Comment sécuriser WordPress avec Wordfence Security

Gérer un site WordPress signifie passer par différentes émotions. Parfois, il y a de la joie, comme lorsque vous voyez votre contenu se classer lentement sur Google.

Parfois, il y a de la colère, lorsque votre site plante après une mise à jour. Et parfois, vous ressentez même de la peur . C'est alors que votre site a été piraté, un désagrément qui n'arrive pas qu'aux autres.

Pour éviter les sueurs froides à l'avenir, et pour protéger votre site, utilisez un plugin de sécurité.

Le plus célèbre du répertoire officiel s'appelle Wordfence Security . Puisqu'il est difficile de l'ignorer, nous l'avons testé pour vous afin de découvrir ce qu'il a dans sa manche.

À la fin de cet article, vous saurez comment le configurer et l'utiliser.

Vos meilleurs projets WordPress ont besoin du meilleur hébergeur !

WPMarmite recommande Bluehost : excellentes performances, excellent support. Tout ce dont vous avez besoin pour un bon départ.

Essayez Bluehost

Qu'est-ce que Wordfence Security ?

Wordfence Security est un plugin pour renforcer la sécurité de votre site WordPress. Il offre plusieurs fonctionnalités pour protéger votre installation, notamment un pare-feu applicatif, un scanner de logiciels malveillants, une authentification à deux facteurs et une protection contre les attaques par force brute.

Avec plus de 4 millions d'installations actives, il s'agit du plug-in de sécurité le plus populaire dans le répertoire officiel des plug-ins, devant iThemes Security (plus de 1 million d'installations actives), All in One Security (plus de 1 million d'installations actives) et Sucuri 800K + installations actives).

Le plugin Wordfence Security, également appelé "Wordfence Free", est gratuit. Cependant, Wordfence propose également plusieurs options payantes :

• Wordfence Premium : une version encore plus complète que le plugin gratuit, avec support inclus.
• Wordfence Care : l'équipe de l'outil de sécurité installe Wordfence, le configure, l'optimise et surveille votre site pour vous. En cas de problème lié à la sécurité, une équipe dédiée intervient.
• Wordfence Response , un service dédié aux sites WordPress où les indisponibilités ont un impact financier. Ce service est principalement destiné aux grands sites à fort trafic et aux boutiques e-commerce.
• Wordfence Intelligence : principalement dédié aux hébergeurs web qui souhaitent collecter des données sur la sécurité en général.

A noter que l'équipe WordFence propose également deux autres plugins gratuits sur le répertoire officiel. Wordfence Assistant est un plugin qui vous sera utile si Wordfence est actif sur votre site mais que vous ne pouvez plus accéder à votre tableau de bord. Wordfence Login Security contient certaines fonctionnalités déjà incluses dans le plugin gratuit : authentification à deux facteurs, protection XML-RPC et CAPTCHA sur la page de connexion. Il n'est pas nécessaire de l'activer si vous utilisez déjà Wordfence Security.

Quelles sont les principales fonctionnalités de Wordfence Security ?

Wordfence Security est une solution de sécurité complète qui fonctionne à plusieurs niveaux. Pour en profiter, l'utilisateur bénéficie de plusieurs options clés :

• Un pare-feu applicatif web (WAF) qui identifie et bloque le trafic malveillant depuis votre serveur web (et non dans le cloud, comme le propose par exemple son concurrent Sucuri)
• Un scanner de logiciels malveillants qui bloque les requêtes incluant du code ou du contenu malveillant
• Protection contre les attaques par force brute en limitant le nombre de tentatives de connexion à votre page de connexion d'administration
• Authentification à deux facteurs , pour ajouter une couche de sécurité supplémentaire pour la connexion à votre site WordPress
• reCAPTCHA sur vos pages de connexion pour empêcher les bots de se connecter et limiter les spams
• Alertes par e-mail lorsqu'un problème de sécurité est détecté
• Une plate-forme appelée Wordfence Central pour gérer la sécurité de plusieurs sites en un seul endroit. Il fonctionne sur le même principe que ManageWP, qui permet de maintenir vos sites WordPress.

Pourquoi devriez-vous utiliser un plugin de sécurité comme WordFence ?

Comme vous le savez peut-être déjà, WordPress est le CMS (Content Management System) le plus utilisé sur la planète, avec 63,7% de part de marché.

Au-delà, il alimente près d'un site sur deux dans le monde (parmi le million de sites recevant le plus de trafic).

Cette position dominante aiguise l'appétit des hackers humains, et notamment des bots malveillants qui fonctionnent automatiquement, tels que :

• Robots de spam
• Des robots qui scrapent (extraient) votre contenu
• Bots qui lancent des attaques par déni de service (DoS) ou par déni de service distribué (DDoS).

Au total, 90% des attaques perpétrées contre un CMS concernent WordPress. Et 2 800 attaques par seconde ciblent spécifiquement les installations WordPress, dans le monde entier !

Rassurez-vous : heureusement, WordPress n'est pas une passoire. Selon un rapport publié en 2021 par l'expert en sécurité Patchstack, seulement 0,58% des failles de sécurité proviennent du WordPress Core .

Le principal coupable, ce sont vos plugins qui représentent à eux seuls 92,81% des vulnérabilités (contre 6,61% pour les thèmes).

Certaines des conclusions de l'étude de Patchstack sont éloquentes et appellent à prendre très au sérieux la question de la sécurité :

• En moyenne, 42% des sites WordPress ont au moins un composant vulnérable (plugin ou thème) installé
• Les vulnérabilités ont augmenté de 150 % entre 2020 et 2021
• 29% des plugins WordPress contenant des vulnérabilités critiques n'ont pas été corrigés

Alors, vous voyez ce que je veux dire : il est impératif que votre site WordPress soit protégé afin de renforcer sa sécurité.

Pour cela, un plugin comme Wordfence peut faire le travail. Je vais vous montrer comment l'installer ci-dessous.

Comment installer Wordfence en trois étapes

Étape 1 : Activez le plugin sur votre tableau de bord WordPress

La première étape consiste à installer le plugin depuis votre interface d'administration WordPress.

Allez dans le menu Plugins > Ajouter nouveau et tapez « Wordfence » dans la barre de recherche :

Cliquez sur le bouton "Installer maintenant" à côté de "Wordfence Security - Firewall & Malware Scan", puis activez le plugin.

Étape 2 : Obtenir une clé de licence Wordfence

Une fois le plugin activé, une fenêtre apparaîtra vous demandant d'obtenir une licence Wordfence. C'est un pré-requis nécessaire pour profiter de toutes les options du plugin gratuit .

Cliquez sur le bouton "Obtenez votre licence Wordfence":

Vous serez redirigé vers la page de tarification de Wordfence sur le site officiel. Cliquez sur le bouton "Obtenir une licence gratuite" pour obtenir une clé pour la version gratuite du plugin :

Une nouvelle fenêtre s'ouvre sur votre écran. Wordfence vous demande si vous êtes sûr de vouloir utiliser sa version gratuite, et vous explique le principal avantage de sa version premium : dès que l'équipe du plugin déploie une mesure de protection sur son pare-feu ou son scanner de malware, il est mis à jour en temps réel sur le version premium (contre 30 jours plus tard sur la version gratuite).

Comme je veux juste utiliser le plugin gratuit, j'ai cliqué sur "Je suis d'accord d'attendre 30 jours pour être protégé contre les nouvelles menaces":

Dans la fenêtre suivante, saisissez votre adresse e-mail, cochez les cases, puis cliquez sur « S'inscrire » :

Étape 3 : Installez votre licence sur WordPress

Allez maintenant dans votre boîte de réception. Vous devriez avoir reçu un e-mail de Wordfence.

À l'intérieur, vous trouverez votre clé de licence afin que vous puissiez l'activer manuellement. Pour aller encore plus vite, Wordfence propose également de l'activer automatiquement pour vous . Pour cela, cliquez sur le bouton « Installer ma licence automatiquement » :

Vous allez être redirigé vers votre tableau de bord WordPress, avec les champs « Email » et « Clé de licence » déjà renseignés. Terminez en cliquant sur « Installer la licence » :

Bravo : le plugin est maintenant opérationnel. Dans la barre latérale de gauche, sur votre interface d'administration, vous avez maintenant un nouveau menu appelé "Wordfence", contenant tous les paramètres proposés par le plugin :

Jetons-y un coup d'œil maintenant, juste pour voir ce qu'il y a sous le capot du plugin.

Comment configurer le plugin Wordfence Security

Comment fonctionne le tableau de bord Wordfence Security ?

Le cœur du plugin est son tableau de bord.

Il propose des raccourcis rapides pour accéder aux différentes options proposées par le plugin , que vous pouvez également trouver dans le menu situé dans votre barre latérale gauche.

En un clic, vous pouvez profiter de :

• Le pare-feu applicatif
• Le scanner de logiciels malveillants
• Wordfence central. Pour profiter de ce service qui vous permet de mettre à jour la sécurité de vos sites depuis le même tableau de bord, vous devez créer un compte gratuit. Cela peut être pratique si vous devez gérer la sécurité de plusieurs sites en même temps. Pour un usage individuel, sautez-le.
• Options générales pour configurer vos alertes par e-mail, votre pare-feu et vos paramètres d'analyse
• Accéder à la documentation du plugin
• Un journal des notifications
• Un récapitulatif des attaques bloquées sur votre site WordPress
• Un graphique montrant le nombre total d'attaques bloquées sur l'ensemble du réseau Wordfence

Le tableau de bord est clair et compréhensible ; il est facile de s'y retrouver parmi les différentes options.

Comment utiliser le pare-feu applicatif

Protection contre les attaques multiples

L'une des principales fonctionnalités de Wordfence est son pare-feu applicatif.

Il peut identifier le trafic malveillant et bloquer les pirates et autres robots malveillants avant qu'ils ne puissent accéder à votre site.

Le pare-feu est accessible via Wordfence > Firewall . Il protège votre site contre les attaques suivantes :

• Les injections SQL , c'est-à-dire les attaques sur votre base de données
• Cross-site scripting (XSS) : du code malveillant est injecté dans le contenu de vos pages
• Téléchargements de fichiers malveillants
• Attaques de traversée de répertoire
• Vulnérabilités d'inclusion de fichiers locaux (LFI), dans lesquelles des fichiers distants sont ajoutés à votre serveur Web

Par défaut, le pare-feu est en mode apprentissage pendant une semaine, à partir du moment où vous installez le plugin.

"Cela permet à Wordfence de connaître votre site afin de comprendre comment le protéger et comment autoriser les visiteurs normaux à traverser le pare-feu", explique Wordfence. " Nous vous recommandons de laisser Wordfence en mode apprentissage pendant une semaine avant d'activer le pare-feu."

Si vous souhaitez ignorer ces recommandations, cliquez sur "Activé et protégé" dans le menu déroulant ci-dessous :

Comme mentionné précédemment, seule la version premium du plugin reçoit une mise à jour du pare-feu en temps réel chaque fois qu'une nouvelle menace est détectée par l'équipe Wordfence (globalement, pas nécessairement une attaque destinée à cibler votre site). La version gratuite du pare-feu est mise à jour 30 jours après la détection de la menace.

Rejoignez les abonnés WPMarmite

Obtenez les derniers messages WPMarmite (ainsi que des ressources exclusives).

ABONNEZ-VOUS MAINTENANT

Comment fonctionne le pare-feu Wordfence Security

Par défaut, le plugin a configuré des paramètres de base pour renforcer la sécurité de votre site. Mais vous pouvez toujours personnaliser des paramètres un peu plus techniques en profitant d'options supplémentaires :

Parmi eux se trouvent :

• Liste blanche de certaines adresses IP
• Saisie des adresses IP à ignorer par le pare-feu
• Configuration de la protection contre les attaques par force brute . Par exemple, vous pouvez spécifier combien de tentatives de connexion infructueuses sont nécessaires pour empêcher l'accès à votre page de connexion (et pendant combien de temps).
  Cela vous évite l'utilisation d'un plugin supplémentaire comme Limit Login Attempts Reloaded.
  

Lorsque le pare-feu est en état de marche, des cercles vous indiquent votre niveau de protection (en pourcentage). Lorsque le cercle est gris, le firewall est en mode apprentissage.

L'objectif est d'atteindre un score de 100% (couleur verte). Vous pouvez y parvenir en suivant les recommandations fournies, en passant votre souris sur chaque cercle :

Cependant, un score de 100% ne sera pas toujours réalisable avec la version gratuite du plugin.

Pour y parvenir, vous devrez utiliser des options premium, comme le blocage en temps réel des adresses IP.

L'onglet Blocage du pare-feu d'application

En plus des règles de pare-feu qui protègent contre diverses attaques, Wordfence dispose également de fonctionnalités personnalisées pour un blocage supplémentaire. Celles-ci sont accessibles via l'onglet « Blocage » :

Vous pouvez créer des règles de blocage basées sur :

• adresse IP
• Une zone géographique
• Un ensemble de critères (modèle personnalisé) tel qu'un réseau d'adresses IP ou de navigateurs Web

Pour plus d'informations à ce sujet, regardez cette vidéo :

Comment utiliser le scanner de logiciels malveillants

Passons au scanner proposé par le plugin, accessible via Wordfence > Scan .

L'outil d'analyse analyse votre site (fichiers principaux, thèmes et plugins) à la recherche des éléments suivants : logiciels malveillants, URL incorrectes, portes dérobées, accès à distance à votre site, spam SEO, redirections malveillantes et autres injections de code.

Lors de son analyse, le plugin "compare vos fichiers, thèmes et plugins principaux avec ce qui se trouve dans le répertoire WordPress.org", détaille Wordfence Security. "Il vérifie leur intégrité et vous informe de tout changement."

Initialement, l'analyse se concentre sur la recherche de spam et d'adresses IP sur liste noire (uniquement pour la version premium). Il passe ensuite à l'analyse des fichiers de votre site et à la fourniture de résultats.

Dans mon cas, le plugin m'avertit que j'utilise une connexion administrateur trop peu sécurisée ("admin"). Je peux alors résoudre ce problème en cliquant sur "Modifier", ou simplement l'ignorer :

Quant au pare-feu, des cercles m'indiquent les éléments à optimiser pour atteindre un score de 100%.

En cliquant sur "Options de numérisation et planification", il est également possible de modifier des paramètres plus spécifiques.

Pour optimiser les performances, vous pouvez par exemple :

• Choisissez d'exécuter le scanner sur une base limitée, pour économiser de la bande passante (rappelez-vous que Wordfence s'exécute sur votre serveur Web, il utilise donc des ressources)
• Limiter manuellement le nombre d'éléments à analyser

Comment activer l'authentification à deux facteurs

Après le pare-feu et le scanner de site, WordFence Security propose à ses utilisateurs d'activer l'authentification à deux facteurs (Wordfence 2FA).

L'authentification à deux facteurs ajoute une mesure de sécurité supplémentaire pour la connexion à votre site WordPress .

Après avoir entré votre nom d'utilisateur et votre mot de passe, il vous sera demandé d'utiliser un appareil, souvent votre smartphone ou votre tablette, pour valider le processus de connexion.

Il s'agit d'une méthode déjà utilisée par les établissements bancaires lorsque vous effectuez des paiements en ligne. Il est très efficace pour vous protéger contre les attaques par force brute.

Pour l'utiliser, rendez-vous dans le menu Wordfence > Login Security . En résumé, vous devez :

• Installez une application sur votre smartphone pour vous authentifier , telle que Google Authenticator, Sophos Mobile Security ou FreeOTP Authenticator.
• Scannez le QR code proposé par Wordfence dans l'application d'authentification choisie (1).
• Entrez le code à 6 chiffres affiché après le scan du QR code pour autoriser la connexion entre votre site WordPress et l'application (2).

Si vous souhaitez voir ce processus d'activation visuellement, consultez cette ressource :

L'authentification à deux facteurs peut être configurée pour tous les rôles d'utilisateur, de l'administrateur à l'abonné, via l'onglet Paramètres :

Toujours dans l'onglet "Paramètres" du menu "Sécurité de connexion", vous pouvez également activer Google reCAPTCHA version 3, pour vous protéger contre les spams sur la page de connexion de l'administrateur. Pour fonctionner, ce service nécessite une clé de licence gratuite de Google.

Autres outils proposés par Wordfence Security

La visite du propriétaire de WordFence Security est bien avancée. Pour finir, plongeons dans les deux derniers menus proposés par le plugin de sécurité WordPress.

Le menu Outils

Le menu Outils se compose de quatre onglets :

• "Live Traffic" vous montre ce qui se passe sur votre site en temps réel, y compris les connexions des utilisateurs, les tentatives de piratage et les demandes qui ont été bloquées par le pare-feu Wordfence. Un code couleur (vert, gris, jaune et rouge) vous indique qui tente d'accéder à votre site (humains ou bots) et le statut (avertissement ou blocage) :

• "Whois Lookup" pour savoir à qui appartient une adresse IP ou un nom de domaine qui visite votre site ou se livre à des activités malveillantes sur vos pages
• "Options d'importation/exportation" pour exporter ou importer vos options Wordfence vers un autre site WordPress
• "Diagnostics" fournit des informations qui peuvent être utilisées pour résoudre les conflits, les problèmes de configuration ou de compatibilité avec d'autres plugins, thèmes ou l'environnement du serveur.

Le menu Toutes les options

Le menu "Toutes les options" contient toutes les options dispersées dans d'autres menus (telles que les options de pare-feu, de scanner ou de connexion) sur la même page.

L'avantage est que vous pouvez tout trouver au même endroit . Je ne vais pas détailler toutes les options, puisque vous avez déjà vu les principales.

Cependant, il est intéressant de noter que c'est ici que vous pourrez paramétrer vos préférences d'alerte email. Vous disposez d'une dizaine de cases à cocher qui vous permettent, par exemple, d'être alerté (ou non) :

• Lorsqu'une adresse IP est bloquée
• Lorsqu'une personne est bannie de votre page de connexion
• Lorsqu'un nombre important d'attaques est détecté sur votre site WordPress

C'est tout pour cette visite complète des fonctionnalités de Wordfence Security. Examinons maintenant de plus près le prix de cet outil.

Combien coûte Wordfence ?

Wordfence Security est initialement disponible gratuitement sur le répertoire officiel de WordPress. Bien entendu, comme toute version gratuite, elle n'inclut pas toutes les options proposées dans la version payante du plugin.

Wordfence Premium est au prix de 119 $/an. Hormis le support prioritaire, la principale différence avec l'offre gratuite est la fréquence des mises à jour des outils proposés par Wordfence .

Avec Premium, dès que les serveurs de Wordfence détectent des menaces en temps réel, ils mettent à jour vos règles de pare-feu, la détection des logiciels malveillants et la liste de blocage IP en un clin d'œil.

Avec le plugin gratuit, vous devez attendre 30 jours après la mise en ligne pour bénéficier des mises à jour.

Au-delà de cela, Wordfence propose également deux licences où une équipe dédiée installera, configurera et gérera Wordfence pour vous :

• Wordfence Care : 490 $/an
• Réponse de Wordfence : 950 $/an. Cette licence vous donne accès aux mêmes options que Wordfence Care, mais vous avez également un temps de réponse garanti d'une heure maximum et les réponses sont disponibles sept jours sur sept.

Ces deux dernières offres s'adressent principalement aux gros sites et aux personnes qui n'ont pas le temps de s'occuper de la sécurité de leur site (et qui ont le budget pour déléguer cette tâche).

Pour votre site web ou blog personnel, le plugin Wordfence gratuit ou premium sera suffisant.

Notre avis final sur le plugin Wordfence

Pour conclure, récapitulons ce que nous avons vu depuis le début de cet article, avec un résumé des forces et des faiblesses de ce plugin de sécurité.

Avantages du plugin Wordfence Security

• L'interface agréable et claire, qui facilite l'apprentissage
• Il applique automatiquement les paramètres de sécurité de base pour vous
• Les nombreuses fonctionnalités proposées dans la version gratuite, dont un pare-feu applicatif
• Authentification à deux facteurs
• Le scanner de sécurité
• Alertes par e-mail pour vous avertir en cas de problème

Inconvénients du plugin

• Certains réglages sont trop complexes pour un débutant, mais c'est aussi le cas avec d'autres plugins de sécurité
• Le fait que les dernières mises à jour des menaces détectées ne soient appliquées que 30 jours après leur publication
• L'utilisation de Wordfence peut entraîner des ralentissements sur vos pages car il consomme beaucoup de ressources serveur. Si votre hébergeur ne rattrape pas son retard, les performances de votre site pourraient en être affectées.

Faut-il l'utiliser ?

Dans l'ensemble, Wordfence est un très bon plugin de sécurité . Comme la plupart de ses options fonctionnent automatiquement, il convient aux débutants.

Les utilisateurs plus avancés apprécieront de pouvoir modifier des paramètres plus techniques et avancés.

Grâce au plugin gratuit, vous disposerez d'un précieux bouclier pour bloquer la plupart des attaques malveillantes, notamment via son pare-feu applicatif. Ce dernier sera déjà efficace pour apporter un premier niveau de sécurité à votre site.

Ceci est à noter car d'autres plugins concurrents (par exemple Sucuri) n'offrent pas de pare-feu dans leur version gratuite. C'est pourtant une protection de base à avoir pour n'importe quel site.

Et si vous souhaitez également vous protéger des dernières menaces détectées par l'équipe de Wordfence (c'est toujours mieux), passez au forfait premium si votre budget le permet.

Enfin, n'oubliez pas que l'utilisation d'un plugin de sécurité ne fait pas tout. Premièrement, parce qu'aucun site n'est infaillible. Ensuite, parce qu'il faut appliquer les bonnes pratiques au quotidien. Par exemple, pensez à mettre à jour et à sauvegarder régulièrement votre site.

Alors, que pensez-vous de Wordfence ? Donnez moi votre avis dans les commentaires.