Venez utiliser Wordfence Security
Installation et activation
Comme d’habitude, la première chose à faire est de télécharger et d’activer le plugin.
Vous pouvez le faire directement depuis le mur de votre site WordPress.
Après l’activation, un formulaire apparaîtra pour vous demander de saisir l’adresse électronique utilisée par l’administrateur du site. Ajoutez ceci afin de recevoir des alertes de sécurité concernant votre site.
Juste en dessous, vous pouvez choisir de recevoir ou non la lettre d’information de Wordfence Security.
Une autre fonction utile pour les nouveaux utilisateurs est la visite du plugin qui vous montre comment faire vos premiers pas.
C’est certainement un élément positif pour familiariser les utilisateurs avec les fonctionnalités de cet outil.
Après avoir activé le plugin, un menu dédié sera ajouté au tableau de bord de WordPress.
Le tableau de bord vous montre un aperçu des fonctions actives et des notifications sur les mises à jour disponibles pour les plugins et les thèmes, ainsi que les problèmes rencontrés lors de la dernière analyse.
Scanner
La première chose que vous pouvez faire lorsque vous installez Wordfence Security est d’analyser le site. .
Une fois l’analyse terminée, tous les problèmes détectés s’affichent en bas de l’écran. Ici, vous pouvez sélectionner différentes options .
Dans la capture d’écran ci-dessous, une variation a été identifiée entre le fichier wp-includes/version.php installé sur mon site de test et le fichier contenu dans le paquet d’installation standard de WordPress.
Cependant, en cliquant sur « See how the files has changed », j’ai découvert que la variation était due à l’installation de WordPress en italien.
Je peux donc revenir en arrière et cliquer sur « Toujours ignorer ce fichier », car j’ai pu constater que le problème n’était pas dû à une attaque de pirates mais à une personnalisation de mon installation.
En cas de doute, vous pouvez toujours visualiser le fichier et utiliser les autres options disponibles.
Pare-feu
Le pare-feu Wordfence vous aide à protéger votre site contre les attaques externes.
Alors que celle des utilisateurs premium est mise à jour en temps réel, celle du plugin gratuit l’est après 30 jours.
Dès que vous installez le plugin, le mode d’apprentissage est activé. Il sert à Wordfence pour apprendre des choses sur votre site et comment le protéger.
Les développeurs du plugin recommandent de laisser le pare-feu collecter des données pendant une semaine avant de l’activer.
Dans cette section, vous pouvez configurer les règles et les URL « en liste blanche », c’est-à-dire considérées comme sûres.
Dans ce menu, vous trouverez également un onglet intitulé « Protection contre la force brute ». .
Vous pouvez y définir des règles pour améliorer la sécurité de votre site, par exemple en demandant aux administrateurs et aux éditeurs d’utiliser des mots de passe sécurisés, en décidant après combien de tentatives de connexion infructueuses de bloquer des comptes et pour combien de temps.
Enfin, dans l’onglet Limitation du débit, vous pouvez définir des règles pour les crawlers et les humains afin de limiter le nombre de requêtes envoyées au serveur.
Trafic en direct
Dans la section intitulée « Outils », vous pouvez surveiller les utilisateurs et les robots qui visitent votre site.
Sur cette page, il y a plusieurs options que vous pouvez activer à partir du menu déroulant : utilisateurs en direct, utilisateurs enregistrés, journal des connexions/ déconnexions (cela peut être utile si vous craignez que quelqu’un ait découvert vos identifiants de connexion), etc.
Dans cette section, vous pouvez également voir quelles URLs génèrent une erreur 404.
Dans la section « Options » du trafic en direct, vous pouvez ajouter des noms d’utilisateurs ou des adresses IP à ignorer dans le suivi.
Live Traffic vous permet de filtrer les visites en fonction du type d’utilisateur, en distinguant les visiteurs humains des crawlers (qu’ils appartiennent à Google ou non), qui a reçu des erreurs liées aux pages non trouvées, et plus encore.
Bloquer une IP
Si vous souhaitez empêcher un utilisateur, un robot ou un crawler particulier d’accéder à votre site et/ou de le consulter, vous pouvez indiquer l’adresse IP à bloquer sous Outils > Trafic en direct .
Vous pouvez également utiliser l’outil WhoIs Lookup pour découvrir à qui appartient une IP particulière.
Si vous bloquez l’affichage du site pour une IP particulière, lorsque l’utilisateur essaiera d’ouvrir une de vos pages, un message apparaîtra indiquant qu’un blocage a été placé.
Si vous le souhaitez, vous pouvez également bloquer des adresses IP spécifiques du mur WordPress, mais sans leur restreindre l’affichage de votre site. Dans cette section, vous pouvez vérifier la liste des IP dont l’accès ou la connexion est bloqué.
Sous l’onglet « IPs throttled for accessing the site too frequently », vous trouverez les IPs qui ont accédé au site trop rapidement, enfreignant les règles de Wordfence.
Les règles peuvent être définies dans la section « Pare-feu » et servent à limiter le nombre de demandes que votre site reçoit par minute. Si certains visiteurs (humains et robots d’exploration) enfreignent les règles, un message les avertit que l’accès a été révoqué pour quelques minutes, les invitant à réessayer plus tard.
Connexion par téléphone portable (fonction payante)
Si vous vous abonnez à un compte premium, vous aurez accès à la fonctionnalité de connexion par téléphone portable. .
Si vous ne voulez pas risquer que des pirates ou des utilisateurs indésirables utilisent vos informations d’identification pour entrer dans le mur WordPress, l’utilisation de cette fonction vous permettra d’ajouter une protection supplémentaire à votre site.
Pour vous connecter, vous aurez besoin – en plus de votre nom d’utilisateur et de votre mot de passe – d’un code qui sera envoyé à votre numéro de téléphone mobile par SMS.
Blocage de pays
En plus de restreindre l’accès à des adresses IP spécifiques, Wordfence Security vous permet de bloquer l’accès de votre site à des pays entiers.
Dans la section Blocage de pays, vous pouvez simplement cocher les pays à bloquer et définir l’URL d’une page vers laquelle les utilisateurs qui tentent d’accéder à votre site depuis ces régions géographiques doivent être redirigés.
Cette option n’est disponible que pour les utilisateurs premium.
Blocage avancé
Si vous souhaitez bloquer un bot particulier, un ensemble d’adresses IP, ou même les visiteurs provenant d’une URL spécifique, faites-le à partir de cette page.
Il se peut que vous deviez recourir à cette mesure, par exemple parce que votre site fait l’objet d’attaques ou reçoit du spam en provenance d’un ensemble particulier d’adresses IP.
Lorsque vous utilisez cette fonction, vous pouvez saisir une raison pour vos actions afin qu’elles puissent être analysées et réexaminées à une date ultérieure.
Vérification du WHOIS
Avant de bloquer un ensemble d’IP, il est conseillé d’effectuer une recherche pour obtenir plus d’informations.
Vous voulez plus d’informations sur un domaine ou une adresse IP en particulier ?
Il suffit de copier cette adresse IP, de cliquer sur Outils, puis de la coller dans cette section et de cliquer sur « Rechercher l’adresse IP ou le domaine ».
Les informations publiques disponibles apparaîtront à l’écran.
Planification des analyses (fonction payante)
Si vous souscrivez à un plan premium, vous pouvez programmer des analyses régulières pour contrôler le niveau de sécurité de votre site.
Vous trouverez le coût de Wordfence Security dans les paragraphes suivants.
Autres outils disponibles
En plus de la recherche d’IP, la section Outils contient trois autres outils très utiles.
Le premier est l’audit des mots de passe, qui vous aide à déterminer le niveau de sécurité des mots de passe utilisés par vous et les autres administrateurs. ,
Vous pouvez choisir de vérifier ceux des comptes administrateurs à l’aide d’un dictionnaire de 260 millions de mots de passe, ceux de divers utilisateurs en les comparant à 50 000, ou encore effectuer un audit de tous les comptes WordPress.
Cela vous permet d’envoyer un courriel aux différents utilisateurs, les invitant à changer leurs mots de passe s’ils en ont un faible.
Il s’agit d’une fonctionnalité premium, particulièrement utile pour ceux qui ont des sites contenant des comptes avec des données sensibles.
La prochaine option dont je veux vous parler s’appelle « Cellphone Sign-in ».
Il vous permet d’activer l’authentification à deux facteurs pour les comptes d’administrateur, ce qui augmente leur niveau de sécurité.
Le dernier outil disponible est le Diagnostic.
Comme son nom l’indique, il s’agit d’un outil de diagnostic qui vérifie des éléments tels que les fichiers système, la base de données MySQL, la connectivité, les plugins, les thèmes et les tables de la base de données.
Options
Enfin, dans la section intitulée « Options », vous trouverez quelques fonctions de base du plugin sur lesquelles vous pourrez travailler pour optimiser son utilisation.
Dans la première section (Options de base), vous activerez et désactiverez les fonctionnalités du plugin – certaines ne sont disponibles que pour ceux qui ont souscrit à un plan premium.
Dans le champ « Où envoyer les alertes », vous pouvez également saisir l’adresse électronique à laquelle vous souhaitez recevoir les notifications envoyées par Wordfence Security.
Parmi les options avancées disponibles, il y a celles pour :
Configurer la fréquence et le contenu des notifications;Configurer la fonction Live Traffic afin qu’elle ne tienne pas compte des visites de l’administrateur;Configurer les analyses du site;Configurer certaines fonctions pour limiter le nombre et la fréquence des connexions au tableau de bord;Règles d’accès pour le pare-feu ; ; ;
Et de nombreuses autres fonctionnalités.
Comme il s’agit d’un plugin doté de nombreuses options, dont la configuration vous prendra probablement quelques heures, Wordfence Security vous permet également d’exporter et d’importer ultérieurement vos préférences, au cas où elles seraient perdues en raison d’une erreur quelconque.
Wordfence Security Premium
Comme vous l’avez lu dans le guide, certaines fonctionnalités ne sont disponibles que pour ceux qui ont souscrit à un compte Wordfence Premium.
Le coût d’une seule API pour 1 an est de 99 $.
Ce prix diminue si vous commandez plus d’API ou si vous vous abonnez au service pour une plus longue période.
Wordfence Security est un excellent plugin.
Les nombreuses fonctionnalités disponibles vous permettent de surveiller le trafic sur vos pages, de bloquer les utilisateurs suspects et aussi d’améliorer les performances de votre site.
Évidemment, la fonctionnalité du plugin utilise une partie des ressources de votre serveur.
C’est pourquoi il est bon de l’utiliser régulièrement, mais sans en abuser.
Les options premium semblent également très intéressantes, notamment la mise à jour en temps réel du pare-feu.
Dans l’ensemble, si vous souhaitez accorder une attention particulière à la sécurité de votre site WordPress, il s’agit d’un plugin que je vous recommande vivement d’installer.
Le seul problème que j’ai trouvé est que les écrans de configuration du plugin sont entièrement en anglais, même si vous avez installé WordPress en italien.
Conclusion
Comme toujours, la discussion se poursuit ci-dessous.
Avez-vous déjà utilisé Wordfence Security ?
L’expérience a-t-elle été positive ?
Adoptez-vous des solutions alternatives pour améliorer la sécurité et/ou les performances de votre site ?
Laissez votre message ou vos questions dans la section des commentaires.
Rendez-vous dans le prochain guide.
Commentaires récents