Alors que la version 5.3.6 vient de sortir, apportant quelques nouveautés, il ma semblé utile de revenir sur la configuration optimale du plugin Wordfence Security, l’un des meilleurs plugin de sécurité pour WordPress.
Avec plus de 4.5 millions de téléchargement, Wordfence est une solution de sécurité complète regroupant Anti-Virus et Pare-feu pour votre site WordPress. Il protège votre site non seulement des nombreuses attaques possibles, mais vous permet aussi de rester à distance des listes noires des moteurs de recherche et vous aide à réparer les fichiers piratés, même si vous n’avez pas de sauvegardes.
Il comprend également des caractéristiques telles que la protection contre les tentatives de connexion par force brute, il cache votre numéro de version de WordPress, bloque les faux robots Google et de nombreuses autres fonctions de sécurité.
Propulsé par leurs serveurs basés à Seattle, ils stockent une copie de toutes les versions de WordPress, des plugin et des thèmes jamais publiés dans le répertoire de WordPress afin de vérifier rapidement vos fichiers avec les originaux.
Parmi les plugin de sécurité que j’ai utilisé, Wordfence est un des mes plugin préféré en terme de sécurité, quoiqu’il ne soit pas le seul. Il a une note moyenne de 4,9 / 5 sur le référentiel WordPress.
Ce animation, en direct, vous permet de voir comment WordFence protége les sites WordPress en temps réel.
Principales caractéristiques de WordFence:
- Compare les fichiers de WordPress avec les fichiers originaux du site WordPress.
- Compare plugin et thème open source avec les fichiers originaux de WordPress.org.
- Analyser les fichiers hors de votre installation de WordPress
- Analyse votre site pour la vulnérabilité Heartbleed
- Recherche les fichiers malveillants connus
- Analyse le contenu des fichiers pour voir si ils contiennent malware, trojan, virus, backdoor, URL dangereuses ou vulnérabilités connues.
- Analyse les fichiers, les articles, les commentaires
- Recherche les mots de passe faibles
- Recherche les modifications de DNS non autorisées
- Vérifie votre espace disque pour empêcher les attaques de type DDoS (Deni de Service).
- Vérifie si thème et plugin sont à jour, et vous adresse un email le cas échéant.
Protection contre les tentatives de connexion par Force Brute:
- Blocage des utilisateurs après un certain nombre tentative infructueuses.
- Bloque immédiatement les noms d’utilisateur non valides.
Pare-feu:
- Bloque les faux robots Google.
- Bloque toute personne qui accède trop rapidement à votre site.
- Bloque toute personne qui génère trop de pages d’erreurs.
Autres options:
- Cache la version de WordPress
La version gratuite de Wordfence scanne automatiquement tous les fichiers et les tables de la base de données de votre site, une fois par jour, et vous alerte par email s’il y a eu une intrusion.
La version payante permet, en plus, l’authentification à deux facteurs (connexion par téléphone mobile) et le blocage par pays, qui sont tous deux des moyens efficaces pour arrêter les attaques de force brute.
Configuration des paramètres Wordfence
Afin de mieux visualiser les options, cliquez sur l’image, elle s’affichera dans une nouvelle page.
Options de base
Une fois installé, rendez vous dans les options de Wordfence dans le menu latéral et entrez votre adresse e-mail afin de recevoir les alertes.
Décochez la case « Enable Live Traffic View ». Traffic View est une fonctionnalité intéressante qui vous permet de visualiser, en temps réel, l’activité de votre site, mais cela provoque un ralentissement dans le temps de chargement des pages, en particulier sur un site à fort trafic.
Allez à l’option « How does Wordfence get IPs », et dans le menu déroulant, sélectionnez « Use PHP’s built in REMOTE_ADDR and don’t use anything else… », le deuxième choix, qui est l’option recommandée dans la plupart des cas.
Options Avancées
Alertes
Dans la section Alertes, sélectionnez toutes les options sauf « Alert me when someone with administrator access signs in ». Cette option vous alerte lorsqu’une personne ayant les droits d’administrateurs se connecte, il est conseillé de décocher ce choix, toutefois, pour ma part, je le laisse coché, cela me permet, étant l’unique administrateur, de savoir si mon compte a été piraté.
Live Traffic View
Aucun changement, voir plus haut.
Analyses à inclure
Dans la partie « Scans to Include », sélectionnez toutes les options.
Règles du pare-feu
Dans la section « Firewall Rules », vous pouvez définir des règles différentes pour les humains et les robots qui tentent d’abuser de votre site. Si quelqu’un dépasse les règles fixées, vous pouvez le bloquer totalement, ou le bloquer pour une période définie, ce qui limite temporairement leur accès avec une Erreur 503 (Service indisponible, revenez plus tard) qui n’influie pas sur votre SEO. Les règles du pare-feu doivent être réglées soigneusement en fonction du type du trafic . Si vous ne savez pas quelle option choisir, optez pour les paramètres ci-dessous.
Notez que les choix ci-dessus ce ne sont que des suggestions. Vous pouvez renforcer la sécurité en abaissant ou en augmentant les valeurs des règles de pare-feu.
Voici quelques conseils pour la mise en place des règles de pare-feu:
- Si vous choisissez de limiter la vitesse à laquelle votre site peut être consulté, vous devez personnaliser les réglages de votre site.
- Si vos utilisateurs passent rapidement de page en page, il faudra modifier l’option ‘If human’s page view exceed » afin de l’adapter au rythme de vos visiteurs. Toutefois si vos visiteurs visitent plus d’une page à la minute, ils se peut qu’ils ne portent pas trop d’intérêts à vos articles
- Si les robots, hormis ceux de Google, visitent très fréquemment votre site, comme ceux de Baidu, vous devez augmentez la valeur de la zone « If a crawler’s page views exceed ».
- Si vous êtes actuellement victime d’attaques et que vous souhaitez activement protéger votre site ou votre contenu, vous pouvez définir des valeurs faibles pour la plupart des options.
- Dans la première section des options il est recommandé de na pas bloquer les faux robots Google (Immediately block fake Google crawlers), sauf si vous avez un problème spécifique avec quelqu’un qui volerait votre contenu.
Login Security Options
Je vous conseille de suivre les choix sélectionnés dans la copie d’écran ci-dessus afin que votre sécurité soit optimale.
Autres options
- Entrez votre adresse IP dans la zone « Whitelisted IP addresses that bypass all rules »
- Si vous participez au réseau de sécurité de WordFence, toute attaque provenant d’une adresse IP qui a attaqué d’autres sites WordPress sera immédiatement bloquée.
- Cliquez sur « Save Changes ».
Exécutez le scan
Dans le menu Wordfence, choisissez l’option Scan » et démarrer votre première analyse de sécurité.
Une fois l’analyse terminée, réglez les problèmes que le plugin aura trouvé, ils apparaissent au bas de la page.
Si vous rencontrez des problèmes ou avez des questions, rendez vous à la FAQ de WordFence pour plus d’informations, ou consultez le Manuel d’utilisation de WordFence.
Conclusion
WordFence est sans conteste un excellent plugin pour assurer la sécurité de votre site, j’ai toutefois tendance à lui préférer iThemes Security, c’est un choix personnel.
Le seul reproche que je peux faire à WordFence est qu’il n’a pas été conçu pour être traduit, aussi à l’heure actuelle, seule la version anglaise existe. Il est à parier que d’ici quelques temps une version traduisible soit disponible, afin de répondre à la demande de WordPress que tous thèmes ou plugin du répertoire WordPress.org puissent être traduits.
Utilisez-vous WordFence? Si oui, qu’en pensez vous? Si non, quel plugin de sécurité utilisez vous? Partagez vos avis dans les commentaires ci-dessous.
Cet article vous a été utile, Partagez le, Merci!
Publié à l'origine le : 27 janvier 2015 @ 11 h 40 min