Pour assurer la sécurité d'un blog WordPress, j'ai déjà mentionné plusieurs fois le plugin Wordfence. C'est une sorte de couteau suisse qui vous permet à la fois de protéger votre site contre les attaques les plus courantes (tentatives de connexion à votre administration, etc) mais aussi de scanner vos fichiers pour détecter des modifications suspectes.
Si votre site se fait pirater par exemple, ce type de plugin peut vous aider à identifier les fichiers touchés et à deviner la source du problème. Au quotidien, Wordfence est aussi un très bon allié pour bloquer les spammeurs et empêcher certaines attaques.
Son inconvénient ? Il n'est pas très ergonomique pour quelqu'un qui le découvre ! C'est pour cette raison que j'ai décidé de vous proposer un tutoriel complet pour découvrir ses nombreuses options.
Paramétrer le plugin Wordfence Security
Pour installer Wordfence, direction le menu Extensions > Ajouter de votre blog et cherchez le nom du plugin. Pensez à l'activer une fois l'installation terminée.
Wordfence, il faut l'avouer, n'est pas un plugin très ergonomique au premier abord. Il comporte de nombreux sous-menus et une très longue liste d'options qui peut dérouter les utilisateurs. Je vais donc vous présenter chaque menu un par un ! Alors on se motive, on se prépare un thé/café/chocolat/whisky... et c'est parti !
Le Dashboard
C'est un tableau de bord qui vous donne un panorama instantané de la situation sur votre site. Vous pouvez voir le nombre d'attaques bloquées par le pare-feu de Wordfence ("Firewall Summary - Attacks Blocked") par jour, par semaine ou sur le mois.
Vous pouvez également avoir une idée du volume global d'attaques bloquées par Wordfence sur le réseau de tous les sites qui utilisent le plugin.
Si Wordfence a détecté des problèmes en effectuant son scan de contrôle de votre site, vous les verrez également apparaître sur le dashboard.
En complément de ce dashboard, vous avez accès à d'autres informations quand vous vous trouvez dans le tableau de bord principal de WordPress (menu "Tableau de bord" de votre administration) :
- Un aperçu des adresses IP bloquées par le plugin (Top 5 IPs Blocked).
- Un aperçu des pays qui attaquent votre site en majorité (Top 5 Countries Blocked) : Russie, France et Vietnam arrivent en tête dans mon cas.
- Un aperçu de toutes les connexions à votre administration ayant échoué (Top 5 Failed Logins) : c'est le cas lorsque quelqu'un teste plusieurs mots de passe et noms d'utilisateur pour essayer de se connecter sur votre blog.
Le menu Firewall
Wordfence intègre un pare-feu qui vous protège contre une multitude de formes de piratage (injections SQL, cross-site scripting, exploitation des failles de certains plugins connus, etc). Je vous conseille donc de l'utiliser.
Ce pare-feu est activé par défaut, si vous êtes un utilisateur avancé vous pouvez le paramétrer plus finement en sélectionnant des exceptions au pare-feu mais la configuration par défaut ne m'a jamais posé problème.
Ici aussi, vous pouvez avoir un aperçu des adresses IP bloquées par le plugin, des tentatives de connexion ayant réussi ou échoué (avec les adresses IP associées) ainsi que des principaux pays à l'origine d'attaques sur votre blog. Vous pouvez également accéder à plusieurs options de paramétrage, que nous allons aborder dans le détail par la suite :
- Rate limiting.
- Blocking.
L'option "Rate Limiting"
Ces réglages de Wordfence permettent de limiter l'activité de certains utilisateurs (humains ou robots) afin de préserver les ressources de votre site.
Pour ma part, j'ai choisi de laisser les options par défaut car même s'il existe des robots de spam qui sont néfastes, beaucoup de robots jouent aussi un rôle très positif (ils se promènent sur vos pages pour les indexer dans un moteur de recherche par exemple !). Je ne veux donc pas prendre le risque de les brider.
Si vous êtes un utilisateur expert, vous pouvez bien sûr faire un choix différent et décider d'une limite au-delà de laquelle l'activité du robot sera bridée ("throttle it") voire totalement bloquée ("block it").
L'option "Immediately block fake Google crawlers" est censée permettre le blocage des robots qui se font passer pour les robots officiels de Google. Néanmoins, Wordfence expliquait dans un article que son activation conduisait parfois au blocage de visiteurs bien réels. Pour ma part, je préfère donc ne pas l'utiliser.
L'option "Blocking"
Il est parfois nécessaire sur un site de bloquer certains visiteurs indésirables : spammeurs, hackers, etc.
Wordfence se charge lui-même de bloquer certains utilisateurs identifiés comme spammeurs, hackers potentiels, etc. Le blocage s'effectue sur la base de leur adresse IP, un chiffre unique qui identifie chaque ordinateur présent sur un réseau.
Vous pouvez retrouver dans cet onglet tous les utilisateurs bloqués : ceux dont l'accès au site a été interdit, ceux qui sont bloqués parce qu'ils ont tenté de se connecter à de nombreuses reprises à votre administration, ceux qui ont tenté d'accéder trop souvent à votre site (ce qui peut arriver lors d'attaques en séries). En activant l'option "Show Wordfence Automatic Blocks", vous verrez les utilisateurs que l'extension a bloqués d'elle-même.
Vous pouvez aussi bloquer manuellement une adresse IP précise si vous êtes régulièrement importuné par un spammeur. Commencez par choisir le type de blocage que vous souhaitez mettre en place :
- IP Address - Blocage par adresse IP.
- Country - Option qui vous permet de bloquer l'accès à votre site depuis certains pays. La fonctionnalité est réservée aux utilisateurs de Wordfence Premium.
- Custom pattern - Ce choix permet de définir des critères de blocage bien plus précis pour éliminer le trafic parasite. On peut ainsi bloquer du trafic en fonction d'une plage d'adresses IP, d'un nom d'hôte, d'un user-agent ou d'un referrer (pratique en cas de spam référent).
Vous pouvez entrer une raison à chaque blocage ("Block Reason"), ce qui est utile si la personne concernée vient se plaindre de ne plus avoir accès à votre site. N'oubliez pas de valider !
On peut bien entendu choisir de débloquer une personne précédemment bloquée, en cochant simplement l'adresse IP concernée et en cliquant sur "Unblock".
Le menu Scan
Wordfence vous permet de scanner les fichiers votre site afin de détecter toutes les modifications susceptibles d'avoir été effectuées à votre insu. Le scan peut être réalisé en continu ou à la demande, en cliquant sur le bouton "Start new scan".
Les éventuels fichiers modifiés sont affichés en bas de page.
Ne paniquez pas tout de suite en pensant à un piratage si des fichiers suspects s'affichent :)
Il peut aussi s'agir d'une mise à jour des traductions de WordPress qui a changé certaines lignes d'un fichier pour les mettre en français.
Face à un fichier signalé comme "suspect", vous disposez de plusieurs options :
- Le réparer - Ça consiste à restaurer la version initiale du fichier (celle sans le code suspect). Notez qu'en cas de piratage, ça ne résout pas le problème de fond, à savoir qu'il existe une faille de sécurité ayant permis l'ajout de ce code. Mais ça peut vous permettre de récupérer un site propre, non piraté.
- L'ignorer - Si vous estimez que le code n'est pas suspect, vous pouvez choisir d'ignorer le signalement d'erreur jusqu'à ce qu'un nouveau changement soit apporté au fichier ("Ignore until file changes") ou de manière permanente ("Always ignore").
- Afficher les détails - Cette option vous permet de visualiser les changements et déterminer s'ils sont suspects ou non, notamment en cliquant sur "View differences", un bouton qui permet de comparer la version du fichier telle qu'elle est connue de Wordfence, et la version qui se trouve sur votre blog.
Voici par exemple une comparaison entre deux versions d'un fichier :
Si vous constatez qu'un code étrange a été inséré dans vos fichiers, essayez d'en copier une partie sur Google pour trouver plus d'informations sur le sujet.
Wordfence peut aussi vous signaler tout simplement les plugins qui nécessitent une mise à jour.
Le menu Tools
Il propose des options complémentaires destinées avant tout aux utilisateurs de la version Premium.
L'onglet Two-Factor Authentication (abonnés Premium)
Cette fonctionnalité est également réservée aux utilisateurs de la version Premium du plugin Wordfence. Elle permet d'activer la double-authentification sur votre site : autrement dit, grâce à ce système, pour pouvoir vous connecter à l'administration il ne suffit pas d'entrer votre login et votre mot de passe, il faut également entrer un code reçu sur votre mobile (ou utiliser l'application mobile dédiée).
L'onglet Live Traffic
Vous pouvez activer ou désactiver le suivi en temps réel de toute l'activité sur votre site.
Contrairement au menu "Temps réel" de Google Analytics, le suivi inclut ici le trafic des robots (robots de Google par exemple, robots de spam, etc) mais aussi les tentatives de connexion à votre administration.
Cette fonctionnalité est assez gourmande en ressources et peut donc ralentir votre site, elle existe donc sous deux modalités, que vous pouvez régler en cliquant sur "Live Traffic Options" et en choisissant ensuite le "Traffic logging mode" :
- Le mode Security only permet de surveiller uniquement le trafic lié aux blocages ou aux tentatives d'accès à l'administration. Il est adapté aux sites à fort volume de trafic.
- Le mode All Traffic affiche en temps réel tout le trafic du site et est plus gourmand en ressources.
Vous disposez de plusieurs options pour ignorer le suivi de certains utilisateurs, comme les membres du site ayant des droits de publication (en cochant la case "Don't log signed-in users with publishing access"). Vous pouvez ignorer des adresses IP, des navigateurs, limiter la quantité de données stockées par Wordfence ("Amount of Live Traffic data to store") et la durée maximale du stockage ("Maximum days to keep Live Traffic data").
L'onglet WhoIs Lookup
Cette rubrique vous permet tout simplement de connaître l'origine géographique d'une adresse IP. Par exemple, si vous recevez régulièrement des spams depuis la même adresse IP, vous pouvez connaître sa provenance (ville ou quartier) et même bloquer toute la plage d'adresses IP associées (en cliquant sur "Block this network]"). Ça permet un blocage en série.
L'adresse IP est visible dans le menu Commentaires de WordPress, sous l'adresse e-mail du commentateur.
L'onglet Import/Export des réglages
Vous pouvez exporter les réglages de l'extension si vous avez plusieurs sites à configurer. Ça vous évitera de recommencer la procédure à chaque fois. Vous aurez simplement à utiliser la fonctionnalité d'import pour appliquer vos réglages à l'autre site.
L'onglet Diagnostics
C'est une grosse synthèse de l'état de votre site : plugins actifs, base de données, version de php et de MySQL, options actives, etc. La plupart du temps, vous n'aurez pas besoin d'y accéder.
Dans le tableau de diagnostic, le plugin Wordfence vous propose également différents tests (via la ligne "Other tests") : test de la mémoire allouée par votre hébergeur à votre site (en cliquant sur "Test your WordPress host's available memory"), test de l'envoi d'e-mails à partir de votre site ("Send a test email from this WordPress server to an email address"), etc.
C'est aussi là, dans la rubrique "Debugging Options", que vous pouvez activer le mode de débogage ("Enable debugging mode") si vous rencontrez un problème lié au plugin (vous pourrez ainsi consulter les erreurs).
Le menu All Options
C'est le grand déroulé de toutes les options que propose Wordfence, des plus basiques aux plus avancées. C'est parti pour les détails !
Wordfence License
C'est là que vous pouvez entrer votre numéro de licence si vous achetez la version Premium de l'extension.
View customization
Vous pouvez choisir de rendre certaines options plus faciles d'accès, en les affichant sous forme de sous-menu : la rubrique "Toutes les options" (All Options), la rubrique "Blocking" qui permet de bloquer facilement l'accès à votre site à certains utilisateurs indésirables, et la rubrique "Live Traffic" qui permet de suivre le trafic en temps réel.
Il suffit de cocher la case de l'option que vous souhaitez faire apparaître comme sous-menu. Pour ma part, j'ai coché "All Options" et "Blocking" car ce sont des rubriques auxquelles il est utile d'avoir accès rapidement pour paramétrer Wordfence et gérer la sécurité de son blog au quotidien.
General Wordfence Options
Update Wordfence automatically when a new version is released - Vous pouvez cocher cette case si vous souhaitez que le plugin se mette automatiquement à jour sous 24 heures quand une nouvelle version sort. Si vous avez tendance à oublier de faire les mises à jour de vos extensions WordPress, cette option peut vous aider.
Vous pouvez indiquer votre adresse e-mail pour recevoir les alertes envoyées par Wordfence (par exemple, un résumé des adresses qui ont été bloquées ou des éventuelles menaces détectées) et choisir la façon dont Wordfence récupère les adresses IP des visiteurs (je vous conseille de laisser la méthode par défaut, sauf si vous êtes un utilisateur expert et que vous souhaitez opter pour une méthode précise : X-Forwarded-For, X-Real-IP par exemple).
Vous pouvez également...
- Cacher la version de WordPress (Hide WordPress version) histoire de complexifier la tâche des pirates qui tentent de détecter les sites non mis à jour. Je vous conseille de le faire en cochant la case.
- Désactiver l'exécution de code dans le répertoire "uploads" (Disable Code Execution for Uploads directory) - Ce répertoire se trouve dans le dossier wp-content de WordPress. Avec cette option activée, un hacker qui parviendrait à accéder à ce répertoire ne pourrait pas y exécuter du code PHP. Je n'ai pas coché l'option car elle peut créer un conflit avec certains de mes plugins qui utilisent ce répertoire.
- Mettre en pause le scan ou le suivi du trafic en temps réel quand vous n'êtes pas actif sur la page (Pause live updates when window loses focus) : je n'ai pas coché l'option pour ma part.
- Choisir l'intervalle de mise à jour de Wordfence (Update interval in seconds) : par défaut, il est réglé sur 10 secondes ce qui est une bonne moyenne pour la plupart des sites. C'est la fréquence à laquelle l'extension sollicite le serveur pour rafraîchir les informations affichées (ça n'affecte donc pas l'efficacité du plugin en matière de sécurité, il s'agit plus d'une gestion des "sollicitations" de votre serveur web).
- Gérer le cas des serveurs LiteSpeed : si votre site utilise un serveur LiteSpeed et que le réglage relatif à l'interruption des applications externes (External application abort) est paramétré sur "Pas d'interruption" (No abort), vous pouvez cocher la case "Bypass the LiteSpeed “noabort” check" sur Wordfence pour éviter d'aller revérifier le paramétrage dans le .htaccess du site.
- Supprimer totalement les données et les tables créées par Wordfence lors de la désactivation - Le plugin crée de nouvelles tables dans votre base de données. Si vous cochez cette case, elles seront totalement supprimées si vous décidez un jour de ne plus utiliser Wordfence et désactivez le plugin. Dans ce cas, vous perdrez également vos réglages si vous choisissez par la suite de réactiver l'extension.
Dashboard Notification Options
Il s'agit des notifications qui apparaissent sur le tableau de bord, je vous conseille de tout cocher : des alertes s'afficheront si une mise à jour est nécessaire (pour une extension, un thème, WordPress lui-même), mais aussi si le scan du site aboutit à des "découvertes" de fichiers suspects.
En version gratuite, Wordfence peut aussi afficher des informations sur les mises à jour de Wordfence, les nouveautés, les promotions. Pour désactiver cet aspect publicitaire, il faut disposer de la version premium de l'extension.
Email Alert Preferences
Wordfence peut vous envoyer des alertes par e-mail dans un grand nombre de situations et je vous conseille de les paramétrer pour éviter d'être submergé de messages. Vous ne le savez probablement pas mais votre site est exposé en permanence à des robots de spam ou à des tentatives d'attaques.
C'est un phénomène dont on ne prend pas conscience et le jour où vous installez un plugin comme Wordfence, vous découvrez que vous êtes la cible de ce trafic indésirable. Beaucoup de gens se mettent alors à paniquer en recevant énormément d'e-mails !
Voici la liste des alertes que vous pouvez recevoir grâce à Wordfence :
- Être informé quand le plugin est mis à jour automatiquement - Comme vous voulez !
- Être informé si le plugin est désactivé - A cocher impérativement, mieux vaut être prévenu si on désactive le plugin à votre insu !
- Recevoir un e-mail en cas de problème critique - A cocher.
- Recevoir un e-mail si le plugin a un avertissement à vous communiquer (suspicion de problème) - A vous de voir !
- Recevoir une alerte quand une adresse IP est bloquée - A décocher car ça arrive souvent !
- Recevoir une alerte quand quelqu'un se fait bloquer après avoir tenté d'accéder plusieurs fois à l'administration - A vous de voir, pour ma part j'ai décoché la case.
- Recevoir une alerte quand quelqu'un se fait bloquer après avoir essayé d'utiliser un mot de passe dévoilé lors d'une fuite de données personnelles - Vous pouvez cocher la case, il arrive régulièrement que des mots de passe soient exposés sur le web.
- Recevoir une alerte quand quelqu'un utilise le formulaire "mot de passe oublié" avec un nom d'utilisateur existant - A cocher ! C'est le cas où un pirate a deviné votre nom d'utilisateur et essaie de récupérer le mot de passe.
- Etre informé quand quelqu'un se connecte en tant qu'administrateur - Pour ma part, je coche cette case ainsi que la case située en dessous ("M'alerter seulement si cet administrateur se connecte depuis un nouvel appareil ou un nouvel endroit"). Ça permet d'être informé si quelqu'un est parvenu à voler vos identifiants pour se connecter à votre administration.
- Etre informé quand quelqu'un se connecte avec un autre rôle ("non-admin") - A vous de voir, si vous avez un blog collaboratif mieux vaut décocher cette case pour éviter de recevoir une alerte à chaque fois que vos contributeurs se connectent !
- Recevoir un e-mail quand il y a une augmentation significative des attaques sur votre site - Cochez cette case, Wordfence vous informera si vous êtes ciblé par une tentative de piratage de grande ampleur.
Enfin, vous pouvez définir un nombre maximum d'e-mails par heure. Si vous avez correctement paramétré vos alertes et que votre site est protégé un minimum contre le piratage, vous ne devriez pas crouler sous les alertes donc vous pouvez laisser "0" dans la case (= alertes illimitées).
Activity Report
Wordfence peut vous adresser une synthèse régulière par e-mail de la situation sur votre blog : les adresses IP qui ont été bloquées, les plugins qui exigent d'être mis à jour, les fichiers qui ont été récemment modifiés, etc.
Dans cette partie des options, vous pouvez choisir si vous souhaitez activer ce résumé (en cochant la case "Enable email summary"), définir la fréquence d'envoi des e-mails ("Once a day/week/month" = un par jour/semaine/mois).
Vous pouvez aussi choisir d'exclure certains répertoires du suivi de la modification des fichiers (je vous conseille de laisser les paramètres par défaut sauf si vous savez ce que vous faites !).
Vous pouvez enfin afficher un widget de synthèse sur le tableau de bord de votre administration WordPress en cochant la case "Enable activity report widget on the WordPress dashboard".
Pour ma part, j'ai désactivé le résumé par e-mail car je reçois déjà des alertes en cas de problème sur le blog. Je préfère ne pas encombrer inutilement ma boîte mail ! En revanche, j'ai activé le widget sur le tableau de bord car il permet de garder un œil sur la sécurité globale du site.
Basic Firewall Options
Ici, je vous conseille simplement de vérifier que le pare-feu de Wordfence est bien actif (réglé sur "Enabled and protecting").
Il faut savoir que ce pare-feu dispose d'un "Learning Mode", un mode d'apprentissage que vous pouvez utiliser juste après l'installation du plugin. Sélectionnez simplement "Learning Mode" dans la liste déroulante et cochez la case "Automatically enable on" puis choisissez une date qui permettra au pare-feu de passer tout seul en mode "Activé" après cette date.
Cette phase d'apprentissage va permettre au plugin de se familiariser avec votre site pour adapter la protection contre le piratage à votre environnement.
Advanced Firewall Options
Dans cette partie des réglages de Wordfence, il y a plusieurs options très intéressantes à paramétrer.
Delay IP and Country blocking until after WordPress and plugins have loaded - Sauf exception, il n'est pas utile de cocher cette case. Par défaut, Wordfence est actif dès le début du chargement de la page... Cette option permet d'attendre le chargement complet de WordPress et de ses extensions avant de mettre en place les blocages par adresse IP ou par pays.
Whitelisted IP addresses that bypass all rules - Ici, vous pouvez indiquer des adresses IP qui échappent à toutes les règles de filtrage paramétrées. C'est une fonctionnalité très pratique pour éviter tout risque de se bloquer soi-même. C'est un problème qui peut vous arriver si vous paramétrez mal Wordfence !
Imaginons par exemple que vous décidiez de bloquer tous les utilisateurs qui font plus de trois erreurs de mot de passe. En vous connectant à votre administration, vous vous trompez à plusieurs reprises. Vous risquez alors de vous faire bloquer par Wordfence.
Si ça vous arrive, il suffit de vous connecter sur votre FTP, où sont stockés les fichiers de votre site. Allez dans le dossier wp-content > plugins et renommez simplement le dossier "wordfence" (par exemple, en "wordfence2"). Ça désactivera le plugin et vous permettra de retrouver un accès à votre administration.
Pour éviter ce problème, vous pouvez aller sur un site quelconque pour connaître votre adresse IP et entrer l'information dans ce champ "Whitelisted IP addresses". Pour ma part, je l'ai fait pour l'adresse IP de mon domicile et pour celle de mon travail étant donné que je blogue parfois pendant ma pause déjeuner. La méthode ne fonctionne que si vous avez une adresse IP fixe (qui ne change pas à chaque connexion).
Whitelisted services - Vous pouvez également mettre certains sites en "liste blanche" pour éviter qu'ils ne soient bloqués, à l'instar de Facebook ou du site de sécurité Sucuri. Par défaut, tous ces sites sont placés en liste blanche.
Immediately block IPs that access these URLs - Vous pouvez ici entrer l'adresse de certaines pages sensibles de votre site. Tout utilisateur tentant d'accéder à ces pages sera immédiatement bloqué par Wordfence. Il faut écrire l'adresse sous forme relative (au lieu d'écrire https://www.example.com/page-interdite/, écrivez juste /page-interdite/ en commençant toujours par un slash). Je n'utilise pas cette option pour ma part.
Whitelisted 404 URLs - Wordfence met en place certaines règles pour limiter l'activité excessive des robots qui visitent votre site. Vous pouvez ici définir des URL qui seront exclues de ces règles. Je vous conseille de laisser les réglages par défaut.
Ignored IP addresses for Wordfence Web Application Firewall alerting - Vous pouvez ici indiquer des adresses IP qui ne déclencheront aucune des alertes prévues par le pare-feu de Wordfence. En règle générale, je vous conseille de laisser ce champ vide pour continuer à être alerté en toutes circonstances.
Enfin, vous disposez de règles avancées : Wordfence établit qu'une attaque est une attaque en contrôlant un certain nombre de paramètres. Si vous êtes confronté à une situation où des visiteurs sont "accusés" à tort d'avoir un comportement suspect, vous pouvez ajuster très finement le fonctionnement du pare-feu de Wordfence.
Brute Force Protection
Ces réglages de Wordfence concernent spécifiquement la sécurité de la page de connexion à l'administration de votre blog. C'est une page stratégique grâce à laquelle on peut accéder à votre compte, il est donc important qu'elle soit bien sécurisée car c'est souvent elle qui est la cible des tentatives de piratage.
Elle est notamment très exposée aux attaques par force brute : un pirate va tester automatiquement des milliers et des milliers de noms d'utilisateur et de mots de passe pour essayer de trouver les vôtres.
Wordfence dispose d'une protection contre les attaques par force brute, que vous pouvez activer en cliquant sur "ON" dans cette rubrique.
L'extension va agir à plusieurs niveaux :
- Blocage des tentatives de connexion ratées - Dans mon cas, après cinq tentatives de connexion ratées (chiffre à renseigner au niveau de la ligne "how many login failures"), l'utilisateur est automatiquement bloqué. Ça permet d'éviter les attaques en série où une personne va tenter de se connecter plusieurs fois de suite avec différents noms et mots de passe.
- Blocage des tentatives de récupération du mot de passe - Certains pirates vont essayer d'utiliser le formulaire "Mot de passe oublié" pour récupérer votre mot de passe. Vous pouvez ici définir un chiffre X. Au bout de X utilisations de ce formulaire par un même utilisateur, celui-ci sera automatiquement bloqué.
- Période d'application ("Count failures over what time period") - Définissez ici la période pendant laquelle les tentatives sont comptabilisées. Pour ma part, j'ai choisi une journée ("1 day"). Ça signifie qu'un même utilisateur a droit à cinq tentatives de connexion par jour. J'ai choisi ce paramètre car j'estime qu'il peut m'arriver de faire des erreurs de connexion quand je suis par exemple sur mon téléphone - où je ne suis pas à l'abri d'une faute de frappe ! Mais ça ne m'arrive jamais de faire plus de cinq erreurs par jour donc si ça devait se produire, ce serait hautement suspect :)
- Choisissez la durée du blocage ("Amount of time a user is locked out") - J'avais mis 1 jour par défaut, je suis passée à 5 jours récemment (ça calme, 5 jours de blocage, non ?).
- Immediately lock out invalid usernames - Cette option vous permet de bloquer immédiatement tout utilisateur qui se trompe en entrant son nom d'utilisateur pour se connecter. Je vous conseille de laisser cette case décochée car personne n'est à l'abri de faire une erreur ponctuelle en écrivant son nom d'utilisateur.
- Prevent users registering "admin" username if it doesn't exist - Cette option s'adresse aux personnes qui autorisent la création de nouveaux comptes sur leur blog. Si vous avez par exemple un espace réservé aux membres ou que vous acceptez l'inscription de contributeurs, ça les empêche de créer un compte avec le nom d'utilisateur "admin". A cocher !
- Prevent discovery of usernames - Je vous conseille de cocher cette case car elle permet d'empêcher l'utilisation de certains programmes pour deviner facilement votre nom d'utilisateur.
- Immediately block the IP of users to try to sign in as these usernames - J'adore cette option parce qu'elle permet de bloquer tous les petits malins qui essaient des noms d'utilisateurs évidents ! En principe, si votre blog est bien sécurisé, votre nom d'utilisateur n'est pas "admin" (le nom par défaut) et n'est pas non plus le nom de votre blog (qui serait trop facile à deviner). Vous pouvez alors entrer ces noms évidents dans le champ prévu à cet effet (un nom par ligne) pour bloquer immédiatement toute personne qui essaiera de se connecter en les utilisant.
- Prevent the use of passwords leaked in data breaches - Cette option vous empêche de choisir un mot de passe qui a fuité sur le web suite à une faille de sécurité.
Je vous conseille de cocher également les options qui suivent (enforce strong passwords, don't let WordPress reveal valid users in login errors, prevent users registering 'admin' username if it doesn't exist, etc).
Elles permettent à l'extension Wordfence de vous obliger à choisir un mot de passe complexe, empêchent que le nom des utilisateurs soit facilement dévoilé en cas d'erreur de connexion ou qu'un compte soit créé avec le nom "admin", qui n'est pas sécurisé.
Je vous conseille de cocher l'option Bloquer les adresses IP qui envoient des requêtes de type POST avec un agent utilisateur et un referer vides (Block IPs who send POST requests with blank User-Agent and Referer). Traduction : c'est le cas d'un utilisateur qui tente d'effectuer une action de soumission d'un formulaire (de commentaires, de connexion, etc) sans indiquer de quelle adresse il arrive ou quel navigateur il utilise. C'est suspect... donc on bloque !
Vous pouvez aussi afficher un texte personnalisé sur la page de blocage, en renseignant le champ "Custom text shown on block pages".
Enfin, vous avez le choix de participer ou non au réseau de sécurité (Participate in the Real-Time Wordfence Security Network) : Wordfence mutualise toutes les données des utilisateurs qui ont activé cette option pour améliorer la sécurité chez tout le monde. Par exemple, s'il détecte sur un site quelque part dans le monde un utilisateur qui envoie énormément de spams, il va pouvoir mémoriser l'information et bloquer ensuite cet utilisateur sur votre propre site.
Rate Limiting
J'ai déjà évoqué ces options dans le paragraphe intitulé "L'option Rate Limiting".
Whitelisted URLs
Ici, vous pouvez définir des URLs qui échapperont à la surveillance de Wordfence. Cette liste est souvent pré-remplie lorsque vous avez utilisé le pare-feu de Wordfence en mode apprentissage (le Learning Mode dont j'ai parlé précédemment) et il n'est pas nécessaire d'y toucher, à moins d'avoir identifié des besoins spécifiques.
Advanced Country Blocking Options (Wordfence Premium)
Cette fonctionnalité est réservée aux utilisateurs de la version payante du plugin.
Vous pouvez notamment :
- Choisir le comportement de Wordfence en cas de blocage ("What to do when we block someone") - Afficher un message par défaut ou rediriger l'internaute vers une adresse de votre choix (à indiquer dans le champ "URL to redirect blocked users to").
- Bloquer l'accès sélectivement - Bloquer même quand l'utilisateur est connecté au site (Block countries even if they are logged in), empêcher l'accès au formulaire de connexion (Block access to the login form) ou au reste du site (Block access to the rest of the site)...
- Définir des conditions de blocage - Si l'utilisateur essaie d'accéder à une URL XXX, le rediriger vers l'URL XXX et définir un cookie qui contournera le blocage par pays. Ou encore : Si un utilisateur autorisé à accéder au site voit l'URL XXX, définir un cookie qui contournera le blocage par pays par la suite si cet utilisateur accède au site depuis un pays bloqué.
Vous pouvez ensuite cocher les pays concernés par le blocage. Bloquer le trafic d'un pays entier est un choix radical, que l'on peut faire pour protéger les ressources de son site ou pour des raisons commerciales si l'on estime que le trafic issu d'une région du monde n'est pas pertinent.
Comme beaucoup de spammeurs viennent de Chine et d'Ukraine, certains font par exemple le choix de bloquer entièrement ces pays. Ça veut dire aussi que si vous êtes lu par des personnes (tout à fait honnêtes) installées dans ces pays, elles ne pourront plus accéder à vos contenus.
Scan Scheduling (Wordfence Premium)
Cet onglet est destiné aux utilisateurs Premium (qui ont acheté la version payante du plugin). Il permet de définir le calendrier avec lequel vous souhaitez que le plugin Wordfence scanne votre site.
Par défaut, Wordfence détermine une fréquence de scan en toute autonomie mais vous pouvez paramétrer un calendrier beaucoup plus précis en cliquant sur "Manually schedule scans".
Basic Scan Type Options
Il existe différents niveaux de scan, du plus rapide et superficiel au plus approfondi (High Sensitivity), ainsi qu'un scan "sur mesure" qui est activé par défaut lorsque vous avez personnalisé les options du plugin.
Ça permet à Wordfence de répondre à différents besoins en matière de sécurité, qu'il s'agisse d'effectuer une surveillance rapide de son site ou d'un examen approfondi sur un site régulièrement confronté à des tentatives de piratage.
General Options
Ici, c'est simple, je vous conseille de cocher toutes les cases. Elles permettent de définir ce que Wordfence va vérifier lors de son scan de sécurité de votre site.
En cochant toutes ces cases, vous allez bénéficier d'un niveau de contrôle qualitatif qui permettra à l'extension de vérifier les fichiers de WordPress, ceux de vos plugins et de votre thème, de détecter différents types de menaces et de codes suspects, etc.
En version Premium, le plugin peut également vérifier la réputation de votre nom de domaine : figure-t-il sur une quelconque liste noire ? Est-il identifié comme provoquant du spam ?
Quand on se fait pirater par exemple, il arrive parfois que les pirates exploitent votre site pour envoyer du spam depuis votre serveur. Votre site peut alors devenir suspect.
J'ai déjà rencontré le cas avec une lectrice du blog : à chaque fois qu'elle postait un commentaire, celui-ci était filtré par mon antispam alors que son blog était tout à fait normal. En faisant quelques recherches, j'ai découvert que son nom de domaine avait été utilisé par le passé pour envoyer du spam. Il était bloqué dans de nombreuses bases de données antispam...
Performance Options
Ces options permettent de gérer l'impact de Wordfence sur les ressources de votre serveur. Pour effectuer son scan, l'extension mobilise en effet des ressources... et vous pouvez les moduler si c'est nécessaire, par exemple en choisissant un scan qui consomme peu de ressources mais dure plus longtemps ("Use low resource scanning").
Vous pouvez également limiter le nombre de problèmes signalés dans les e-mails envoyés après un scan ("Limit the number of issues sent in the scan results email") ou limiter la durée maximale d'un scan (par défaut, elle est fixée à trois heures).
Dans cette rubrique, il est possible de définir la mémoire utilisée par Wordfence lors des scans (How much memory should Wordfence request when scanning). Vous pouvez laisser le réglage par défaut mais si votre hébergeur vous signale par exemple une consommation de ressources excessive sur votre site, vous pouvez mettre un chiffre plus faible.
Vous pouvez aussi définir un temps d'exécution maximum pour chaque étape du scan (Maximum execution time for each scan stage). Le réglage par défaut (case vide) convient généralement.
Advanced Scan Options
Destinées aux utilisateurs experts, ces options permettent d'exclure certains fichiers du scan mais aussi de vérifier des signatures spécifiques (à entrer sous forme de regex).
Two Factor Authentication Options (Wordfence Premium)
Les utilisateurs de la version payante du plugin peuvent activer la double authentification : pour se connecter au site, il faudra alors disposer du nom d'utilisateur, du mot de passe ET avoir accès au téléphone portable associé.
Live Traffic Options
J'ai déjà évoqué ces options dans le paragraphe intitulé "L’onglet Live Traffic". Vous pouvez définir des visiteurs (humains ou robots) que vous ne souhaitez pas suivre : ceux qui sont connectés sur le blog et disposent des droits de publication, des adresses IP précises, des user-agents précis...
Vous pouvez aussi définir la place qu'occuperont ces données de trafic en temps réel dans votre base de données ("Amount of Live Traffic data to store") : par défaut, Wordfence mémorise jusqu'à 2000 entrées dans la base de données.
Import/Export Options
En général, quand on a paramétré Wordfence une fois, on n'a pas envie de recommencer une seconde fois depuis le début ;) Alors si vous possédez un autre site, vous pouvez ici exporter les réglages pour les importer ailleurs... ou importer des réglages issus d'un autre site.
Wordfence, un incontournable pour améliorer la sécurité WordPress
Wordfence reste sans doute à ce jour l'un des meilleurs plugins pour améliorer la sécurité sur WordPress (iThemes Security fait aussi partie des plugins réputés). Il peut à la fois jouer un rôle préventif et un rôle curatif, en vous aidant à repérer les fichiers touchés par un piratage.
Globalement, les réglages par défaut du plugin protègent déjà votre site dans de nombreuses situations, je vous conseille donc surtout de les durcir un peu, en autorisant moins de tentatives de connexion et en facilitant l'accès aux options de blocage des utilisateurs indésirables.
Pensez aussi à mettre votre adresse IP en liste blanche, pour vous prémunir d'un blocage qui vous exclurait de votre propre site !
La version premium (payante) du plugin que j'ai évoquée dans l'article offre plus d'options, des scans plus fréquents, un meilleur filtrage du spam dans les commentaires, un support technique, etc. Cependant, je ne l'ai jamais utilisée pour un site "de petite taille", exposé à des risques assez classiques.
En complément de cet article, n'hésitez pas à consulter mes autres conseils pour assurer la sécurité de votre blog WordPress.
Ce tuto vient de sauver mon site
Tant mieux si c’est le cas, ça fait partie des très bons plugins de sécurité, avec Sucuri !
Bonjour,
Le plugin permet-il d’imposer l’utilisation de Wordfence à la première utilisation d’un compte ?
Bonjour Arnaud, je ne suis pas sûre de comprendre la question, Wordfence est actif « par défaut » sur tout le site, il ne s’applique pas à un compte en particulier.
Bonjour Marlène, un grand merci pour ce tuto très complet pour configurer Wordfence ! Il en existe peu d’aussi clairs :) Je vous souhaite bonne continuation dans vos projets !
Merci François, c’est un excellent plugin que je continue à recommander !
Bonjour , merci pour votre page très interessante et fournie!
j’aimerais savoir si on peut, avec le plugin wordfence, empêcher l’afflue de connexions simultanées sur mon blog; car je vois sur mes stats des spams de connexions aux mêmes heures le même jour de provenance de différents pays…
Ceci a pour effet d’abord, de fausser mes statistiques…
Hello Joseph, tout dépend si ce sont de « vrais » accès au site ou s’il s’agit de spam referrer, c’est-à-dire de fausses données qui remontent dans les statistiques mais qui ne correspondent pas à des visites « réelles ». Dans ce cas, il y a des moyens de filtrer ce spam référent d’Analytics.
Si ce sont de vraies visites, il faut essayer via Wordfence de bloquer l’IP ou la plage d’IP concernée.
Bonjour ou bonsoir ( suivant l’heure) Marlène.
Depuis plusieurs mois j ‘ai installé WordFence , en suivant pas à pas, votre tutoriel. Je confirme , vous êtes douée, les choses compliquées semblent si simples en vous lisant.
Le site tourne pas trop mal , c’est un site de vente type brocante . , il progresse dans son référencement naturel mais….. Zéro vente. Pleins de consultations produits, mais pas la moindre demande .
Depuis des semaines nous ne comprenons pas ce qui arrive . et ce soir nous avons trouvé et identifié le problème .
Pour acheter, un prospect doit s ‘enregistrer sur le site et créer un compte . Mais , à peine le compte crée , Wordfence bloque le compte à tous les niveaux , notamment par l’adresse IP. De ce fait il est impossible d ‘acheter ou de nous contacter . J’ ai beau chercher dans tous les sens , je ne vois pas quelle case, quelle option est enclenchée. Je ne sais que faire ? Désinstaller et réinstaller ? Merci de vos conseils. A très vite j’espère .
Frederic
Hello Frédéric, il doit y avoir quelque chose dans la procédure de génération d’un nouveau compte qui est assimilé à un comportement suspect… et c’est plus là-dessus que je me poserais des questions que sur le paramétrage lui-même. Je vous conseille de contacter directement Wordfence, en spécifiant ce qui est utilisé pour la création de compte (est-ce un plugin, un développement sur mesure, etc).
On peut sur Wordfence désactiver le fonctionnement du pare-feu sur certaines URL précises (dans le menu « All options », c’est la partie « Allowlisted URLs »)… mais à mon sens, avant de le faire, il faut s’interroger pour vérifier qu’il n’y a pas une faille de sécurité réelle.
Merci de votre retour .J’ai pris contact avec eux, toujours pas de réponse. Je vais regarder du cote de la création de compte client . Je vous tiens au courant.
Ils apportent des réponses directes (via les tickets de support) uniquement aux clients Premium, pour le support gratuit ça passe par le forum Wordfence… mais je pense qu’il serait préférable que quelqu’un examine le site (le développeur qui s’en occupe ou autre) pour vérifier que tout est sécurisé.
Explications très pédagogiques. Merci
Merci Frédéric !
Merci infiniment, je m’inquiétais déjà pour la sécurité de mon site. Maintenant je peux m’en dormir tranquillement vu que toutes les configuration viennent d’être faites.
Oui ça protège bien des attaques les plus courantes !
Wouah génial cet article, pour moi qui cherchais un tuto pour paramétrer correctement Wordfence j’ai été servi :)
Merci encore pour cet article de qualité !
Merci Fabien, c’est un très bon plugin à avoir dans sa « boîte à outils » !
Merci pour cet article !
Il m’a permis d’y voir plus clair avec ce plugin très utile !
Il est effectivement très utile, surtout quand on voit le nombre d’attaques qui sont bloquées au quotidien. Je ne suis pas sûre que ça empêche un hacker vraiment acharné de s’en prendre à un site mais ça décourage au moins le gros des troupes ou les attaques automatiques, c’est déjà très bien !
Bonjour Marlène,
Merci beaucoup pour ce tutoriel très riche, facile à comprendre et des plus utiles !
Merci Lily, contente d’avoir pu t’aider !
Merci pour ce guide extrêmement précieux.
De rien Bernard, merci pour le commentaire !
Bonjour Sophie,
Lorsque je lance le scan j’ai le message suivant.
The current scan looks like it has failed. Its last status update was 20 mins ago. You may continue to wait in case it resumes or stop and restart the scan. Some sites may need adjustments to run scans reliably.
Pouvez-vous m’aider.
D’avance Merci;
Alain
Bonjour Alain, le problème peut venir de 2 choses : soit c’est une « vraie » erreur, qui vient souvent de limitations mises en place par l’hébergeur. Soit le message s’affiche mais le scan continue à tourner, auquel cas ils disent que c’est souvent causé par un problème de cache (plugin de cache ou cache serveur).
Le site d’aide conseille de modifier la variable WORDFENCE_SCAN_FAILURE_THRESHOLD dans la configuration avancée du plugin, je te renvoie au lien que j’indique dans ma réponse.
Bonjonr
J’utilise wordfence depuis plusieures années sur les sites de mes clients
Quand je l’installe , je mets toujours le meme mail
J’ai des clients qui ont changé de prestataire, mais le plugin est toujours actif et je n’ainplus acces a l’admin wordpress par contre je recois toujours les alertes.
Commnet supprimer ces notifications
Merci
Bonjour Gilles, je réponds tardivement car j’étais en vacances :) Le plus simple est évidemment de leur demander directement de faire un changement d’adresse, de leur côté s’ils ont fait le choix d’un autre prestataire ils devraient voir ça d’un bon œil de ne plus vous envoyer les données de leur site.
Si pour une raison X ou Y vous ne souhaitez plus ou ne pouvez plus avoir de contacts avec eux, écrivez directement aux créateurs de Wordfence en demandant s’ils ont un moyen d’agir de leur côté. Vous pouvez dans un premier temps poser la question sur le forum de support.
Bonjour Marlène !
Aucune interrogation de mon côté cette fois-ci x)
Juste un petit commentaire pour te remercier pour le super travail que tu fais, chacun de tes articles est une bénédiction !
Bonne journée à toi !
Axelle
Merci beaucoup Axelle !
Bonjour,
Je trouve votre article très intéressant et je vous en remercie.
Je poste cette demande en espérant qu’une personne puisse m’aider.
Voilà, je ne peux plus me connecter à mon admin. Je n’ai pas de message d’erreur mais la page reste inerte. Cela marchait il y a 3 jours. Je pense que cela vient de wordfence. J’ai tenté une récupération par mot de passe mais rien à faire. Cela est très ennuyeux. Si quelqu’un à une solution ?
Merci beaucoup pour votre aide.
Sophie
Bonjour Sophie, qu’entendez-vous par « inerte » ? Voyez-vous le formulaire de connexion ? La page est-elle complètement blanche ? Il y a une façon simple de savoir si ça vient de Wordfence : connectez-vous au FTP du site (là où vous avez mis les fichiers de WordPress), allez dans le dossier « wp-content » puis « plugins » et modifiez le nom du dossier de Wordfence. Le fait de renommer le dossier va automatiquement désactiver le plugin. S’il est la cause du problème, vous pourrez de nouveau vous connecter à l’administration.
Bonjour Marlène,
Merci beaucoup pour votre réponse Je viens d’appliquer votre astuce mais cela ne change rien. Non la page n’est pas blanche. Quand je rentre mon identifiant et mot de passe rien ne se passe (et il n’y a pas de message d’erreur) Avez vous une autre astuce ? Merci beaucoup pour votre aide
Ça signifie que le problème n’est pas lié à Wordfence donc malheureusement, je ne peux pas aider dans le cadre de cet article. Je vous conseille de vous tourner vers le forum d’aide de WordPress.
Il est en place chez moi depuis plusieurs mois mais ça fait 2 samedis qu’il m’explose ma bdd et qu’OVH me bloque en la passant en read only. Je peux vider la table mais sans savoir comment corriger le problème (si tu as une idée ;)).
Sinon, on est d’accord qu’avec Wordfence, Limit Login Attempts Reloaded est inutile non ?
Merci :)
Hello, c’est curieux ! As-tu désactivé le suivi du trafic en temps réel car c’est souvent ce qui ralentit le site ? Sinon, le plugin limite bien le nombre de tentatives de login.
Bonjour Marlène,
Merci pour cet article très complet. J’utilisais jusqu’à présent Ithèmes Sécurity mais j’ai eu un soucis je crois (ma BDD qui d’un coup de remplissait de log et donc saturait la base – j’ai dû désactiver le plugin et je pense avoir subit une attaque du coup – personnalisation de mon thème qui disparaissait tous les 2 jours…) J’ai 2 questions par rapport à ce que je faisais en terme de sécu :
– Je ne vois pas la possibilité de remplacer l’URL de connexion wp-admin, ça n’est plus utile ?
– 2è question, j’utilisais 2 plugins en plus d’Ithèmes Security : Login Lockdown et Block Bad Queries, sont-ils encore utiles ?
Merci de tes réponses et bonne journée !
Marine
Hello Marine, le plugin ne fait pas disparaître wp-admin, HideMyWP est sans doute le plugin de sécurité le plus utile à cet égard quand on veut masquer que l’on utilise WordPress.
Wordfence remplit à mon sens les fonctions des plugins Login Lockdown et Block Bad Queries.
Merci !
Hello,
Je suis interrogative car j’avais suivi ton tuto quand j’avais installé cette extension mais, depuis la dernière mise à jour, je ne vois plus de « Réglages/settings ». Cette mention est remplacée par « Upgrade to premium » comme si je ne pouvais plus toucher à rien… Comme je trouve mon blog instable avec pas mal de plantages ces derniers temps, je me pose quelques questions ;-)
Merci !
Oups, désolée, je vais te spammer. J’ai suivi ton conseil de désactiver et réactiver et cela a généré un mail (il faut d’ailleurs que je désactive tous ces nouveaux envois ;-)), avec le lien pour accéder aux paramètres… Bref, désolée du dérangement ! Je vais pouvoir continuer gentiment à chercher ce qui ne va pas avec le blog ;-)
Hello Lili, le plugin a simplement changé d’ergonomie, j’ai prévu de réactualiser le tutoriel mais n’ai pas eu le temps à ce jour. Les options se trouvent dans le menu « All options ». La seule chose qui peut vraiment ralentir un blog à cause de Wordfence, c’est quand on active le suivi du trafic en direct (Live Traffic Options => Enable live traffic logging réglé sur « ON »). Sinon, je n’ai pas constaté de lenteur particulière pour ma part.
Merci Marlène pour cet article ô combien riche et documenté ! Je me fais pirater constamment ces derniers jours, j’ai donc « nettoyé » mon blog et investi dans la licence Wordfence pour mes 2 sites. Ton article m’a permis de paramétrer le plugin de manière optimale donc big thanx
Hello Mélanie, la version gratuite du plugin est déjà très performante… mais ce qu’il faudrait surtout comprendre, c’est par où passe ce pirate : est-ce qu’il y a des plugins obsolètes sur le site (pas mis à jour depuis très longtemps par leur créateur), un problème au niveau du thème… Je te conseille de lire en complément mon article sur la sécurité WordPress !
Bonjour Marlène,
Je voulais installer ce plug-in, mais j’ai ceci qui s’affiche une fois activé, aurais-tu une idée du problème ? Je n’y connais pas grand chose haha !
« Wordfence could not register with the Wordfence scanning servers when it activated. You can try to fix this by deactivating Wordfence and then activating it again, so Wordfence will retry registering for you. If you keep seeing this error, it usually means your WordPress server can’t connect to our scanning servers, or your wfConfig database table cannot be created to save the key. You can try asking your host to allow your server to connect to noc1.wordfence.com or check the wfConfig database table and database privileges. »
Merci et belle journée,
Laura
Visiblement il n’arrive pas à « écrire » des informations dans ta base de données. Tu peux tester ce que recommande le message (désactiver puis réactiver le plugin)… et si ça ne fonctionne toujours pas, il faut voir avec ton hébergeur (ou sur le site de ton hébergeur) si ta base de données permet à un plugin « d’écrire dedans ».
Merci pour cet article très complet sur le plugin Wordfence. Je l’ai installé et configuré mais j’ai un petit plaisantin spammeur qui continue à polluer mon blog malgré que je l’ai bloqué dans les noms d’utilisateur bannis. Il arrive quand même à passer entre les mailles du filet de Wordfence. Je bloque aussi ses IP mais il en change régulièrement. C’est vraiment agaçant.
C’est hélas le problème des IP dynamiques (et des gens qui n’ont rien d’autre à faire de leur vie que de troller) :/
Même si le tuto n’est pas 100% à jour, je le trouve très bien quand on ne connait rien.
J’ai remarqué que le logiciel a de lui-même coché la majeure partie des cases que tu conseilles, il semblerait donc que la configuration de base ressemble à celle que tu préconises :)
J’ai migré chez worpdress et tes tutoriels me sont bien utiles, alors encore merci pour tout ce boulot!
Le plugin a été complètement refait il y a très peu de temps, il faudra donc que je mette à jour le tutoriel. J’ai l’impression qu’ils ont revu les réglages par défaut à cette occasion, pour que la version de base du plugin soit mieux paramétrée.
Bonjour Marlène,
Tout d’abord merci beaucoup pour cet article qui m’a beaucoup aidé et surtout qui explique tout en français !! Je vous contact pour savoir si ce qui m’arrive est normal… J’ai changé les paramètres de mon site, j’ai tout enregistré. Mais, je voudrais à nouveau changer certaines cases mais surtout pouvoir exporter ces paramètres pour d’autres sites. Je dois donc me rendre dans l’onglet « option » mais après l’enregistrement de mes paramètres voilà qu’il a changé en « help » et ne me propose que d’évoluer en premium. Est-ce normal ? Que puis-je faire pour changer cela ?
Merci infiniment de votre aide et en attendant votre réponse je vous souhaite une belle journée !
Bonjour, le plugin a été entièrement mis à jour hier ou avant-hier et pas mal de choses ont bougé, l’interface n’est plus du tout la même. Pour retrouver l’import/export, ça se passe dans Wordfence > Dashboard > Global Options > Import/Export Options.
Merci beaucoup de votre aide !! Effectivement, l’interface a entièrement changé et c’est la raison pour laquelle je ne comprenais plus rien. C’est bien, ça vous donne des idées pour votre blog pour les futurs utilisateurs de wordfence :p
Ha ha ce serait surtout bien qu’ils arrêtent de changer d’interface tous les mois, mettre à jour un tuto demande souvent plusieurs heures de travail ^^ Je vais attendre de voir s’ils apportent des changements suite à cette grosse refonte, avant de remettre à jour l’article.
Bonjour Marlène,
Même si ton article date un peu, et que probablement wordfence à depuis fait évoluer son offre sécurité, je trouve ton article très intéressant et bien détaillé (c’est un blogueur qui le dit) qui va m’être utile lors de mes tests sur ce produit (wordfence).
J’en ai déjà testé quelques uns , wordfence étant le dernier de ma liste car le plus coriace à apprivoiser, mais du lot c’est pour l’instant ithème security (je possède déjà leur programme de backup excellent backupbuddy pro) car en plus de m’avoir permis de bouter un hackeur, enfin depuis 48h, qui s’attaquait à l’un de mes sites sans parvenir à le contrer avec d’autres plugin du type all in one security, secupress, il me permet de connaitre en permanence tout changement dans WP et cela par mail. Facile donc de connaitre le ou les fichiers qui lui ont permis de hacker le site si bien sûr il y arrive. Et vu ta remarque énoncé lors d’une de tes interventions :
« Le nettoyage des fichiers piratés prend du temps et en plus, il faut trouver par où le pirate s’est introduit »
Et bien le nettoyage est bien plus simple à réaliser grâce à ce module. Par contre à chaque message reçu, c’est un peu le stress, avant de découvrir que bien souvent c’est le résultat d’une modification auto du plugin lui même (rep. ithemes security), ou des sauvegardes automatisées) .
Merci donc pour une meilleure compréhension de wordfence.
Pour en revenir à ce (robot) hackeur ukrainien ou russe selon certain, je ne sais pas comment il fait pour retrouver mon repertoire d’accès (wp-admin) malgré 2 renommages en moins de 48h changements et kracké en en moins de 24h (sans trouver le MP heureusement). Aurais-tu une idée?
Patrick
Pas du tout, je ne suis pas spécialiste en sécurité informatique :) Il faudrait faire effectuer une analyse par quelqu’un qui a vraiment des connaissances pointues en développement web, pour comprendre où il peut y avoir des failles dans le code.
Merci beaucoup pour ces info. J’avais un probleme avec le plugin que j’utilisais, je vais donc essayer celuici. J’espere que ca marchera.
Ce plugin fonctionne vraiment bien ! S’il ne te plaît pas, essaie iThemes Security qui est très bien aussi !
Merci beaucoup pour votre article et vos conseils! Mon site à été hacké à deux reprises l’année passée, même que c’est un tout petit site. Je ne suis pas très calée en informatique mais n’ai pas de quoi payer un webmaster, donc je dois tout faire moi-même, et ça devient de plus en plus compliqué. Mais là, je pense avoir un plug-in qui m’évitera des problèmes dans l’avenir. Donc encore merci à vous!
Bonjour Marina, il faut surtout essayer de comprendre pourquoi le site est hacké de manière récurrente. Parfois, c’est tout simplement lié à l’utilisation d’un plugin obsolète, qui comporte une faille permettant aux pirates de prendre le contrôle du site. Je vous conseille aussi de lire le guide sur la sécurité WordPress que j’ai rédigé, il y a des conseils complémentaires.
Merci pour ce super article !
J’avais installé le plugin mais sans vraiment le configurer car tout était en anglais et avait l’air compliqué… Maintenant je me sens plus en sécurité :)
Hello Sylvaine, c’est vrai que la traduction manque et il me semble que Wordfence n’est pas « traduisible » à ce jour, je crois me souvenir que je m’étais renseignée pour proposer une traduction et le code du plugin ne le permettait pas…
Bonjour Marlène.
Merci pour cet article extrêmement complet. Comme l’ont déjà dit d’autres lecteurs, j’avais téléchargé ce plugin dès la création de mon blog mais n’avais pas optimisé les réglages. C’est maintenant chose faite grâce à toi!
Hâte de lire tes prochains articles…
Merci Fany ! Par défaut Wordfence fonctionne déjà bien mais je trouve qu’il consomme trop de ressources et qu’il n’est pas assez exigeant sur les critères de blocage, d’où l’intérêt de le paramétrer un peu.
Merci de tous ces conseils !
J’ai le plugin mais viens de cocher quelques cases en plus et de limiter le nombre de tentatives quotidiennes ;-)
La sécurité est un sujet qui effraie toujours ! (avec le « comment tout bien sauvegarder ? » ;-))
D’où l’intérêt d’avoir un hébergeur qui fait des sauvegardes automatiques :) Et/ou un plugin qui gère aussi ça automatiquement !
En effet… Je crois qu’OVH, chez qui je suis, n’en fait pas. J’ai chargé UpdraftPlus mais cela semble saturer mon espace. Il faut que je me renseigne davantage pour mieux comprendre où sont vraiment mes données :p
OVH propose une sauvegarde pour toutes ses formules d’hébergement de site, mais il faut l’activer dans la console OVH si mes souvenirs sont exacts.
Quant à UpdraftPlus, tout dépend de ce que tu sauvegardes (tu peux choisir de créer une archive des thèmes, des extensions, de la base de données… mais aussi la fréquence et le nombre d’archives à conserver).
J’avais fait un tuto pour expliquer comment sauvegarder des données sur Dropbox avec UpdraftPlus (en bas de l’article) :) Ça peut peut-être t’aider !
Bonjour
j utilisais ce plugin de sécurité WordPress avant de découvrir Itheme sécurity …cette extension de sécurité est simple d utilisation et intuitive …
Ce plugin détecte ce qui ne vas pas et il y a juste à cliquer afin de corriger ….il permet également de modifier l URL de la page WordPress et de modifier le nom par défaut (admin ) afin de limiter les risques d attaques …
il détecte également les erreurs de lecture et d écriture en vous recommandant les plus optimales pour la sécurité de votre site WordPress..
Oui c’est aussi un plugin de référence, je trouve que les deux font très bien leur job.
Merci pour ce super article, j’étais assez choqué de découvrir le nombre d’attaques que subit mon site (168 pour la journée) ! La sécurité est vraiment une des mes grosses angoisses, quand j’étais en stage en Finlande on en avait subit, 3, 4 en 6 mois qui avait mis notre site complètement à 0. Quand j’ai décidé de créer mon site du coup, c’était une priorité pour moi, mais je m’y connais que très peu, d’où la grande utilité d’un article comme celui-ci pour moi !
C’est effectivement rageant de perdre tout son travail à cause d’un piratage, je m’étais fait quelques grosses frayeurs il y a quelques années en me faisant pirater un forum de discussion. Le nettoyage des fichiers piratés prend du temps et en plus, il faut trouver par où le pirate s’est introduit car sinon, on nettoie tout mais ça recommence dans les heures qui suivent.