SecuPress : la revue du créateur

15. septembre 2017 Plugins
SecuPress : la revue du créateur

Oui bon, j’ai dit « le créateur » et pas « le Créateur » … Non non il est trop occupé lui pour faire la revue, alors je vais m’en occuper à sa place.

Revue double, je vais vous parler de son histoire, un peu de A à Z, ensuite je parlerai du plugin en lui même et de ses nombreuses fonctionnalités.

SecuPress est pour moi le plugin de sécurité WordPress le plus efficace autant par ses fonctionnalités que par la qualité et rapidité du support, sans parler de l’écoute des utilisateurs, c’est plus qu’un plugin, c’est une façon de voir la sécurité WordPress.

Démarrage en côte

SecuPress, mon plugin de sécurité WordPress est sorti en version gratuite en aout 2016.

D’abord développé chez WP Media, je maintiens maintenant seul ce plugin et tout ce qui a autour avec le plus grand plaisir !

Donc, démarrage volontairement sans trop de communication, nous comptions sur la visibilité de WP Rocket et notre notoriété pour avoir assez de personnes pour l’utiliser et avoir alors les premiers vrais retours d’utilisateurs.

Je rappelle que la version 1.0 n’était pas une version beta, elle était déjà mature pour être utilisée sur des sites en production.

Bien évidemment, nous avons connus des bugs, certains même très bloquants, mais nous réagissions rapidement. Et si les bugs ne l’étaient pas, bloquants, nous remettions ça à la semaine suivante, une version mineure tous les 7 jours max.

On passe la marche arrière

Revenons rapidement sur le passé de SecuPress :

Début 2013 je parle d’un projet de sécurité nommé SecuPress que j’ai en tête depuis l’année d’avant lors de ma conférence au WordCamp Paris.

SecuPress en 2012

Puis en avril je mets ça en pause car Jonathan Buttigieg, alias Geekpress m’invite à nous associer avec Jean-Baptiste Marchand-Arvier afin de créer WP Rocket et la société WP Media, j’accepte.

Septembre 2014, l’idée de faire un plugin de sécurité revient et je ressors alors ce projet que j’intègre chez WP Media. Le développement de SecuPress commence réellement en janvier 2015 où je suis à 100% sur ça.

SecuPress en 2015

Septembre 2015, Gregory Viguier me rejoint pour m’aider dans le développement de SecuPress. Petit à petit, il refait quasiment tout, je suis là pour apporter les fonctionnalités et développer la sécurité, Matthieu refait la partie design comme vous la connaissez maintenant (ou pas ?).

Mai 2017, SecuPress ne fait plus partie de WP Media, je le reprends sous mon aile, et on continue.

On repasse la première

Nous avons mis beaucoup (trop ?) de temps à développer SecuPress, le MVP qu’on aime tant n’a pas pris sur ce projet car nous avions tout de même souhaité nous mettre au niveau de la concurrence en jour 1. Avec du recul, c’est une mauvaise idée. MVP, MVP, MVP adorééééé.

Mais ne regrettons rien, car au moins il est déjà là où il en est !

Les ventes de SecuPress, j’ai repris les rênes en juin, le graph stoppe le 06/09/17.

En seconde

SecuPress a plus de 500 clients, ce qui fait une moyenne de 4 nouveaux clients tous les 3 jours. Avec plus de 6 000 installations actives de la version gratuite, les 5% attendus de conversions sont bien dépassés !

Ce n’est pas si fou, mais sans faire de communication, sans demander des revues du plugin, sans faire de pub adsense ou facebook, sans envoyer des campagnes de mails, je trouve ça très correct.

501 ventes complétées !

La troisième

SecuPress est passé en version 1.3, une version qui a pour principale modification d’avoir sa version Pro en standalone, c’est à dire que vous n’avez plus besoin de la version gratuite en plus pour l’utiliser, seule la version Pro suffit.

De plus, pour passer de la gratuite à la Pro, il suffit de valider votre clé de licence dans les réglages, le plugin ira se mettre à jour avec la Pro tout seul !

La communication va être relancée, des demandes de revues ont été demandées, des revues honnêtes, et non pas des affiliées qui sont obligés de dire que c’est bien, non, je souhaite juste une vraie revue. Les retours négatifs seront pris en compte, c’est comme ça que la version 1.3 a été faite, la 1.2 aussi et la 1.4 le sera encore.

SecuPress Pro

Le futur ?

Le futur de SecuPress maintenant que je suis seul dessus ? Pas de problème, je sais tout ce qu’il y a à faire autour d’un plugin maintenant.

Je pense simplifier le plugin pour 4 raisons :

  1. Vouloir se mettre au niveau de la concurrence n’est pas forcément une bonne idée, je n’ai pas « copié » les fonctionnalités, la page des features le montre, mais j’ai voulu « en faire assez » et j’en ai mis, encore, encore. Peut-être au détriment de la qualité sans le vouloir.
  2. La compatibilité multisite est une travail de monstre. Autant sur un monosite, il est facile de dire « tel utilisateur devrait changer son nom » ou « le compte admin doit être renommé », c’est votre site, vous savez qui ils sont. Mais dans un multisite, le super admin ne connait pas forcément les admins des sub-sites, donc impossible pour lui de décider pour les autres, trop de risques. Rendre tout ça compatible est énorme, mais vraiment, il faut parfois plusieurs semaines de dev pour rendre compatible 1 module.
  3. Ce que je sais être bon pour la sécurité, peut parfois frustrer les utilisateur au point qu’ils suppriment SecuPress, la pire des choses pour moi ! Je suis sensé convertir les version gratuites en Pro, si ils enlèvent cette free, aie. Sachant que je suis aussi sensé donner des recommandations, je dois faire attention à ne pas forcer la main en disant que « ça c’est obligatoire » alors que chacun a sa propre politique de sécurité.
  4. C’est un plugin de sécurité, je vais aussi vérifier qu’il ne fait pas le café, il en fait déjà assez. Je vais aussi tenter d’améliorer la documentation et les messages, les rendre plus clair, moins technique encore.
  5. Les backups et les logs vont changer et seront remplacés par l’inclusion d’un plugin qui fait déjà ça très bien, moi, je reste sur la sécurité. Les logs et les backups c’est pas directement de la sécurité, je préfère ne pas y toucher finalement. Mais, vous l’avez compris, ça reste dans SP tout de même.

N’oublions pas que le but d’un plugin de sécurité et mon but de consultant en sécurité, c’est qu’un maximum de sites soient sécurisés. Ce qui m’importe, c’est que vous soyez sûrs et sûres de votre site. Peut importe la ou les solutions choisies, SecuPress ou non, dites moi que vous êtes en sécurité et ça me fera plaisir.

Et le plugin en lui même alors ?

1 000 mots pour commencer à entrer dans la revue plus technique ! Vous avez du courage (ou un RTT) merci.

Le plugin a été développé avec l’idée qu’il doit couter le moins de mémoire possible sur chaque page, que son utilisation ne ralentisse pas le chargement du site. Ça serait dommage d’avoir bossé sur WP Rocket et de ne pas coder avec les performances en tête !

Donc vous n’y trouverez pas plus d’une dizaine de in_array() , aucun extract() ni de boucles de fou, ni même de pyramides de code ! Même ça on a fait attention.

Nous souhaitions que seule la balise de commentaire @author soit nécessaire pour savoir qui a codé une fonction et non pas se dire « ha, je reconnais la façon de coder de untel ».

SecuPress a été testé avec P3 Profiler avec toutes les options activées, et comparé avec des concurrents et notre plugin de charge plus rapidement et coute moins de mémoire, crée moins de table, supprime bien toutes ses informations lors de la suppression.

L’utilisation des objets est très présente et le sera surement de plus en plus, néanmoins quand le besoin ne se fait pas sentir, je fais comme Andrew Nacin qui m’a dit un jour d’octobre 2013 à Leiden « WordPress n’utilise les classes que s’il en a besoin. ».

Le code s’active autour des activations de nos modules, disons, comme des sous-plugins (qui ne sont PAS utilisables en plugin ou mu-plugin). Nous gérons leur activations et désactivations, ce qui nous permets de pouvoir ajouter ou supprimer du code des fichiers .htaccess ou wp-config.php facilement.

Tout est très flexible, il est rapidement possible de déplacer une option, en ajouter une, créer une page de module etc ce qui est top pour la maintenance. Nous avons passé beaucoup de temps là dessus, au final, ça paie bien !

Le point sur lequel tout le monde est d’accord, c’est l’interface, autant car elle est belle il faut l’avouer, mais aussi assez claire pour ne pas surcharger de coches partout et des choix à tout va. C’est vraiment le retour qui est fait par un maximum de personnes. Cette interface a été pensée par @edenpulse et intégrée par @geoffrey_crofte, merci à eux !

Pourquoi choisir SecuPress ? Pourquoi pas ton concurrent ?

La question. Une des questions les plus difficiles à répondre car, mes concurrents sont aussi très bons, je ne peux pas le nier, sinon ils auraient déjà mis la clé sous la porte.

Je pense qu’il y a un élément de réponse dans le fait que je soit consultant en sécurité. Je suis comme Ferruccio Lamborghini, même si je reconnais que Ferrari fait de belles et bonnes voitures, comme je suis moi même mécanicien, j’ai envie de créer ma propre voiture, je saurais alors comment elle est faite, sans surprise et au besoin, je l’améliore !

Aussi comme dit précédemment, le code est fait au plus propre, au plus performant, au plus rapide, au mieux maintenable, et e n’est pas courant, regardez vous même le code des plugins que vous utilisez.

Puis je suis beaucoup à l’écoute de mes utilisateurs, gratuits ou payants, j’écoute tout le monde et je fais en sorte de mettre les retours dans le plugin rapidement quand c’est possible. Cette écoute représente beaucoup. Si je ne le fais pas, alors autant garder le plugin pour moi et basta.

Ensuite, le support qui est là aussi pour écouter autant les demandes d’ajout de fonctionnalités, de bugs, d’amélioration. Le support est fait aussi bien pour la version gratuite que la version Pro pour le moment. Une priorité est faite pour les utilisateurs payants, ce qui est normal aussi.

Enfin, étant consultant en sécurité de métier, je me voyais mal ne pas faire un plugin de sécurité, je sais ce qui est bon pour les sites web.

Pour finir, la mentalité autour du plugin, celle autour de la sécurité web en elle même est aussi très importante à mes yeux. Le but de SecuPress est donc de sécuriser des sites, certes, mais avant tout pour moi, le but est donc que votre site soit sécurisé. Que vous le fassiez avec SecuPress ou pas, je ne peux que être ravis que vous vous intéressiez à la sécurité, de vous savoir avec des protections et bien mieux que de vous savoir à nu, vulnérable à la moindre attaque.

Pourquoi payer s’il existe une version gratuite ?

Mais, vous en avez d’autres des questions pièges ? Bon ok, une dernière.

Evidemment, je tiens un business, mon but est de vendre. Oui ok mais pas à tout prix. Les fonctionnalités Pro ne sont pas forcément utiles pour un simple petit blogueur, alors que pour un site corporate ou une agence, cela devient vite indispensable.

Le fait de pouvoir planifier les tâches et recevoir des alertes, le tout avec le support priorisé vaut largement le prix de base.

J’ai décidé de faire une version gratuite car comme je viens de le dire, je souhaite que tout le monde soit sécurisé.

Certaines fonctionnalités ne sont disponibles qu’en Pro car elles font appel à nos serveurs et donc nos ressources, chose qui coute.

Passer par l’achat d’un plugin d’une 50aine d’euros, peut faire gagner tellement de temps en maintenance et stress, que cette somme devient dérisoire.

Utiliser des plugins gratuits qui n’ont PAS de versions premium/pro est à mon sens plus risqué, car la maintenance est forcément moindre, moins de support, tout devient couteux et rien ne rapporte. Même chose pour des plugins qui sont payants mais vraiment pas cher, ou qui sont tout le temps en train de faire passer des codes promos, le véritable prix devient douteux, le tarif devient trop bas et n’attire plus que des petits testeurs du dimanche.

N’ayez pas peur de dépensez pour gagner de l’argent, si c’est bien une chose que j’ai apprise ces 3 dernières années, c’est celle-ci.

Du fonctionnel

Ok ok, parlons peu parlons bien.

Les modules

Scanner

SecuPress a une particularité bien spéciale : un scanner permettant de vérifier plus de 35 points de votre installation, puis vous indique via une note, un rang, le niveau de sécurité de votre site.

Ce rang va de H à A, la perfection. Attention, cela ne veut pas dire que « le site est sécurisé à 100% », ne pensez jamais ça. Par contre, cela signifie que les points que SecuPress sait vérifier sont tous bons, ce qui est excellent !

Le scanner de 35 points

Les utilisateurs

J’aime beaucoup sécuriser les utilisateurs et leurs données, ça me semble super important car c’est un point d’entrée obligatoire.

J’ai encore beaucoup d’idée en stock, je dois toujours m’assurer que les utilisateurs ne seront pas bloqués, tout en choisissant pour eux un maximum de chose, mais tout en restant flexible un minimum. Pas facile hein.

Vous reconnaitrez des fonctionnalités comme la limitation du nombre de tentatives, à la différence que la façon dont c’est pensé n’est pas la même du tout par rapport au plugin du même nom. Et c’est comme ça tout le temps, toujours tout repenser et tout remettre en question.

Les mots de passe fort et la durée de vie sont pour moi des fonctionnalités obligatoires, surtout quand on a plusieurs admins ou que les inscriptions sont ouvertes, encore plus si vous êtes un e-commerce.

Options utilisateurs

Les plugins et thèmes

Car là aussi c’est un autre point d’entrée. N’oubliez pas qu’installer un plugin ou un thème, n’est rien d’autre qu’insérer un script PHP provenant d’une personne que vous ne connaissez pas. Je ne dis pas ça pour vous faire peur, c’est juste la réalité.

Toutes les actions liées à ces codes externes doit être sous contrôle, ce que vous permet alors SecuPress.

Cœur de WordPress

Parce que WordPress a permis les mises à jour automatique pour les versions mineures, il faut que cela reste actif. Il est même permis de le faire avec les versions majeures, personnellement sur ce site c’est en place depuis la 3.7 et jamais eu de coupure à cause de ça.

Aussi le fichier wp-config.php qui est chargé par WordPress permet de se sécuriser un peu plus, vous trouverez dans ce module ces options simples.

Données sensibles

Parce que votre site peut contenir des choses que vous ne souhaitez pas divulguer, il est possible de bloquer par mal d’accès depuis l’extérieur et d’empêcher des informations de fuiter.

Pare-feu

Toute extension de sécurité a un firewall bien sûr, que ce soit Wordfence, iThemes Security ou Sucuri Security. Ici SecuPress aussi a son lot de fonctionnalités bloquante qui empêche les tentatives et attaques.

Les mauvais user-agents, les mauvaises requêtes, le brute force etc tout ça, c’est réglé ici.

Scanner de virus

L’incontournable besoin de s’assurer que les fichiers de son installation soient propres, sans malwares, sans fichiers corrompus. Même chose avec les fichiers qui viennent des anciennes installations ou manquants. Cerise sur le gateau, la possibilité en 1 click de récupérer les fichiers du core modifiés/manquants depuis la source officielle.

Ce scanner est très léger car il tourne en fond si la mémoire est disponible grâce à un système de queue de tâches, n’ayez pas peur de le planifier !

Planifications

Ho comme par hasard, oui il est possible de planifier le scanner de malware, vous recevez alors une notification en fin de scan. Le scanner des points de sécurité aussi est réglable dans ces planification. Et la dernière chose sont les sauvegardes planifiables, car personne n’a envie de venir tous les jours faire des sauvegardes manuelles !

Les planifications

Sauvegardes

Ho le pro de la transition, les sauvegardes sont assez basiques, c’est fait pour les petits sites, car finalement, les backups c’est un métier à part entière ! J’avais prévu de gérer la compatibilité Dropbox, au final comme cela ne fonctionne pas sur tous les sites, je préfère modifier le module complet pour y intégrer BackWPUp en partenariat dès que possible.

Alertes et notifications

Je parlais des notifications de la planification, mais il y a aussi les alertes en cas de blocage critique de la part de SecuPress en live. Aussi quotidiennement vous pouvez recevoir une récap de ce qui s’est passé sur votre site.

Anti-Spam

Parce que l’anti-spam installé par défaut avec WordPress ajoute des tonnes d’entrées lourdes en base, SecuPress contient son propre anti-spam léger et performant, et il va l’être encore plus bientôt avec l’utilisation des bases de MXTools, partenaire canadien.

Vous avez aussi la possibilité de retirer totalement la fonctionnalité des commentaires si vous en avez pas besoin, ça sera ça de moins à charger pour WordPress.

Journaux

2 types de journaux sont disponibles, les logs d’actions, c’est à dire ce qui s’est passé sur le site (un admin s’est connecté…) et les blocages de SecuPress triés par criticité normale ou haute.

Puis les logs des 404, car une 404 peut être réglée, c’est peut-être un lien cassé chez vous, mais 1000 pages 404 par jour sur des urls louches, c’est à vérifier !

Services

Le support est accessible directement depuis le plugin, ce qui est pas mal car inutile d’aller chercher un lien sur le site et de remplir le formulaire complet.

Autres services proposés et appréciés, la configuration professionnelle de SecuPress, c’est à dire s’assurer que tout est paramétré au mieux pour le site.

Et si vous avez été piraté (avec ou sans SecuPress, oui, on peut se faire cambrioler même quand on verrouille sa porte d’entrée qui a une caméra et une alarme), le service de suppression de malware manuelle est possible, et si vous avez besoin de plus, nous serons en contact.

Les services

Gratuit ou payant ?

Parlons peu parlons bien, je vous donne une simple page de comparatif des fonctionnalités free et pro.

Les tarifs sont moins conventionnels qu’on le voit ailleurs, au lieu du « 1 / 3 / 10 / illimités » j’ai préféré changer ça afin de rendre le plugin plus accessible, je l’explique dans l’article chez SecuPress qui parle du changement de tarifs.

Allant de 59$ à 1$ par site, les tarifs revus sont vraiment accessibles et toutes personnes n’ayant pas envie de voir son site piraté devrait penser sérieusement à l’acquisition de ce plugin.

La suite !

SecuPress est toujours en développement, tous les jours que ce soit le plugin, le site, les services, les articles, ça bouge et ça n’a pas fini. Des partenariats très intéressants arrivent pour les backups, les logs, l’anti-spam, le malware scan et déjà le premier est celui avec WP Serveur. Si vous êtes client, alors vous bénéficiez de la version pro sans hausse de votre tarif !

Les ventes de SecuPress sont toujours en hausse, ce qui permet de pouvoir continuer à l’améliorer, le soutenir, merci à vous pour votre confiance et félicitations si vous avez choisi la solution SecuPress !

J’ai une todo énorme, je cherche juste à prioriser selon vos besoins, alors si vous avez un besoin particulier, n’hésitez pas à me le faire savoir avec le champs ci-dessous !

 

Julio Potier

Consultant en Sécurité, Expert WordPress, Formateur, Marketeur et créateur du plugin de sécurité WordPress SecuPress.
Julio développe et sécurise du contenu web tous les jours. La création de plugins WordPress et la vente de produits WordPress font partie de son quotidien.

Lire la suite

Vous aimez ? Partagez !


Réagir à cet article

120 caractères maximum