Wordfence Security : un plugin de sécurité WordPress de référence

Pour assurer la sécurité d'un blog WordPress, j'ai déjà mentionné plusieurs fois le plugin Wordfence. C'est une sorte de couteau suisse qui vous permet à la fois de protéger votre site contre les attaques les plus courantes (tentatives de connexion à votre administration, etc) mais aussi de scanner vos fichiers pour détecter des modifications suspectes.

Si votre site se fait pirater par exemple, ce type de plugin peut vous aider à identifier les fichiers touchés et à deviner la source du problème. Au quotidien, Wordfence est aussi un très bon allié pour bloquer les spammeurs et empêcher certaines attaques.

Son inconvénient ? Il n'est pas très ergonomique pour quelqu'un qui le découvre ! C'est pour cette raison que j'ai décidé de vous proposer un tutoriel complet pour découvrir ses nombreuses options.

Paramétrer le plugin Wordfence Security

Pour installer Wordfence, direction le menu Extensions > Ajouter de votre blog et cherchez le nom du plugin. Pensez à l'activer une fois l'installation terminée.

Wordfence, il faut l'avouer, n'est pas un plugin très ergonomique au premier abord. Il comporte de nombreux sous-menus et une très longue liste d'options qui peut dérouter les utilisateurs. Je vais donc vous présenter chaque menu un par un ! Alors on se motive, on se prépare un thé/café/chocolat/whisky... et c'est parti !

Le Dashboard

C'est un tableau de bord qui vous donne un panorama instantané de la situation sur votre site. Vous pouvez voir le nombre d'attaques bloquées par le pare-feu de Wordfence ("Firewall Summary - Attacks Blocked") par jour, par semaine ou sur le mois.

Vous pouvez également avoir une idée du volume global d'attaques bloquées par Wordfence sur le réseau de tous les sites qui utilisent le plugin.

Si Wordfence a détecté des problèmes en effectuant son scan de contrôle de votre site, vous les verrez également apparaître sur le dashboard.

En complément de ce dashboard, vous avez accès à d'autres informations quand vous vous trouvez dans le tableau de bord principal de WordPress (menu "Tableau de bord" de votre administration) :

• Un aperçu des adresses IP bloquées par le plugin (Top 5 IPs Blocked).
• Un aperçu des pays qui attaquent votre site en majorité (Top 5 Countries Blocked) : Russie, France et Vietnam arrivent en tête dans mon cas.
• Un aperçu de toutes les connexions à votre administration ayant échoué (Top 5 Failed Logins) : c'est le cas lorsque quelqu'un teste plusieurs mots de passe et noms d'utilisateur pour essayer de se connecter sur votre blog.

Le menu Firewall

Wordfence intègre un pare-feu qui vous protège contre une multitude de formes de piratage (injections SQL, cross-site scripting, exploitation des failles de certains plugins connus, etc). Je vous conseille donc de l'utiliser.

Ce pare-feu est activé par défaut, si vous êtes un utilisateur avancé vous pouvez le paramétrer plus finement en sélectionnant des exceptions au pare-feu mais la configuration par défaut ne m'a jamais posé problème.

Ici aussi, vous pouvez avoir un aperçu des adresses IP bloquées par le plugin, des tentatives de connexion ayant réussi ou échoué (avec les adresses IP associées) ainsi que des principaux pays à l'origine d'attaques sur votre blog. Vous pouvez également accéder à plusieurs options de paramétrage, que nous allons aborder dans le détail par la suite :

• Rate limiting.
• Blocking.

L'option "Rate Limiting"

Ces réglages de Wordfence permettent de limiter l'activité de certains utilisateurs (humains ou robots) afin de préserver les ressources de votre site.

Pour ma part, j'ai choisi de laisser les options par défaut car même s'il existe des robots de spam qui sont néfastes, beaucoup de robots jouent aussi un rôle très positif (ils se promènent sur vos pages pour les indexer dans un moteur de recherche par exemple !). Je ne veux donc pas prendre le risque de les brider.

Si vous êtes un utilisateur expert, vous pouvez bien sûr faire un choix différent et décider d'une limite au-delà de laquelle l'activité du robot sera bridée ("throttle it") voire totalement bloquée ("block it").

L'option "Immediately block fake Google crawlers" est censée permettre le blocage des robots qui se font passer pour les robots officiels de Google. Néanmoins, Wordfence expliquait dans un article que son activation conduisait parfois au blocage de visiteurs bien réels. Pour ma part, je préfère donc ne pas l'utiliser.

L'option "Blocking"

Il est parfois nécessaire sur un site de bloquer certains visiteurs indésirables : spammeurs, hackers, etc.

Wordfence se charge lui-même de bloquer certains utilisateurs identifiés comme spammeurs, hackers potentiels, etc. Le blocage s'effectue sur la base de leur adresse IP, un chiffre unique qui identifie chaque ordinateur présent sur un réseau.

Vous pouvez retrouver dans cet onglet tous les utilisateurs bloqués : ceux dont l'accès au site a été interdit, ceux qui sont bloqués parce qu'ils ont tenté de se connecter à de nombreuses reprises à votre administration, ceux qui ont tenté d'accéder trop souvent à votre site (ce qui peut arriver lors d'attaques en séries). En activant l'option "Show Wordfence Automatic Blocks", vous verrez les utilisateurs que l'extension a bloqués d'elle-même.

Vous pouvez aussi bloquer manuellement une adresse IP précise si vous êtes régulièrement importuné par un spammeur. Commencez par choisir le type de blocage que vous souhaitez mettre en place :

• IP Address - Blocage par adresse IP.
• Country - Option qui vous permet de bloquer l'accès à votre site depuis certains pays. La fonctionnalité est réservée aux utilisateurs de Wordfence Premium.
• Custom pattern - Ce choix permet de définir des critères de blocage bien plus précis pour éliminer le trafic parasite. On peut ainsi bloquer du trafic en fonction d'une plage d'adresses IP, d'un nom d'hôte, d'un user-agent ou d'un referrer (pratique en cas de spam référent).

Vous pouvez entrer une raison à chaque blocage ("Block Reason"), ce qui est utile si la personne concernée vient se plaindre de ne plus avoir accès à votre site. N'oubliez pas de valider !

On peut bien entendu choisir de débloquer une personne précédemment bloquée, en cochant simplement l'adresse IP concernée et en cliquant sur "Unblock".

Le menu Scan

Wordfence vous permet de scanner les fichiers votre site afin de détecter toutes les modifications susceptibles d'avoir été effectuées à votre insu. Le scan peut être réalisé en continu ou à la demande, en cliquant sur le bouton "Start new scan".

Les éventuels fichiers modifiés sont affichés en bas de page.

Ne paniquez pas tout de suite en pensant à un piratage si des fichiers suspects s'affichent :)

Il peut aussi s'agir d'une mise à jour des traductions de WordPress qui a changé certaines lignes d'un fichier pour les mettre en français.

Face à un fichier signalé comme "suspect", vous disposez de plusieurs options :

• Le réparer - Ça consiste à restaurer la version initiale du fichier (celle sans le code suspect). Notez qu'en cas de piratage, ça ne résout pas le problème de fond, à savoir qu'il existe une faille de sécurité ayant permis l'ajout de ce code. Mais ça peut vous permettre de récupérer un site propre, non piraté.
• L'ignorer - Si vous estimez que le code n'est pas suspect, vous pouvez choisir d'ignorer le signalement d'erreur jusqu'à ce qu'un nouveau changement soit apporté au fichier ("Ignore until file changes") ou de manière permanente ("Always ignore").
• Afficher les détails - Cette option vous permet de visualiser les changements et déterminer s'ils sont suspects ou non, notamment en cliquant sur "View differences", un bouton qui permet de comparer la version du fichier telle qu'elle est connue de Wordfence, et la version qui se trouve sur votre blog.

Voici par exemple une comparaison entre deux versions d'un fichier :

Si vous constatez qu'un code étrange a été inséré dans vos fichiers, essayez d'en copier une partie sur Google pour trouver plus d'informations sur le sujet.

Wordfence peut aussi vous signaler tout simplement les plugins qui nécessitent une mise à jour.

Le menu Tools

Il propose des options complémentaires destinées avant tout aux utilisateurs de la version Premium.

L'onglet Two-Factor Authentication (abonnés Premium)

Cette fonctionnalité est également réservée aux utilisateurs de la version Premium du plugin Wordfence. Elle permet d'activer la double-authentification sur votre site : autrement dit, grâce à ce système, pour pouvoir vous connecter à l'administration il ne suffit pas d'entrer votre login et votre mot de passe, il faut également entrer un code reçu sur votre mobile (ou utiliser l'application mobile dédiée).

L'onglet Live Traffic

Vous pouvez activer ou désactiver le suivi en temps réel de toute l'activité sur votre site.

Contrairement au menu "Temps réel" de Google Analytics, le suivi inclut ici le trafic des robots (robots de Google par exemple, robots de spam, etc) mais aussi les tentatives de connexion à votre administration.

Cette fonctionnalité est assez gourmande en ressources et peut donc ralentir votre site, elle existe donc sous deux modalités, que vous pouvez régler en cliquant sur "Live Traffic Options" et en choisissant ensuite le "Traffic logging mode" :

• Le mode Security only permet de surveiller uniquement le trafic lié aux blocages ou aux tentatives d'accès à l'administration. Il est adapté aux sites à fort volume de trafic.
• Le mode All Traffic affiche en temps réel tout le trafic du site et est plus gourmand en ressources.

Vous disposez de plusieurs options pour ignorer le suivi de certains utilisateurs, comme les membres du site ayant des droits de publication (en cochant la case "Don't log signed-in users with publishing access"). Vous pouvez ignorer des adresses IP, des navigateurs, limiter la quantité de données stockées par Wordfence ("Amount of Live Traffic data to store") et la durée maximale du stockage ("Maximum days to keep Live Traffic data").

L'onglet WhoIs Lookup

Cette rubrique vous permet tout simplement de connaître l'origine géographique d'une adresse IP. Par exemple, si vous recevez régulièrement des spams depuis la même adresse IP, vous pouvez connaître sa provenance (ville ou quartier) et même bloquer toute la plage d'adresses IP associées (en cliquant sur "Block this network]"). Ça permet un blocage en série.

L'adresse IP est visible dans le menu Commentaires de WordPress, sous l'adresse e-mail du commentateur.

L'onglet Import/Export des réglages

Vous pouvez exporter les réglages de l'extension si vous avez plusieurs sites à configurer. Ça vous évitera de recommencer la procédure à chaque fois. Vous aurez simplement à utiliser la fonctionnalité d'import pour appliquer vos réglages à l'autre site.

L'onglet Diagnostics

C'est une grosse synthèse de l'état de votre site : plugins actifs, base de données, version de php et de MySQL, options actives, etc. La plupart du temps, vous n'aurez pas besoin d'y accéder.

Dans le tableau de diagnostic, le plugin Wordfence vous propose également différents tests (via la ligne "Other tests") : test de la mémoire allouée par votre hébergeur à votre site (en cliquant sur "Test your WordPress host's available memory"), test de l'envoi d'e-mails à partir de votre site ("Send a test email from this WordPress server to an email address"), etc.

C'est aussi là, dans la rubrique "Debugging Options", que vous pouvez activer le mode de débogage ("Enable debugging mode") si vous rencontrez un problème lié au plugin (vous pourrez ainsi consulter les erreurs).

Le menu All Options

C'est le grand déroulé de toutes les options que propose Wordfence, des plus basiques aux plus avancées. C'est parti pour les détails !

Wordfence License

C'est là que vous pouvez entrer votre numéro de licence si vous achetez la version Premium de l'extension.

View customization

Vous pouvez choisir de rendre certaines options plus faciles d'accès, en les affichant sous forme de sous-menu : la rubrique "Toutes les options" (All Options), la rubrique "Blocking" qui permet de bloquer facilement l'accès à votre site à certains utilisateurs indésirables, et la rubrique "Live Traffic" qui permet de suivre le trafic en temps réel.

Il suffit de cocher la case de l'option que vous souhaitez faire apparaître comme sous-menu. Pour ma part, j'ai coché "All Options" et "Blocking" car ce sont des rubriques auxquelles il est utile d'avoir accès rapidement pour paramétrer Wordfence et gérer la sécurité de son blog au quotidien.

General Wordfence Options

Update Wordfence automatically when a new version is released - Vous pouvez cocher cette case si vous souhaitez que le plugin se mette automatiquement à jour sous 24 heures quand une nouvelle version sort. Si vous avez tendance à oublier de faire les mises à jour de vos extensions WordPress, cette option peut vous aider.

Vous pouvez indiquer votre adresse e-mail pour recevoir les alertes envoyées par Wordfence (par exemple, un résumé des adresses qui ont été bloquées ou des éventuelles menaces détectées) et choisir la façon dont Wordfence récupère les adresses IP des visiteurs (je vous conseille de laisser la méthode par défaut, sauf si vous êtes un utilisateur expert et que vous souhaitez opter pour une méthode précise : X-Forwarded-For, X-Real-IP par exemple).

Vous pouvez également...

• Cacher la version de WordPress (Hide WordPress version) histoire de complexifier la tâche des pirates qui tentent de détecter les sites non mis à jour. Je vous conseille de le faire en cochant la case.
• Désactiver l'exécution de code dans le répertoire "uploads" (Disable Code Execution for Uploads directory) - Ce répertoire se trouve dans le dossier wp-content de WordPress. Avec cette option activée, un hacker qui parviendrait à accéder à ce répertoire ne pourrait pas y exécuter du code PHP. Je n'ai pas coché l'option car elle peut créer un conflit avec certains de mes plugins qui utilisent ce répertoire.
• Mettre en pause le scan ou le suivi du trafic en temps réel quand vous n'êtes pas actif sur la page (Pause live updates when window loses focus) : je n'ai pas coché l'option pour ma part.
• Choisir l'intervalle de mise à jour de Wordfence (Update interval in seconds) : par défaut, il est réglé sur 10 secondes ce qui est une bonne moyenne pour la plupart des sites. C'est la fréquence à laquelle l'extension sollicite le serveur pour rafraîchir les informations affichées (ça n'affecte donc pas l'efficacité du plugin en matière de sécurité, il s'agit plus d'une gestion des "sollicitations" de votre serveur web).
• Gérer le cas des serveurs LiteSpeed : si votre site utilise un serveur LiteSpeed et que le réglage relatif à l'interruption des applications externes (External application abort) est paramétré sur "Pas d'interruption" (No abort), vous pouvez cocher la case "Bypass the LiteSpeed “noabort” check" sur Wordfence pour éviter d'aller revérifier le paramétrage dans le .htaccess du site.
• Supprimer totalement les données et les tables créées par Wordfence lors de la désactivation - Le plugin crée de nouvelles tables dans votre base de données. Si vous cochez cette case, elles seront totalement supprimées si vous décidez un jour de ne plus utiliser Wordfence et désactivez le plugin. Dans ce cas, vous perdrez également vos réglages si vous choisissez par la suite de réactiver l'extension.

Dashboard Notification Options

Il s'agit des notifications qui apparaissent sur le tableau de bord, je vous conseille de tout cocher : des alertes s'afficheront si une mise à jour est nécessaire (pour une extension, un thème, WordPress lui-même), mais aussi si le scan du site aboutit à des "découvertes" de fichiers suspects.

En version gratuite, Wordfence peut aussi afficher des informations sur les mises à jour de Wordfence, les nouveautés, les promotions. Pour désactiver cet aspect publicitaire, il faut disposer de la version premium de l'extension.

Email Alert Preferences

Wordfence peut vous envoyer des alertes par e-mail dans un grand nombre de situations et je vous conseille de les paramétrer pour éviter d'être submergé de messages. Vous ne le savez probablement pas mais votre site est exposé en permanence à des robots de spam ou à des tentatives d'attaques.

C'est un phénomène dont on ne prend pas conscience et le jour où vous installez un plugin comme Wordfence, vous découvrez que vous êtes la cible de ce trafic indésirable. Beaucoup de gens se mettent alors à paniquer en recevant énormément d'e-mails !

Voici la liste des alertes que vous pouvez recevoir grâce à Wordfence :

• Être informé quand le plugin est mis à jour automatiquement - Comme vous voulez !
• Être informé si le plugin est désactivé - A cocher impérativement, mieux vaut être prévenu si on désactive le plugin à votre insu !
• Recevoir un e-mail en cas de problème critique - A cocher.
• Recevoir un e-mail si le plugin a un avertissement à vous communiquer (suspicion de problème) - A vous de voir !
• Recevoir une alerte quand une adresse IP est bloquée - A décocher car ça arrive souvent !
• Recevoir une alerte quand quelqu'un se fait bloquer après avoir tenté d'accéder plusieurs fois à l'administration - A vous de voir, pour ma part j'ai décoché la case.
• Recevoir une alerte quand quelqu'un se fait bloquer après avoir essayé d'utiliser un mot de passe dévoilé lors d'une fuite de données personnelles - Vous pouvez cocher la case, il arrive régulièrement que des mots de passe soient exposés sur le web.
• Recevoir une alerte quand quelqu'un utilise le formulaire "mot de passe oublié" avec un nom d'utilisateur existant - A cocher ! C'est le cas où un pirate a deviné votre nom d'utilisateur et essaie de récupérer le mot de passe.
• Etre informé quand quelqu'un se connecte en tant qu'administrateur - Pour ma part, je coche cette case ainsi que la case située en dessous ("M'alerter seulement si cet administrateur se connecte depuis un nouvel appareil ou un nouvel endroit"). Ça permet d'être informé si quelqu'un est parvenu à voler vos identifiants pour se connecter à votre administration.
• Etre informé quand quelqu'un se connecte avec un autre rôle ("non-admin") - A vous de voir, si vous avez un blog collaboratif mieux vaut décocher cette case pour éviter de recevoir une alerte à chaque fois que vos contributeurs se connectent !
• Recevoir un e-mail quand il y a une augmentation significative des attaques sur votre site - Cochez cette case, Wordfence vous informera si vous êtes ciblé par une tentative de piratage de grande ampleur.

Enfin, vous pouvez définir un nombre maximum d'e-mails par heure. Si vous avez correctement paramétré vos alertes et que votre site est protégé un minimum contre le piratage, vous ne devriez pas crouler sous les alertes donc vous pouvez laisser "0" dans la case (= alertes illimitées).

Activity Report

Wordfence peut vous adresser une synthèse régulière par e-mail de la situation sur votre blog : les adresses IP qui ont été bloquées, les plugins qui exigent d'être mis à jour, les fichiers qui ont été récemment modifiés, etc.

Dans cette partie des options, vous pouvez choisir si vous souhaitez activer ce résumé (en cochant la case "Enable email summary"), définir la fréquence d'envoi des e-mails ("Once a day/week/month" = un par jour/semaine/mois).

Vous pouvez aussi choisir d'exclure certains répertoires du suivi de la modification des fichiers (je vous conseille de laisser les paramètres par défaut sauf si vous savez ce que vous faites !).

Vous pouvez enfin afficher un widget de synthèse sur le tableau de bord de votre administration WordPress en cochant la case "Enable activity report widget on the WordPress dashboard".

Pour ma part, j'ai désactivé le résumé par e-mail car je reçois déjà des alertes en cas de problème sur le blog. Je préfère ne pas encombrer inutilement ma boîte mail ! En revanche, j'ai activé le widget sur le tableau de bord car il permet de garder un œil sur la sécurité globale du site.

Basic Firewall Options

Ici, je vous conseille simplement de vérifier que le pare-feu de Wordfence est bien actif (réglé sur "Enabled and protecting").

Il faut savoir que ce pare-feu dispose d'un "Learning Mode", un mode d'apprentissage que vous pouvez utiliser juste après l'installation du plugin. Sélectionnez simplement "Learning Mode" dans la liste déroulante et cochez la case "Automatically enable on" puis choisissez une date qui permettra au pare-feu de passer tout seul en mode "Activé" après cette date.

Cette phase d'apprentissage va permettre au plugin de se familiariser avec votre site pour adapter la protection contre le piratage à votre environnement.

Advanced Firewall Options

Dans cette partie des réglages de Wordfence, il y a plusieurs options très intéressantes à paramétrer.

Delay IP and Country blocking until after WordPress and plugins have loaded - Sauf exception, il n'est pas utile de cocher cette case. Par défaut, Wordfence est actif dès le début du chargement de la page... Cette option permet d'attendre le chargement complet de WordPress et de ses extensions avant de mettre en place les blocages par adresse IP ou par pays.

Whitelisted IP addresses that bypass all rules - Ici, vous pouvez indiquer des adresses IP qui échappent à toutes les règles de filtrage paramétrées. C'est une fonctionnalité très pratique pour éviter tout risque de se bloquer soi-même. C'est un problème qui peut vous arriver si vous paramétrez mal Wordfence !

Imaginons par exemple que vous décidiez de bloquer tous les utilisateurs qui font plus de trois erreurs de mot de passe. En vous connectant à votre administration, vous vous trompez à plusieurs reprises. Vous risquez alors de vous faire bloquer par Wordfence.

Si ça vous arrive, il suffit de vous connecter sur votre FTP, où sont stockés les fichiers de votre site. Allez dans le dossier wp-content > plugins et renommez simplement le dossier "wordfence" (par exemple, en "wordfence2"). Ça désactivera le plugin et vous permettra de retrouver un accès à votre administration.

Pour éviter ce problème, vous pouvez aller sur un site quelconque pour connaître votre adresse IP et entrer l'information dans ce champ "Whitelisted IP addresses". Pour ma part, je l'ai fait pour l'adresse IP de mon domicile et pour celle de mon travail étant donné que je blogue parfois pendant ma pause déjeuner. La méthode ne fonctionne que si vous avez une adresse IP fixe (qui ne change pas à chaque connexion).

Whitelisted services - Vous pouvez également mettre certains sites en "liste blanche" pour éviter qu'ils ne soient bloqués, à l'instar de Facebook ou du site de sécurité Sucuri. Par défaut, tous ces sites sont placés en liste blanche.

Immediately block IPs that access these URLs - Vous pouvez ici entrer l'adresse de certaines pages sensibles de votre site. Tout utilisateur tentant d'accéder à ces pages sera immédiatement bloqué par Wordfence. Il faut écrire l'adresse sous forme relative (au lieu d'écrire https://www.example.com/page-interdite/, écrivez juste /page-interdite/ en commençant toujours par un slash). Je n'utilise pas cette option pour ma part.

Whitelisted 404 URLs - Wordfence met en place certaines règles pour limiter l'activité excessive des robots qui visitent votre site. Vous pouvez ici définir des URL qui seront exclues de ces règles. Je vous conseille de laisser les réglages par défaut.

Ignored IP addresses for Wordfence Web Application Firewall alerting - Vous pouvez ici indiquer des adresses IP qui ne déclencheront aucune des alertes prévues par le pare-feu de Wordfence. En règle générale, je vous conseille de laisser ce champ vide pour continuer à être alerté en toutes circonstances.

Enfin, vous disposez de règles avancées : Wordfence établit qu'une attaque est une attaque en contrôlant un certain nombre de paramètres. Si vous êtes confronté à une situation où des visiteurs sont "accusés" à tort d'avoir un comportement suspect, vous pouvez ajuster très finement le fonctionnement du pare-feu de Wordfence.

Brute Force Protection

Ces réglages de Wordfence concernent spécifiquement la sécurité de la page de connexion à l'administration de votre blog. C'est une page stratégique grâce à laquelle on peut accéder à votre compte, il est donc important qu'elle soit bien sécurisée car c'est souvent elle qui est la cible des tentatives de piratage.

Elle est notamment très exposée aux attaques par force brute : un pirate va tester automatiquement des milliers et des milliers de noms d'utilisateur et de mots de passe pour essayer de trouver les vôtres.

Wordfence dispose d'une protection contre les attaques par force brute, que vous pouvez activer en cliquant sur "ON" dans cette rubrique.

L'extension va agir à plusieurs niveaux :

• Blocage des tentatives de connexion ratées - Dans mon cas, après cinq tentatives de connexion ratées (chiffre à renseigner au niveau de la ligne "how many login failures"), l'utilisateur est automatiquement bloqué. Ça permet d'éviter les attaques en série où une personne va tenter de se connecter plusieurs fois de suite avec différents noms et mots de passe.
• Blocage des tentatives de récupération du mot de passe - Certains pirates vont essayer d'utiliser le formulaire "Mot de passe oublié" pour récupérer votre mot de passe. Vous pouvez ici définir un chiffre X. Au bout de X utilisations de ce formulaire par un même utilisateur, celui-ci sera automatiquement bloqué.
• Période d'application ("Count failures over what time period") - Définissez ici la période pendant laquelle les tentatives sont comptabilisées. Pour ma part, j'ai choisi une journée ("1 day"). Ça signifie qu'un même utilisateur a droit à cinq tentatives de connexion par jour. J'ai choisi ce paramètre car j'estime qu'il peut m'arriver de faire des erreurs de connexion quand je suis par exemple sur mon téléphone - où je ne suis pas à l'abri d'une faute de frappe ! Mais ça ne m'arrive jamais de faire plus de cinq erreurs par jour donc si ça devait se produire, ce serait hautement suspect :)
• Choisissez la durée du blocage ("Amount of time a user is locked out") - J'avais mis 1 jour par défaut, je suis passée à 5 jours récemment (ça calme, 5 jours de blocage, non ?).
• Immediately lock out invalid usernames - Cette option vous permet de bloquer immédiatement tout utilisateur qui se trompe en entrant son nom d'utilisateur pour se connecter. Je vous conseille de laisser cette case décochée car personne n'est à l'abri de faire une erreur ponctuelle en écrivant son nom d'utilisateur.
• Prevent users registering "admin" username if it doesn't exist - Cette option s'adresse aux personnes qui autorisent la création de nouveaux comptes sur leur blog. Si vous avez par exemple un espace réservé aux membres ou que vous acceptez l'inscription de contributeurs, ça les empêche de créer un compte avec le nom d'utilisateur "admin". A cocher !
• Prevent discovery of usernames - Je vous conseille de cocher cette case car elle permet d'empêcher l'utilisation de certains programmes pour deviner facilement votre nom d'utilisateur.
• Immediately block the IP of users to try to sign in as these usernames - J'adore cette option parce qu'elle permet de bloquer tous les petits malins qui essaient des noms d'utilisateurs évidents ! En principe, si votre blog est bien sécurisé, votre nom d'utilisateur n'est pas "admin" (le nom par défaut) et n'est pas non plus le nom de votre blog (qui serait trop facile à deviner). Vous pouvez alors entrer ces noms évidents dans le champ prévu à cet effet (un nom par ligne) pour bloquer immédiatement toute personne qui essaiera de se connecter en les utilisant.
• Prevent the use of passwords leaked in data breaches - Cette option vous empêche de choisir un mot de passe qui a fuité sur le web suite à une faille de sécurité.

Je vous conseille de cocher également les options qui suivent (enforce strong passwords, don't let WordPress reveal valid users in login errors, prevent users registering 'admin' username if it doesn't exist, etc).

Elles permettent à l'extension Wordfence de vous obliger à choisir un mot de passe complexe, empêchent que le nom des utilisateurs soit facilement dévoilé en cas d'erreur de connexion ou qu'un compte soit créé avec le nom "admin", qui n'est pas sécurisé.

Je vous conseille de cocher l'option Bloquer les adresses IP qui envoient des requêtes de type POST avec un agent utilisateur et un referer vides (Block IPs who send POST requests with blank User-Agent and Referer). Traduction : c'est le cas d'un utilisateur qui tente d'effectuer une action de soumission d'un formulaire (de commentaires, de connexion, etc) sans indiquer de quelle adresse il arrive ou quel navigateur il utilise. C'est suspect... donc on bloque !

Vous pouvez aussi afficher un texte personnalisé sur la page de blocage, en renseignant le champ "Custom text shown on block pages".

Enfin, vous avez le choix de participer ou non au réseau de sécurité (Participate in the Real-Time Wordfence Security Network) : Wordfence mutualise toutes les données des utilisateurs qui ont activé cette option pour améliorer la sécurité chez tout le monde. Par exemple, s'il détecte sur un site quelque part dans le monde un utilisateur qui envoie énormément de spams, il va pouvoir mémoriser l'information et bloquer ensuite cet utilisateur sur votre propre site.

Rate Limiting

J'ai déjà évoqué ces options dans le paragraphe intitulé "L'option Rate Limiting".

Whitelisted URLs

Ici, vous pouvez définir des URLs qui échapperont à la surveillance de Wordfence. Cette liste est souvent pré-remplie lorsque vous avez utilisé le pare-feu de Wordfence en mode apprentissage (le Learning Mode dont j'ai parlé précédemment) et il n'est pas nécessaire d'y toucher, à moins d'avoir identifié des besoins spécifiques.

Advanced Country Blocking Options (Wordfence Premium)

Cette fonctionnalité est réservée aux utilisateurs de la version payante du plugin.

Vous pouvez notamment :

• Choisir le comportement de Wordfence en cas de blocage ("What to do when we block someone") - Afficher un message par défaut ou rediriger l'internaute vers une adresse de votre choix (à indiquer dans le champ "URL to redirect blocked users to").
• Bloquer l'accès sélectivement - Bloquer même quand l'utilisateur est connecté au site (Block countries even if they are logged in), empêcher l'accès au formulaire de connexion (Block access to the login form) ou au reste du site (Block access to the rest of the site)...
• Définir des conditions de blocage - Si l'utilisateur essaie d'accéder à une URL XXX, le rediriger vers l'URL XXX et définir un cookie qui contournera le blocage par pays. Ou encore : Si un utilisateur autorisé à accéder au site voit l'URL XXX, définir un cookie qui contournera le blocage par pays par la suite si cet utilisateur accède au site depuis un pays bloqué.

Vous pouvez ensuite cocher les pays concernés par le blocage. Bloquer le trafic d'un pays entier est un choix radical, que l'on peut faire pour protéger les ressources de son site ou pour des raisons commerciales si l'on estime que le trafic issu d'une région du monde n'est pas pertinent.

Comme beaucoup de spammeurs viennent de Chine et d'Ukraine, certains font par exemple le choix de bloquer entièrement ces pays. Ça veut dire aussi que si vous êtes lu par des personnes (tout à fait honnêtes) installées dans ces pays, elles ne pourront plus accéder à vos contenus.

Scan Scheduling (Wordfence Premium)

Cet onglet est destiné aux utilisateurs Premium (qui ont acheté la version payante du plugin). Il permet de définir le calendrier avec lequel vous souhaitez que le plugin Wordfence scanne votre site.

Par défaut, Wordfence détermine une fréquence de scan en toute autonomie mais vous pouvez paramétrer un calendrier beaucoup plus précis en cliquant sur "Manually schedule scans".

Basic Scan Type Options

Il existe différents niveaux de scan, du plus rapide et superficiel au plus approfondi (High Sensitivity), ainsi qu'un scan "sur mesure" qui est activé par défaut lorsque vous avez personnalisé les options du plugin.

Ça permet à Wordfence de répondre à différents besoins en matière de sécurité, qu'il s'agisse d'effectuer une surveillance rapide de son site ou d'un examen approfondi sur un site régulièrement confronté à des tentatives de piratage.

General Options

Ici, c'est simple, je vous conseille de cocher toutes les cases. Elles permettent de définir ce que Wordfence va vérifier lors de son scan de sécurité de votre site.

En cochant toutes ces cases, vous allez bénéficier d'un niveau de contrôle qualitatif qui permettra à l'extension de vérifier les fichiers de WordPress, ceux de vos plugins et de votre thème, de détecter différents types de menaces et de codes suspects, etc.

En version Premium, le plugin peut également vérifier la réputation de votre nom de domaine : figure-t-il sur une quelconque liste noire ? Est-il identifié comme provoquant du spam ?

Quand on se fait pirater par exemple, il arrive parfois que les pirates exploitent votre site pour envoyer du spam depuis votre serveur. Votre site peut alors devenir suspect.

J'ai déjà rencontré le cas avec une lectrice du blog : à chaque fois qu'elle postait un commentaire, celui-ci était filtré par mon antispam alors que son blog était tout à fait normal. En faisant quelques recherches, j'ai découvert que son nom de domaine avait été utilisé par le passé pour envoyer du spam. Il était bloqué dans de nombreuses bases de données antispam...

Performance Options

Ces options permettent de gérer l'impact de Wordfence sur les ressources de votre serveur. Pour effectuer son scan, l'extension mobilise en effet des ressources... et vous pouvez les moduler si c'est nécessaire, par exemple en choisissant un scan qui consomme peu de ressources mais dure plus longtemps ("Use low resource scanning").

Vous pouvez également limiter le nombre de problèmes signalés dans les e-mails envoyés après un scan ("Limit the number of issues sent in the scan results email") ou limiter la durée maximale d'un scan (par défaut, elle est fixée à trois heures).

Dans cette rubrique, il est possible de définir la mémoire utilisée par Wordfence lors des scans (How much memory should Wordfence request when scanning). Vous pouvez laisser le réglage par défaut mais si votre hébergeur vous signale par exemple une consommation de ressources excessive sur votre site, vous pouvez mettre un chiffre plus faible.

Vous pouvez aussi définir un temps d'exécution maximum pour chaque étape du scan (Maximum execution time for each scan stage). Le réglage par défaut (case vide) convient généralement.

Advanced Scan Options

Destinées aux utilisateurs experts, ces options permettent d'exclure certains fichiers du scan mais aussi de vérifier des signatures spécifiques (à entrer sous forme de regex).

Two Factor Authentication Options (Wordfence Premium)

Les utilisateurs de la version payante du plugin peuvent activer la double authentification : pour se connecter au site, il faudra alors disposer du nom d'utilisateur, du mot de passe ET avoir accès au téléphone portable associé.

Live Traffic Options

J'ai déjà évoqué ces options dans le paragraphe intitulé "L’onglet Live Traffic". Vous pouvez définir des visiteurs (humains ou robots) que vous ne souhaitez pas suivre : ceux qui sont connectés sur le blog et disposent des droits de publication, des adresses IP précises, des user-agents précis...

Vous pouvez aussi définir la place qu'occuperont ces données de trafic en temps réel dans votre base de données ("Amount of Live Traffic data to store") : par défaut, Wordfence mémorise jusqu'à 2000 entrées dans la base de données.

Import/Export Options

En général, quand on a paramétré Wordfence une fois, on n'a pas envie de recommencer une seconde fois depuis le début ;) Alors si vous possédez un autre site, vous pouvez ici exporter les réglages pour les importer ailleurs... ou importer des réglages issus d'un autre site.

Wordfence, un incontournable pour améliorer la sécurité WordPress

Wordfence reste sans doute à ce jour l'un des meilleurs plugins pour améliorer la sécurité sur WordPress (iThemes Security fait aussi partie des plugins réputés). Il peut à la fois jouer un rôle préventif et un rôle curatif, en vous aidant à repérer les fichiers touchés par un piratage.

Globalement, les réglages par défaut du plugin protègent déjà votre site dans de nombreuses situations, je vous conseille donc surtout de les durcir un peu, en autorisant moins de tentatives de connexion et en facilitant l'accès aux options de blocage des utilisateurs indésirables.

Pensez aussi à mettre votre adresse IP en liste blanche, pour vous prémunir d'un blocage qui vous exclurait de votre propre site !

La version premium (payante) du plugin que j'ai évoquée dans l'article offre plus d'options, des scans plus fréquents, un meilleur filtrage du spam dans les commentaires, un support technique, etc. Cependant, je ne l'ai jamais utilisée pour un site "de petite taille", exposé à des risques assez classiques.

En complément de cet article, n'hésitez pas à consulter mes autres conseils pour assurer la sécurité de votre blog WordPress.