Lorsque que je déploie un WordPress sur un de mes serveurs ou alors pour un client, s’il y a bien une chose que je fais directement avant de faire quoi que ce soit d’autre, c’est d’installer l’extension Wordfence. En effet WordPress est de loin le CMS (système de gestion de contenu) le plus utilisé sur le Web, très très loin devant les autres.
Le problème, c’est que WordPress est victime de son succès et doit donc affronter le même syndrome que Windows ou Android. Un pirate ou une personne malveillante va en effet se concentrer, en général du moins, sur les choses les plus utilisées. Qui dit système populaire, dit nombre de victimes potentielles plus élevé. Mais rassurez vous il existe une excellente extension pour se protéger, il s’agit de Wordfence qui est disponible ici et gratuitement.
Pourquoi utiliser Wordfence pour protéger votre site
Comme je vous l’ai dit précédemment, un site sous WordPress est une cible prioritaire, et le nombre de cibles ne manquent pas pour les méchants, il y a des millions de sites sous ce CMS. Il arrive parfois que malgré tous les efforts du monde de la part des développeurs qui travaillent sur WP, une erreur vienne se glisser et provoque une faille de sécurité. C’est d’ailleurs pour ça que nous avons souvent des mises à jour de WordPress.
Mais ce n’est pas tout, avec les extensions et les thèmes qui viennent de « l’extérieur », les vecteurs d’attaque sont encore plus nombreux. Parfois il arrive qu’une extension ou un thème soit un peu délaissé par son mainteneur principal … Puis quelque temps, mois, voir années après, une faille encore inconnue jusqu’à présent apparaît, c’est d’ailleurs pour ça qu’il faut faire attention à ce que vous utilisez sur votre site WordPress.
Privilégiez des thèmes et extensions qui semblent suivis et souvent mis à jour. On ne connaît pas l’avenir, mais sur des choses populaires ça devrait normalement rester actif un moment, et avec de la chance même très longtemps. Bien sûr, rien n’est infaillible, mais Wordfence devrait déjà fortement limiter les possibilités des attaquants qui cherchent à casser ou pirater votre site pour diverses raisons. Wordfence vous protégera donc un peu plus que la moyenne des WordPress sans l’extension installée. Toutes les fonctionnalités qui nous allons voir ensuite utilisent l’application en version gratuite.
Que propose Wordfence pour augmenter la sécurité votre site ?
Ainsi, l’une des fonctionnalités que j’apprécie particulièrement avec l’extension Wordfence Security, ce sont les alertes emails. Si vous avez plusieurs sites et que vous n’avez pas le temps d’aller tous les vérifier souvent, l’extension vous enverra des alertes par mail pour informer d’un éventuel souci, d’une faille qu’il faut patcher en urgence, des mises à jour importantes pour votre WordPress, thèmes et extensions qu’il vaudra mieux faire … C’est vraiment très pratique surtout pour quelqu’un comme moi qui n’est pas un adepte des mises à jour automatiques pour plusieurs raisons et après quelques déconvenues.
Wordfence est capable de bien plus de choses que de simples alertes mails, en effet il dispose d’un pare-feu applicatif qui permet de bloquer les attaques des assaillants avant qu’ils ne puissent faire du mal à votre site.
Il vous permet de voir de quelle manière les malandrins essayent de rentrer chez vous … Que ce soit avec des attaques dites « complexes » en essayant de manipuler les urls en faisant des requêtes non autorisées vers votre site, d’upload ou modifier des fichiers, etc. Vous verrez aussi si quelqu’un essaye de brute force (tenter d’entrer en testant un maximum de combinaisons en espérant trouver la bonne) votre site pour essayer de se connecter à votre place. D’ailleurs évitez d’utiliser admin comme identifiant de connexion car ce sera l’une des premières choses tentée. Si Wordfence détecte ce type d’attaque, l’adresse IP du méchant sera bloquée temporairement et le robot qui vous attaque devra passer par une autre adresse IP (qui ne sont pas illimitées pour lui).
De plus, vous pouvez avoir plus d’informations sur ce que Wordfence à bloqué, comme le pays d’origine ou encore les adresses IP des attaquants :
Le pare-feu de base est actif dès l’installation mais sachez qu’il est d’ailleurs possible de renforcer encore plus le firewall de Wordfence en faisant un peu plus de configuration mais on verra dans un autre article. De plus, même dans la version gratuite qui est malgré tout généreuse, vous allez pouvoir paramétrer le pare-feu de Wordfence comme bon vous semble grâce à de nombreuses options qui augmenteront encore plus la protection offerte par l’extension.
Autre chose intéressante avec Wordfence, il propose de scanner votre site et l’ensemble des fichiers de votre WordPress pour détecter des anomalies. Ce scan m’a par exemple permis de trouver des choses que j’ai pu corriger directement alors que sans lui, je serais sûrement passé à côté … Avant d’avoir un vrai problème.
Ce scan permet d’obtenir des informations sur la configuration de votre serveur, de voir les changements étranges sur vos fichiers, de rechercher des fichiers malveillants et de trouver le contenu qui ne serait pas sur dans votre installation WordPress. Mais ce n’est pas tout, il vérifie que vos mots de passe sont assez sécurisés, qu’il n’y a pas de vulnérabilités connues dans le code de votre site et enfin que vos utilisateurs et options sont cohérents. Enfin, comme pour le pare-feu, vous avez de nombreuses options disponibles pour configurer le scan de votre site WordPress :
Pour conclure, Wordfence est une extension de protection et de sécurité que je vous recommande très fortement. Ils sont connus depuis longtemps dans le domaine et il serait dommage de passer à côté vu les nombreux avantages qu’elle propose !