Un plugin de sécurité pour protéger son site WordPress
Un plugin de sécurité pour protéger son site WordPress
Un plugin de sécurité va servir à protéger votre site contre des attaques.
Une attaque de force brute a été lancée contre des sites WordPress depuis le 17 avril 2014.
Ce sont des grands et des petits sites qui sont la cible des pirates. Les sites peuvent être choisis aléatoirement par les scripts, donc votre site peut être la cible d’une attaque.
Des hackers, via des scripts, tentent de se connecter en admin sur votre site WordPress.
Ce ne sont pas des ordinateurs zombies qui sont utilisés pour lancer ses attaques, mais des serveurs d’hébergement.
Des serveurs sont infectés et ils sont utilisés pour lancer des attaques.
D’après le site : http://www.wordfence.com/blog/2014/04/wordpress-brute-force-research/ plus de 600 000 de tentatives de connexion ont été lancés en 2 heures.
J’ai recensé plus d’une vingtaine de tentatives sur mes sites, depuis plusieurs adresses et plus de la moitié des attaques se font avec le login admin, qui est le login par défaut sous WordPress.
Comment savoir si on est attaqué ?
Vous saurez que vous êtes attaqués, une fois que votre site aura été modifié, le mot de passe changé ou le site entièrement effacé…
Alors comment se fait-il que je sache que je sois attaqué et pas vous, tout simplement, car j’utilise un plugin de sécurité.
J’utilise 2 plugins différents, suivant les sites :
– Worfence : http://wordpress.org/plugins/wordfence/
– limit-login-attempts : http://wordpress.org/plugins/limit-login-attempts/ (en français).
Les plugins de sécurité :
Les 2 plugins de sécurité vont vérifier les tentatives de connexion à la partie administrateur. Au bout de xx tentatives, l’utilisateur sera bloqué pendant un temps que vous aurez déterminé.
Wordfence :
Wordfence est plugin qui est assez complet.
– Il va vérifier les tentatives de connexions de la partie administrateur
– Il est équipé d’un firewall (pare-feu) pour protéger WordPress
– Il vous permet de vérifier en temps réel qui est connecté sur le votre blog.
– Il peut scanner votre hébergement pour vérifier vos fichiers et vous indiquer les fichiers qui posent problème.
Le plugin est en anglais, il nécessite de le configurer, ce qui peut poser problème aux personnes ne maîtrisant pas l’anglais.
Le second plugin de sécurité et limit-login-attempts
Ce plugin est simple, il vérifie juste les connexions.
Il est en français et il ne nécessite aucune configuration spécifique.
C’est le plus facile à utiliser, mais aussi le moins complet.
Salut Philippe,
J’utilise moi-même Wordfence sur un de mes sites, mais il faut préciser qu’à lui seul il ne protège pas à 100% des attaques et autres infections de virus, puisque j’ai été victime d’un piratage il y a environ 1 an sur mon site équipé de cette extension et il y avait eu injection de code indésirable dans certains de mes fichiers.
Heureusement que mon hébergeur dispose de bons outils, qu’il a pu me prévenir et suspendre les sites concernés le temps que j’apporte le remède (que l’hébergeur m’a lui-même donné).
Ceci dit, je ne suis pas en train de dire que Wordfence ne sert à rien, mais juste qu’il n’est pas infaillible.
Amicalement,
Bruno
Salut Bruno,
Tu avais activé l’option firewall ?
Je ne pense pas qu’il y est de site 100 % sécurisé, ni de plugins qui te permet d’atteindre 100 % de sécurité.
Wordfence, te permet d’éviter les attaques par force brut.
J’en ai une vingtaine par jour depuis quelques jours sur plusieurs de mes sites.
Salut Philippe,
Tu as touché en plein de le mille, en effet l’option firewall n’était pas cochée et je m’étais simplement contenté de paramétrer comme on m’avait dit de le faire.
Du coup, je l’ai cochée et j’en ai profité pour revoir certains réglages.
Peut-être aurais-tu l’amabilité de créer un tutoriel pour bien paramétrer cette extension?
Par ailleurs, disposerais-tu d’une traduction en Français?
Amicalement,
Bruno
Je n’ai pas la traduction en Français.
Je vais voir pour faire un tutoriel. C’était prévu 😆