Plugins WordPress

Comment configurer au mieux WordFence Security

27 janvier 2015

Comment configurer au mieux WordFence Security

WordFence

Alors que la version 5.3.6 vient de sortir, apportant quelques nouveautés, il ma semblé utile de revenir sur la configuration optimale du plugin Wordfence Security, l’un des meilleurs plugin de sécurité pour WordPress.

Avec plus de 4.5 millions de téléchargement, Wordfence est une solution de sécurité complète regroupant Anti-Virus et Pare-feu pour votre site WordPress. Il protège votre site non seulement des nombreuses attaques possibles, mais vous permet aussi de rester à distance des listes noires des moteurs de recherche et vous aide à réparer les fichiers piratés, même si vous n’avez pas de sauvegardes.

Il comprend également des caractéristiques telles que la protection contre les tentatives de connexion par force brute, il cache votre numéro de version de WordPress, bloque les faux robots Google et de nombreuses autres fonctions de sécurité.

Propulsé par leurs serveurs basés à Seattle, ils stockent une copie de toutes les versions de WordPress, des plugin et des thèmes jamais publiés dans le répertoire de WordPress afin de vérifier rapidement vos fichiers avec les originaux.

Parmi les plugin de sécurité que j’ai utilisé,  Wordfence est un des mes plugin préféré en terme de sécurité, quoiqu’il ne soit pas le seul. Il a une note moyenne de 4,9 / 5 sur le référentiel WordPress.

Ce animation, en direct, vous permet de voir comment WordFence protége les sites WordPress en temps réel.

Principales caractéristiques de WordFence:

  • Compare les fichiers de WordPress avec les  fichiers originaux du site WordPress.
  • Compare plugin et thème open source avec les fichiers originaux de WordPress.org.
  • Analyser les fichiers hors de votre installation de WordPress
  • Analyse votre site pour la vulnérabilité Heartbleed
  • Recherche les fichiers malveillants connus
  • Analyse le contenu des fichiers pour voir si ils contiennent malware, trojan, virus, backdoor, URL dangereuses ou vulnérabilités connues.
  • Analyse les fichiers, les articles, les commentaires
  • Recherche les mots de passe faibles
  • Recherche les modifications de DNS non autorisées
  • Vérifie votre espace disque pour empêcher les attaques de type DDoS (Deni de Service).
  • Vérifie si thème et plugin sont à jour, et vous adresse un email le cas échéant.

Protection contre les tentatives de connexion par Force Brute:

  • Blocage des utilisateurs après un certain nombre tentative infructueuses.
  • Bloque immédiatement les noms d’utilisateur non valides.

Pare-feu:

  • Bloque les faux robots  Google.
  • Bloque toute personne qui accède trop rapidement à votre site.
  • Bloque toute personne qui génère trop de pages d’erreurs.

Autres options:

  • Cache la version de WordPress

La version gratuite de Wordfence scanne automatiquement tous les fichiers et les tables de la base de données de votre site, une fois par jour, et vous alerte par email s’il y a eu une intrusion.

La version payante permet, en plus, l’authentification à deux facteurs (connexion par téléphone mobile) et le blocage par pays, qui sont tous deux des moyens efficaces pour arrêter les attaques de force brute.

Configuration des paramètres Wordfence

Afin de mieux visualiser les options, cliquez sur l’image, elle s’affichera dans une nouvelle page.

Options de base

Une fois installé, rendez vous dans les options de Wordfence dans le menu latéral et entrez votre adresse e-mail afin de recevoir les alertes.

Décochez la case « Enable Live Traffic View ». Traffic View est une fonctionnalité intéressante qui vous permet de visualiser, en temps réel, l’activité de votre site, mais cela provoque un ralentissement dans le temps de chargement des pages, en particulier sur un site à fort trafic.

Allez à  l’option « How does Wordfence get IPs », et dans le menu déroulant, sélectionnez « Use PHP’s built in REMOTE_ADDR and don’t use anything else… », le deuxième choix, qui est l’option recommandée dans la plupart des cas.

Options de base WordFence

Options Avancées

Alertes

Dans la section Alertes, sélectionnez toutes les options sauf « Alert me when someone with administrator access signs in ». Cette option vous alerte lorsqu’une personne ayant les droits d’administrateurs se connecte, il est conseillé de décocher ce choix, toutefois, pour ma part, je le laisse coché, cela me permet, étant l’unique administrateur, de savoir si mon compte a été piraté.

Alertes ordFence

Live Traffic View

Aucun changement, voir plus haut.

Analyses à inclure

Options Analyse

Dans la partie « Scans to Include », sélectionnez toutes les options.

Règles du pare-feu

Dans la section « Firewall Rules », vous pouvez définir des règles différentes pour les humains et les robots qui tentent d’abuser de votre site. Si quelqu’un dépasse les règles fixées, vous pouvez le bloquer totalement, ou le bloquer pour une période définie, ce qui limite temporairement leur accès avec une Erreur 503 (Service indisponible, revenez plus tard) qui n’influie pas sur votre SEO. Les règles du pare-feu doivent être réglées soigneusement en fonction du type du trafic . Si vous ne savez pas quelle option choisir, optez pour les paramètres ci-dessous.

Parefeu WorsFence

Notez que les choix ci-dessus ce ne sont que des suggestions. Vous pouvez renforcer la sécurité en abaissant ou en augmentant les valeurs des règles de pare-feu.

Voici quelques conseils pour la mise en place des règles de pare-feu:

  • Si vous choisissez de limiter la vitesse à laquelle votre site peut être consulté, vous devez personnaliser les réglages de votre site.
  • Si vos utilisateurs passent rapidement de page en page, il faudra modifier l’option ‘If human’s page view exceed » afin de l’adapter au rythme de vos visiteurs. Toutefois si vos visiteurs visitent plus d’une page à la minute, ils se peut qu’ils ne portent pas trop d’intérêts à vos articles
  • Si les robots, hormis ceux de Google, visitent très fréquemment votre site, comme ceux de Baidu, vous devez augmentez la valeur de la zone « If a crawler’s page views exceed ».
  • Si vous êtes actuellement victime d’attaques et que vous souhaitez activement protéger votre site ou votre contenu, vous pouvez définir des valeurs faibles pour la plupart des options.
  • Dans la première section des options il est recommandé de na pas bloquer les faux robots Google (Immediately block fake Google crawlers), sauf si vous avez un problème spécifique avec quelqu’un qui volerait votre contenu.

Login Security Options

Options de connexion WordFence

Je vous conseille de suivre les choix sélectionnés dans la copie d’écran ci-dessus afin que votre sécurité soit optimale.

Autres options

  • Entrez votre adresse IP dans la zone « Whitelisted IP addresses that bypass all rules »
  • Si vous participez au réseau de sécurité de WordFence, toute attaque provenant d’une adresse IP qui a attaqué d’autres sites WordPress sera immédiatement bloquée.
  • Cliquez sur « Save Changes ».

Autres options WordFence

Exécutez le scan

Dans le menu Wordfence, choisissez l’option Scan » et démarrer votre première analyse de sécurité.

Résultat Annalyse

Une fois l’analyse terminée, réglez les problèmes que le plugin aura trouvé, ils apparaissent au bas de la page.

Si vous rencontrez des problèmes ou avez des questions, rendez vous à la FAQ de WordFence pour plus d’informations, ou consultez le Manuel d’utilisation de WordFence.

Conclusion

WordFence est sans conteste un excellent plugin pour assurer la sécurité de votre site, j’ai toutefois tendance à lui préférer iThemes Security, c’est un choix personnel.

Le seul reproche que je peux faire à WordFence est qu’il n’a pas été conçu pour être traduit, aussi à l’heure actuelle, seule la version anglaise existe. Il est à parier que d’ici quelques temps une version traduisible soit disponible, afin de répondre à la demande de WordPress que tous thèmes ou plugin du répertoire WordPress.org puissent être traduits.

Utilisez-vous WordFence? Si oui, qu’en pensez vous? Si non, quel plugin de sécurité utilisez vous? Partagez vos avis dans les commentaires ci-dessous.


 Cet article vous a été utile, Partagez le, Merci!

18 commentaires
  1. Hélène

    Eh bien merci beaucoup ! très complet et précis.

  2. Hélène

    Merci beaucoup pour cet article complet et précis qui m'a bien aidée.

  3. Hubert

    Heureux que cela puisse vous servir

  4. Nouri

    Depuis hier je reçois sans discontinuer le même mail Wordfence activity for 18 mai 2015 on mysite.org.Je ne comprends pas d'où vient le problème. J'ai revu tous les réglages et cela ne cesse pas ...Une idée ?Merci.

  5. Hubert

    Cela m'ai déjà arrivé, et il semble qu'à ce moment le problème venait de WordFence, le problème peut aussi venir de votre hébergeur qui ne viderait pas votre email. A voir.

  6. Nouri

    Merci beaucoup de votre réponse. Je vais voir du coté de l'hébergeur aussi.

  7. Hubert

    Bon courage

  8. mlc

    Bjr, mon site a été piraté, depuis j'ai réinstallé wordpress et plusieurs plugins de sécurité dont wordfence. je reçois chaque mois un rapport alarmant sur les tentatives très nombreuses de piratage de mon site : avez-vous une solution , même payante mais radicale et extremement efficace pour éviter tout risque de nouveau piratage ? Merci !!

  9. Hubert

    Il ne sert à rien d'avoir plusieurs plugin de sécurité, car certaines fonctions sont redondantes et ne font que ralentir votre site. Il n'y a rien, ni personne, qui puisse enrayer les tentatives d'intrusion, même avec des promesses payantes. Pour ce blog par exemple il y a entre 5 et 15 tentatives par jour, mais je ne suis pas inquiet, compte tenu des solutions mises en place. iThemes Security et WordFence sont, à mon avis, les meilleurs plugin pour palier à ces risques, toutefois rien n'est parfait et il vous faudra toujours vérifier que votre site est correctement sécurisé. Les rapports qui vous sont adressé sont informatifs, et ne signifient pas que votre site est à risque.

  10. darknote

    Bonjour, Une horreur ce plugin, il créé par moins de 18 tables dans la base de données et certaines tables dépassent les 1 Go, un peu pour saturer votre Base de données. La personne qui ne le sait pas, se retrouve avec une base de données saturées , je viens d'avoir le cas aujourd'hui, une connaissance, taille de sa BDD 3.14 Go alors que le maximum est 2Go, du coup BDD bloqué, la table wp_wfHoover fait 1.8 Gio, malgré l'utilisation de wp_optimize !

  11. Hubert

    J'ai effectivement était confronté à ce problème il y a plusieurs mois, mais après avoir corrigé la base, cela ne s'est pas reproduit. Je suppose qu'il devait s'agir d'un bug dont qu'ils n'ont pas voulu ébruiter.

  12. darknote

    Bonjour,Je trouve que c'est trop usine à gaz, trop d'options, voici la liste des 18 tables créé par ce plugin wp_wfBadLeechers wp_wfBlocks wp_wfConfig wp_wfCrawlers wp_wfFileMods wp_wfHits wp_wfHoover wp_wfIssues wp_wfLeechers wp_wfLockedOut wp_wfLocs wp_wfLogins wp_wfNet404s wp_wfReverseCache wp_wfScanners wp_wfStatus wp_wfThrottleLog wp_wfVulnScannersJ'ai vidé la table qui était de 3.14 Go , en une semaine, elle a repris plus d' 1 Go ,pourtant Live Trafic View désactivé.j'ai trouvé pire que moi , 43 Go https://wordpress.org/support/topic/wp_wfhoover-is-43gb?replies=17 si on fait une recherche sur Google avec le nom de la table, on en trouve des sujets là dessus.si on maintient son site à jour à 100% ( WP, plugins, thèmes) , les codes dans .htaccess, modifier le préfixe wp_ par autre chose, puis utiliser un autre compte que Admin, déjà on a un site sûr et sécurisé, impossible d'avoir une site sur à 100% !ps : excusez moi je tape trop vite, je vois que j'ai fait une erreur dans mon précédent message, pouvez vous corriger le mauvais mot maxiumu par maximum ? Merci

  13. Hubert

    J'ai eu le même problème il y a quelques mois, j'ai du supprimer toutes ces tables manuellement. Il est vrai que sécuriser son site peut être fait en grande partie avec peu de choses, mais il est toujours bon de rappeler que les mises à jour régulière sont la base de la sécurité.

  14. Vincent

    Bonjour, je suis en train de me spécialiser dans wp et je cherche donc plusieurs moyen de sécuriser mes sites :) J'ai aussi opter pour ce plugin sans le moindre soucis jusqu'à présent.Mais en lisant les commentaires ci-dessus, je me demande si iThemes Security n'est pas meilleur. Qu'en pensez vous ? Merci pour ce tuto excellent.

  15. Hubert

    iThemes Security n'est peut être pas le meilleur, mais il n'en est pas loin. Associé à WordFence, les deux font un excellent travail, et jusqu'à présent je n'ai pas eu à m'en plaindre, sur les différents sites dont je m'occupe.

  16. Deuns26

    Bonjour @vincent, pour ma part jamais u de problème avec wordfence comme dans les commentaires ci-dessus. J'avais associé Items Security avec wordfence comme Hubert mais j'ai u des souci avec un autre plugin authentification à 2 facteur (Clef). J'utilise maintenant toujours Clef avec Move Login et surtout des modifications manuel pour remplacer les choses que font Items Security. Mais Wordfence est indispensable pour moi.

  17. Hubert

    J'ai eu également un problème avec Clef, je vais le remplacer par autre chose, probablement Authy.

  18. Nic

    Hello sur plusieurs blogs j'utilise Wordfence depuis plusieurs mois, et les attaques ont énormément diminué. Il y en a eu une seule, mais elle a été immédiatement détecté et j'ai reçu un email m'informant des fichiers modifiés.J'en suis satisfait, par contre Hubert propose d'utiliser Wordfence + iTheme Security, mais est ce qu'il n'y a pas un problème de redondance (faire quelques mêmes protections ou autres taches) sur certaines fonctions de ces 2 plugins ?Sont ils complémentaires ou un peu redondants ? Et si on utilise ces 2 plugins ensemble, y a t'il un réglages particulier à adopter ? Merci de m'éclairer la dessus et pour vos idées,

  19. Hubert

    Bonjour Nic, Il est vrai qu'en 2015 je conseillais l'utilisation combinée de Wordfence et d'Ithemes Security, toutefois depuis j'ai fait un choix. iThemes Security ayant bien évolué, selon moi, j'ai supprimé WordFence. A l'heure actuelle Ihemes Security a toujours quelques lacunes sur cette fonctionnalités que possède WordFence, mais c'est un choix.

Laisser un commentaire

You have to agree to the comment policy.

-25% sur ElegantThemes.com Maintenant !Cliquez-ici !
+