Wordfence:le plugin pour Sécuriser son site

sécurisé son site avec wordfence

Wordfence est de loin un des meilleures plugins de sécurité dans la communauté wordpress. Wordfence protège votre site contre plusieurs attaques tels que :les attaques par force brusque, les attaques ddos,les injections sql, etc.

Wordfence possède  en plus un par-feu qui analyse tout le trafic des visiteurs juste avant qu’ils atteignent votre site web.Ainsi les pirates sont bloqués avant qu’ils n’atteignent et piratent votre site web.

Il possède aussi un scanner de logiciel malveillant  pour scanner les fichiers (wordpress, les thèmes et plugins) de votre site wordpress y compris  pour détecter la présence des logiciels malveillants.

Wordfence propose une version gratuite et payante.Pas de panique,la version gratuit  vous permet déja de bien sécuriser votre site web.La version payante propose quelques fonctionnalités supplémentaires pour encore mieux sécuriser votre site web.

Dans cette article, nous verrons étape par étape comment sécuriser son site wordpress.

Installation du plugin wordfence

Dans la barre latérale de votre tableau de bord, survolez sur l’option Plugin puis cliquez sur Ajouter.Recherchez wordfence puis installez et et activez le plugin.

Installation wordfence

Vous devez voir afficher  l’option wordfence dans la barre latérale gauche du votre tableau de bord. Cliquez sur cette option pour afficher la page du tableau de bord wordfence.

Le tableau de bord wordfence, fourni les détails sur l’état actuelle de la sécurité de votre site web.

La première section nommée Wordfence Protection Activated, vous indique si les fonctionnalités primaires de wordfence sont activées.Plus précisément, cette section vous indique

  • Si le par-feu est activé ,déactivé ou ou en mode d’apprentissage
  • Si le scan programmé de wordfence est activé ou non
  • Si vous utilisez la version gratuite ou payant de wordfence

Le cercle d’état du par-feu et du scan programmé de wordfence vous indiquent à quel niveau vous êtes protégé.

La section notification vous indique l’ensemble des actions à effectuer.Vous serez informé par exemple s’il y a des mises à jour à de plugin à effectuer.Vous serez informé par exemple si la dernière analyse de wordfence a détecté un problème sur votre site.

Depuis le tableau de bord, vous pouvez trouver un lien vers l’ensemble des outils et des options globales de wordfence. Les options globales sont des options qui vous permettent de configurer à quel  email vous souhaitez recevoir les alertes ,quel type d’alerte vous souhaitez recevoir, etc. Les outils wordfence vous permettent de verrouiller votre site web.

La section Firewall Summary, affiche le nombre d’attaques qui ont été bloqué sur votre site.

attaque bloque wordfence

La section Total Attacks Blocked, affiche  une représentation graphique de l’ensemble d’attaques sur votre site.

representation graphique des attaques wordfence

Tout en haut de la page,vous devez voir afficher deux notifications importantes .

mise à jour automatique wordfence

La notification  (1) permettant à wordfence de se mettre à jour automatiquement.Cliquez sur yes, enable auto-update pour activer la mise à jour automatique de wordfence.

La notification (2) vous permettant d’optimiser le par-feu wordfence. Cliquez sur le bouton click here to configure.Pendant le processus d’optimisation, wordfence changera les configuration  php pour permettre au par-feu de s’exécuter avant tout exécution de fichier php sur votre site.

Suivant la configuration de votre serveur, wordfence  modifiera  soit le fichier .htaccess, soit  user.ini, ou le fichier php.ini. Pas de panique Wordfence va tout gérer à votre place.Cette configuration est très importante car wordfence empêchera l’exécution de tout logiciel malveillant sur votre site internet.

Après avoir cliqué sur le bouton click here to configure,une boite de dialog s’ouvre vous demandant de sauvegarder votre fichier .htacess. Cliquez sur le bouton download, pour télécharger le fichier, puis cliquez ensuite sur le bouton continue.

téléchargement du fichier .htacess

Ensuite une autre boite de dialogue s’ouvre pour vous confirmer que vous avez bien réussi l’installation.Cliquez  ensuite sur le bouton close pour afficher la page de configuration du par-feu wordfence.

Nous allons maintenant configurer le par-feu(firewall) wordfence. Si vous n’êtes pas déjà  sur le lien firewall, cliquez sur firewall.

Le par-feu(firewall) de wordfence protège votre site contre un certains nombre t’attaques basé sur le web en générale,aussi bien qu’un certains nombre t’attaques spécifique aux thèmes, et aux plugins.

Vous pouvez cliquer directement sur le bouton manage firewall(gérer le par-feu) pour configurer le par-feu.Nous allons plutôt le faire quand nous serons sur la page All options. On vous indique aussi que le par-feu est en mode apprentissage.

Cela permet à Wordfence d’en savoir plus sur votre site afin qu’il puisse comprendre comment  protéger votre site et autoriser les visiteurs normaux à travers le pare-feu. Vous devez laisser Wordfence apprendre comment votre site fonctionne pendant une semaine avant d’activer le pare-feu.

Le statut en cercle du par-feu(firewall) indique à quelle degré votre site est protégé.Vous devez constater que le statut en cercle Brute Force Protection est à 100%, ce qui indique que la page de connexion administrateur est protégé contre toutes les attaques par force brusque, contre les utilisateurs non autorisé.

Brute Force Protection est activé par défaut.L’option Rate Limiting   est aussi activé par défaut. Pour accéder à l’ensemble des configurations disponibles, cliquez sur Rate Limiting. Depuis cette page, vous pouvez aussi accéder à la page de configuration de l’ensemble des options du par-feu.

Vous devez voir aussi afficher plusieurs statistiques tels que Top IPs Blocked(Les IP les plus bloquées),Firewall Summary(l’ensemble des attaques bloquées),Top Countries by Number of Attacks – Last 7 Days(Le nombre d’attaques bloquées par pays les 7 dernier jours), Total Attacks Blocked(Une représentation graphique du nombre t’attaques bloquées),Login Attempts(Les tentatives de connexion).

Cliquez sur l’onglet blocking en haut de la page. Wordfence vous donne la possibilité de bloquer certaines adresses ip,ou bloquer des pays spécifiques (disponible dans la version premium) ou de définir votre propre règle de blocage. Pour configurer cette option, cliquez sur Blocking options.Nous allons plutôt préférés configurer les options dans quand nous serons sur la page All options

Cliquez ensuite sur le lien Scan. Lorsque vous lancez le scan, wordfence examine tous les fichiers de votre site web à la recherche de code malveillants, de backdoors, de sell installés par des pirates.

Vous pouvez lancer un scan en cliquant sur le bouton START NEW SCAN.Un scan peut être manuel ou programmé.

Un scan wordfence passe par un ensemble d’étape,ou chaque étape représentant la vérification d’une zone spécifique sur votre site.Les icons indiquent quand une étape est terminée. Les icons indiquent aussi que des problèmes ont été détecté au cours d’une étape de scan spécifique.

Lorsque Wordfence  détecte un problème lors d’un scan manuel, les résultats s’affichent dans l’onglet Results found représentés par l’image ci-dessous

Dans l’onglet ignored results, s’affiche les messages du résultat de scan que vous avez ignoré dans l’onglet Results found. Nous venons d’exploré la page Scan de Wordfence.

Cliquez ensuite sur Tools sous Wordfence dans la barre latérale gauche du tableau de bord de votre site.Dans l’onglet Two Factor Authentification,Vous pouvez activer la sécurité Two Fator Authentification sur la page de connexion de votre site.Ce niveau de sécurité est disponible dans la version payant de Wordfenece.

Ne vous inquiétez pas, nous allons utiliser un autre plugin pour activer cette option.Cliquez ensuite sur l’onglet Live Traffic. Dans cette onglet vous voyez tous ce qui se passe sur votre site en temps réel comme les visites de crawler google,bing,les tentatives de hack  etc.

Cliquez ensuite sur All Options sous wordfence dans la barre latérale gauche du tableau de bord de votre site.Cette page représente l’une des parties les plus importantes de wordfence. C’est dans  cette page que vous vous allez configurez l’ensemble des options de wordfence.

Wordfence global options

Dans Wordfence global options, cliquez sur Wordfence Licence, Le champ Licence Key vous permet de définir la clé de licence pour activer la version payant de Wordfence.

View customization

View customization  permet de personnaliser le sous menu  wordfence. Par défaut la case Display « All options » menu item est cochée pour afficher le lien « All options «  dans le sous menu Wordfence.

Wordfence All option menu

Cochez les cases Display « blocking » menu item et Display « Live Traffic » menu item pour afficher respectivement le lien Blocking et Live Traffic dans le sous menu wordfence.

General Wordfence Options

Cliquez sur General Wordfence Options.La première case « Update Wordfence automatically when a new version is released » est déjà cochée car nous l’avons activé au début de la configuration.Le champ Where to email alerts, vous permet de renseigner à quelle adresse email vous souhaitez recevoir les alertes wordfence.

Cochez les cases « Hide WordPress version » et « Disable Code Execution for Uploads directory » pour respectivement cacher la version de wordpress installée sur votre site et déactiver l’exécution de code dans le répertoire « upload » de wordpress. Laissez la case « Disable Wordfence Cookies ».

Laissez cochée la case « Pause live updates when window loses focus » pour permettre à wordfence de diminuer l’utilisation des ressources serveur.Laissez la valeur définie dans le champ « Update interval in seconds » à 2.Laissez décochées les cases « Bypass the LiteSpeed « noabort » check » et « Delete Wordfence tables and data on deactivation ».

Dashboard Notification Options

Cliquez sur « Dashboard Notification Options »,Laissez cochées les deux premières cases pour permettre à wordfence de vous informer des mises à jour disponibles et des résultats de scan.

Email Alert Preferences

Laissez les options cochées par défaut.Vous pouvez toutes fois cocher ou décocher certaines cases selon vos besoins.

Activity Report

Cette fonctionnalité vous permet d’activer un rapport d’activité de messagerie récapitulant les événements récents liés à la sécurité de votre site.Pour ce la cochez sur la première case et choisissez à droit à quel fréquence vous souhaitez recevoir le rapport d’activité.

Ensuite l’option « List of directories to exclude from recently modified file list » vous permet d’exclure les répertoires  dont vous ne souhaitez pas recevoir le rapport de modification des fichiers.Et enfin cochez sur la case « Enable activity report widget on the WordPress dashboard » si vous souhaitez activer l’affichage du widget du rapport d’activité de wordfence sur le tableau de bord de wordfence.

Import/Export Options

Cette section vous permet d’importer ou d’exporter une configuration des options wordfence.

Firewall Options

Web Application Firewall Status

Dans cette section,Vous pouvez mettre le par-feu en mode apprentissage ou l’activer.Quand vous installez wordfence,vous devez d’abord mettre le par-feu en mode apprentissage pour qu’il comprend comment votre site fonctionne, ensuite vous pourrez l’activer.Pour activer le par-feu cliquez sur Learning mode puis sélectionnez Enabled and Protecting.

Advanced Firewall Options

Laissez la première case décochée.Dans le champ « Whitelisted IP addresses that bypass all rule », vous pouvez renseigner une liste d’adresses IP qui peuvent contourner toutes les règles de blocage.

Vous pouvez par exemple renseigner l’adresse IP de l’ordinateur que vous utilisez actuellement.Pour connaitre votre adresse IP, tapez dans google « mon adresse IP ».Dans la section Rules, laissez tout cochez.

Brute Force Protection

Cette option active toutes les protections d’attaque par force brusque. Laissez cette option sur On.

L’option « Lock out after how many login failures  » , vous permet de définir après combien d’ehecs de connexion il faudra verrouiller la page de connexion, vous pouvez par exemple définir la valeur à 5.

L’option « Lock out after how many forgot password attempts « , vous permet de définir après combien de tentatives de mot de passe oublier, il faut verrouiller la page de connexion.Vous pouvez aussi définir la valeur à 5.

L’option « Count failures over what time period », vous permet de définir sur quelle période de temps compter les échecs.Vous pouvez définir par exemple  la valeur 20 minutes.

L’option « Amount of time a user is locked out »,vous permet de définir pendant combien de temps vous souhaitez bloquer un utilisateur qui a violé les règles.Vous pouvez par exemple définir la valeur à 2 heures.

La case « Immediately lock out invalid usernames » vous permet de verrouiller les noms d’utilisateurs invalides.

Le champ « Immediately block the IP of users who try to sign in as these usernames «  ,vous permet de renseigner une liste de nom d’utilisateur dont vous  souhaitez bloquer l’adresse IP.

Dans la section « Additional Options« , laissez les case cochées par défaut. Puis cochez la case « Block IPs who send POST requests with blank User-Agent and Referer ».

Rate Limiting

Dans ce section vous pouvez définir à quel frequence vous souhaitez limiter ou bloquer une adresse IP, un pays etc.pour activer cette section, laissez la sur On. A présent, nous allons explorer chaque  option.

Cochez la case « Immediately block fake Google crawlers » pour activer le blocage des faux robots google.L’option « How should we treat Google’s crawlers » vous permet de choisir comment vous souhaitez traiter les robots google.Laissez la valeur défini par défaut.

La liste des options représentée par l’image ci dessous , vous permet de définir après combien de temps vous souhaiter ralentir(throttle) ou bloquer(block) un utilisateur ou un robot.Entre throttle it et block it je vais choisir throttle it  pour toutes les options.

Définissez la valeur de l’option « If a crawler’s page views exceed » à 240 ,définissez l’option « If a crawler’s page views exceed » à 240, définissez la valeur de l’option « If a crawler’s pages not found (404s) exceed »  à 10, définissez l’option « If a human’s page views exceed » à 15, définissez l’option « If a human’s pages not found (404s) exceed » à 5,définissez l’option « If 404s for known vulnerable URLs exceed » à 5.

L’option « How long is an IP address blocked when it breaks a rule «  vous permet de définir après combien de temps bloquer une adresse IP qui à brisé les règles.L’option « Whitelisted 404 URLs », vous permet de définir une liste d’URL qui ne seront pas pris en compte pour bloquer ou ralentir un robot ou une adresse IP.

Whitelisted URLs7

Dans cette section, vous pouvez définir une liste d’URL qui peut être appelée et que le par-feu pourrai considérer comme suspect mais qui ne sont pas suspectes.Laissez cochées les cases dans la section « Monitor background requests from an administrator’s web browser for false positives ».

Blocking Options:

Cette section est disponible uniquement dans la version payant.

Scan Options

Scan Scheduling

Laissez l’option « Schedule Wordfence Scans » à ENABLE , puis laissez cochée l’option « Let Wordfence choose when to scan my site « .

Basic Scan Type Options

Si votre site fonctionne correctement et que vous souhaitez utiliser moins de ressource, activez l’option « Limited Scan ».Si votre site fonctionne correctement, activez l’option « Standard Scan ».Si vous avez constaté que votre site est infecté, activez l’option « High Sensitivity ».

General Options

Laissez les options cochées par défaut.Si vous souhaitez faire une scan plus avancé,cochez les autres options nécessaire.

Performance Options

Laissez cochée la case « Use low resource scanning ». Laissez les valeurs des options définies par défaut.

Advanced Scan Options

Si vous souhaitez appliquer une scan plus avancé, vous pouvez définir cette valeur.

Tool Options

Two Factor Authentication Options: Cette sécurité est disponible dans la version payant de wordfence.

Live Traffic Options

Laissez  l’option  « Enable live traffic logging » activée.

L’option « List of comma separated usernames to ignore. » vous permet de renseigner une liste de nom d’utilisateur à ignorer.

L’option « List of comma separated IP addresses to ignore », vous permet de définir une liste d’adresse ip à ignorer.

L’option « Browser user-agent to ignore », vous permet de définir une liste de user-agent à ignorer.

L’option « Amount of Live Traffic data to store »,vous permet de définir combien de quantité de donnée du trafic en temps réel vous souhaitez enregistrer.Laissez la valeur défini par Default.

Comment Spam Filter Options

Cette section vous permet de détecter et de filtrer les spam dans le commentaires.Laissez ces options activées.Cliquez ensuite sur le bouton SAVE CHANGES.

 

 

INSCRIVEZ-VOUS A LA NEWSLETTER
I agree to have my personal information transfered to MailChimp ( more information )
Rejoignez notre communauté pour recevoir des trucs et astuces sur wordpress. Tout ce que vous avez besoin pour booster votre activité sur internet.
Les spam c'est pas notre truc.Votre email est entre de bonne mains.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *