Extension de sécurité WordPress : Wordfence

par | 4 Nov 2021 | Entreprise en ligne, WordPress

Avec plus de quatre millions d’installations, Wordfence est l’extension de sécurité WordPress la plus populaire. Elle protège votre site grâce à différentes fonctionnalités, allant du pare-feu à la protection des connexions, en passant par les scans réguliers.

 

 

 
Dans cette vidéo, je vous montre comment configurer Wordfence, mais je vous invite à poursuivre votre lecture si vous préférez des explications écrites.

 

1. Wordfence, l’extension de sécurité WordPress la plus installée

Page de l’extension Wordfence dans le catalogue WordPress
Page de l’extension Wordfence dans le catalogue WordPress

 
Cette extension présente tellement de possibilités, qu’il peut être difficile de comprendre comment elle fonctionne, pourquoi l’utiliser ou même comment la configurer correctement. Dans cet article, nous allons l’examiner en détail.

Par ailleurs, Wordfence propose une version payante qui complète sa version gratuite, notamment avec la mise à jour en temps réel des règles de blocage et des signatures des logiciels malveillants. Pour 99$ par an, votre site sera mieux protégé et vous aurez droit à une assistance technique.

Néanmoins, la version gratuite, sur laquelle nous allons nous attarder, dispose de suffisamment d’outils pour fournir une protection satisfaisante à votre site. Notez que cette extension n’est pas traduite en français.

 

2. Fonctionnalités de Wordfence

Wordfence offre quelques éléments de configuration dès son installation, notamment la possibilité d’activer les mises à jour automatiques et l’optimisation du pare-feu, après téléchargement de votre fichier htaccess. L’extension propose également une visite guidée que je vous conseille de lire si vous souhaitez en apprendre davantage sur les fonctionnalités disponibles.

Visite guidée de Wordfence
Visite guidée de Wordfence

 

2.1 Tableau de bord (Dashboard)

Le tableau de bord présente un résumé de ce qu’il se passe dans l’extension. Vous y trouverez entre autres l’état du pare-feu et des scans ainsi que les attaques bloquées par Wordfence sur votre site.

Tableau de bord de Wordfence
Tableau de bord de l’extension

 
Par défaut, le widget de l’extension s’affiche sur le tableau de bord WordPress pour vous donner une vue globale sur la sécurité de votre site à chacune de vos connexions. Si vous ne souhaitez pas qu’il s’affiche, vous devrez cliquer sur le bouton “Options de l’écran”, en haut à droite, et décocher la case “Wordfence activity in the past week”.

 

2.2 Pare-feu (Firewall)

L’objectif d’un pare-feu est de bloquer le trafic malveillant, et par conséquent les attaques. Il existe plusieurs types de pare-feu d’application web ou web application firewall (WAF), en anglais. Certains bloquent le trafic sur le réseau ou sur le nuage, c’est-à-dire sur des serveurs externes ; d’autres, dont Wordfence, bloquent les attaques au point de terminaison, soit sur votre serveur.

Fonctionnement d’un pare-feu WAF
Fonctionnement d’un pare-feu d’application web

 
De toute évidence, chaque option comporte des avantages et des inconvénients. Dans le cas du WAF de Wordfence, le chiffrement de bout en bout n’est pas entravé, comme ce peut être le cas avec d’autres pare-feu, et les scans de votre serveur peuvent être plus approfondis.

Toutefois, celui-ci est mis à contribution et sa performance peut être diminuée puisqu’il fournit toutes les ressources nécessaires au bon fonctionnement du WAF. C’est pourquoi, je vous recommande de tester la performance de votre site avant et après installation de Wordfence et de vérifier si la baisse de performance est problématique ou non.

Pare-feu de Wordfence
Page et paramètres du pare-feu

 
Lors de l’activation de l’extension, le pare-feu se met en mode apprentissage durant une semaine. Ceci permet au système de comprendre le fonctionnement de votre site et le comportement de ses utilisateur.rice.s. Ensuite, le pare-feu est configuré et optimisé automatiquement. Cependant, il vous est toujours possible de bloquer certains acteurs manuellement si vous constatez que le WAF laisse passer du trafic suspect.

 

2.3 Scanner (Scan)

Wordfence scanne votre site quotidiennement pour vérifier qu’il ne contient ni logiciel malveillant, ni vulnérabilité. Ces dernières comprennent notamment les mises à jour disponibles de WordPress, de vos extensions et de vos thèmes. Si une anomalie est détectée, vous recevrez une alerte par email selon la sévérité du problème.

Page du scanner de Wordfence
Rapport des scans

 
Il vous est également possible de scanner votre site manuellement si vous soupçonnez qu’il a été piraté ou s’il ne fonctionne pas correctement et que vous souhaitez vous assurer de sa bonne santé.

 

2.4 Outils (Tools)

Les outils de Wordfence vous permettent de voir le trafic en temps réel, de chercher le propriétaire d’une adresse IP particulière, d’importer ou d’exporter des configurations de l’extension et d’examiner le diagnostic complet de votre site.

Trafic en temps réel
Trafic en temps réel sur votre site

 
Vous ne devez rien configurer en particulier dans cette section puisque les paramètres par défaut devraient convenir parfaitement. En revanche, ces outils sont utiles pour vérifier qui visite votre site et contrôler avec précision son état de santé.

 

2.5 Sécurité des connexions (Login Security)

La sécurité des connexions est primordiale dans WordPress. Grâce à cette fonctionnalité, Wordfence vous permet non seulement d’activer une authentification à deux facteurs, mais également de configurer ce système pour les rôles d’utilisateurs de votre choix.

Protection des connexions grâce à l’authentification à deux facteurs
Protégez vos connexions grâce à l’authentification à deux facteurs

 
L’onglet paramètres (settings) vous aidera à protéger davantage votre site en désactivant XML-RPC ou encore en activant Google reCAPTCHA. Ces deux options ont pour but de réduire l’efficacité des attaques par force brute. Celles-ci tentent de deviner des combinaisons d’identifiants et noms d’utilisateurs pour s’introduire sur votre site.

Désactiver XML-RPC et activer reCAPTCHA est une bonne idée
Désactiver XML-RPC et configurer reCAPTCHA est une bonne idée

 
En plus du risque de sécurité qu’elles posent, elles peuvent aussi avoir un impact négatif sur la performance de votre site puisqu’elles utilisent des ressources de votre serveur. Indépendamment, l’équipe qui développe Wordfence a créé une extension plus légère qui ne contient que les fonctionnalités de protection des connexions.

 

2.6 Toutes les options (All options) et alertes par email

Dans cette section, vous aurez la possibilité de configurer l’ensemble des paramètres de l’extension en un seul endroit. Vous y retrouverez les différentes options du pare-feu, du scanner et de la protection contre les attaques par force brute.

Il est particulièrement intéressant de configurer les alertes par email pour qu’elles correspondent à vos besoins, sans être trop fréquentes. Pour ce faire, vous devrez choisir le niveau d’alerte à partir duquel vous souhaitez être averti.e. Vous pouvez également choisir de ne pas être prévenu.e en décochant la case “Alert me with scan results of this severity level or greater”.

Configuration des alertes par email
Paramètres des aletes par email

 
Si vous faites les mises à jour de WordPress, de vos extensions et de vos thèmes régulièrement, vous n’aurez sans doute pas besoin de recevoir une alerte chaque fois qu’une mise à jour est disponible.

En revanche, si vous ne procédez pas à cette maintenance périodiquement, ces alertes sont réellement utiles pour vous le rappeler. Par ailleurs, vous avez la possibilité de recevoir un rapport hebdomadaire par email reprenant les attaques bloquées durant la semaine.

 

3. Conclusion

Wordfence est, selon moi, une des extensions indispensables à installer sur tout site WordPress. Elle permet d’éviter les piratages les plus courants et protège votre site de manière complète. Il existe d’autres extensions de sécurité de bonne qualité, mais Wordfence reste la plus populaire et sans doute la plus complète.

Quelle extension de sécurité utilisez-vous sur votre site ? Dites-le moi dans les commentaires.

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Réservez votre audit SEO gratuit et recevez un rapport personnalisé sur la santé de votre site web