Saviez-vous que l'installation d'un plugin de sécurité sur votre blog ou site web WordPress est une approche pour le protéger ? Mais, savez-vous quel plugin de sécurité WordPress est le meilleur ?
Eh bien, dans cet article, nous allons vous parler du plugin Wordfence, l'un des plugins de sécurité les plus populaires et les mieux notés du référentiel WordPress. Il compte actuellement plus de 2,4 millions de téléchargements (en constante augmentation) et un taux d'évaluation de 4,9 sur 5, soit presque rien.
QU'EST-CE QUE WORDFENCE (ET COMMENT AIDE-T-IL À AMÉLIORER LA SÉCURITÉ DE WORDPRESS) ?
- Il s'agit d'un antivirus doté d'un moteur d'analyse qui, entre autres choses, compare vos fichiers WordPress aux fichiers d'origine dans le dépôt WordPress et, en cas d'incompatibilité, vous guide dans le processus de correction.
- Il s'agit d'un pare-feu de niveau applicatif basé sur PHP qui bloque tout trafic malveillant (ceux qui enfreignent les règles, qu'il s'agisse de personnes ou de robots) avant même qu'il n'atteigne votre site. WordFence Firewall vous empêche de vous faire pirater.
- Il dispose également d'un moteur de mise en cache qui peut augmenter de 30 à 50 fois la vitesse de chargement de votre site Web ou de votre blog. Nous ne pouvons pas attester de ce dernier point, mais il est bien présent.
Que fait exactement Wordfence pour protéger la sécurité de votre WordPress ?
Wordfence surveille et protège en permanence votre site Web contre les attaques par force brute en imposant des codes de passe forts, en limitant les tentatives de connexion et d'autres protocoles de sécurité d'inscription. En d'autres termes, il défend le site Web contre les individus qui tentent d'utiliser les "mauvais arts" à son encontre. Il vous permet de voir qui visite votre site Web ou votre blog, ce qu'ils y font et qui a été bloqué, qu'il s'agisse d'humains ou de robots. Wordfence est une référence lorsqu'il s'agit de vous aider à protéger votre site Web ou votre blog contre les esprits malveillants. Voyons le menu que le plugin nous présente, étape par étape. L'idée d'aujourd'hui est d'expliquer en détail quelques-unes des sections de ce plugin afin que vous compreniez son fonctionnement et que vous ayez quelques notions de base à son sujet.
- Scanner
- LiveTraffic
- Configuration des performances
- IPs bloquées
- Connexion par téléphone portable
- Blocage des pays
- Calendrier des analyses
- Recherche Whois
- Blocage avancé
- Options
Installer WordFence
Comme pour la plupart des plugins WordPress, le processus d'installation de WordFence est assez simple.
Étape 1 : Pour installer et configurer WordFence sur votre site, allez dans le tableau de bord WP et sélectionnez Plugins et Add New ; recherchez WordFence dans la barre de recherche des plugins et sélectionnez-le. Appuyez sur le bouton Installer maintenant, puis cliquez sur Activer.
Étape 2 : Une fois installé, vous verrez un écran vous demandant d'entrer votre adresse électronique pour recevoir une alerte de sécurité. Acceptez leurs conditions et cliquez sur continuer.
Étape 3 : WordFence vous demandera de saisir une clé API dans l'écran suivant pour terminer le processus d'installation. Si vous avez acheté un compte premium, vous pouvez entrer votre clé premium pour activer les fonctionnalités supplémentaires. Sinon, allez-y et cliquez sur l'option Non merci.
Étape 4 : Voila ! WordFence est maintenant installé, et votre site est déjà mieux loti ! Mais il est maintenant temps d'entrer dans le vif du sujet.
Configuration du pare-feu
Wordfence Web Application Firewall comprend a un ensemble de protections robustes qui protègent notre site Web contre les attaques et menaces courantes telles que les téléchargements de fichiers malveillants, l'injection de code SQL, etc. Selon des règles de sécurité prédéfinies, le pare-feu inspecte les trafics entrants et sortants des robots et des humains et peut bloquer ou autoriser leur accès.
Configuration de base du pare-feu Wordfence
- Accédez à l'option Pare-feu dans la barre latérale du tableau de bord de WordPress Wordfence > Pare-feu ; là, nous sélectionnerons l'option "Toutes les options du pare-feu".
- Nous allons ici configurer l'option primaire du Pare-feu. Cette option a pour valeur par défaut Firewall Status : Activé et Protégé ; il s'agit d'une option de protection de base. Le plus intéressant est que nous la passons en mode d'apprentissage, ce qui permet au pare-feu d'apprendre à connaître votre site Web et à le sécuriser. Le pare-feu sera automatiquement activé après une semaine.
- Enregistrez les modifications. Nous avons effectué avec succès la configuration de base du Pare-feu.
Configuration du pare-feu étendu
Le pare-feu étendu de WordPress nous donne plus de sécurité pour notre site web. Wordfence étant un plugin, certains codes dangereux peuvent être traités par WordPress avant leur exécution. Par conséquent, le Extended Firewall modifiera le fichier .htaccess pour s'assurer que toutes les requêtes PHP sont traitées avant d'être exécutées.
- Allez dans l'option Pare-feu > Toutes les options du pare-feu pour configurer le pare-feu Wordfence étendu, et tapez sur Optimiser le pare-feu Wordfence.
- Un onglet vous est présenté, dans lequel vous devez effectuer deux opérations. Premièrement, choisissez un type de serveur (vérifiez auprès de votre hébergeur si vous ne le savez pas). Dans tous les cas, Wordfence vous proposera un serveur. La deuxième étape consiste à obtenir une sauvegarde du fichier .htaccess, que vous pourrez simplement intégrer à l'aide d'un gestionnaire de fichiers ou d'un FTP en cas de problème.
- Vous recevrez un message de réussite si tout se passe bien.
- Si vous vérifiez le code de votre fichier .htaccess, vous verrez le code de configuration du pare-feu Wordfence.
- C'est fait, vous avez finalement activé le Pare-feu étendu avec succès.
Protection contre les attaques par force brute
Toujours dans la section Toutes les options de pare-feu de l'option Wordfence> Pare-feu, nous trouverons une section appelée Protection contre la force brute. Suivez les étapes ci-dessous et protégez votre site Web contre les attaques par force brute.
- Détermine plusieurs échecs de connexion pour bloquer l'accès : Recommandation : 05 tentatives.
- Le nombre de tentatives de mot de passe ayant échoué pour bloquer l'accès : Recommandation : 05 tentatives.
- Le temps pendant lequel l'utilisateur sera bloqué : Recommandation : 30 minutes.
- Vous pouvez laisser les autres paramètres par défaut.
Limitation des taux
La section Limitation du débit vous permet de limiter l'accès aux mauvais robots qui analysent votre site Web à la recherche de vulnérabilités. Assurez-vous que cette option est activée.
Allez dans Wordfence > Toutes les options > Limitation du débit > Pendant combien de temps une adresse IP est-elle bloquée lorsqu'elle enfreint une règle. Vous pouvez l'ajuster à la durée de votre choix.
Configuration du scanner
Avec la fonction Scan de Wordfence, nous pouvons analyser tous les fichiers de notre site WordPress, à la recherche de codes malveillants et de coquilles que les pirates ont pu installer. Pour ce faire, allez dans l'option Wordfence > Scan de la barre latérale de votre tableau de bord WordPress et cliquez sur le bouton Start New Scan.
Maintenant, le scanner Wordfence va commencer à rechercher les risques et, s'il en découvre, il nous fournira une brève description du problème dans les résultats.
Authentification à deux facteurs
L'authentification à deux facteurs (2FA) ajoute une couche supplémentaire de protection/sécurité à la page de connexion de votre site Web WordPress et à ses utilisateurs. Allez dans l'option Wordfence de la barre latérale du tableau de bord de WordPress > Sécurité de connexion pour activer l'authentification à deux facteurs sur votre site Web.
Dans WordFence, visitez la page Sécurité de la connexion. Scannez le code QR du champ Authentication app, téléchargez le code de récupération (mettez-le dans un endroit sûr) et cliquez sur activer. Le tour est joué !
Si vous avez des questions concernant le plugin ou la sécurité de WordPress, veuillez les poser dans la section commentaire ci-dessous. Ou, si vous voulez améliorer votre sécurité WP, connectez-vous avec nous!
