WordFence Antivirus WordPress efficace

La sécurité de votre site WordPress est primordiale. Tant de travail et d'articles sur votre blog et tout d'un coup, une simple attaque et... Patatra! Tout est perdu, infecté, piraté:/

Ces derniers temps, j'ai vu augmenter des problèmes de sécurité sur des sites WordPress, des problèmes de scraping, d'injection de codes malicieux, de bannières publicitaires indésirables, etc...

Même si rien n'est jamais sûr et que tout site est, dans l'absolu piratable si l'on s'en donne les moyens, voici un plugin WordPress que j'ai testé et adopté, qui n'a qu'un seul objectif: Sécuriser votre WordPress!

 

wordfence-plugin-wordpress

 

Wordfence : Plugin de Sécurité WordPress

Wordfence est un plugin freemium, c'est à dire que les options de base sont gratuites et certaines réservées aux utilisateurs premium.

Wordfence commence par vérifier si votre site est déjà infecté en faisant une analyse côté serveur de votre code source et en le comparant au référentiel WordPress officiel de base (thèmes et plugins compris). Puis il s'installe et sécurise votre site.

Vous pouvez l'installer pour améliorer la sécurité de votre WordPress en suivant ces quelques étapes:

  • Connectez-vous à votre site WordPress.
  • Accédez à votre menu "Plugins" et cliquez sur "Ajouter"
  • Entrez "Wordfence" dans la boîte de recherche
  • Installez Wordfence et définissez vos options

 

Le scan de votre WordPress

La partie centrale de Wordfence, ici le plugin va passer au scan votre serveur (selon options) et va comparer le code source avec le référentiel. Si il trouve une différence, vous recevrez un message d'avertissement. Il est également possible de corriger automatiquement cette erreur via màj. Vous pouvez, bien entendu, passer outre les avertissements et demander à ne plus être averti.

Rares sont les faux positifs, j'en ai pourtant eu un lié à la langue WP FR, j'en ai informé le support et ce faux positif n’apparaît plus désormais.

WordFence-scan

 

Le trafic en temps réel

Le trafic en temps réel vous affiche en instantané tout le trafic de votre site, que ce soit les visiteurs, robots, les pages 404, les logins/logouts, etc... Utile si vous cherchez à identifier une IP spécifique, attention c'est également consommateur de ressources.

WordFence-real-time

 

La performance

Wordfence vous propose d'améliorer la performance de votre site à l'aide d'un cache, utile et à tester si vous n'en utilisez pas. Les valeurs d'améliorations données (de 30 à 50 fois plus rapide) me semblent cependant fantaisistes.

WordFence-performance

 

Les IPs Bloquées Automatiquement

La partie de Wordfence qui fait peur ! En effet, vous allez voir ici toutes les IPs bloquées et notamment celles qui ont essayées de se connecter à votre WordPress ou celles qui abusent en terme de requêtes serveur.

Depuis les réglages, vous pourrez définir le nombre de tentatives avant blocage ainsi que le nombre maximal de requêtes autorisées par minute .

WordFence-blocked-IPs

 

L'Authentification par Téléphone

Réservée aux utilisateurs premium, cette option utilise une technique appelée "authentification à 2 facteurs" considérée comme l'une des formes les plus sûres de l'authentification à distance. Cela repose sur deux choses: Quelque chose que vous savez (votre mot de passe) et quelque chose que vous avez (votre téléphone portable). Pour accéder à votre site Web, vous devez connaître votre mot de passe et avoir votre téléphone portable avec vous.

Lorsque vous activez cette fonction pour vos utilisateurs, ils signent en utilisant leur nom d'utilisateur et mot de passe d'abord. Ensuite, ils reçoivent un SMS sur leur téléphone portable contenant un code.

WordFence-Cellular-sing-in

 

Les Pays Bloqués

Egalement réservée aux utilisateurs premium, cette options vous permet grâce à une simple case à cocher, d'empêcher certains pays d'accéder à votre site. Vous pouvez leur afficher le message de blocage par défaut de Wordfence ou les rediriger vers une page de votre choix.

WordFence-block-specific-country

 

Planification des Scans

Toujours pour les utilisateurs premium, la possibilité de définir les créneaux pour les scans de sécurité. Tous les jours, 2 fois par jour, etc... Utile si vous souhaitez utiliser les ressources en pleine nuit lorsqu'il y a moins de visiteurs sur votre WordPress.

WordFence-schedule-scanning

 

La recherche de Whois

La recherche Whois pour savoir qui est qui ? Wordfence interroge les serveurs WHOIS sur Internet et obtient des informations sur le nom de domaine ou les propriétaires de l'adresse IP. Si vous voyez une adresse IP malveillante, faire une recherche pour savoir qui est responsable de cette IP et envoyer un e-mail "abuse". Rarement efficace d'ailleurs!

WordFence-whois-lookup

 

Le blocage d'IPs avancé

Cette option vous permet de bloquer les visiteurs sur toute une plage d'adresses IPs. Vous pouvez également bloquer certains types de navigateur qui visitent votre site à partir d'une certaine plage d'adresses IPs. Cela peut être utile lorsque vous bloquez une personne prétendant, par exemple, être un robot Google et utiliser un fournisseur de services Internet spécifique ou hébergeur.

WordFence-advanced-blocking

 

Les options de Wordfence

C'est là que ça se passe ! Toutes les options et réglages de Wordfence. Du numéro d'API en passant par le firewall, les logs de sécurité, les alertes, les scans à inclure...

Faites attention avec ces options, car elles peuvent rendre votre WordPress très restrictif. Avec pas moins de 30 réglages à paramétrer, il y a de quoi faire mais rassurez-vous, c'est relativement clair et ceux par défaut sont plutôt pas mal.

 

WordFence-options

 

 

Présentation de Wordfence en vidéo

 

Ma conclusion sur Wordfence

En résumé, Wordfence est un excellent plugin de sécurité WordPress ! En place sur WPFormation avec de bons résultats.

J'ai personnellement opté pour la version premium à $39 par an car les options "Blocage Pays" et "Authentification à 2 niveaux" m'intéressaient mais la version Free est amplement suffisante.

Attention toutefois au poids du plugin en terme de ressources, si votre serveur n'est pas très puissant, n'activez pas le trafic en temps réel et faites vos scans en pleine nuit. Autre petit inconvénient le nombre de tables ajouté par le plugin mais rien de bien méchant (un petit coup de wp-optimize de temps en temps et le tour est joué;)

A propos de l'auteur...

WPFormation

Fabrice Ducarme, formateur WordPress je suis éditeur, auteur et fondateur du site WP Formation.com. Conférencier lors des WordCamp Paris 2013 & 2015 ainsi qu'au WP Tech Nantes 2014, je vous propose plus de 400 articles & tutoriaux à propos de WordPress, mes trucs & astuces mais aussi des coups de gueule...

25 commentaires pertinents à ce jour ;)

  • Grégoire Noyelle dit :
    Salut Fabrice.
    Merci pour cet article.
    Tu m’as devancé. Mon article était juste amorcé. Je pensais le rédiger ce we; qui sera plus léger :-) .

    Je confirme, c’est un très bon outil.
    Pour le format du numéro de tel, lequel as tu utilisé? Dans mon cas, je n’ai rien reçu.

    Enfin, je vais ajouter ton lien dans notre premier podcast WordPress qui parle de l’outil.

  • WPFormation dit :
    Salut Grégoire, je pensais que tu avais laissé tomber… et comme je vais m’en servir pour les formations, il est déjà dans le livret;) Fais moi passer le lien de ton article, je l’ajouterais en lien à la fin de celui ci.

    Pour le format j’ai testé avec +33-062-xxx-xxxx

  • Benjamin Yeurc'h dit :
    J’ai adopté cette extension dès sa première installation sur mon blog, vraiment très pratique même en version free. Je ne me suis rendu compte que récemment qu’il proposait aussi du cache, tu en parles rapidement mais as-tu procédé à un comparatif par rapport à un Super Cache ou un Hyper Cache par hasard ? Merci d’avance !
  • WPFormation dit :
    Salut ,

    Non j’avoue que je n’ai pas testé mais il faut dire que ce n’est pas pour le cache que l’on choisit Wordfence et que lorsque l’on a wprocket d’installé sur son WordPress, et bien on a du mal à en changer:)

  • BrunoT dit :
    Salut Fabrice,

    J’utilise Wordfence sur mon site professionnel depuis que Samuel de KaféineMarketing me l’a fait découvrir dans l’article que j’ai mis en lien.
    Je confirme que ce plugin permet pas mal de choses, mais ce qui serait intéressant, ce serait de réaliser un tutoriel de paramétrage, à moins que ce ne soit déjà fait.
    Alors, si tu en connais ou que tu te décides à en faire un, penses à nous le partager, il sera largement relayé.
    Je te remercie d’avance.

    Amicalement,

    Bruno

  • Grégoire Noyelle dit :

    Aucun souci. Vraiment. Comme je t’ai dit, j’avais à peine amorcé l’article.

    Par contre, pourquoi ne pas faire un point plus précis sur les réglages et les erreurs à ne pas commettre. Du coup on pourra lier nos articles :-)

    Je m’en occupe.

  • WPFormation dit :
    @Grégoire, ,

    Parfait pour l’affinage des réglages, c’est Grégoire qui s’y colle;)

  • Les options dit :
    Un peu peur que cette usine à gaz ralentisse le site, as-tu fait des tests de rapidité et chargement avec et sans le plugin ?
  • Cédric dit :
    Voilà un plugin super intéressant ! Je cherchais justement comment bloquer certains pays, comme la Russie qui a tendance à surcharger mon serveur en ce moment :p Je vas aller testerca !
  • WPFormation dit :
    Options, oui testé sans trop de ralentissements du moment que le live scan n’est pas actif.

    On peut également diminuer comme bon nous semble la mémoire allouée à Wordfence!

  • Julien Maury (@TweetPressFr) dit :
    A rajouter à la liste des bons points la gestion multisite ;à)
  • Julio Potier dit :
    Si vous aimez les usines, utilisez le. Il ne fait pas encore les backups et le partage social ? Bon, ça va venir. Il fait déjà le cache, traffic en temps réel, blocage par pays & IP, double authentification etc
    Bref, pourquoi ne pas regrouper les 30000 plugins du repo en 1 et ajouter 30000 case à cocher ?
    ;)
  • Grégoire Noyelle dit :

    Je te trouve un peu dur. Toutes les fonctions qu’il propose sont comme même liées à la raison principale du plugin: la sécurité et le blocage des connexions malveillantes. Et tu peux les désactiver à tout moment.
  • Julio Potier dit :
    : mais je SUIS dur, je n’aime pas les usines qui en font trop et qui commencent à tout faire. Si j’omets le cache (on est d’accord que c’est hors sujet là ?!) et si j’essaie de mettre dans nu plugin tout ce qui est relatif à la sécurité, est-ce que ça serait alors légitime ? Je ne pense pas.
    Quand je vois la taille du plugin, les appels externes, les logs etc, hot my dog c’est énorme. Je préfère 100 fois cibler problème par problème, chaque point que je souhaite sécuriser, plutôt que de mettre un fourre tout de sécurité qui me donne surtout l’impression de l’être, en sécurité.
    Bisous ;)
  • adelie Bridge dit :
    Bonjour,

    Article très instructif, comme d’habitude.
    Peut-on l’utiliser en même temps qu’ « iTheme security » ou cela fait-il double emploi ?
    Désolé si cette question est stupide, mais je suis un utilisateur très néophyte (prof de bridge et non informaticien.)

    Merci.

  • Julio Potier dit :
    : Cela ferait double emploi, autant je n’aime ni l’un ni l’autre, autant je ne peux que déconseiller iThème Security (ancien Better WP Security) qui n’est pas sécure à mon sens (j’ai contacté l’auteur, il s’en bats les steaks)
  • Grégoire Noyelle dit :

    Ok. Je respecte ton point de vue. Dans mon cas, j’ai retrouvé un bien meilleur rendement du site depuis que je l’ai installé.
    Par contre si tu as une liste à conseiller: une bonne config sécurité avec des plugins. Je pense que nous sommes tous intéressé(e)s.
  • Julio Potier dit :
    : comme je le dis souvent, ma liste est celle des mes favoris sur mon profil du repo plus mes créations sur blog.secupress.fr. en ciblant chaque problème ou besoin, je crée un peu de code, activable où je veux ensuite, plutot que de tout faire dans un seul plugin qui devient lourd, ce que tout le monde déteste.
    Cela dit, WordFence est efficace est fait du bon travail !
  • Grégoire Noyelle dit :

    J’avais même pas vu ta liste :)
    Pour information, Wordfence mets en avant le cache pour distribuer des pages statiques en cas de grosse attaque. Du coup, il récupère de la mémoire pour bloquer le reste. C’est ce qu’il dit :)
  • WPFormation dit :
    , @Grégoire, autant je peux comprendre le ressenti de Julio, autant je note que l’expert sécu qu’il est consent à dire que WordFence fait du bon boulot! N’est ce pas là l’essentiel;)

    Oui le cache ne sert pas forcément et oui on peut limiter l’usage de la mémoire utilisée…

    , double emploi et +1 avec Julio

  • Thibaud dit :
    @Grégoire, Molo sur les réglages je ne peux plus accéder à ton site depuis le Cambodge : http://wp-infinity.com/wp-content/uploads2/2014-05-27_08h38_06.png.

    J’avais essayé WordFence l’année dernière, à l’époque il y avait des voyants verts en face de chaque faille potentiel.. Résultat en essayant de passer à 100% sécurisé j’ai complètement planté le site, et désactiver WordFence par FTP ne changeait rien, et éditer les .htaccess et wp-config pour nettoyer à la main les ajouts de wordfence empirait les choses.

    Backup oblige. Soyez prudent.

  • Julien Maury dit :
    Je suis d’accord avec Julio c’est hs un peu quand on voit qu’il fait du cache d’autant qu’en activant le cache tu perds le live check donc à quoi bon proposer des features qui se cannibalisent?

    En revanche il fait bien ce qu’il dit et la gestion multisite est vraiment top.

  • Gilles W. dit :
    Y’a un autre plugin « Wordfence assistant » o.O pour aider à utiliser des trucs.
    On crée un blog avec ça + JetPack et on migre direct sur un dédié ? :)
  • Chloé dit :
    Merci pour toutes ces informations sur le plugin. D’après tous les articles que j’ai pu lire, c’est vraiment LE plugin de sécurité à avoir ! Je vais donc l’installer et suivre tes instructions :) A bientôt !
  • Christophe. dit :
    Bonjour,

    merci pour cet article, cela faisait un moment que je cherchais un logiciel de ce type de préférence gratuit. Je viens de l’installer il est parfait. Une seule question de novice : ne peut-on pas bloquer les pays en modifiant le .htaccess seulement ? Je l’ai fait et cela a l’air de fonctionner.

Tweet92
Share35
Share5
Buffer80