WordFence Antivirus WordPress efficace

La sécurité de votre site WordPress est primordiale. Tant de travail et d’articles sur votre blog et tout d’un coup, une simple attaque et… Patatra! Tout est perdu, infecté, piraté:/

Ces derniers temps, j’ai vu augmenter des problèmes de sécurité sur des sites WordPress, des problèmes de scraping, d’injection de codes malicieux, de bannières publicitaires indésirables, etc… Même si rien n’est jamais sûr et que tout site est, dans l’absolu piratable si l’on s’en donne les moyens, voici un plugin WordPress que j’ai testé et adopté, qui n’a qu’un seul objectif: Sécuriser votre WordPress!

Wordfence : LE Plugin de Sécurité WordPress

Wordfence est un plugin freemium, c’est à dire que les options de base sont gratuites et certaines réservées aux utilisateurs premium.

Wordfence

Le pare-feu le plus efficace pour votre WordPress

Wordfence inclut un pare-feu de point de terminaison et un scanner de logiciels malveillants qui ont été construits à partir du core pour protéger WordPress. Le flux de défense de menace arme Wordfence avec les dernières règles de pare-feu, signatures de logiciels malveillants et adresses IP malveillantes dont il a besoin pour garder votre site WordPress en sécurité. Complété par 2FA et une suite de fonctionnalités supplémentaires, Wordfence est la solution de sécurité WordPress la plus complète disponible.

Pare-feu WordPress

Le pare-feu des applications Web identifie et bloque le trafic malveillant. Construit et entretenu par une grande équipe axée à 100% sur la sécurité WordPress.

  • [Premium] Règle de pare-feu en temps réel et mises à jour de signature de logiciels malveillants via le flux de défense de menace (la version gratuite est retardée de 30 jours).
  • [Premium] La liste noire IP en temps réel bloque toutes les demandes des adresses IP les plus malveillantes, protégeant votre site tout en réduisant la charge.
  • Protège votre site au point de terminaison, permettant une intégration profonde avec WordPress. Contrairement aux alternatives cloud ne casse pas le chiffrement, ne peut pas être contourné et ne peut pas fuite de données.
  • Le scanner de logiciels malveillants intégré bloque les demandes qui incluent du code ou du contenu malveillant.
  • Protection contre les attaques par force brute en limitant les tentatives de connexion.

Wordfence Parefeu

Wordfence commence par vérifier si votre site est déjà infecté en faisant une analyse côté serveur de votre code source et en le comparant au référentiel WordPress officiel de base (thèmes et plugins compris). Puis il s’installe et sécurise votre site.

Vous pouvez l’installer pour améliorer la sécurité de votre WordPress en suivant ces quelques étapes:

  • Connectez-vous à votre site WordPress.
  • Accédez à votre menu “Plugins” et cliquez sur “Ajouter”
  • Entrez “Wordfence” dans la boîte de recherche
  • Installez Wordfence et définissez vos options

 

Le scan de votre WordPress

La partie centrale de Wordfence, ici le plugin va passer au scan votre serveur (selon options) et va comparer le code source avec le référentiel. Si il trouve une différence, vous recevrez un message d’avertissement. Il est également possible de corriger automatiquement cette erreur via màj. Vous pouvez, bien entendu, passer outre les avertissements et demander à ne plus être averti.

Rares sont les faux positifs, j’en ai pourtant eu un lié à la langue WP FR, j’en ai informé le support et ce faux positif n’apparaît plus désormais.

WordFence-scan

 

Le trafic en temps réel

Le trafic en temps réel vous affiche en instantané tout le trafic de votre site, que ce soit les visiteurs, robots, les pages 404, les logins/logouts, etc… Utile si vous cherchez à identifier une IP spécifique, attention c’est également consommateur de ressources.

WordFence-real-time

 

La performance

Wordfence vous propose d’améliorer la performance de votre site à l’aide d’un cache, utile et à tester si vous n’en utilisez pas. Les valeurs d’améliorations données (de 30 à 50 fois plus rapide) me semblent cependant fantaisistes.

WordFence-performance

 

Les IPs Bloquées Automatiquement

La partie de Wordfence qui fait peur ! En effet, vous allez voir ici toutes les IPs bloquées et notamment celles qui ont essayées de se connecter à votre WordPress ou celles qui abusent en terme de requêtes serveur.

Depuis les réglages, vous pourrez définir le nombre de tentatives avant blocage ainsi que le nombre maximal de requêtes autorisées par minute .

WordFence-blocked-IPs

 

L’Authentification par Téléphone

Réservée aux utilisateurs premium, cette option utilise une technique appelée “authentification à 2 facteurs” considérée comme l’une des formes les plus sûres de l’authentification à distance. Cela repose sur deux choses: Quelque chose que vous savez (votre mot de passe) et quelque chose que vous avez (votre téléphone portable). Pour accéder à votre site Web, vous devez connaître votre mot de passe et avoir votre téléphone portable avec vous.

Lorsque vous activez cette fonction pour vos utilisateurs, ils signent en utilisant leur nom d’utilisateur et mot de passe d’abord. Ensuite, ils reçoivent un SMS sur leur téléphone portable contenant un code.

WordFence-Cellular-sing-in

 

Les Pays Bloqués

Egalement réservée aux utilisateurs premium, cette options vous permet grâce à une simple case à cocher, d’empêcher certains pays d’accéder à votre site. Vous pouvez leur afficher le message de blocage par défaut de Wordfence ou les rediriger vers une page de votre choix.

WordFence-block-specific-country

 

Planification des Scans

Toujours pour les utilisateurs premium, la possibilité de définir les créneaux pour les scans de sécurité. Tous les jours, 2 fois par jour, etc… Utile si vous souhaitez utiliser les ressources en pleine nuit lorsqu’il y a moins de visiteurs sur votre WordPress.

WordFence-schedule-scanning

 

La recherche de Whois

La recherche Whois pour savoir qui est qui ? Wordfence interroge les serveurs WHOIS sur Internet et obtient des informations sur le nom de domaine ou les propriétaires de l’adresse IP. Si vous voyez une adresse IP malveillante, faire une recherche pour savoir qui est responsable de cette IP et envoyer un e-mail “abuse”. Rarement efficace d’ailleurs!

WordFence-whois-lookup

 

Le blocage d’IPs avancé

Cette option vous permet de bloquer les visiteurs sur toute une plage d’adresses IPs. Vous pouvez également bloquer certains types de navigateur qui visitent votre site à partir d’une certaine plage d’adresses IPs. Cela peut être utile lorsque vous bloquez une personne prétendant, par exemple, être un robot Google et utiliser un fournisseur de services Internet spécifique ou hébergeur.

WordFence-advanced-blocking

 

Les options de Wordfence

C’est là que ça se passe ! Toutes les options et réglages de Wordfence. Du numéro d’API en passant par le firewall, les logs de sécurité, les alertes, les scans à inclure…

Faites attention avec ces options, car elles peuvent rendre votre WordPress très restrictif. Avec pas moins de 30 réglages à paramétrer, il y a de quoi faire mais rassurez-vous, c’est relativement clair et ceux par défaut sont plutôt pas mal.

 

WordFence-options

 

 

Présentation de Wordfence en vidéo

Bonus : Traduction du plugin WordFence en Français

Pour vous lecteurs de WPFormation, je vous offre la traduction de WordFence en français téléchargeable gratuitement.

Wordfence Traduction Francaise

Quasi introuvable sur le web, vous pouvez la télécharger en cliquant sur l’image ci-dessous. La traduction est complète à 90%, dès que j’aurais plus de temps je finaliserais cette dernière.

Pour l’installer, décompressez le fichier ZIP et placez les 2 fichiers extraits (wordfence-fr_FR .mo & .po) de cette archive via FTP dans le répertoire /wp-content/languages/plugins/.

Une fois cela fait, votre plugin WordFence devrait s’afficher en français dans le texte ;)

Télécharger la traduction de WordFence

 

 

Ma conclusion sur Wordfence

En résumé, Wordfence est un excellent plugin de sécurité WordPress ! En place sur WPFormation avec de bons résultats.

J’ai personnellement opté pour la version premium à $99 par an car les options “Blocage Pays” et “Authentification à 2 niveaux” m’intéressaient mais la version Free est amplement suffisante.

Attention toutefois au poids du plugin en terme de ressources, si votre serveur n’est pas très puissant, n’activez pas le trafic en temps réel et faites vos scans en pleine nuit. Autre petit inconvénient le nombre de tables ajouté par le plugin mais rien de bien méchant (un petit coup de wp-optimize de temps en temps et le tour est joué;)

wpformation
NE MANQUEZ PLUS RIEN !
Inscrivez-vous pour recevoir le meilleur de WordPress dans votre boîte de réception, chaque mois.

Nous ne spammons pas ! Consultez notre politique de confidentialité pour plus d’informations.

A propos de l'auteur...

Avatar de WPFormation

WPFormation

Fabrice Ducarme, spécialiste & formateur WordPress je suis éditeur, auteur et fondateur de WP Formation.com. Conférencier lors des WordCamp Paris 2013 & 2015, Marseille 2017 et au WP Tech Nantes 2014, je vous propose plus de 500 articles & tutoriaux à propos de WordPress, mes trucs & astuces mais aussi des coups de gueule...

23 commentaires pertinents à ce jour ;)

  • Salut Fabrice.
    Merci pour cet article.
    Tu m’as devancé. Mon article était juste amorcé. Je pensais le rédiger ce we; qui sera plus léger :-) .

    Je confirme, c’est un très bon outil.
    Pour le format du numéro de tel, lequel as tu utilisé? Dans mon cas, je n’ai rien reçu.

    Enfin, je vais ajouter ton lien dans notre premier podcast WordPress qui parle de l’outil.

  • Salut Grégoire, je pensais que tu avais laissé tomber… et comme je vais m’en servir pour les formations, il est déjà dans le livret;) Fais moi passer le lien de ton article, je l’ajouterais en lien à la fin de celui ci.

    Pour le format j’ai testé avec +33-062-xxx-xxxx

  • J’ai adopté cette extension dès sa première installation sur mon blog, vraiment très pratique même en version free. Je ne me suis rendu compte que récemment qu’il proposait aussi du cache, tu en parles rapidement mais as-tu procédé à un comparatif par rapport à un Super Cache ou un Hyper Cache par hasard ? Merci d’avance !

  • Salut @Benjamin,

    Non j’avoue que je n’ai pas testé mais il faut dire que ce n’est pas pour le cache que l’on choisit Wordfence et que lorsque l’on a wprocket d’installé sur son WordPress, et bien on a du mal à en changer:)

  • Salut Fabrice,

    J’utilise Wordfence sur mon site professionnel depuis que Samuel de KaféineMarketing me l’a fait découvrir dans l’article que j’ai mis en lien.
    Je confirme que ce plugin permet pas mal de choses, mais ce qui serait intéressant, ce serait de réaliser un tutoriel de paramétrage, à moins que ce ne soit déjà fait.
    Alors, si tu en connais ou que tu te décides à en faire un, penses à nous le partager, il sera largement relayé.
    Je te remercie d’avance.

    Amicalement,

    Bruno

  • @Fabrice
    Aucun souci. Vraiment. Comme je t’ai dit, j’avais à peine amorcé l’article.

    Par contre, pourquoi ne pas faire un point plus précis sur les réglages et les erreurs à ne pas commettre. Du coup on pourra lier nos articles :-)

    Je m’en occupe.

  • @Grégoire, @Bruno,

    Parfait pour l’affinage des réglages, c’est Grégoire qui s’y colle;)

  • Un peu peur que cette usine à gaz ralentisse le site, as-tu fait des tests de rapidité et chargement avec et sans le plugin ?

  • Voilà un plugin super intéressant ! Je cherchais justement comment bloquer certains pays, comme la Russie qui a tendance à surcharger mon serveur en ce moment :p Je vas aller testerca !

  • @Les Options, oui testé sans trop de ralentissements du moment que le live scan n’est pas actif.

    On peut également diminuer comme bon nous semble la mémoire allouée à Wordfence!

  • Si vous aimez les usines, utilisez le. Il ne fait pas encore les backups et le partage social ? Bon, ça va venir. Il fait déjà le cache, traffic en temps réel, blocage par pays & IP, double authentification etc
    Bref, pourquoi ne pas regrouper les 30000 plugins du repo en 1 et ajouter 30000 case à cocher ?
    ;)

  • @julio
    Je te trouve un peu dur. Toutes les fonctions qu’il propose sont comme même liées à la raison principale du plugin: la sécurité et le blocage des connexions malveillantes. Et tu peux les désactiver à tout moment.

  • @gregoire : mais je SUIS dur, je n’aime pas les usines qui en font trop et qui commencent à tout faire. Si j’omets le cache (on est d’accord que c’est hors sujet là ?!) et si j’essaie de mettre dans nu plugin tout ce qui est relatif à la sécurité, est-ce que ça serait alors légitime ? Je ne pense pas.
    Quand je vois la taille du plugin, les appels externes, les logs etc, hot my dog c’est énorme. Je préfère 100 fois cibler problème par problème, chaque point que je souhaite sécuriser, plutôt que de mettre un fourre tout de sécurité qui me donne surtout l’impression de l’être, en sécurité.
    Bisous ;)

  • Bonjour,

    Article très instructif, comme d’habitude.
    Peut-on l’utiliser en même temps qu’ “iTheme security” ou cela fait-il double emploi ?
    Désolé si cette question est stupide, mais je suis un utilisateur très néophyte (prof de bridge et non informaticien.)

    Merci.

  • @adelie : Cela ferait double emploi, autant je n’aime ni l’un ni l’autre, autant je ne peux que déconseiller iThème Security (ancien Better WP Security) qui n’est pas sécure à mon sens (j’ai contacté l’auteur, il s’en bats les steaks)

  • @julio
    Ok. Je respecte ton point de vue. Dans mon cas, j’ai retrouvé un bien meilleur rendement du site depuis que je l’ai installé.
    Par contre si tu as une liste à conseiller: une bonne config sécurité avec des plugins. Je pense que nous sommes tous intéressé(e)s.

  • @gregoire : comme je le dis souvent, ma liste est celle des mes favoris sur mon profil du repo plus mes créations sur blog.secupress.fr. en ciblant chaque problème ou besoin, je crée un peu de code, activable où je veux ensuite, plutot que de tout faire dans un seul plugin qui devient lourd, ce que tout le monde déteste.
    Cela dit, WordFence est efficace est fait du bon travail !

  • @julio
    J’avais même pas vu ta liste :)
    Pour information, Wordfence mets en avant le cache pour distribuer des pages statiques en cas de grosse attaque. Du coup, il récupère de la mémoire pour bloquer le reste. C’est ce qu’il dit :)

  • @Julio, @Grégoire, autant je peux comprendre le ressenti de Julio, autant je note que l’expert sécu qu’il est consent à dire que WordFence fait du bon boulot! N’est ce pas là l’essentiel;)

    Oui le cache ne sert pas forcément et oui on peut limiter l’usage de la mémoire utilisée…

    @Adelie, double emploi et +1 avec Julio

  • @Grégoire, Molo sur les réglages je ne peux plus accéder à ton site depuis le Cambodge
    J’avais essayé WordFence l’année dernière, à l’époque il y avait des voyants verts en face de chaque faille potentiel.. Résultat en essayant de passer à 100% sécurisé j’ai complètement planté le site, et désactiver WordFence par FTP ne changeait rien, et éditer les .htaccess et wp-config pour nettoyer à la main les ajouts de wordfence empirait les choses.

    Backup oblige. Soyez prudent.

  • Y’a un autre plugin “Wordfence assistant” o.O pour aider à utiliser des trucs.
    On crée un blog avec ça + JetPack et on migre direct sur un dédié ? :)

  • Merci pour toutes ces informations sur le plugin. D’après tous les articles que j’ai pu lire, c’est vraiment LE plugin de sécurité à avoir ! Je vais donc l’installer et suivre tes instructions :) A bientôt !

  • Bonjour,

    merci pour cet article, cela faisait un moment que je cherchais un logiciel de ce type de préférence gratuit. Je viens de l’installer il est parfait. Une seule question de novice : ne peut-on pas bloquer les pays en modifiant le .htaccess seulement ? Je l’ai fait et cela a l’air de fonctionner.