Wordfence : Comment le paramétrer
Wordfence est un plugin de sécurité, qui va vous permettre de sécuriser votre blog WordPress. Ce n’est pas parce que vous avez Wordfence que votre site sera invulnérable, mais il va grandement aider à sécuriser votre site.
En plus de sécuriser votre site, il dispose de plusieurs options pour votre blog :
– un système de cache
– un pare-feu (firewall)
– un outil de statistiques qui vous permet de voir qui est en train de voir votre site.
– un outil qui va scanner votre site pour détecter des spywares ou des fichiers infectés.
Installer le plugin Worfence :
Il suffit d’installer le plugin : voir le tutoriel comment installer un plugin
Vous pouvez aussi le télécharger à cette adresse : http://wordpress.org/plugins/wordfence/
Une fois installer, une icône de Wordfence s’affichera dans la barre latérale de WordPress :
En passant la souris sur l’icône Wordfence, vous allez pouvoir accès aux différents réglages de Wordfence :
Dans ce tutoriel, on va juste s’occuper des Options (paramétrage).
Les autres options seront traités dans un autre tutoriel.
Options:
Je vais vous expliquer les différents réglages de Wordfence. Ce ne sont peut être pas les meilleurs, mais ils me conviennent. Rien ne vous empêche de faire des essais pour améliorer la performance du plugin.
Licence :
Ne rien toucher. Permet de rentrer la licence si vous prenez l’option premium.
Basic options :
Cliquer sur l’image pour l’agrandir
Enable firewall : Pour activer le pare-feu. Je vous conseil de l’activer. ACTIVER
Enable login security : Pour activer la protection de l’écran de connexion à la partie admin. ACTIVER
Enable Live Traffic View : pour voir le traffic sur son site. Je vous conseil de le désactiver. DESACTIVER
Advanced Comment Spam Filter, Check if this website is being « Spamvertised » et Check if this website IP is generating spam ne sont utilisables que dans la version premium (payante) du plugin Wordfence.
Enable automatic scheduled scans : Pour scanner automatiquement son site pour vérifier les fichiers infectés. DESACTIVER
Update Wordfence automatically when a new version is released? : Vous permet de mettre à jour automatiquement l’application Wordfence. ACTIVER
Where to email alerts: rentrer votre adresse mail pour recevoir les alertes par mail
Security Level: Les différents niveaux de sécurité. Choisir : Let Wordfence use the most secure method to get visitor IP addresses. Prevents spoofing and works with most sites. Wordfence utilisera la meilleure méthode pour identifier l’adresse IP d’un visiteur
Advanced Options :
Cliquer sur l’image pour l’agrandir
Alerts :
Les alertes que vous souhaitez recevoir par mail :
| Email me when Wordfence is automatically updated | Envoi un mail lors de l’installation d’une mise à jour automatique. Activer |
|---|---|
| Alert on critical problems | Problèmes critiques du site. Activer |
| Alert on warnings | Envoi un mail sur un avertissement. Activer |
| Alert when an IP address is blocked | Envoi un mail lorsqu’une adresse IP est bloqué. Activer au départ, pour vous faire une idée. Ensuite vous pourrez le désactiver |
| Alert when someone is locked out from login | Vous informe du blocage d’un login. Activer au départ, pour vous faire une idée. Ensuite vous pourrez le désactiver |
| Alert when the « lost password » form is used for a valid user | Vous informe qu’un utilisateur a demandé à recevoir un nouveau mot de passe. Facultatif |
| Alert me when someone with administrator access signs in | Une personne s’est connecté avec un compte administrateur. vous allez recevoir un mail à chaque connexion dans la partie admin. Ne pas activer. Vous recevrez un message chaque fois que vous vous connecterez. |
| Alert me when a non-admin user signs in | Une personne s’est connecté avec un compte utilisateur. vous allez recevoir un mail à chaque connexion dans la partie admin. Ne pas activer |
| Maximum email alerts to send per hour | Combien voulez-vous recevoir de mails maximum par heure de Wordfence. Mettre 0 pour un nombre illimité. Je choisis 0 pour recevoir les mails immédiatements |
Live Traffic View
Paramétrages pour l’outil de statistiques
| Don’t log signed-in users with publishing access: | Ne pas compter les utilisateurs connectés. Ne Cocher que si vous voulez suivre le traffic sur votre site. Cela prend des ressources serveurs. Je conseil de ne pas cocher |
|---|---|
| List of comma separated usernames to ignore: | |
| List of comma separated IP addresses to ignore: | |
| Browser user-agent to ignore: |
Scans to include
Réglage pour l’outil de vérification des fichiers du site
| Scan public facing site for vulnerabilities? (Paid members only) | Option uniquement pour la version premium |
|---|---|
| Scan for the HeartBleed vulnerability? | vulnérabilité HeartBleed. Activer |
| Scan core files against repository versions for changes | fichiers modifiés lors de l’installation d’une mise à jour de WordPress. Facultatif |
| Scan theme files against repository versions for changes | fichiers modifiés lors de l’installation d’une mise à jour du thème. Facultatif |
| Scan plugin files against repository versions for changes | fichiers modifiés lors de l’installation d’une mise à jour des plugins. Facultatif |
| Scan for signatures of known malicious files | Fichiers infectés. Activer |
| Scan file contents for backdoors, trojans and suspicious code | Fichiers contenant des virus, spywares… Activer |
| Scan posts for known dangerous URLs and suspicious content | URL dangereuse dans les articles Activer |
| Scan comments for known dangerous URLs and suspicious content | URL dangereuse dans les commentaires Activer |
| Scan for out of date plugins, themes and WordPress versions | URL dangereuse dans les plugins, thèmes Activer |
| Check the strength of passwords | Vérifie la longueur des mots de passe. Facultatif |
| Scan options table | scanne la base de données. Activer |
| Monitor disk space | surveille l’espace disque. Facultatif |
| Scan for unauthorized DNS changes | Rechercher les modifications DNS non autorisés Facultatif |
| Scan files outside your WordPress installation | Analyser les fichiers qui ne font pas partie de WordPress Facultatif |
| Scan image files as if they were executable | Scanne les images comme si c’était des fichiers exécutables Facultatif |
| Enable HIGH SENSITIVITY scanning. May give false positives. | Ne pas cocher. Scan très sensible, qui donne des faux positifs |
| Exclude files from scan that match these wildcard patterns. Comma separated. |
irewall Rules
| Immediately block fake Google crawlers: | Bloquer immédiatement les faux robots Google. Comme vous voulez, perso je ne coche pas |
|---|---|
| How should we treat Google’s crawlers | |
| If anyone’s requests exceed: | |
| If a crawler’s page views exceed: | |
| If a crawler’s pages not found (404s) exceed: | |
| If a human’s page views exceed: | |
| If a human’s pages not found (404s) exceed: | |
| If 404’s for known vulnerable URL’s exceed: | |
| How long is an IP address blocked when it breaks a rule: |
Login Security Options
| Enforce strong passwords? | Force l’Admin ou les utilisateurs à utiliser un mot de passe plus important. Facultatif |
|---|---|
| Lock out after how many login failures | Combien de connexion avant de bloquer l’adresse IP. Mettre sur 3 |
| Lock out after how many forgot password attempts | Combien de saisies de mot de passe erronés avant de bloquer l’adresse IP. Mettre sur 3 |
| Count failures over what time period | Le comptage se fait sur xxx minutes. Mettre sur 5 minutes |
| Amount of time a user is locked out | L’adresse IP sera bloqué pendant xxx. Mettre sur 10 jours. Si une personne rentre 3 logins faux ou 3 mots de passe faux dans un espace de 5 minutes, l’adresse IP sera bloqué 10 jours. Vous avez la possibilité de débloquer l’adresse IP. |
| Immediately lock out invalid usernames | Bloque immédiatement l’adresse si le visiteur veut se conecter avec un nom d’utilisateur qui n’existe pas. ACTIVER |
| Don’t let WordPress reveal valid users in login errors | Ne pas afficher les erreurs sur les noms ou les mots de passe dans le formulaire de saisie pour se connecter à la partie administration. ACTIVER |
| Prevent users registering ‘admin’ username if it doesn’t exist | Bloque l’adresse IP si la personne veut se connecter avec le login admin s’il n’existe pas. Je vous conseil de renommer votre login pour que admin ne soit pas utilisé. ACTIVER si votre login n’est pas admin. Si vous utilisez admin, il faut changer le login IMPERATIVEMENT. Si c’est cocher, dès qu’un utilisateur va vouloir se connecter avec admin, sera bloqué immédiatement. |
| Prevent discovery of usernames through ‘?/author=N’ scans | Empêcher la découverte de noms d’utilisateurs par des «? / Author = N ‘scans. Activer |
| Immediately block the IP of users who try to sign in as these usernames | Bloquer immédiatement les IP qui essai de se connecter avec les noms suivants. |
Other Options |
|
| Whitelisted IP addresses that bypass all rules: | Adresse IP qui contournent les règles. Je conseil de ne rien mettre |
|---|---|
| Immediately block IP’s that access these URLs: | Bloque les adresses IP immédiatement. |
| Hide WordPress version | Masque la version de WordPress. Activer |
| Hold anonymous comments using member emails for moderation | Activer |
| Filter comments for malware and phishing URL’s | Activer |
| Check password strength on profile update | Activer |
| Participate in the Real-Time WordPress Security Network | Permet de faire remonter les alertes en temps réél |
| How much memory should Wordfence request when scanning | Megabytes. La mémoire qui peut être utilisé par Wordfence |
| Maximum execution time for each scan stage | |
| Update interval in seconds (2 is default) | |
| Enable debugging mode (increases database load) | |
| Delete Wordfence tables and data on deactivation? | |
| Disable Wordfence Cookies | (when enabled all visits in live traffic will appear to be new visits) |
| Start all scans remotely | (Try this if your scans aren’t starting and your site is publicly accessible) |
| Disable config caching | (Try this if your options aren’t saving) |
| Add a debugging comment to HTML source of cached pages. | |
Salut Philippe,
Depuis le temps que tu nous l’avais promis, je dois dire que ce tutoriel est le bienvenu, surtout lorsqu’on sait à quelle fréquence chaque site WordPress peut être attaqué!
J’utilise quelques réglages différents, mais sans pouvoir dire s’ils sont meilleurs ou pires.
Amicalement,
Bruno
Salut Bruno,
j’ai mis pratiquement un mois pour le pondre.
Je me dis que je devrais au moins en faire un par semaine, mais j’ai pas trop le temps.
Parfait ce tuto pour wordfence sécurity. Je crois avoir à peu près les mêmes, sauf que je n’ai pas désactiver le Enable Live Traffic View et pourtant j’ai accès. Enable, disable j’ai toujours mélangé les deux …
Merci à toi pour cette belle présentation détaillée, ça demande du temps, alors félicitations car c’est le genre de tuto qui va faciliter grandement la tâche à tous ceux qui n’aiment pas l’anglais.
C’est quand que l’on va avoir des dév français qui vont nous pondre des plugins aussi bien que ceux que l’on voit ?
Salut Jipeee,
merci pour le message.
Disable : désactiver
Enable : activer.
Comme tu as enable, donc activer, c’est normal que tu vois le traffic en live
Merci pour ce tuto très clair.
J’attends avec impatience la suite !…
Bien cordialement
Bonjour,
J’ai suivi avec grand intérêt ce tutoriel dans l’espoir que ce plugin, couplé à d’autres me soit en l’état, d’une grande utilité pour la protection de mon site qui a subi de grandes attaques subites cette fin d’été et un blackliste par 2 fois de Google.
N’étant pas dans le domaine et n’ayant aucune compétence particulière, je tourne et remercie les personnes plus expérimentées pour l’aide qu’elles nous apportent.
Bonjour,
merci pour le message.
Cordialement
Salut Philippe,
Très bon tutoriel et je signale pour les lecteurs que ce plugin m’a sauvé beaucoup de fois la mise sur des injections sql et des attaques diverses. Bien paramétré vous pouvez être moins stressé au niveau sécurité même si le risque zéro n’existe pas.
Cordialement
Ludovic
Salut Ludovic.
Comme tu le dis, le plugin te protège bien des attaques et comme tu le signale, le risque zéro n’exista pas, car il existe des failles liées à php ou à l’hébergement que Wordfence ne peut gérer.
Cordialement
Bjr Philippe
Merci bcp pour le tuto, l’option live trafic ne fonctionne plus, je essayé plusieurs tentatives mais sans succès. Je viens de lire votre tuto et j’espère que vous avez surement des conseils pour m’aider à surmonter cette difficulté.
Cordialement
Bonjour,
il y’a un message d’erreur d’afficher ou pas.
Si vous allez dans la partie admin -> Wordfence -> Options
La ligne Enable Live Traffic View doit être coché.
Je viens de tester, cela fonctionne chez moi.
Quand vous allez dans Wordfence -> Live traffic : un message en rouge (Live Traffic is disabled) s’affiche ?
Essayer de désactiver le cache de wordfence, pour voir si cela fonctionne.
Si cela ne fonctionne toujours pas, désactiver tous les plugins à part Wordfence, il y a peut être un problème avec un plugin.
Essayer de mettre un autre thème pour tester.
Il faut savoir que le live traffic prend pas mal de ressources serveur, il n’est pas impossible que cette option ne fonctionne pas sur votre serveur.
Si cela est vraiment important pour vous de connaitre le traffic en live et que wordfence ne fonctionne toujours pas, il y a au moins 2 solutions alternatives : Le plugin Jetpack ou piwik
Bonjour,
Super tuto !
Je cherchais la partie « paramétrage du cache », comment conseillez-vous le réglage de celui-ci ? Faut-il télécharger un plugin de cache ou bien celui-ci suffit-il ? Et comment faut-il le paramétrer : basic ou falcon ?
Merci 🙂
Bonjour,
merci pour le message.
Depuis que j’ai découvert le cache de Wordfence, je l’utilise en mode falcon.
Sur un site, je suis passé au mode basic, car en mode falcon, j’avais quelques petits soucis de tant en tant.
Je te conseil de tester en mode falcon et tu surveilles quelques jours pour voir.
Avant, j’utilisais un plugin de cache, que je n’utilise plus.
Cela fait un plugin en moins.
Mais si je trouve un plugin plus performant, je l’utiliserais certainement, après avoir testé.
Bonjour,
Merci à Google de m’avoir fait découvrir ton blog et cet article.
J’ai été piraté méchamment en décembre, j’ai donc installé ce plugin.
Mais il me manquait quelques infos que je viens de trouver dans ton
article.
Merci, je vais peaufiner mes réglages de ce pas.