Cet article participe à l’Evénement Meilleurs Plugins WordPress, à l’initiative de Cédric Vimeux du blog Virtuose Marketing.
Tout comme vous laisseriez un gardien pour surveiller et entretenir une résidence secondaire, votre site sous WordPress a également besoin d’un gardien. Après plusieurs essais, j’ai choisi d’installer Wordfence sur tous mes blogs. Ce plugin existe en version gratuite et en version payante.
Ce n’est pas une garantie absolue de ne jamais voir son travail réduit à néant par un pirate mais autant avoir une sentinelle qui vous signale ce qui se passe chez vous et à qui vous pouvez donner des premières instructions en cas de problème.
Le plugin Wordfence fait plusieurs choses, ce qui permet de ne pas devoir installer plusieurs plugins pour avoir les mêmes fonctions.
Le problème de WordPress, ses plugins et ses thèmes, ce sont les mises à jour, elles sont fréquentes, non signalées et si vous ne les faites pas, vous laissez des failles dont les pirates profiteront ou tout simplement votre blog ne fonctionnera plus.
Avec Wordfence, vous êtes avertit par email quand une mise à jour est nécessaire.
Wordfence vous avertit également dans les cas suivants sur demande :
- Alerte en cas de problèmes critiques.
- Alerte si une de vos règles a bloqué une adresse IP, ceci permet de comprendre que votre blog subit probablement une attaque.
- Alerte si quelqu’un s’identifie ou se déconnecte de votre installation wordpress.
- Alerte si quelqu’un a perdu son mot de passe et en demande un nouveau.
Toutes les 24 heures, le plugin réalise un scan de votre installation et signale par exemple les modifications anormales de fichiers, il vérifie les fichiers originaux et ceux qui sont sur votre serveur pour détecter une modification anormale. Constat d’un petit bug quand il vous signale la première fois que votre installation a été modifiée, c’est normal si vous avez un WordPress en français car il vérifie les fichiers originaux anglais.
Une fois qu’on le sait, cela ne pose pas de problème, on clique alors sur le lien « Ne pas en tenir compte mais signalez-moi une prochaine modification ».
Pendant son scan, Wordfence vérifie également les points suivants :
Modifications anormales dans les thèmes, les plugin, les signatures de codes malicieux connus, portes dérobées, contenus suspicieux, les liens vers des sites dangereux, les commentaires avec des liens vers des sites indésirables, l’espace restant sur votre disque, le changement de DNS de votre nom de domaine, la bonne longueur de vos mots de passe.
En cas d’attaque, un réglage permet d’augmenter le niveau de sécurité de 0 à 5, le niveau 5 met en route également le pare-feu. Si vous n’avez rien d’autre à faire, vous pouvez suivre en temps réel les accès sur votre site.
Le pare-feu bloque à la demande les comportements étranges sur votre site, comme des faux robots de moteurs de recherche, des accès répétitifs à fortes fréquences, bref, tout ce qui n’est pas normal. Wordfence peut alors bloquer la source, identifiée par son adresse IP, soit quelques minutes, soit définitivement.
Wordfence limite aussi le nombre de fois que l’on essaie un login et mot de passe, également les demandes de mot de passe perdu. Vous pouvez alors bloquer l’utilisateur de ces essais durant un laps de temps ou même définitivement en bloquant son adresse IP automatiquement.
Ce plugin enfin, cache également la version de WordPress, car parfois les pirates recherchent des failles dans certaines versions de WP et ensuite utilisent Google pour rechercher les installations qui ne sont pas à jour et contiennent cette faille.
Pour installer Wordfence, il suffit d’ajouter un plugin et de rechercher dans la bibliothèque des plugin ‘Wordfence’, un clic sur Installer, un clic sur Activer et il reste juste à aller dans les options pour ajouter votre adresse email.
Pour le reste, le niveau 2 est configuré de base et il ne faut rien faire, sauf en cas d’attaque signalée, vous pouvez alors augmenter le niveau jusqu’au maximum en attendant que cela passe.
Chaque fois que le scan est lancé, vous allez recevoir un email avec les problèmes trouvés, il suffira alors de cliquer sur les liens d’actions sur chacun des problèmes en vous rendant dans l’administration de votre installation WordPress.
- On peut voir la différence entre les fichiers d’origine et les fichiers sur votre site.
- On peut cliquer sur le lien « Ne plus signaler ».(Par exemple les fichiers error.log qui surgissent à certains moments).
- Ou bien « Prévenez moi à la prochaine différence ».
- Ou encore, « j’ai réparé ».
Ces alertes permettent de savoir ce qui se passe sur les fichiers de votre installation et de prendre des mesures si cela est nécessaire.
La version payante commence à $17,95 par an pour 1 site jusque $89,95 pour 10 sites. L’avantage par rapport à la version gratuite est de pouvoir bloquer un pays tout entier, surtout ceux d’où viennent les tentatives de piratage le plus souvent comme la Russie, la Chine, l’Afrique.
La version payante fait des vérifications plus fréquentes que toutes les 24H et seulement dans les moments où votre site est moins sollicité. A mes yeux, la version payante n’est pas vraiment plus intéressante que la version gratuite qui suffit amplement.
Malgré ce plugin, la règle la plus élémentaire ne doit pas être mise de côté, faire des sauvegardes régulières et les mettre en sécurité !