L’équipe de WP-Media a lâché dans la nature son nouveau bébé : SecuPress. Ce nouveau plugin vient compléter leur offre existante de plugins WordPress (WP-Rocket pour le cache et Imagify pour la compression d’images). SecuPress aborde tous les aspects « sécurité » de votre installation WordPress et vient en confrontation frontale avec d’autres poids lourds du secteur comme iThemes Security et Wordfence.

secupress-web

Crédits : secupress.me

Cela faisait des mois que l’environnement WordPress (francophone particulièrement mais pas uniquement) bavait d’envie devant le nouveau plugin de WP-Media. En effet, ce n’est pas tous les jours qu’une entreprise française réussi aussi bien dans un marché aussi difficile. SecuPress est maintenant sur le marché et dans sa phase critique de lancement.

wpmedia-logo

Crédits : WPMedia.me

Première chose : le nom. Mon explication est assez bateau mais mérite d’être notée. « SecuPress » est très bien trouvé puisqu’il reprend deux thèmes forts : la sécurité (en anglais et en français) et le fameux « Press » qui colle à la peau de l’environnement WordPress. C’est un nom simple et clair. Aucun des concurrents directs ne s’en approche, il peut donc se faire une image nette.

Les différents aspects que je compare sont :

  • Site web du vendeur / Expérience de vente
  • UI du plugin
  • Fonctionnalités
  • Réalisation
  • Bugs ?

La concurrence – même concept avec une version gratuite et des fonctionnalités avancées payantes – est installée depuis très longtemps. Le repository WordPress.org a permis à deux mastodontes d’émerger :

Ces deux solutions de sécurité pour WordPress peuvent se vanter de millions de téléchargements pour assoir leur crédibilité. Mais l’environnement était similaire pour les débuts de WP-Rocket, qui s’est depuis installé comme le meilleur plugin de cache. Pourquoi la même histoire n’arriverait pas à SecuPress ?

Mon Expérience avec SecuPress

L’expérience de vente

Mon expérience est surement biaisée puisque je suis un client de WP-Rocket et que j’ai suivi la maturation de ce plugin SecuPress depuis son annonce. Cependant, si les early-adopters sont bien gérés, je ne vois pas pourquoi cela serait différent pour la suite.

secupress-logo

Crédits : secupress.me

Premièrement, le site web https://secupress.me/ est très bien fait. Selon moi, il répond aux standards modernes. La charte graphique est cohérente avec le thème de la sécurité (vert turquoise, gris, noir mat et un peu de jaune/orange) et donne une image professionnelle. Il laisse entrevoir des images du produits et explique déjà son fonctionnement. L’équipe WP-Media a fait le parti de créer un site par produit (Wp-Rocket, Imagify, SecuPress) plutôt qu’un site central comme la plupart des autres créateurs de produits premiums (WooCommerce, iThemes, …). J’aime bien cette décision puisqu’elle permet de donner une image forte et différente à chaque produit. Depuis le lancement de la version Pro, le site a été refondu avec la même charte graphique mais en ajoutant les pages de vente et de comptes clients.

Deuxièmement, si vous vous êtes abonné aux newsletters. Vous avez reçu des mises à jours régulières et je trouve que l’attention qui a été porté aux clients est remarquable. Elle a permis à mon sens de créer un certain engouement qui trouve un relai avec la mise à disposition de la version gratuite pour mettre l’eau à la bouche. C’est assez rare d’avoir une annonce de produit et d’être encore intéressé quand le produit est mis sur le marché (dans le développement « indépendant », les retards sont légions). Donc mes félicitations à l’équipe de développement de SecuPress.

Un dernier point concernant le site est l’accent mis sur les développeurs. Au delà de rendre le site plus agréable, mettre en avant Julio et Gregory crée de la valeur à long terme. Ces développeurs sont (ou peuvent devenir) des experts reconnus en sécurité WordPress.

secupress-modulesL’UI du plugin

Je commencerai cette section Graphisme/Facilité d’utilisation par une remarque. Il n’est écrit nulle part qu’il faut deux plugins pour SecuPress Pro (le plugin de base SecuPress, et le plugin qui active les fonctionnalités Pro). Je n’ai peut être pas suivi toutes les étapes du guide mais j’ai été surpris. Cependant, aucun problème à signaler une fois que j’ai eu compris le système.

Le plugin suit la même charte graphique que le site internet et propose de nombreux réglages répartis en modules. Les graphismes sont bons et ces réglages sont facilement accessibles. De nombreuses aides sont rédigées pour chaque réglages afin de vous expliquer les nuances de chaque réglage.

En activant le plugin SecuPress, il vous propose de lancer un scan de votre site. Je ne l’ai pas testé sur des hébergements low-cost mais au vu de sa durée, je ne le tenterai pas sur des hébergements gratuits… Ce scan octroit une note à votre installation WordPress. L’idée étant de tendre vers la note ultime « A ». Ce scan anticipe légèrement les réglages disponibles dans les modules afin de faire progresser la sécurité de votre site. Globalement, cette fonctionnalité de scan fait très pro.

secupress-scanner

secupress-steps

secupress-scanner2

Les fonctionnalités

Voici les fonctionnalités que j’attends d’un plugin de sécurité WordPress :

  1. Des sauvegardes et la possibilité de restaurer facilement. C’est un élément de sécurité. Il peut être traiter à part mais je pense que sa place est dans un plugin de sécurité.
  2. Protection de la connexion au Dashboard (brute force, XML-RPC, prévenir l’indexation des comptes utilisateurs, changer les adresses de connexion/déconnexion)
  3. Empêcher le spam (dans les commentaires et sur les écrans de connexion)
  4. Protection contre les scans, injections, et autres « bad queries »
  5. Système intégré pour le SSL
  6. Mettre sur liste blanche les bons robots (Google, Bing, …)

La grande majorité des fonctionnalités est au rendez-vous. La seule qui n’y est pas est l’intégration SSL. Aucun réglage n’y fait référence. C’est d’ailleurs à ce sujet que j’ai découvert une faille (voir le paragraphe sur la réalisation).

secupress-fonctions

La réalisation

Hormis le SSL, les fonctionnalités listées ci-dessus sont toutes présentes et fonctionnent correctement. J’ai même été bluffé par le filtre de spam qui a passé en indésirable des commentaires de test que je faisais en copiant-collant des bouts d’articles.

Une des fonctionnalités de sécurité consiste à limiter à une connection simultanée par utilisateur. Cependant je me suis retrouvé régulièrement bloqué hors du site. La dernière en date m’est arrivé lorsque j’ai passé mon site de test d’une adresse en http:// en https:// (SSL). J’ai logiquement été déconnecté mais il m’a été impossible de me reconnecter, le lien de « Remote deconnexion » n’ayant pas fonctionné.

secupress-already-connected   secupress-remote-deco

SecuPress met la barre très haut

Le Positif :

  • La version gratuite apporte de bonnes solutions pour les sites wordpress tout en restant légèrement moins fournie que celles des concurrents
  • La version pro est exhaustive
  • Aucune perte de performance constaté

Le Négatif :

  • Rien concernant le SSL (front-end SSL, dashboard SSL)
  • Les liens de Remote Deconnexion ne fonctionnent pas

Mes conseils

Pour finir avec cette revue du plugin SecuPress, je pense qu’une bonne dose de bonnes pratiques doit être mise en oeuvre. D’abord, n’installez jamais un tel plugin sur un site en production sans avoir fait de tests poussés sur un site de test. Ensuite, vous pouvez activer votre version Pro autant de fois que vous le souhaitez sur des sites dont les extensions sont .dev tels que les sites créés avec le programme Pressmatic.

Enfin : si vous ne fonctionnez qu’avec des plugins open-source et gratuits, ne sélectionnez pas des plugins trop complexes avec beaucoup de fonctionnalités. En effet, un plugin premium a une équipe de développeurs pour s’assurer que tout fonctionne bien et que le plugin ne génère pas de bugs. Au contraire, un plugin gratuit avec de trop nombreuses fonctionnalités peut être une source de problème. Généralement, ces fonctionnalités sont rajoutées les unes après les autres sans anticipation. Or avec l’évolution des techniques de code, il est parfois utile de ré-écrire son plugin pour garder le code propre. Mais ces ré-écritures sont longues et fastidieuses. De nombreux plugins sont morts au milieu d’une ré-écriture dont la date de fin a été repoussée à de nombreuses reprises. Et certains plugins ne sont pas ré-écris par manque de temps/motivation/argent ce qui peut entrainer des instabilités pour votre système.