fondamentale qui permet aux développeurs d'interagir avec votre site Web en utilisant les protocoles XML et HTTPS. Par exemple, vous pourriez vouloir gérer votre site à l'aide d'une application mobile ou vous connecter à des services d'automatisation tels que Uncanny Automator.
Cependant, certains experts en sécurité WordPress recommandent de désactiver XML-RPC si vous ne l'utilisez pas activement. Pour en savoir plus sur ce sujet, veuillez consulter notre guide sur comment désactiver XML-RPC dans WordPress.
Cela dit, Really Simple SSL dispose d'un mode d'apprentissage unique qui détectera comment votre site utilise XML-RPC, puis l'activera sélectivement pour des utilisations spécifiques.
21. Désactiver les méthodes HTTP
La plupart des sites Web WordPress n'ont pas besoin d'utiliser des méthodes telles que PUT, DELETE et TRACE. Cela dit, Really Simple SSL peut bloquer ces méthodes, ce qui empêchera les pirates de les utiliser dans leurs attaques.
22. Compatible avec WordPress Multisite
Gérez-vous un réseau WordPress multisite ? Really Simply SSL est compatible avec le multisite et dispose même d'une page de paramètres réseau dédiée.
23. Support communautaire et professionnel
Really Simple SSL est conçu pour être facile à utiliser. Ses différents paramètres sont divisés en onglets, et vous trouverez des liens vers la documentation du plugin dans toute l'interface utilisateur.
Cependant, la sécurité WordPress est un sujet vaste, vous pourriez donc avoir besoin d'aide supplémentaire à un moment donné.
Si vous préférez trouver les réponses vous-même, Really Simple SSL dispose d'une base de connaissances accessible 24h/24 et 7j/7.
Si vous passez à la version premium du plugin, vous aurez également accès à un support professionnel. Il vous suffit de soumettre un ticket et un membre de l'équipe Really Simple SSL vous répondra.
Revue Really Simple SSL : Tarifs et plans
Si vous débutez ou si vous avez un budget limité, vous pouvez télécharger Really Simple SSL gratuitement depuis WordPress.org. Ce plugin peut ajouter un certificat SSL à votre site, migrer votre contenu vers HTTPS et scanner votre site à la recherche de vulnérabilités.
Cependant, si vous souhaitez accéder à des fonctionnalités de renforcement supplémentaires pour WordPress, vous devrez acheter une licence premium.
Les plans premium incluent tous les mêmes fonctionnalités et outils avancés pour vous aider à protéger votre site. Cela dit, le bon plan pour vous variera en fonction du nombre de sites que vous possédez ou gérez :
- Personnel. Pour 49 $ par an, vous pouvez utiliser Really Simple SSL sur un seul site Web, blog ou place de marché en ligne.
- Professionnel. Au prix de 99 $, ce forfait vous permet d'utiliser Really Simple SSL sur un maximum de 5 sites Web. Cela dit, Professionnel est un excellent choix si vous possédez plusieurs sites différents, tels que plusieurs blogs dans un réseau de marketing d'affiliation.
- Agence. Pour 199 $ par an, vous pouvez utiliser Really Simple SSL sur un maximum de 25 sites Web. Cela rend le forfait idéal pour les agences de développement WordPress, les développeurs WordPress, et toute autre personne qui gère un portefeuille de sites clients. Il ajoute également la prise en charge de WordPress multisite, nous recommandons donc ce forfait à toute personne qui gère un réseau multisite.
Really Simple SSL : Est-ce le bon plugin SSL pour vous ?
Après avoir examiné les fonctionnalités, les options de support et les prix, nous sommes convaincus que Really Simple SSL est un excellent plugin SSL.
Il utilise Let's Encrypt pour créer un certificat SSL et assurer une communication privée entre votre site Web et les visiteurs. Il corrige également les problèmes SSL courants en redirigeant toutes les requêtes entrantes vers HTTPS et en corrigeant les erreurs de contenu mixte sur votre site Web WordPress.
Au-delà de cela, Really Simple SSL dispose de fonctionnalités supplémentaires qui peuvent corriger diverses vulnérabilités et failles de sécurité. Par exemple, il peut désactiver la navigation dans les répertoires, XML-RPC et les méthodes HTTP inutiles. Cela rend plus difficile le piratage de votre site et le vol potentiel d'informations sensibles sur les clients.
Le bon plan pour vous dépendra du nombre de sites sur lesquels vous souhaitez utiliser Really Simple SSL.
Le plan Personnel vous permet d'installer Really Simple SSL sur un seul site WordPress. Pendant ce temps, le plan Professionnel augmente cette limite à 5, et le plan Agence vous permet d'utiliser Really Simple SSL sur jusqu'à 25 sites Web.
Nous espérons que cette revue de Really Simple SSL vous a aidé à décider si c'est le bon plugin SSL et de sécurité pour vous. Vous pouvez également consulter notre guide sur comment installer Google Analytics dans WordPress, ou consulter notre sélection d'experts des meilleurs plugins de formulaire de contact.
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Avis des utilisateurs sur Really Simple SSL
Veuillez partager votre avis sur Really Simple SSL pour aider les autres membres de la communauté.