Wordpress pour débutant » Wordfence : Comment le paramétrer
Wordpress pour débutant

tutoriel, hacks, astuces, information…

Wordfence : Comment le paramétrer

Catégorie de l'article : Plugins , Sécurité
Article Publié le : 22 septembre 2014
Article affiché 32805 fois
il y a 14 Commentaires

Wordfence est un plugin de sécurité, qui va vous permettre de sécuriser votre blog WordPress. Ce n’est pas parce que vous avez Wordfence que votre site sera invulnérable, mais il va grandement aider à sécuriser votre site.

En plus de sécuriser votre site, il dispose de plusieurs options pour votre blog :

– un système de cache

– un pare-feu (firewall)

– un outil de statistiques qui vous permet de voir qui est en train de voir votre site.

– un outil qui va scanner votre site pour détecter des spywares ou des fichiers infectés.

 

Installer le plugin Worfence :

Il suffit d’installer le plugin : voir le tutoriel comment installer un plugin

Vous pouvez aussi le télécharger à cette adresse : http://wordpress.org/plugins/wordfence/

Une fois installer, une icône de Wordfence s’affichera dans la barre latérale de WordPress :

wordfence_01

 

En passant la souris sur l’icône Wordfence, vous allez pouvoir accès aux différents réglages de Wordfence :

wordfence_02

 

Dans ce tutoriel, on va juste s’occuper des Options (paramétrage).

Les autres options seront traités dans un autre tutoriel.

 

Options:

Je vais vous expliquer les différents réglages de Wordfence. Ce ne sont peut être pas les meilleurs, mais ils me conviennent. Rien ne vous empêche de faire des essais pour améliorer la performance du plugin.

 

Licence :

Ne rien toucher. Permet de rentrer la licence si vous prenez l’option premium.

 

Basic options :

Cliquer sur l'image pour l'agrandir

Cliquer sur l’image pour l’agrandir

 

 Enable firewall : Pour activer le pare-feu. Je vous conseil de l’activer.  ACTIVER

Enable login security : Pour activer la protection de l’écran de connexion à la partie admin. ACTIVER

Enable Live Traffic View : pour voir le traffic sur son site. Je vous conseil de le désactiver. DESACTIVER 

Advanced Comment Spam FilterCheck if this website is being « Spamvertised » et Check if this website IP is generating spam ne sont utilisables que dans la version premium (payante) du plugin Wordfence.

Enable automatic scheduled scans : Pour scanner automatiquement son site pour vérifier les fichiers infectés. DESACTIVER

Update Wordfence automatically when a new version is released? : Vous permet de mettre à jour automatiquement l’application Wordfence. ACTIVER

Where to email alerts: rentrer votre adresse mail pour recevoir les alertes par mail

Security Level: Les différents niveaux de sécurité. Choisir : Let Wordfence use the most secure method to get visitor IP addresses. Prevents spoofing and works with most sites. Wordfence utilisera la meilleure méthode pour identifier l’adresse IP d’un visiteur

 

Advanced Options :

 

Cliquer sur l'image pour l'agrandir

Cliquer sur l’image pour l’agrandir

Alerts :

Les alertes que vous souhaitez recevoir par mail :

Email me when Wordfence is automatically updated  Envoi un mail lors de l’installation d’une mise à jour automatique. Activer
Alert on critical problems Problèmes critiques du site. Activer
Alert on warnings Envoi un mail sur un avertissement. Activer
Alert when an IP address is blocked Envoi un mail lorsqu’une adresse IP est bloqué. Activer au départ, pour vous faire une idée. Ensuite vous pourrez le désactiver
Alert when someone is locked out from login Vous informe du blocage d’un login. Activer au départ, pour vous faire une idée. Ensuite vous pourrez le désactiver
Alert when the « lost password » form is used for a valid user Vous informe qu’un utilisateur a demandé à recevoir un nouveau mot de passe. Facultatif 
Alert me when someone with administrator access signs in Une personne s’est connecté avec un compte administrateur. vous allez recevoir un mail à chaque connexion dans la partie admin. Ne pas activer. Vous recevrez un message chaque fois que vous vous connecterez.
Alert me when a non-admin user signs in Une personne s’est connecté avec un compte utilisateur. vous allez recevoir un mail à chaque connexion dans la partie admin. Ne pas activer
Maximum email alerts to send per hour Combien voulez-vous recevoir de mails maximum par heure de Wordfence. Mettre 0 pour un nombre illimité. Je choisis 0 pour recevoir les mails immédiatements

 

Live Traffic View

Paramétrages pour l’outil de statistiques

Don’t log signed-in users with publishing access: Ne pas compter les utilisateurs connectés. Ne Cocher que si vous voulez suivre le traffic sur votre site. Cela prend des ressources serveurs. Je conseil de ne pas cocher
List of comma separated usernames to ignore:
List of comma separated IP addresses to ignore:
Browser user-agent to ignore:

 

Scans to include

Réglage pour l’outil de vérification des fichiers du site

Scan public facing site for vulnerabilities? (Paid members only) Option uniquement pour la version premium
Scan for the HeartBleed vulnerability? vulnérabilité HeartBleed. Activer
Scan core files against repository versions for changes fichiers modifiés lors de l’installation d’une mise à jour de WordPress. Facultatif
Scan theme files against repository versions for changes fichiers modifiés lors de l’installation d’une mise à jour du thème. Facultatif
Scan plugin files against repository versions for changes fichiers modifiés lors de l’installation d’une mise à jour des plugins. Facultatif
Scan for signatures of known malicious files Fichiers infectés. Activer
Scan file contents for backdoors, trojans and suspicious code Fichiers contenant des virus, spywares… Activer
Scan posts for known dangerous URLs and suspicious content URL dangereuse dans les articles Activer
Scan comments for known dangerous URLs and suspicious content URL dangereuse dans les commentaires Activer
Scan for out of date plugins, themes and WordPress versions URL dangereuse dans les plugins, thèmes Activer
Check the strength of passwords Vérifie la longueur des mots de passe. Facultatif
Scan options table scanne la base de données. Activer
Monitor disk space surveille l’espace disque. Facultatif
Scan for unauthorized DNS changes Rechercher les modifications DNS non autorisés Facultatif
Scan files outside your WordPress installation Analyser les fichiers qui ne font pas partie de WordPress Facultatif
Scan image files as if they were executable Scanne les images comme si c’était des fichiers exécutables Facultatif
Enable HIGH SENSITIVITY scanning. May give false positives. Ne pas cocher. Scan très sensible, qui donne des faux positifs
Exclude files from scan that match these wildcard patterns. Comma separated.

 

irewall Rules

Immediately block fake Google crawlers: Bloquer immédiatement les faux robots Google. Comme vous voulez, perso je ne coche pas
How should we treat Google’s crawlers
If anyone’s requests exceed:
If a crawler’s page views exceed:
If a crawler’s pages not found (404s) exceed:
If a human’s page views exceed:
If a human’s pages not found (404s) exceed:
If 404’s for known vulnerable URL’s exceed:
How long is an IP address blocked when it breaks a rule:

 

Login Security Options

Enforce strong passwords? Force l’Admin ou les utilisateurs à utiliser un mot de passe plus important. Facultatif
Lock out after how many login failures  Combien de connexion avant de bloquer l’adresse IP. Mettre sur 3
Lock out after how many forgot password attempts Combien de saisies de mot de passe erronés avant de bloquer l’adresse IP. Mettre sur 3
Count failures over what time period  Le comptage se fait sur xxx minutes. Mettre sur 5 minutes
Amount of time a user is locked out  L’adresse IP sera bloqué pendant xxx. Mettre sur 10 jours. Si une personne rentre 3 logins faux ou 3 mots de passe faux dans un espace de 5 minutes, l’adresse IP sera bloqué 10 jours. Vous avez la possibilité de débloquer l’adresse IP.
Immediately lock out invalid usernames Bloque immédiatement l’adresse si le visiteur veut se conecter avec un nom d’utilisateur qui n’existe pas. ACTIVER
Don’t let WordPress reveal valid users in login errors  Ne pas afficher les erreurs sur les noms ou les mots de passe dans le formulaire de saisie pour se connecter à la partie administration. ACTIVER
Prevent users registering ‘admin’ username if it doesn’t exist Bloque l’adresse IP si la personne veut se connecter avec le login admin s’il n’existe pas. Je vous conseil de renommer votre login pour que admin ne soit pas utilisé. ACTIVER si votre login n’est pas admin. Si vous utilisez admin, il faut changer le login IMPERATIVEMENT. Si c’est cocher, dès qu’un utilisateur va vouloir se connecter avec admin, sera bloqué immédiatement.
Prevent discovery of usernames through ‘?/author=N’ scans Empêcher la découverte de noms d’utilisateurs par des «? / Author = N ‘scans. Activer
Immediately block the IP of users who try to sign in as these usernames Bloquer immédiatement les IP qui essai de se connecter avec les noms suivants.

 

Other Options

Whitelisted IP addresses that bypass all rules: Adresse IP qui contournent les règles. Je conseil de ne rien mettre
Immediately block IP’s that access these URLs: Bloque les adresses IP immédiatement.
Hide WordPress version Masque la version de WordPress. Activer
Hold anonymous comments using member emails for moderation Activer
Filter comments for malware and phishing URL’s Activer
Check password strength on profile update Activer
Participate in the Real-Time WordPress Security Network Permet de faire remonter les alertes en temps réél
How much memory should Wordfence request when scanning Megabytes. La mémoire qui peut être utilisé par Wordfence
Maximum execution time for each scan stage
Update interval in seconds (2 is default)
Enable debugging mode (increases database load)
Delete Wordfence tables and data on deactivation?
Disable Wordfence Cookies (when enabled all visits in live traffic will appear to be new visits)
Start all scans remotely (Try this if your scans aren’t starting and your site is publicly accessible)
Disable config caching (Try this if your options aren’t saving)
Add a debugging comment to HTML source of cached pages.

 

A propos de l'auteur :

Philippe est le webmaster du site wordpress.buldozer.fr - Wordpress pour les débutants. Philippe n'est pas un professionnel de l'informatique, mais juste un passionné.

a écrit 61 articles.



  • Catégories

  • Les derniers articles

  • Divers