Tout comme vous laisseriez un gardien pour surveiller et entretenir une résidence secondaire, votre site sous WordPress a également besoin d'un gardien. Après plusieurs essais, j'ai choisi d'installer Wordfence sur tous mes blogs. Ce plugin existe en version gratuite et en version payante.
Ce n'est pas une garantie absolue de ne jamais voir son travail réduit à néant par un pirate mais autant avoir une sentinelle qui vous signale ce qui se passe chez vous et à qui vous pouvez donner des premières instructions en cas de problème.
Le plugin Wordfence fait plusieurs choses, ce qui permet de ne pas devoir installer plusieurs plugins pour avoir les mêmes fonctions.
Le problème de WordPress, ses plugins et ses thèmes, ce sont les mises à jour, elles sont fréquentes, non signalées et si vous ne les faites pas, vous laissez des failles dont les pirates profiteront ou tout simplement votre blog ne fonctionnera plus.
Avec Wordfence, vous êtes avertit par email quand une mise à jour est nécessaire.
Wordfence vous avertit également dans les cas suivants sur demande :
- Alerte en cas de problèmes critiques.
- Alerte si une de vos règles a bloqué une adresse IP, ceci permet de comprendre que votre blog subit probablement une attaque.
- Alerte si quelqu'un s'identifie ou se déconnecte de votre installation wordpress.
- Alerte si quelqu'un a perdu son mot de passe et en demande un nouveau.
Toutes les 24 heures, le plugin réalise un scan de votre installation et signale par exemple les modifications anormales de fichiers, il vérifie les fichiers originaux et ceux qui sont sur votre serveur pour détecter une modification anormale. Constat d'un petit bug quand il vous signale la première fois que votre installation a été modifiée, c'est normal si vous avez un WordPress en français car il vérifie les fichiers originaux anglais.
Une fois qu'on le sait, cela ne pose pas de problème, on clique alors sur le lien « Ne pas en tenir compte mais signalez-moi une prochaine modification ».
Pendant son scan, Wordfence vérifie également les points suivants :
Modifications anormales dans les thèmes, les plugin, les signatures de codes malicieux connus, portes dérobées, contenus suspicieux, les liens vers des sites dangereux, les commentaires avec des liens vers des sites indésirables, l'espace restant sur votre disque, le changement de DNS de votre nom de domaine, la bonne longueur de vos mots de passe.
En cas d'attaque, un réglage permet d'augmenter le niveau de sécurité de 0 à 5, le niveau 5 met en route également le pare-feu. Si vous n'avez rien d'autre à faire, vous pouvez suivre en temps réel les accès sur votre site.
Le pare-feu bloque à la demande les comportements étranges sur votre site, comme des faux robots de moteurs de recherche, des accès répétitifs à fortes fréquences, bref, tout ce qui n'est pas normal. Wordfence peut alors bloquer la source, identifiée par son adresse IP, soit quelques minutes, soit définitivement.
Wordfence limite aussi le nombre de fois que l'on essaie un login et mot de passe, également les demandes de mot de passe perdu. Vous pouvez alors bloquer l'utilisateur de ces essais durant un laps de temps ou même définitivement en bloquant son adresse IP automatiquement.
Ce plugin enfin, cache également la version de WordPress, car parfois les pirates recherchent des failles dans certaines versions de WP et ensuite utilisent Google pour rechercher les installations qui ne sont pas à jour et contiennent cette faille.
Pour installer Wordfence, il suffit d'ajouter un plugin et de rechercher dans la bibliothèque des plugin 'Wordfence', un clic sur Installer, un clic sur Activer et il reste juste à aller dans les options pour ajouter votre adresse email.
Pour le reste, le niveau 2 est configuré de base et il ne faut rien faire, sauf en cas d'attaque signalée, vous pouvez alors augmenter le niveau jusqu'au maximum en attendant que cela passe.
Chaque fois que le scan est lancé, vous allez recevoir un email avec les problèmes trouvés, il suffira alors de cliquer sur les liens d'actions sur chacun des problèmes en vous rendant dans l'administration de votre installation WordPress.
- On peut voir la différence entre les fichiers d'origine et les fichiers sur votre site.
- On peut cliquer sur le lien « Ne plus signaler ».(Par exemple les fichiers error.log qui surgissent à certains moments).
- Ou bien « Prévenez moi à la prochaine différence ».
- Ou encore, « j'ai réparé ».
Ces alertes permettent de savoir ce qui se passe sur les fichiers de votre installation et de prendre des mesures si cela est nécessaire.
La version payante commence à $17,95 par an pour 1 site jusque $89,95 pour 10 sites. L'avantage par rapport à la version gratuite est de pouvoir bloquer un pays tout entier, surtout ceux d'où viennent les tentatives de piratage le plus souvent comme la Russie, la Chine, l'Afrique.
La version payante fait des vérifications plus fréquentes que toutes les 24H et seulement dans les moments où votre site est moins sollicité. A mes yeux, la version payante n'est pas vraiment plus intéressante que la version gratuite qui suffit amplement.
Malgré ce plugin, la règle la plus élémentaire ne doit pas être mise de côté, faire des sauvegardes régulières et les mettre en sécurité !
Merci pour ce plugin WP que je ne connaissais pas. Car entre les spammeurs qui utilisent des logiciels de soumission automatique à la limite du piratage (des fois j'ai 30 commentaires à la minutes c'est presque une attaque Ddos 😉 et les vrais pirates qui scannent tous les ports, essaient de modifier le htaccess et de brute-forcer le login/pass administrateur sur wp-login, il y a une sacrée faune qui scanne les footprints !
Je vais donc tester la version gratuite de Wordfence ! Bonnes fêtes de Noël !
Bonjour Ancenis,
je confirme, c'est un véritable cancer qui s'attaque à nos sites, et surtout on se demande pour gagner quoi ...
Merci de ta visite et joyeux réveillon de Noël 🙂
Amicalement
Patrick
Bonjour Patrick.
Donc l'Afrique est un pays ... non, ça va je chipote !
Déjà entendu parler de ce plugin mais je viens de découvrir grâce à toi qu'il regroupe plusieurs plugins à lui tout seul. Du coup ça devient intéressant, même si j'ai globalement tendance à me méfier des versions "gratuites" à upgrader.
Il y a encore une alternative, quand on veut renforcer la sécurité de son blog et qu'on y comprend rien comme moi, c'est la solution Cloudflare. Bien que réticent à la base, dû à plein d'avis négatifs, j'ai été "obligé" de l'adopter, ayant subi en une nuit, plus d'une centaine de tentatives de forçage de l'admin. Et maintenant, je ne m'en plains que rarement. De plus, Cloudflare me dispense des plugins de cache.
Merci pour la ressource, bon boulot.
Bonjour Stef,
Hé oui, en plus il y a plein de CC (traduction non souhaitable) là-bas, on dirait qu'ils n'ont que cela à faire 🙂
Wordfence m'a déjà sauvé la mise quelques fois, en tous cas même si ce n'est pas du 100%, c'est déjà une barrière pour certains emmerdeurs. La version gratuite est déjà pas mal, avec la version payante que j'ai prise pour un blog (juste pour voir) a quelques options de plus, mais c'est du luxe 🙂
Cloudfare, j'ai donné, j'avais mit un blog dessus, du coup plein d'erreurs, impossible d'aller dans l'admin, une vraie cata, je suis vite revenu en arrière. C'est une solution pour les gens qui savent ce qu'ils font et qui configurent correctement le truc. Avec Wordfence dés la première tentative de forçage avec un login inexistant, paf, ip bloquée ... cela limite les tentatives, au point qu'il m'arrive parfois de me tromper et de vérifier que le système fonctionne bien en m'envoyant promener 😀
Merci de ta visite, j'espère que tu as eu un café en entrant 🙂
Amicalement
Patrick
Attention, je ne dis pas qu'on peut se passer de protection lorsqu'on a CloudFlare (désolé si je me suis mal exprimé). Au contraire, il vaut mieux les doubler avec des plugins comme Wordfence.
J'ai effectivement eu des soucis avec Cloudflare, surtout au début : des downs n'importe quand, vraiment frustrant quand on est en mode administration, mais après avoir désactivé tous mes caches et en le mettant en pause lorsque j'effectue des manips importantes, plus quelques précautions, ça va beaucoup mieux.
Je ne suis pas du tout venu ici plaider cette application (je ne suis pas affilié, vous faites ce que vous voulez), mais quand je vois la liste et la provenance des ip bloqués, ça me dissuade de l'abandonner.
Pour moi, 2 protections valent mieux qu'une, face à ces terroristes (qui ne sont pas toujours que des robots).
non non, pas de souci, j'avais bien compris, mon problème avec cloudfare vient plutôt de mon inexpérience dans ce secteur et quelques déboires que je n'ai pas su maîtriser 🙂