Avec plus de quatre millions d’installations, Wordfence est l’extension de sécurité WordPress la plus populaire. Elle protège votre site grâce à différentes fonctionnalités, allant du pare-feu à la protection des connexions, en passant par les scans réguliers.
Dans cette vidéo, je vous montre comment configurer Wordfence, mais je vous invite à poursuivre votre lecture si vous préférez des explications écrites.
1. Wordfence, l’extension de sécurité WordPress la plus installée
Wordfence présente tellement de possibilités, qu’il peut être difficile de comprendre comment elle fonctionne, pourquoi l’utiliser ou même comment la configurer correctement. Dans cet article, nous allons l’examiner en détail.
Par ailleurs, Wordfence propose une version payante qui complète sa version gratuite, notamment avec la mise à jour en temps réel des règles de blocage et des signatures des logiciels malveillants. Pour 99$ par an, votre site sera mieux protégé et vous aurez droit à une assistance technique.
Néanmoins, la version gratuite, sur laquelle nous allons nous attarder, dispose de suffisamment d’outils pour fournir une protection satisfaisante à votre site. Notez que l’extension de sécurité WordPress n’est pas traduite en français.
2. Fonctionnalités de Wordfence
Wordfence offre quelques éléments de configuration dès son installation, notamment la possibilité d’activer les mises à jour automatiques et l’optimisation du pare-feu, après téléchargement de votre fichier htaccess. L’extension de sécurité WordPress propose également une visite guidée que je vous conseille de lire si vous souhaitez en apprendre davantage sur les fonctionnalités disponibles.
2.1 Tableau de bord (Dashboard)
Le tableau de bord présente un résumé de ce qu’il se passe dans l’extension. Vous y trouverez entre autres l’état du pare-feu et des scans ainsi que les attaques bloquées par Wordfence sur votre site.
Par défaut, le widget de l’extension de sécurité WordPress s’affiche sur le tableau de bord WordPress pour vous donner une vue globale sur la sécurité de votre site à chacune de vos connexions. Si vous ne souhaitez pas qu’il s’affiche, vous devrez cliquer sur le bouton “Options de l’écran”, en haut à droite, et décocher la case “Wordfence activity in the past week”.
2.2 Pare-feu (Firewall)
L’objectif d’un pare-feu est de bloquer le trafic malveillant, et par conséquent les attaques. Il existe plusieurs types de pare-feu d’application web ou web application firewall (WAF), en anglais. Certains bloquent le trafic sur le réseau ou sur le nuage, c’est-à-dire sur des serveurs externes ; d’autres, dont Wordfence, bloquent les attaques au point de terminaison, soit sur votre serveur.
De toute évidence, chaque option comporte des avantages et des inconvénients. Dans le cas du WAF de Wordfence, le chiffrement de bout en bout n’est pas entravé, comme ce peut être le cas avec d’autres pare-feu, et les scans de votre serveur peuvent être plus approfondis.
Toutefois, celui-ci est mis à contribution et sa performance peut être diminuée puisqu’il fournit toutes les ressources nécessaires au bon fonctionnement du WAF. C’est pourquoi, je vous recommande de tester la performance de votre site avant et après installation de Wordfence et de vérifier si la baisse de performance est problématique ou non.
Lors de l’activation de l’extension de sécurité WordPress, le pare-feu se met en mode apprentissage durant une semaine. Ceci permet au système de comprendre le fonctionnement de votre site et le comportement de ses utilisateur.rice.s. Ensuite, le pare-feu est configuré et optimisé automatiquement. Cependant, il vous est toujours possible de bloquer certains acteurs manuellement si vous constatez que le WAF laisse passer du trafic suspect.
2.3 Scanner (Scan)
Wordfence scanne votre site quotidiennement pour vérifier qu’il ne contient ni logiciel malveillant, ni vulnérabilité. Ces dernières comprennent notamment les mises à jour disponibles de WordPress, de vos extensions et de vos thèmes. Si une anomalie est détectée, vous recevrez une alerte par email selon la sévérité du problème.
Il vous est également possible de scanner votre site manuellement si vous soupçonnez qu’il a été piraté ou s’il ne fonctionne pas correctement et que vous souhaitez vous assurer de sa bonne santé.
2.4 Outils (Tools)
Les outils de Wordfence vous permettent de voir le trafic en temps réel, de chercher le propriétaire d’une adresse IP particulière, d’importer ou d’exporter des configurations de l’extension de sécurité WordPress et d’examiner le diagnostic complet de votre site.
Vous ne devez rien configurer en particulier dans cette section puisque les paramètres par défaut devraient convenir parfaitement. En revanche, ces outils sont utiles pour vérifier qui visite votre site et contrôler avec précision son état de santé.
2.5 Sécurité des connexions (Login Security)
La sécurité des connexions est primordiale dans WordPress. Grâce à cette fonctionnalité, Wordfence vous permet non seulement d’activer une authentification à deux facteurs, mais également de configurer ce système pour les rôles d’utilisateurs de votre choix.
L’onglet paramètres (settings) vous aidera à protéger davantage votre site en désactivant XML-RPC ou encore en activant Google reCAPTCHA. Ces deux options ont pour but de réduire l’efficacité des attaques par force brute. Celles-ci tentent de deviner des combinaisons d’identifiants et noms d’utilisateurs pour s’introduire sur votre site.
En plus du risque de sécurité qu’elles posent, elles peuvent aussi avoir un impact négatif sur la performance de votre site puisqu’elles utilisent des ressources de votre serveur. Indépendamment, l’équipe qui développe Wordfence a créé une extension plus légère qui ne contient que les fonctionnalités de protection des connexions.
2.6 Toutes les options (All options) et alertes par email
Dans cette section, vous aurez la possibilité de configurer l’ensemble des paramètres de l’extension de sécurité WordPress en un seul endroit. Vous y retrouverez les différentes options du pare-feu, du scanner et de la protection contre les attaques par force brute.
Il est particulièrement intéressant de configurer les alertes par email pour qu’elles correspondent à vos besoins, sans être trop fréquentes. Pour ce faire, vous devrez choisir le niveau d’alerte à partir duquel vous souhaitez être averti.e. Vous pouvez également choisir de ne pas être prévenu.e en décochant la case “Alert me with scan results of this severity level or greater”.
Si vous faites les mises à jour de WordPress, de vos extensions et de vos thèmes régulièrement, vous n’aurez sans doute pas besoin de recevoir une alerte chaque fois qu’une mise à jour est disponible.
En revanche, si vous ne procédez pas à cette maintenance périodiquement, ces alertes sont réellement utiles pour vous le rappeler. Par ailleurs, vous avez la possibilité de recevoir un rapport hebdomadaire par email reprenant les attaques bloquées durant la semaine.
3. Conclusion
Wordfence est, selon moi, une des extensions indispensables à installer sur tout site WordPress. Elle permet d’éviter les piratages les plus courants et protège votre site de manière complète. Il existe d’autres extensions de sécurité de bonne qualité, mais Wordfence reste la plus populaire et sans doute la plus complète.
Quelle extension de sécurité WordPress utilisez-vous sur votre site ? Dites-le moi dans les commentaires.
Sauvegarde WordPress : extension, FTP et restauration
Sucuri pour WordPress : visite guidée de l’extension
Protéger son site WordPress contre les attaques en 2024