Protéger WordPress avec Wordfence

22 Juil 2015 | Wordpress | 0 commentaires

Pour mon premier article, j’ai décidé de vous parler de sécurité. En effet, de nos jours de plus en plus de sites se font pirater, que ce soit pour des motifs idéologiques, pour diffuser des virus, pour récupérer vos données ou autre. WordPress, représentant à ce jour environ 60% des CMS utilisés sur internet, n’y échappe pas et représente même une cible de choix pour les pirates de par sa très grande part de marché.

Alors, comment se protéger ? Il existe une grande quantité de plugins pour ce faire, certains gratuits, certains payants et certains gratuits avec des options supplémentaires payantes. Wordfence, dont je vais vous parler aujourd’hui, fait partie de cette dernière catégorie, mais sa partie gratuite est déjà très puissante.

Menu de Wordfence

Une fois que vous avez installé et activé Wordfence, une nouvelle entrée fait son apparition dans votre menu d’admin avec toute une série de sous-catégories. Nous allons les passer en revue.

Scan

Cette rubrique vous permet de scanner les fichiers du coeur de votre site WordPress et de les comparer avec les fichiers originaux. Selon les choix que vous aurez fait dans la rubrique Options (j’y reviendrai plus loin dans cet article), Wordfence scannera aussi vos thèmes et vos plugins et les comparera aux fichiers originaux répertoriés sur wordpress.org.

Live Traffic

Vous aurez dans cette rubrique toutes les personnes ou robots qui se sont connectés à votre site et les pages qui ont été demandées. Vous pourrez aussi filtrer cet affichage via les onglets en haut de la page.

Si vous détectez dans cette liste une tentative d’intrusion ou de recherche de pages à risque (par exemple des recherches sur votresite.com/phpmyadmin ou autre), vous pourrez directement bloquer l’adresse IP suspectée. Une chose à savoir, l’option Live Traffic est désactivée si vous utilisez l’option de cache de Wordfence (je vous en parle tout de suite).

Performance Setup

Si vous remarquez des ralentissements sur votre site, cette rubrique vous permettra d’activer un cache. Il y en a deux types, le basic qui devrait rendre votre site 2 à 3 fois plus rapide, et le cache Wordfence Falcon Engine qui devrait rendre votre site 30 à 50 fois plus rapide, même si j’ai des doutes sur ces chiffres.

Étant donné qu’il existe des plugins spécialisés dans la gestion du cache, je vous suggère de ne pas activer celui de Wordfence.

Blocked IPs

Dans cette rubrique vous pouvez bloquer des adresses IP manuellement et voir les adresses IP qui ont été bloquées ou ralenties par Wordfence, que ce soit suite à des recherches de failles (erreurs 404 sur des fichiers connus comme pouvant contenir des failles), à des échecs de connection à votre interface d’admin ou à des accès trop rapide et en grande quantité à votre site. Je vous présenterai dans la rubrique Options les réglages que vous pouvez mettre en place pour bloquer ces tentatives.

Password Audit

Avec la version Premium (payante donc) de Wordfence, vous pourrez faire auditer (tester) la qualité des mots de passe des administrateurs et/ou membres de votre site.

Cellphone Sign-in

Cette rubrique n’est, elle aussi, disponible que dans la version Premium du plugin. Elle vous permet de mettre en place une double autentification sur votre site en vous envoyant un code par SMS sur votre mobile lorsque vous vous connectez à l’interface d’admin.

Country Blocking

Pour la version Premium uniquement, cette rubrique vous permet de bloquer complètement l’accès à votre site aux visiteurs de certains pays.

Scan Schedule

Par défaut, Wordfence décide lui-même quand il va lancer le scan des fichiers de votre site. Avec la version Premium vous pouvez définir les plages horaires pour ces scans.

Whois Lookup

Une adresse IP apparaît dans une de vos listes et vous désirez en savoir plus sur celle-ci ? Cet outil vous permet de faire une requête sur une adresse IP et de connaître qui en est le provider et éventuellement de contacter le responsable en cas d’abus (en général courriel au format abuse@…, très rarement efficace).

Advanced Blocking

Si vous remarquez qu’un attaquant de votre site utilise toujours les mêmes types d’adresse IP (numéros qui se suivent), vous pouvez bloquer plage d’adresses IP dans cette rubrique. De la même façon, si un attaquant utilise toujours le même User-Agent (identifiant du navigateur/robot utilisé), vous pouvez aussi le bloquer à cet endroit.

Options

C’est ici que vous allez faire tous les réglages de Wordfence. Vous pouvez laisser les premiers réglages par défaut, la partie la plus intéressante et sensible se trouve dans les Advanced Options.

Dans la sous-rubrique Alerts vous pouvez sélectionner le type d’alertes que vous désirez recevoir par courriel. Je vous recommande de tout cocher, à l’exception de la première et dernière option, ainsi vous serez averti quand des tentatives d’intrusion ont lieu et vous pourrez agir en conséquence, par exemple en bloquant définitivement une adresse IP.

La sous-rubrique Email summary vous permet de recevoir un rapport régulier sur le nombre de tentatives d’intrusions que votre site a subi. Vous pouvez aussi afficher ces informations dans le tableau de bord de WordPress.

Une sous-rubrique intéressante est Scans to include, qui vous permets de spécifier tout ce qui sera scanné par Wordfence. Je vous recommande de tout cocher à l’exception des trois dernières options.

Nous arrivons maintenant aux deux sous-rubriques les plus importantes. Firewall Rules vous permets de ralentir (throttle) ou bloquer (block) les accès à votre site, en fonction du nombre de tentatives d’accès par minute et du type d’accès (moteur de recherche (crawlers) ou humain). Les réglages ci-dessous sont ceux recommandés par Wordfence et que j’utilise sur tous les sites que je gère.

Wordfence Firewall Rules

La deuxième sous-rubrique très importante est Login Security Options où vous pouvez forcer vos utilisateurs (et vous-même) à utiliser des mots de passe forts, bloquer l’utilisateur après X tentatives d’accès en X temps et pendant X minutes. Je vous recommande aussi de cocher les trois dernières options qui fournissent une bonne sécurité supplémentaire. Si vous voyez que les mêmes noms reviennent lors des tentatives d’accès frauduleuses, vous pouvez bloquer immédiatement les personnes qui tentent de les utiliser.

Wordfence Login Security Options

Conclusion

Wordfence est un excellent plugin pour la sécurité de votre site WordPress. Bien que la grande quantité des options et fonctions proposées, de même que le fait qu’il ne soit pas traduit et puisse faire fuir les personnes allergiques à la langue de Shakespeare puissent faire peur, les options par défaut proposées et un peu de bon sens vous permettront de facilement le configurer et ainsi protéger votre site de manière efficace.

Cet article vous a-t-il été utile, avez-vous des questions ? Quelles autres plugins de sécurité utilisez-vous et pourquoi ? Partagez avec nous dans les commentaires ci-dessous.

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée.