Wordfence Security : un plugin de sécurité WordPress de référence


Pour assurer la sécurité d’un blog WordPress, j’ai déjà mentionné plusieurs fois le plugin Wordfence. C’est une sorte de couteau suisse qui vous permet à la fois de protéger votre site contre les attaques les plus courantes (tentatives de connexion à votre administration, etc) mais aussi de scanner vos fichiers pour détecter des modifications suspectes.

Si votre site se fait pirater par exemple, ce type de plugin peut vous aider à identifier les fichiers touchés et à deviner la source du problème. Au quotidien, Wordfence est aussi un très bon allié pour bloquer les spammeurs et empêcher certaines attaques.

Son inconvénient ? Il n’est pas très ergonomique pour quelqu’un qui le découvre ! C’est pour cette raison que j’ai décidé de vous proposer un tutoriel complet pour découvrir ses nombreuses options.

Paramétrer le plugin Wordfence Security

Pour installer Wordfence, direction le menu Extensions > Ajouter de votre blog et cherchez le nom du plugin. Pensez à l’activer une fois l’installation terminée.

Installation du plugin Wordfence Security
Installation du plugin Wordfence Security

Wordfence, il faut l’avouer, n’est pas un plugin très ergonomique au premier abord. Il comporte de nombreux sous-menus et une très longue liste d’options qui peut dérouter les utilisateurs. Je vais donc vous présenter chaque menu un par un ! Alors on se motive, on se prépare un thé/café/chocolat/whisky… et c’est parti !

Le Dashboard

C’est un tableau de bord qui vous donne un panorama instantané de la situation sur votre site. Vous pouvez voir le nombre d’attaques bloquées par le pare-feu de Wordfence (« Firewall Summary – Attacks Blocked ») par jour, par semaine ou sur le mois.

Vous pouvez également avoir une idée du volume global d’attaques bloquées par Wordfence sur le réseau de tous les sites qui utilisent le plugin, voir quels pays attaquent votre site en majorité (Ukraine, Russie et France arrivent en tête dans mon cas).

Le dashboard de Wordfence
Le dashboard de Wordfence

Le plugin vous donne également un aperçu de toutes les connexions à votre administration, qu’elles soient réussies ou qu’elles aient échoué : c’est le cas lorsque quelqu’un teste plusieurs mots de passe et noms d’utilisateur pour essayer de se connecter sur votre blog.

Tentatives de login sur WordPress
Tentatives de login sur WordPress

Si Wordfence a détecté des problèmes en effectuant son scan de contrôle de votre site, vous les verrez également apparaître sur le dashboard.

Le menu Scan

Wordfence vous permet de scanner les fichiers votre site afin de détecter toutes les modifications susceptibles d’avoir été effectuées à votre insu. Le scan peut être réalisé en continu ou à la demande, en cliquant sur le bouton « Start a Wordfence scan ».

Les éventuels fichiers modifiés sont affichés en bas de page.

Ne paniquez pas tout de suite en pensant à un piratage si des fichiers suspects s’affichent :)

Il peut aussi s’agir d’une mise à jour des traductions de WordPress qui a changé certaines lignes d’un fichier pour les mettre en français. Utilisez le lien « See how the file has changed » pour visualiser les changements et déterminer s’ils sont suspects ou non.

Si vous constatez qu’un code étrange a été inséré dans vos fichiers, essayez d’en copier une partie sur Google pour trouver plus d’informations sur le sujet. Si vous estimez que le code est suspect, vous pouvez restaurer la version initiale du fichier (celle sans le code suspect) en cliquant sur « Restore the original version of this file ». Notez que ça ne résout pas le problème de fond, à savoir qu’il existe une faille de sécurité ayant permis l’ajout de ce code. Mais ça peut vous permettre de récupérer un site propre, non piraté.

Si le code ne vous paraît pas suspect, vous pouvez choisir d’ignorer le signalement d’erreur jusqu’à ce qu’un nouveau changement soit apporté au fichier (« Ignore until the file changes »).

Exemple d'alerte signalant un fichier modifié
Exemple d’alerte signalant un fichier modifié

Le plugin peut aussi vous signaler tout simplement les plugins qui nécessitent une mise à jour.

Plugin à mettre à jour signalé par Wordfence

L’onglet Scan Schedule (abonnés Premium)

Cet onglet est destiné aux utilisateurs Premium (qui ont acheté la version payante du plugin). Il permet de définir le calendrier avec lequel vous souhaitez que le plugin Wordfence scanne votre site. Par défaut, Wordfence détermine une fréquence de scan en toute autonomie mais vous pouvez paramétrer un calendrier beaucoup plus précis en cliquant sur « Manually schedule scans ».

L’onglet Options de scan

Ici, c’est simple, je vous conseille de cocher toutes les cases jusqu’à « Scan for unauthorized DNS changes » inclus. Elles permettent de définir ce que Wordfence va vérifier lors de son scan de sécurité de votre site.

En cochant toutes ces cases, vous allez bénéficier d’un niveau de contrôle qualitatif qui permettra à l’extension de vérifier les fichiers de WordPress, ceux de vos plugins et de votre thème, de détecter différents types de menaces et de codes suspects, etc.

Pour ma part, j’ai simplement décoché la case concernant les fichiers du thème (« scan theme files ») parce que je n’utilise pas un thème WordPress par défaut. Wordfence détermine si les fichiers sont suspects en les comparant avec la version disponible sur le site de WordPress.

Si vous avez créé un thème sur mesure, personnalisé un thème ou installé un thème qui ne figure pas dans le répertoire de thèmes proposé par WordPress, vous pouvez vous aussi décocher la case car Wordfence ne pourra pas le comparer avec la version disponible dans le répertoire des thèmes.

Options de scan sur Wordfence
Options de scan sur Wordfence

Les options qui suivent sont destinées aux utilisateurs experts et doivent être utilisées avec la plus grande prudence : elles vous permettent par exemple de scanner les dossiers extérieurs à votre installation de WordPress. Par exemple, si vous avez créé en plus de votre blog d’autres dossiers, Wordfence peut les scanner avec le risque que ça augmente le temps de scan et les ressources consommées.

Vous pouvez aussi tester les images et autres fichiers comme s’il s’agissait de fichiers exécutables, activer un scan encore plus sensible (avec le risque qu’il soit trop sensible et signale des erreurs qui n’en sont pas !), choisir un scan qui consomme peu de ressources mais dure plus longtemps (« Use low resource scanning ») afin de limiter l’impact sur votre serveur…

Vous pouvez également exclure certains fichiers du scan, limiter le nombre de problèmes signalés dans les e-mails envoyés après un scan ou limiter la durée maximale d’un scan (par défaut, elle est fixée à trois heures).

Le menu Firewall

Wordfence intègre un pare-feu qui vous protège contre une multitude de formes de piratage (injections SQL, cross-site scripting, exploitation des failles de certains plugins connus, etc). Je vous conseille donc de l’utiliser.

Ce pare-feu est activé par défaut, si vous êtes un utilisateur avancé vous pouvez le paramétrer plus finement en sélectionnant des exceptions au pare-feu mais la configuration par défaut ne m’a jamais posé problème.

Il faut savoir que ce pare-feu dispose d’un « Learning Mode » que vous pouvez utiliser pendant une semaine après l’installation du plugin. Sélectionnez simplement « Learning Mode » dans la liste déroulante et cochez la case « Automatically switch to Enabled Mode on » qui permettra au pare-feu de passer tout seul en mode « Activé » au bout d’une semaine.

Cette phase d’apprentissage va permettre au plugin de se familiariser avec votre site pour adapter la protection contre le piratage à votre environnement.

Le pare-feu Wordfence
Le pare-feu Wordfence

L’onglet « Brute Force Protection »

Ces réglages de Wordfence concernent spécifiquement la sécurité de la page de connexion à l’administration de votre blog. C’est une page stratégique grâce à laquelle on peut accéder à votre compte, il est donc important qu’elle soit bien sécurisée car c’est souvent elle qui est la cible des tentatives de piratage.

Elle est notamment très exposée aux attaques par force brute : un pirate va tester automatiquement des milliers et des milliers de noms d’utilisateur et de mots de passe pour essayer de trouver les vôtres.

Wordfence va agir à plusieurs niveaux :

  • Le plugin vous oblige à utiliser des mots de passe forts (« strong passwords ») plus difficiles à hacker.
  • Blocage des tentatives de connexion ratées – Dans mon cas, après cinq tentatives de connexion ratées (chiffre à renseigner au niveau de la ligne « how many login failures »), l’utilisateur est automatiquement bloqué. Ça permet d’éviter les attaques en série où une personne va tenter de se connecter plusieurs fois de suite avec différents noms et mots de passe.
  • Blocage des tentatives de récupération du mot de passe – Certains pirates vont essayer d’utiliser le formulaire « Mot de passe oublié » pour récupérer votre mot de passe. Vous pouvez ici définir un chiffre X. Au bout de X utilisations de ce formulaire par un même utilisateur, celui-ci sera automatiquement bloqué.
  • Période d’application (« Count failures over what time period ») – Définissez ici la période pendant laquelle les tentatives sont comptabilisées. Pour ma part, j’ai choisi une journée (« 1 day »). Ça signifie qu’un même utilisateur a droit à cinq tentatives de connexion par jour. J’ai choisi ce paramètre car j’estime qu’il peut m’arriver de faire des erreurs de connexion quand je suis par exemple sur mon téléphone – où je ne suis pas à l’abri d’une faute de frappe ! Mais ça ne m’arrive jamais de faire plus de cinq erreurs par jour donc si ça devait se produire, ce serait hautement suspect :)
  • Choisissez la durée du blocage (« Amount of time a user is locked out ») – J’avais mis 1 jour par défaut, je suis passée à 5 jours récemment (ça calme, 5 jours de blocage, non ?).
  • Immediately lock out invalid usernames – Cette option vous permet de bloquer immédiatement tout utilisateur qui se trompe en entrant son nom d’utilisateur pour se connecter. Je vous conseille de laisser cette case décochée car personne n’est à l’abri de faire une erreur ponctuelle en écrivant son nom d’utilisateur.
  • Prevent users registering « admin » username if it doesn’t exist – Cette option s’adresse aux personnes qui autorisent la création de nouveaux comptes sur leur blog. Si vous avez par exemple un espace réservé aux membres ou que vous acceptez l’inscription de contributeurs, ça les empêche de créer un compte avec le nom d’utilisateur « admin ». A cocher !
  • Prevent discovery of usernames – Je vous conseille de cocher cette case car elle permet d’empêcher l’utilisation de certains programmes pour deviner facilement votre nom d’utilisateur.
  • Immediately block the IP of users to try to sign in as these usernames – J’adore cette option parce qu’elle permet de bloquer tous les petits malins qui essaient des noms d’utilisateurs évidents ! En principe, si votre blog est bien sécurisé, votre nom d’utilisateur n’est pas « admin » (le nom par défaut) et n’est pas non plus le nom de votre blog (qui serait trop facile à deviner). Vous pouvez alors entrer ces noms évidents dans le champ prévu à cet effet (un nom par ligne) pour bloquer immédiatement toute personne qui essaiera de se connecter en les utilisant.

Il existe d’autres moyens de deviner votre nom d’utilisateur mais à moins d’être la cible d’un hacker qui vous en veut vraiment, la majorité des tentatives de piratage n’ira pas aussi loin.

Protection contre les attaques par force brute sur WordPress
Protection contre les attaques par force brute sur WordPress

L’onglet « Rate Limiting »

Ces réglages de Wordfence permettent de limiter l’activité de certains utilisateurs (humains ou robots) afin de préserver les ressources de votre site.

Pour ma part, j’ai choisi de laisser les options par défaut car même s’il existe des robots de spam qui sont néfastes, beaucoup de robots jouent aussi un rôle très positif (ils se promènent sur vos pages pour les indexer dans un moteur de recherche par exemple !). Je ne veux donc pas prendre le risque de les brider.

Si vous êtes un utilisateur expert, vous pouvez bien sûr faire un choix différent et décider d’une limite au-delà de laquelle l’activité du robot sera bridée (« throttle it ») voire totalement bloquée (« block it »).

Wordfence permet d'améliorer la sécurité sur WordPress
Wordfence permet d’améliorer la sécurité sur WordPress

Le menu Blocking

Il est parfois nécessaire sur un site de bloquer certains visiteurs indésirables : spammeurs, hackers, etc.

L’onglet Blocked IPs

Wordfence se charge lui-même de bloquer certains utilisateurs identifiés comme spammeurs, hackers potentiels, etc. Le blocage s’effectue sur la base de leur adresse IP, un chiffre unique qui identifie chaque ordinateur présent sur un réseau.

Vous pouvez retrouver dans cet onglet tous les utilisateurs bloqués : ceux dont l’accès au site a été interdit, ceux qui sont bloqués parce qu’ils ont tenté de se connecter à de nombreuses reprises à votre administration, ceux qui ont tenté d’accéder trop souvent à votre site (ce qui peut arriver lors d’attaques en séries).

Vous pouvez aussi bloquer manuellement une adresse IP précise si vous êtes régulièrement importuné par un spammeur. Entrez-la dans le champ disponible et cliquez sur le bouton « Manually block IP ».

L’onglet Country Blocking (abonnés Premium)

Cet onglet vous permet de bloquer l’accès à votre site depuis certains pays. La fonctionnalité est réservée aux utilisateurs de Wordfence Premium.

Vous pouvez notamment :

  • Choisir le comportement de Wordfence en cas de blocage (« What to do when we block someone ») – Afficher un message par défaut ou rediriger l’internaute vers une adresse de votre choix (à indiquer dans le champ « URL to redirect blocked users to »).
  • Bloquer l’accès sélectivement – Bloquer même quand l’utilisateur est connecté au site (Block countries even if they are logged in), empêcher l’accès au formulaire de connexion (Block access to the login form) ou au reste du site (Block access to the rest of the site)…
  • Définir des conditions de blocage – Si l’utilisateur essaie d’accéder à une URL XXX, le rediriger vers l’URL XXX et définir un cookie qui contournera le blocage par pays. Ou encore : Si un utilisateur autorisé à accéder au site voit l’URL XXX, définir un cookie qui contournera le blocage par pays par la suite si cet utilisateur accède au site depuis un pays bloqué.

Vous pouvez ensuite cocher les pays concernés par le blocage. Bloquer le trafic d’un pays entier est un choix radical, que l’on peut faire pour protéger les ressources de son site ou pour des raisons commerciales si l’on estime que le trafic issu d’une région du monde n’est pas pertinent.

Comme beaucoup de spammeurs viennent de Chine et d’Ukraine, certains font par exemple le choix de bloquer entièrement ces pays. Ça veut dire aussi que si vous êtes lu par des personnes (tout à fait honnêtes) installées dans ces pays, elles ne pourront plus vous lire.

L’onglet Advanced Blocking

Plus complet que l’onglet « Blocked IPs », il permet de définir des critères de blocage bien plus précis pour éliminer le trafic parasite. On peut ainsi bloquer du trafic en fonction d’une plage d’adresses IP, d’un nom d’hôte, d’un user-agent ou d’un referer (pratique en cas de spam referrer).

Vous pouvez également donner un nom à chaque règle de blocage afin de vous y retrouver plus facilement dans votre historique.

Le menu Live Traffic

Vous pouvez activer ou désactiver le suivi en temps réel de toute l’activité sur votre site. Contrairement au menu « Temps réel » de Google Analytics, le suivi inclut ici le trafic des robots (robots de Google par exemple, robots de spam, etc) mais aussi les tentatives de connexion à votre administration.

Cette fonctionnalité est assez gourmande en ressources et peut donc ralentir votre site, vous pouvez la désactiver en réglant le curseur sur « Off » à côté du titre « Your Site Activity in Real-Time ».

Le menu Tools

Il propose des options complémentaires destinées avant tout aux utilisateurs de la version Premium.

L’onglet Password Audit (abonnés Premium)

Cette fonctionnalité permet à Wordfence de tester la force de votre mot de passe, pour le compte administrateur du blog et/ou le compte des éventuels inscrits ayant d’autres rôles (contributeur, auteur, éditeur).

Wordfence s’appuie sur un dictionnaire d’environ 260 millions de mots de passe fréquemment utilisés et les teste sur votre site pour voir si l’un d’entre eux donne accès à un compte, ce qui permettrait à des pirates de prendre facilement le contrôle de votre blog.

Tester un mot de passe avec Wordfence
Tester un mot de passe avec Wordfence

L’onglet WhoIs Lookup

Cette rubrique vous permet tout simplement de connaître l’origine géographique d’une adresse IP. Par exemple, si vous recevez régulièrement des spams depuis la même adresse IP, vous pouvez connaître sa provenance (ville ou quartier) et même bloquer toute la plage d’adresses IP associées (en cliquant sur  » [256 addresses in this network. Click to block this network] »). Ça permet un blocage en série.

L’adresse IP est visible dans le menu Commentaires de WordPress, sous l’adresse e-mail du commentateur.

L’onglet Cellphone Sign-In (abonnés Premium)

Cette fonctionnalité est également réservée aux utilisateurs de la version Premium du plugin Wordfence. Elle permet d’activer la double-authentification sur votre site : autrement dit, grâce à ce système, pour pouvoir vous connecter à l’administration il ne suffit pas d’entrer votre login et votre mot de passe, il faut également entrer un code reçu sur votre mobile (ou utiliser l’application mobile dédiée).

Si la fonctionnalité est très (trop) sécurisée pour un blog personnel, elle se révèle bien pratique pour une entreprise qui a son site professionnel sous WordPress !

Double authentification sur WordPress
Double authentification sur WordPress

L’onglet Diagnostics

C’est une grosse synthèse de l’état de votre site : plugins actifs, base de données, options actives, etc. La plupart du temps, vous n’aurez pas besoin d’y accéder.

Sous le tableau de diagnostic, le plugin Wordfence vous propose également différents tests : test de la mémoire allouée par votre hébergeur à votre site (en cliquant sur « Test your WordPress host’s available memory »), test de l’envoi d’e-mails à partir de votre site (« Send a test email from this WordPress server to an email address »), etc.

C’est aussi là, dans la rubrique « Debugging Options », que vous pouvez activer le mode de débogage si vous rencontrez un problème lié au plugin (vous pourrez ainsi consulter les erreurs).

Le menu Options

Il comporte de nombreuses options complémentaires pour paramétrer le plugin à votre convenance et maximiser la sécurité de votre site WordPress.

Quand vous installez le plugin, Wordfence vous attribue automatiquement une clé API (un code d’identification unique) qui permet à l’extension de fonctionner. Vous n’avez donc pas besoin de vous inscrire sur le site de Wordfence et vous pouvez commencer rapidement à utiliser le plugin.

Options de base

Enable Rate Limiting & Advanced Blocking – Cochez cette case pour pouvoir utiliser toutes les fonctionnalités de blocage par adresse IP et par pays, ainsi que celles qui bloquent les utilisateurs suspects (visiteurs ou robots) qui consomment trop de ressources sur le site. Je vous conseille de la cocher.

Enable login security – A cocher aussi, pour profiter de toutes les fonctionnalités qui protègent l’accès au site (blocage de ceux qui tentent plusieurs fois de se connecter à l’administration, etc).

Enable Live Traffic View – Cette option vous permet de visualiser le trafic en temps réel sur votre site. Je vous conseille de décocher la case sauf si vous voulez satisfaire votre curiosité un court moment. En effet, c’est une fonctionnalité qui consomme pas mal de ressources et je trouve qu’il est inutile de ralentir votre site pour ça.

Advanced Comment Spam Filter (fonctionnalité Premium) – Cette fonctionnalité permet un filtrage puissant du spam dans les commentaires. À chaque fois qu’une personne poste un commentaire sur votre blog, Wordfence vérifie qu’elle ne figure pas sur une liste de spammeurs connus et si la personne s’y trouve, le plugin filtre automatiquement le commentaire. Un filtrage plus basique est activé pour les utilisateurs de la version gratuite.

Check if this website is being « Spamvertised » (fonctionnalité Premium) – A chaque scan, Wordfence vérifiera en s’appuyant sur des bases de données si votre site est cité dans des e-mails de spam.

Check if this website IP is generating spam (fonctionnalité Premium) – À chaque scan, Wordfence examinera si votre site est considéré comme une source de spam. Quand on se fait pirater par exemple, il arrive parfois que les pirates exploitent votre site pour envoyer du spam depuis votre serveur. Votre site peut alors devenir suspect.

J’ai déjà rencontré le cas avec une lectrice du blog : à chaque fois qu’elle postait un commentaire, celui-ci était filtré par mon antispam alors que son blog était tout à fait normal. En faisant quelques recherches, j’ai découvert que son nom de domaine avait été utilisé par le passé pour envoyer du spam. Il était bloqué dans de nombreuses bases de données antispam…

Enable automatic scheduled scans – Je vous conseille de cocher cette case qui permet à Wordfence de réaliser des scans réguliers de votre site pour vérifier sa sécurité.

Update Wordfence automatically when a new version is released – Vous pouvez cocher cette case si vous souhaitez que le plugin se mette automatiquement à jour sous 24 heures quand une nouvelle version sort. Si vous avez tendance à oublier de faire les mises à jour de vos extensions WordPress, cette option peut vous aider.

Enfin, vous pouvez indiquer votre adresse e-mail pour recevoir les alertes envoyées par Wordfence (par exemple, un résumé des adresses qui ont été bloquées ou des éventuelles menaces détectées) et choisir la façon dont Wordfence récupère les adresses IP des visiteurs (je vous conseille de laisser la méthode par défaut, sauf si vous êtes un utilisateur expert et que vous souhaitez opter pour une méthode précise : X-Forwarded-For, X-Real-IP par exemple).

Options de paramétrage de Wordfence - Les bases
Options de paramétrage de Wordfence – Les bases

Alertes

Wordfence peut vous envoyer des alertes par e-mail dans un grand nombre de situations et je vous conseille de les paramétrer pour éviter d’être submergé de messages. Vous ne le savez probablement pas mais votre site est exposé en permanence à des robots de spam ou à des tentatives d’attaques.

C’est un phénomène dont on ne prend pas conscience et le jour où vous installez un plugin comme Wordfence, vous découvrez que vous êtes la cible de ce trafic indésirable. Beaucoup de gens se mettent alors à paniquer en recevant énormément d’e-mails !

Voici la liste des alertes que vous pouvez recevoir grâce à Wordfence :

  • Être informé quand le plugin est mis à jour automatiquement – Comme vous voulez !
  • Être informé si le plugin est désactivé – A cocher impérativement, mieux vaut être prévenu si on désactive le plugin à votre insu !
  • Recevoir un e-mail en cas de problème critique – A cocher.
  • Recevoir un e-mail si le plugin a un avertissement à vous communiquer (suspicion de problème) – A vous de voir !
  • Recevoir une alerte quand une adresse IP est bloquée – A décocher car ça arrive souvent !
  • Recevoir une alerte quand quelqu’un se fait bloquer après avoir tenté d’accéder plusieurs fois à l’administration – A vous de voir, pour ma part j’ai décoché la case.
  • Recevoir une alerte quand quelqu’un utilise le formulaire « mot de passe oublié » avec un nom d’utilisateur existant – A cocher ! C’est le cas où un pirate a deviné votre nom d’utilisateur et essaie de récupérer le mot de passe.
  • Etre informé quand quelqu’un se connecte en tant qu’administrateur – Pour ma part, je coche cette case ainsi que la case située en dessous (« M’alerter seulement si cet administrateur se connecte depuis un nouvel appareil ou un nouvel endroit »). Ça permet d’être informé si quelqu’un est parvenu à voler vos identifiants pour se connecter à votre administration.
  • Etre informé quand quelqu’un se connecte avec un autre rôle – A vous de voir, si vous avez un blog collaboratif mieux vaut décocher cette case pour éviter de recevoir une alerte à chaque fois que vos contributeurs se connectent !
  • Recevoir un e-mail quand il y a une augmentation significative des attaques sur votre site – Cochez cette case, Wordfence vous informera si vous êtes ciblé par une tentative de piratage de grande ampleur.

Enfin, vous pouvez définir un nombre maximum d’e-mails par heure. Si vous avez correctement paramétré vos alertes et que votre site est protégé un minimum contre le piratage, vous ne devriez pas crouler sous les alertes donc vous pouvez laisser « 0 » dans la case (= alertes illimitées).

Options avancées de Wordfence Security
Options avancées de Wordfence Security

Résumés par e-mail

Wordfence peut vous adresser une synthèse régulière par e-mail de la situation sur votre blog : les adresses IP qui ont été bloquées, les plugins qui exigent d’être mis à jour, les fichiers qui ont été récemment modifiés, etc.

Dans cette partie des options, vous pouvez choisir si vous souhaitez activer ce résumé (en cochant la case « Enable email summary »), définir la fréquence d’envoi des e-mails (« Once a day/week/month » = un par jour/semaine/mois).

Vous pouvez aussi choisir d’exclure certains répertoires du suivi de la modification des fichiers (je vous conseille de laisser les paramètres par défaut sauf si vous savez ce que vous faites !).

Vous pouvez enfin afficher un widget de synthèse sur le tableau de bord de votre administration WordPress en cochant la case « Enable activity report widget on dashboard ».

Pour ma part, j’ai désactivé le résumé par e-mail car je reçois déjà des alertes en cas de problème sur le blog. Je préfère ne pas encombrer inutilement ma boîte mail ! En revanche, j’ai activé le widget sur le tableau de bord car il permet de garder un œil sur la sécurité globale du site.

Trafic en direct

Cette partie des options s’adresse uniquement aux utilisateurs qui ont activé le suivi du trafic en temps réel. Vous pouvez définir des visiteurs (humains ou robots) que vous ne souhaitez pas suivre : ceux qui sont connectés sur le blog et disposent des droits de publication, des adresses IP précises, des user-agents précis…

Vous pouvez aussi définir la place qu’occuperont ces données de trafic en temps réel dans votre base de données (« Amount of Live Traffic data to store ») : par défaut, Wordfence mémorise jusqu’à 2000 entrées dans la base de données.

Les paramètres de Scan (Scans to include)

C’est exactement la même chose que l’onglet Scan > Options dont j’ai déjà parlé.

Rate Limiting Rules

Idem, déjà abordé dans l’onglet Firewall > Rate Limiting.

Login Security Options

Déjà abordé dans l’onglet Firewall > Brute Force Protection.

Autres options

Dans cette partie des réglages de Wordfence, il y a plusieurs options très intéressantes à paramétrer.

Whitelisted IP addresses that bypass all rules – Ici, vous pouvez indiquer des adresses IP qui échappent à toutes les règles de filtrage paramétrées. C’est une fonctionnalité très pratique pour éviter tout risque de se bloquer soi-même. C’est un problème qui peut vous arriver si vous paramétrez mal Wordfence !

Imaginons par exemple que vous décidiez de bloquer tous les utilisateurs qui font plus de trois erreurs de mot de passe. En vous connectant à votre administration, vous vous trompez à plusieurs reprises. Vous risquez alors de vous faire bloquer par Wordfence.

Si ça vous arrive, il suffit de vous connecter sur votre FTP, où sont stockés les fichiers de votre site. Allez dans le dossier wp-content > plugins et renommez simplement le dossier « wordfence » (par exemple, en « wordfence2 »). Ça désactivera le plugin et vous permettra de retrouver un accès à votre administration.

Pour éviter ce problème, vous pouvez aller sur un site quelconque pour connaître votre adresse IP et entrer l’information dans ce champ « Whitelisted IP addresses ». Pour ma part, je l’ai fait pour l’adresse IP de mon domicile et pour celle de mon travail étant donné que je blogue parfois pendant ma pause déjeuner. La méthode ne fonctionne que si vous avez une adresse IP fixe (qui ne change pas à chaque connexion).

Immediately block IPs that access these URLs – Vous pouvez ici entrer l’adresse de certaines pages sensibles de votre site. Tout utilisateur tentant d’accéder à ces pages sera immédiatement bloqué par Wordfence. Il faut écrire l’adresse sous forme relative (au lieu d’écrire https://www.example.com/page-interdite/, écrivez juste /page-interdite/ en commençant toujours par un slash). Je n’utilise pas cette option pour ma part.

Whitelisted 404 URLs – Wordfence met en place certaines règles pour limiter l’activité excessive des robots qui visitent votre site. Vous pouvez ici définir des URL qui seront exclues de ces règles. Je vous conseille de laisser les réglages par défaut.

Ignored IP addresses for Wordfence Firewall alerting – Vous pouvez ici indiquer des adresses IP qui ne déclencheront aucune des alertes prévues par le pare-feu de Wordfence. En règle générale, je vous conseille de laisser ce champ vide pour continuer à être alerté en toutes circonstances.

Vous disposez ensuite de plusieurs options que je vous conseille de cocher pour une sécurité optimale. Elles vous permettent de :

  • Cacher la version de WordPress (Hide WordPress version) histoire de complexifier la tâche des pirates qui tentent de détecter les sites non mis à jour.
  • Bloquer les adresses IP qui envoient des requêtes de type POST avec un agent utilisateur et un referer vides. Traduction : c’est le cas d’un utilisateur qui tente d’effectuer une action de soumission d’un formulaire (de commentaires, de connexion, etc) sans indiquer de quelle adresse il arrive ou quel navigateur il utilise. C’est suspect… donc on bloque !
  • Placer les commentaires qui utilisent l’adresse e-mail d’un membre de votre site en attente de modération : par exemple, si quelqu’un tente de publier un commentaire en utilisant votre adresse e-mail, le commentaire sera automatiquement filtré.
  • Détecter les malwares et les tentatives de phishing dans les URL des commentateurs de votre site.
  • Vérifier que votre mot de passe est suffisamment sécurisé si vous mettez à jour votre profil en changeant de mot de passe.
  • Participer au réseau de sécurité (WordPress Security Network) : Wordfence mutualise toutes les données des utilisateurs qui ont activé cette option pour améliorer la sécurité chez tout le monde. Par exemple, s’il détecte sur un site quelque part dans le monde un utilisateur qui envoie énormément de spams, il va pouvoir mémoriser l’information et bloquer ensuite cet utilisateur sur votre propre site.

Vous avez également plusieurs options de maintenance et de performance :

  • Définir la mémoire utilisée par Wordfence lors des scans – Vous pouvez laisser le réglage par défaut (256 MB) mais si votre hébergeur vous signale par exemple une consommation de ressources excessive sur votre site, vous pouvez mettre un chiffre plus faible.
  • Définir un temps d’exécution maximum pour chaque étape du scan – Le réglage par défaut (case vide) convient généralement.
  • Choisir l’intervalle de mise à jour des données de scan, de trafic en temps réel, etc – Par défaut, il est réglé sur deux secondes. Vous pouvez l’augmenter pour limiter la consommation de ressources. Je l’ai pour ma part réglé sur 10 secondes.
  • Supprimer totalement les données et les tables créées par Wordfence lors de la désactivation – Le plugin crée de nouvelles tables dans votre base de données. Si vous cochez cette case, elles seront totalement supprimées si vous décidez un jour de ne plus utiliser Wordfence et désactivez le plugin. Dans ce cas, vous perdrez également vos réglages si vous choisissez par la suite de réactiver l’extension.
  • Désactiver les cookies de Wordfence – Si vous cochez cette case, un visiteur sera systématiquement considéré par le plugin comme étant un nouveau visiteur.
  • Désactiver l’exécution de code dans le répertoire « uploads » – Ce répertoire se trouve dans le dossier wp-content de WordPress. Avec cette option activée, un hacker qui parviendrait à accéder à ce répertoire ne pourrait pas y exécuter du code PHP. Je n’ai pas coché l’option car elle peut créer un conflit avec certains de mes plugins qui utilisent ce répertoire.

Import/Export des réglages

Pour finir, vous pouvez exporter les réglages de l’extension si vous avez plusieurs sites à configurer. Ça vous évitera de recommencer la procédure à chaque fois. Vous aurez simplement à utiliser la fonctionnalité d’import pour appliquer vos réglages à l’autre site.

Wordfence, un incontournable pour améliorer la sécurité WordPress

Wordfence reste sans doute à ce jour l’un des meilleurs plugins pour améliorer la sécurité sur WordPress (iThemes Security fait aussi partie des plugins réputés). Il peut à la fois jouer un rôle préventif et un rôle curatif, en vous aidant à repérer les fichiers touchés par un piratage.

La version premium (payante) que j’ai évoquée dans l’article offre plus d’options, des scans plus fréquents, un meilleur filtrage du spam dans les commentaires, un support technique, etc. Cependant, je ne l’ai jamais utilisée pour un site « de petite taille », exposé à des risques assez classiques.

En complément de cet article, n’hésitez pas à consulter mes autres conseils pour assurer la sécurité de votre blog WordPress.

Connaissiez-vous ce plugin ? Avez-vous mis en place des mesures pour assurer la sécurité de votre site ? Avez-vous déjà été piraté ?

Poster un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Lorsque vous postez un commentaire sur le blog, le nom indiqué dans la case "Prénom" ainsi que votre message apparaîtront publiquement. Votre adresse e-mail restera confidentielle.

34 commentaires sur “Wordfence Security : un plugin de sécurité WordPress de référence

  • Lili

    Hello,
    Je suis interrogative car j’avais suivi ton tuto quand j’avais installé cette extension mais, depuis la dernière mise à jour, je ne vois plus de « Réglages/settings ». Cette mention est remplacée par « Upgrade to premium » comme si je ne pouvais plus toucher à rien… Comme je trouve mon blog instable avec pas mal de plantages ces derniers temps, je me pose quelques questions ;-)
    Merci !

    Répondre à Lili
    • Lili

      Oups, désolée, je vais te spammer. J’ai suivi ton conseil de désactiver et réactiver et cela a généré un mail (il faut d’ailleurs que je désactive tous ces nouveaux envois ;-)), avec le lien pour accéder aux paramètres… Bref, désolée du dérangement ! Je vais pouvoir continuer gentiment à chercher ce qui ne va pas avec le blog ;-)

      Répondre à Lili
    • Marlène

      Hello Lili, le plugin a simplement changé d’ergonomie, j’ai prévu de réactualiser le tutoriel mais n’ai pas eu le temps à ce jour. Les options se trouvent dans le menu « All options ». La seule chose qui peut vraiment ralentir un blog à cause de Wordfence, c’est quand on active le suivi du trafic en direct (Live Traffic Options => Enable live traffic logging réglé sur « ON »). Sinon, je n’ai pas constaté de lenteur particulière pour ma part.

      Répondre à Marlène
  • Mélanie

    Merci Marlène pour cet article ô combien riche et documenté ! Je me fais pirater constamment ces derniers jours, j’ai donc « nettoyé » mon blog et investi dans la licence Wordfence pour mes 2 sites. Ton article m’a permis de paramétrer le plugin de manière optimale donc big thanx

    Répondre à Mélanie
    • Marlène

      Hello Mélanie, la version gratuite du plugin est déjà très performante… mais ce qu’il faudrait surtout comprendre, c’est par où passe ce pirate : est-ce qu’il y a des plugins obsolètes sur le site (pas mis à jour depuis très longtemps par leur créateur), un problème au niveau du thème… Je te conseille de lire en complément mon article sur la sécurité WordPress !

      Répondre à Marlène
  • Laura

    Bonjour Marlène,

    Je voulais installer ce plug-in, mais j’ai ceci qui s’affiche une fois activé, aurais-tu une idée du problème ? Je n’y connais pas grand chose haha !

    « Wordfence could not register with the Wordfence scanning servers when it activated. You can try to fix this by deactivating Wordfence and then activating it again, so Wordfence will retry registering for you. If you keep seeing this error, it usually means your WordPress server can’t connect to our scanning servers, or your wfConfig database table cannot be created to save the key. You can try asking your host to allow your server to connect to noc1.wordfence.com or check the wfConfig database table and database privileges. »

    Merci et belle journée,

    Laura

    Répondre à Laura
    • Marlène

      Visiblement il n’arrive pas à « écrire » des informations dans ta base de données. Tu peux tester ce que recommande le message (désactiver puis réactiver le plugin)… et si ça ne fonctionne toujours pas, il faut voir avec ton hébergeur (ou sur le site de ton hébergeur) si ta base de données permet à un plugin « d’écrire dedans ».

      Répondre à Marlène
  • Angelilie

    Merci pour cet article très complet sur le plugin Wordfence. Je l’ai installé et configuré mais j’ai un petit plaisantin spammeur qui continue à polluer mon blog malgré que je l’ai bloqué dans les noms d’utilisateur bannis. Il arrive quand même à passer entre les mailles du filet de Wordfence. Je bloque aussi ses IP mais il en change régulièrement. C’est vraiment agaçant.

    Répondre à Angelilie
    • Marlène

      C’est hélas le problème des IP dynamiques (et des gens qui n’ont rien d’autre à faire de leur vie que de troller) :/

      Répondre à Marlène
  • Délia

    Même si le tuto n’est pas 100% à jour, je le trouve très bien quand on ne connait rien.
    J’ai remarqué que le logiciel a de lui-même coché la majeure partie des cases que tu conseilles, il semblerait donc que la configuration de base ressemble à celle que tu préconises :)
    J’ai migré chez worpdress et tes tutoriels me sont bien utiles, alors encore merci pour tout ce boulot!

    Répondre à Délia
    • Marlène

      Le plugin a été complètement refait il y a très peu de temps, il faudra donc que je mette à jour le tutoriel. J’ai l’impression qu’ils ont revu les réglages par défaut à cette occasion, pour que la version de base du plugin soit mieux paramétrée.

      Répondre à Marlène
  • MathildeG.

    Bonjour Marlène,
    Tout d’abord merci beaucoup pour cet article qui m’a beaucoup aidé et surtout qui explique tout en français !! Je vous contact pour savoir si ce qui m’arrive est normal… J’ai changé les paramètres de mon site, j’ai tout enregistré. Mais, je voudrais à nouveau changer certaines cases mais surtout pouvoir exporter ces paramètres pour d’autres sites. Je dois donc me rendre dans l’onglet « option » mais après l’enregistrement de mes paramètres voilà qu’il a changé en « help » et ne me propose que d’évoluer en premium. Est-ce normal ? Que puis-je faire pour changer cela ?
    Merci infiniment de votre aide et en attendant votre réponse je vous souhaite une belle journée !

    Répondre à MathildeG.
    • Marlène

      Bonjour, le plugin a été entièrement mis à jour hier ou avant-hier et pas mal de choses ont bougé, l’interface n’est plus du tout la même. Pour retrouver l’import/export, ça se passe dans Wordfence > Dashboard > Global Options > Import/Export Options.

      Répondre à Marlène
    • MathildeG.

      Merci beaucoup de votre aide !! Effectivement, l’interface a entièrement changé et c’est la raison pour laquelle je ne comprenais plus rien. C’est bien, ça vous donne des idées pour votre blog pour les futurs utilisateurs de wordfence :p

      Répondre à MathildeG.
    • Marlène

      Ha ha ce serait surtout bien qu’ils arrêtent de changer d’interface tous les mois, mettre à jour un tuto demande souvent plusieurs heures de travail ^^ Je vais attendre de voir s’ils apportent des changements suite à cette grosse refonte, avant de remettre à jour l’article.

      Répondre à Marlène
  • PatrickB

    Bonjour Marlène,

    Même si ton article date un peu, et que probablement wordfence à depuis fait évoluer son offre sécurité, je trouve ton article très intéressant et bien détaillé (c’est un blogueur qui le dit) qui va m’être utile lors de mes tests sur ce produit (wordfence).
    J’en ai déjà testé quelques uns , wordfence étant le dernier de ma liste car le plus coriace à apprivoiser, mais du lot c’est pour l’instant ithème security (je possède déjà leur programme de backup excellent backupbuddy pro) car en plus de m’avoir permis de bouter un hackeur, enfin depuis 48h, qui s’attaquait à l’un de mes sites sans parvenir à le contrer avec d’autres plugin du type all in one security, secupress, il me permet de connaitre en permanence tout changement dans WP et cela par mail. Facile donc de connaitre le ou les fichiers qui lui ont permis de hacker le site si bien sûr il y arrive. Et vu ta remarque énoncé lors d’une de tes interventions :
    « Le nettoyage des fichiers piratés prend du temps et en plus, il faut trouver par où le pirate s’est introduit »
    Et bien le nettoyage est bien plus simple à réaliser grâce à ce module. Par contre à chaque message reçu, c’est un peu le stress, avant de découvrir que bien souvent c’est le résultat d’une modification auto du plugin lui même (rep. ithemes security), ou des sauvegardes automatisées) .
    Merci donc pour une meilleure compréhension de wordfence.

    Pour en revenir à ce (robot) hackeur ukrainien ou russe selon certain, je ne sais pas comment il fait pour retrouver mon repertoire d’accès (wp-admin) malgré 2 renommages en moins de 48h changements et kracké en en moins de 24h (sans trouver le MP heureusement). Aurais-tu une idée?
    Patrick

    Répondre à PatrickB
    • Marlène

      Pas du tout, je ne suis pas spécialiste en sécurité informatique :) Il faudrait faire effectuer une analyse par quelqu’un qui a vraiment des connaissances pointues en développement web, pour comprendre où il peut y avoir des failles dans le code.

      Répondre à Marlène
  • Delphine

    Merci beaucoup pour ces info. J’avais un probleme avec le plugin que j’utilisais, je vais donc essayer celuici. J’espere que ca marchera.

    Répondre à Delphine
    • Marlène

      Ce plugin fonctionne vraiment bien ! S’il ne te plaît pas, essaie iThemes Security qui est très bien aussi !

      Répondre à Marlène
  • Marina

    Merci beaucoup pour votre article et vos conseils! Mon site à été hacké à deux reprises l’année passée, même que c’est un tout petit site. Je ne suis pas très calée en informatique mais n’ai pas de quoi payer un webmaster, donc je dois tout faire moi-même, et ça devient de plus en plus compliqué. Mais là, je pense avoir un plug-in qui m’évitera des problèmes dans l’avenir. Donc encore merci à vous!

    Répondre à Marina
    • Marlène

      Bonjour Marina, il faut surtout essayer de comprendre pourquoi le site est hacké de manière récurrente. Parfois, c’est tout simplement lié à l’utilisation d’un plugin obsolète, qui comporte une faille permettant aux pirates de prendre le contrôle du site. Je vous conseille aussi de lire le guide sur la sécurité WordPress que j’ai rédigé, il y a des conseils complémentaires.

      Répondre à Marlène
  • Sylvaine

    Merci pour ce super article !
    J’avais installé le plugin mais sans vraiment le configurer car tout était en anglais et avait l’air compliqué… Maintenant je me sens plus en sécurité :)

    Répondre à Sylvaine
    • Marlène

      Hello Sylvaine, c’est vrai que la traduction manque et il me semble que Wordfence n’est pas « traduisible » à ce jour, je crois me souvenir que je m’étais renseignée pour proposer une traduction et le code du plugin ne le permettait pas…

      Répondre à Marlène
  • Fany

    Bonjour Marlène.
    Merci pour cet article extrêmement complet. Comme l’ont déjà dit d’autres lecteurs, j’avais téléchargé ce plugin dès la création de mon blog mais n’avais pas optimisé les réglages. C’est maintenant chose faite grâce à toi!
    Hâte de lire tes prochains articles…

    Répondre à Fany
    • Marlène

      Merci Fany ! Par défaut Wordfence fonctionne déjà bien mais je trouve qu’il consomme trop de ressources et qu’il n’est pas assez exigeant sur les critères de blocage, d’où l’intérêt de le paramétrer un peu.

      Répondre à Marlène
  • Lili

    Merci de tous ces conseils !
    J’ai le plugin mais viens de cocher quelques cases en plus et de limiter le nombre de tentatives quotidiennes ;-)
    La sécurité est un sujet qui effraie toujours ! (avec le « comment tout bien sauvegarder ? » ;-))

    Répondre à Lili
    • Marlène

      D’où l’intérêt d’avoir un hébergeur qui fait des sauvegardes automatiques :) Et/ou un plugin qui gère aussi ça automatiquement !

      Répondre à Marlène
    • Lili

      En effet… Je crois qu’OVH, chez qui je suis, n’en fait pas. J’ai chargé UpdraftPlus mais cela semble saturer mon espace. Il faut que je me renseigne davantage pour mieux comprendre où sont vraiment mes données :p

      Répondre à Lili
    • Pascal

      OVH propose une sauvegarde pour toutes ses formules d’hébergement de site, mais il faut l’activer dans la console OVH si mes souvenirs sont exacts.

      Quant à UpdraftPlus, tout dépend de ce que tu sauvegardes (tu peux choisir de créer une archive des thèmes, des extensions, de la base de données… mais aussi la fréquence et le nombre d’archives à conserver).

      Répondre à Pascal
    • Marlène

      J’avais fait un tuto pour expliquer comment sauvegarder des données sur Dropbox avec UpdraftPlus (en bas de l’article) :) Ça peut peut-être t’aider !

      Répondre à Marlène
  • Assistance informatique 76

    Bonjour
    j utilisais ce plugin de sécurité WordPress avant de découvrir Itheme sécurity …cette extension de sécurité est simple d utilisation et intuitive …
    Ce plugin détecte ce qui ne vas pas et il y a juste à cliquer afin de corriger ….il permet également de modifier l URL de la page WordPress et de modifier le nom par défaut (admin ) afin de limiter les risques d attaques …
    il détecte également les erreurs de lecture et d écriture en vous recommandant les plus optimales pour la sécurité de votre site WordPress..

    Répondre à Assistance
    • Marlène

      Oui c’est aussi un plugin de référence, je trouve que les deux font très bien leur job.

      Répondre à Marlène
  • Aurore

    Merci pour ce super article, j’étais assez choqué de découvrir le nombre d’attaques que subit mon site (168 pour la journée) ! La sécurité est vraiment une des mes grosses angoisses, quand j’étais en stage en Finlande on en avait subit, 3, 4 en 6 mois qui avait mis notre site complètement à 0. Quand j’ai décidé de créer mon site du coup, c’était une priorité pour moi, mais je m’y connais que très peu, d’où la grande utilité d’un article comme celui-ci pour moi !

    Répondre à Aurore
    • Marlène

      C’est effectivement rageant de perdre tout son travail à cause d’un piratage, je m’étais fait quelques grosses frayeurs il y a quelques années en me faisant pirater un forum de discussion. Le nettoyage des fichiers piratés prend du temps et en plus, il faut trouver par où le pirate s’est introduit car sinon, on nettoie tout mais ça recommence dans les heures qui suivent.

      Répondre à Marlène
Si vous aimez les articles du site, n'hésitez pas à faire vos achats sur Amazon.fr via ce lien ; il me permettra de toucher une commission grâce au programme Partenaires Amazon EU.