La sécurité de votre blog est très importante, surtout avec l’augmentation das cas de piratage de blog WordPress et des cas d’injection de publicités indésirable, et des codes malicieux infectant votre site. Pour protéger votre blog WordPress, voici un plugin très intéressant Wordfence.
Wordfence, une extension pour protéger votre blog WordPress
Wordfence est un plugin gratuit, c’est à dire toutes les fonctionnalités de base sont à votre portée, d’autre options avancées sont premium.
Comment Wordfence protège votre site contre les pirates?
Wordfence est un plugin WordPress gratuit qui protège votre site WordPress des tentatives de piratage. De plus, si votre site est piraté et que le pirate parvient à installer des logiciels malveillants, Wordfence vous aide à supprimer ces code malveillants de votre site et à le faire fonctionner à nouveau normalement.
Wordfence protège votre site des manières suivantes:
- Son pare-feu d’application Web analyse tout le trafic des visiteurs juste avant qu’il n’atteigne votre site WordPress. S’il détecte un pirate informatique parmi le trafic, il le bloque avant qu’il ne puisse atteindre votre site et faire des dégâts.
- Son Malware Scanner analyse régulièrement les fichiers de votre site – y compris WordPress, les plugins et les thèmes – pour voir si l’un d’eux peut contenir des logiciels malveillants. Il analyse également vos publications et pages, à la recherche d’URL et de code douteux qui pourraient avoir été ajoutés par des pirates.
- Sa fonction de réparation de fichiers vous aide à supprimer les codes malveillants de votre site. Il vous montre comment le fichier a été modifié par le pirate et vous permet de remplacer le fichier piraté par la version originale et propre en un seul clic.
Wordfence gratuit vs premium: quelle est la différence?
Le plugin Wordfence lui-même est gratuit, mais vous pouvez choisir de payer 99 $ par an pour un abonnement Wordfence premium avec des fonctionnalités plus avancées.
La page d’ accueil de Wordfence contient une liste détaillée des différences entre les options gratuites et premium. En bref, voici ce que vous obtenez si vous vous inscrivez à Premium:
- Mises à jour en temps réel pour contrer les dernières menaces au fur et à mesure de leur découverte. (Les utilisateurs gratuits doivent attendre 30 jours pour les mises à jour.)
- Liste noire IP en temps réel des adresses IP malveillantes connues. Cela bloque instantanément les ordinateurs des pirates avant qu’ils ne puissent même toucher votre site WordPress.
- Le blocage par pays vous permet de bloquer des pays entiers de votre site – utile si les utilisateurs d’un pays particulier essaient principalement de pirater votre site.
- Vérification du spam pour voir si votre serveur ou votre site envoie des e-mails de spam ou « spamvertizing » (service de contenu spam dans vos pages).
- Analyse à distance , qui utilise les serveurs de Wordfence pour analyser votre serveur à distance. Cela permet à Wordfence d’analyser votre site plus en profondeur que le plugin gratuit.
- Planifiez vos analyses pour qu’elles s’exécutent quand vous le souhaitez, aussi souvent que vous le souhaitez. Les utilisateurs gratuits ne reçoivent qu’une seule analyse automatique par jour, et Wordfence décide à quelle heure de la journée exécuter l’analyse. (Cependant, vous pouvez exécuter des analyses manuelles à tout moment, même en tant qu’utilisateur gratuit.)
- Amélioration de la sécurité de connexion. Les utilisateurs Premium peuvent se connecter à leur site en utilisant leur téléphone pour une sécurité améliorée.
- Meilleur filtrage du spam des commentaires. Le spam dans les commentaires est l’endroit où les pirates et les spammeurs publient sur votre blog des commentaires contenant des URL spammeuses ou dangereuses. La version gratuite de Wordfence filtre les pires d’entre eux, mais la version premium fait un travail plus approfondi.
La version premium en vaut-elle la peine? Si vous voulez la meilleure protection et la tranquillité d’esprit possibles, alors oui. Cependant, la version gratuite offre toujours une très bonne protection contre les pirates et est infiniment meilleure que de n’avoir aucun plugin de sécurité. Bien sûr, vous pouvez commencer avec le plugin gratuit et passer à l’abonnement payant à tout moment.
Après installation de Wordfence et son activation, Vous verrez une fenêtre contextuelle qui demande votre adresse e-mail. Il s’agit de l’adresse e-mail à laquelle Wordfence enverra des avertissements et des mises à jour de statut. Saisissez votre adresse e-mail, décidez si vous souhaitez rejoindre la liste de diffusion, puis cliquez sur le bouton CONTINUER :
Enfin, vous verrez une autre fenêtre contextuelle vous demander votre clé de licence premium. Si vous avez acheté une licence premium, vous pouvez saisir la clé ici ou cliquer sur UPGRADE TO PREMIUM pour acheter une licence. Ou, en supposant que vous êtes heureux d’utiliser la version gratuite pour l’instant, cliquez sur le lien Non merci .
C’est ça! Wordfence est maintenant installé et protège votre site.
Définition des options de Wordfence
Une fois que vous avez installé et activé Wordfence, rendez-vous sur la page Options en choisissant Wordfence> Toutes les options dans le menu de gauche de l’administrateur WordPress.
La plupart des options sont définies sur de très bonnes valeurs par défaut, vous n’avez donc pas besoin de les toucher. Cependant, il y a quelques options dans cette page que vous voudrez certainement vous assurer d’avoir définies:
- Options de scan> Planification de scan> Planifier les scans Wordfence : Ceci devrait être défini par défaut (avec le bouton ACTIVÉ mis en surbrillance). Il oblige Wordfence à analyser votre site à la recherche de hacks et de logiciels malveillants une fois par jour:
- Options globales de Wordfence> Options générales de Wordfence> Mettre à jour Wordfence automatiquement lorsqu’une nouvelle version est publiée? : Ce paramètre met automatiquement à jour le plugin Wordfence chaque fois qu’une nouvelle version devient disponible. C’est une bonne idée de cocher cette case pour garder votre site aussi sécurisé que possible. Si cela pose problème, décochez-le à nouveau et n’oubliez pas de mettre à jour votre Wordfence régulièrement!
- Options globales de Wordfence> Options générales de Wordfence> Où envoyer des alertes par e-mail : assurez-vous de saisir votre adresse e-mail ici, afin que Wordfence puisse vous envoyer un e-mail s’il constate que votre site a été piraté:
Une fois que vous avez vérifié ces options, cliquez sur le bouton ENREGISTRER LES MODIFICATIONS en haut de la page pour enregistrer vos paramètres:
Scanner WordPress avec Wordfence
La partie scan du plugin, permet de scanner votre serveur immédiatement (les options au choix) et va comparer le code source avec le code référentiel.
Choisissez Wordfence> Scan dans le menu de gauche de l’administrateur WordPress.
La première fois que vous visitez les pages Scan, Pare-feu ou Tableau de bord, une fenêtre contextuelle s’affiche, vous proposant une mini-visite des caractéristiques et fonctions de cette page. Cliquez sur le bouton SUIVANT dans la fenêtre contextuelle pour faire le tour, ou cliquez sur le petit bouton Fermer pour fermer la fenêtre contextuelle.
Cliquez sur le bouton START NEW SCAN sur le côté gauche de la page:
Selon la taille de votre site, l’analyse prend de quelques secondes à plusieurs minutes. Pendant la numérisation, vous verrez une barre de progression apparaître, ainsi qu’un message d’état vous indiquant ce que Wordfence analyse actuellement:
Finalement, vous verrez le texte Scan terminé apparaître dans la ligne d’état. Faites maintenant défiler la page jusqu’à ce que l’onglet Résultats trouvés s’affiche:
Cela répertorie tous les problèmes détectés par Wordfence. J’espère que cet onglet est vide, mais vous pourriez voir quelques problèmes mineurs tels que les plugins et les thèmes qui doivent être mis à jour. Pour chaque problème, vous pouvez cliquer sur le bouton DÉTAILS sur le côté droit du problème pour obtenir plus d’informations sur ce dernier. Si un plugin ou un thème doit être mis à jour, vous pouvez cliquer sur le lien Cliquez ici pour mettre à jour maintenant pour le mettre à jour immédiatement.
Si vous voyez des messages critiques (avec un point rouge) – en particulier des messages comme «Le fichier semble être malveillant» – alors votre site a peut -être déjà été piraté. Si tel est le cas, procédez comme suit:
Pas de panique!
S’il semble vraiment que votre site a été piraté et contient des logiciels malveillants, l’étape suivante consiste à nettoyer votre site, soit en suivant les instructions sur le site de Wordfence , soit en embauchant l’équipe Wordfence pour le faire pour vous.
Configuration du pare-feu Wordfence
Le pare-feu d’application Web de Wordfence bloque les pirates informatiques avant qu’ils ne puissent endommager votre site WordPress. Il est activé automatiquement lorsque vous installez Wordfence, mais pour commencer, il ne fonctionne que comme un plugin WordPress, qui n’offre pas le meilleur niveau de protection. Wordfence appelle cette protection WordPress de base .
Pour rendre le pare-feu plus sécurisé, vous devez le configurer pour qu’il s’exécute avant que WordPress – ou tout autre fichier PHP – n’ait eu la chance de s’exécuter. De cette façon, il peut bloquer les tentatives de piratage le plus tôt possible. Wordfence appelle cette protection étendue .
Pour activer la protection étendue, procédez comme suit:
Choisissez Wordfence> Pare-feu dans le menu de gauche de l’administrateur WordPress.
Cliquez sur le bouton GÉRER LE PARE-FEU en haut de la page:
Sur la page Options de pare-feu qui apparaît, cliquez sur le bouton OPTIMISER LE PARE-FEU WORDFENCE :
Une fenêtre contextuelle « Optimiser Wordfence Firewall » apparaît. Il y a beaucoup de texte technique ici, mais ne vous en faites pas, sauf si vous avez plus d’un WordPress en cours d’exécution sur votre site, ou si vous savez que la configuration de votre serveur est différente de celle illustrée.
Cliquez simplement sur le bouton TÉLÉCHARGER .HTACCESS – cela télécharge un fichier de sauvegarde contenant votre fichier de configuration actuel du serveur .htaccess , au cas où quelque chose se passe mal lorsque Wordfence le modifie.
Cliquez ensuite sur le bouton CONTINUER pour optimiser le pare-feu:
Si tout se passe bien, vous devriez voir apparaître une alerte avec le message «Beau travail! Le pare-feu est désormais optimisé. » Cliquez sur le bouton FERMER pour continuer:
Connaitre votre trafic en temps réel avec Wordfence
Une option supplémentaire de ce plugin est « live Trafic » ou bien trafic en temps réel. Cette options est utile quand on cherche à trouver une IP spécifique, mais il faut faire attention car cette fonctionnalité consomme beaucoup de mémoire.
Le niveau de protection sur la page Options du pare-feu devrait maintenant afficher la protection étendue :
Si vous rencontrez des problèmes, Wordfence ne peut probablement pas créer les fichiers nécessaires sur vos serveurs en raison des autorisations de fichiers. Consultez cette page de dépannage de l’optimisation du pare – feu pour obtenir de l’aide.
Vous verrez également que le pare-feu démarre en mode d’apprentissage . Dans ce mode, le pare-feu analyse le trafic de votre site pendant un certain temps afin qu’il puisse faire la différence entre le trafic normal et une tentative de piratage. Après une semaine, le pare-feu passe automatiquement en mode Live et commence à protéger votre site.
Pendant que le pare-feu est en mode d’apprentissage, c’est une bonne idée de faire tout ce que vous feriez normalement: publier des pages et des publications; commentaires modérés; peaufiner les thèmes et les paramètres des plugins; et peaufiner les widgets. Cela donne au pare-feu une chance de voir à quoi ressemble une activité «normale» sur votre site.
Bloquez des IPS automatiquement avec Wordfence
Une très bonne option de ce plugin, il vous permet de bloquer automatiquement des ips qui tente de se connecter à votre blog WordPress, ou bien des ips qui abusent en terme de requêtes serveur.
Vous pouvez définir le nombre de tentative avant le blocage de l’ip, ainsi le nombre de requêtes autorisés par minutes.
Cette option vous permet aussi de bloquer toute une plage d’adresses IPs.
Bloquez des pays avec Wordfence
Aussi réservée au utilisateurs premium, elle permet de bloquez certains pays d’accéder à votre site.
La recherche Whois
Wordfence interroge les serveurs WHOIS sur Internet et obtient des informations sur le nom de domaine ou les propriétaires de l’adresse d’une adresse IP. Si vous voyez une IP malveillante, vous pouvez faire une recherche pour savoir qui est le responsable de cette IP et lui envoyer un e-mail « abuse ».
Les options et réglages de Wf
C’est le tableau de bord de Wordfence, il inclue tous les réglages de base. Faites attention avec ces options, car elles peuvent rendre votre WordPress très restrictif. Avec pas moins de 30 réglages à paramétrer, il y a de quoi faire mais rassurez-vous, c’est relativement clair et ceux par défaut sont plutôt pas mal.
Wordfence est un excellent plugin pour sécuriser votre blog WordPress, mais il faut faire attention si votre serveur n’est pas suffisamment puissant, n’activez pas le trafic en temps réel, et faites vos scans la nuit.
Mon mot final: sécurisez WordPress pour protéger votre blog.
Laisser un commentaire