Comment configurer wordfence
by Thierry | juin 6, 2012 | on wordpress
Dans l’article protéger votre blog du piratage d’hier sur le plugin wordfence, je vous ai présenté le plugin de protection tout en un.
Aujourd’hui, je vais aborder avec vous l’aspect configuration qui peut faire peur à ceux qui ne parlent pas l’anglais.
Ces options se trouvent dans le menu de votre administration wordpress, dans wordfence, options.
Dans la partie Basics options de wordfence
- Where to email alerts: Indiquez votre e-mail pour recevoir les alertes.
- Your Wordfence API Key: votre clé API par défaut pour une utilisation gratuite. Vous pouvez surclasser votre compte si vous voulez que wordfence analyse aussi les fichiers de vos plugins et de vos thèmes.
- Security Level: le niveau de sécurité par défaut est 2. Le niveau 0 désactive la protection. le niveau 1 défini une protection légère. Le niveau 3 est à utiliser en cas d’attaque. Le niveau 5 bloque tous les accès en cas d’attaque prolongée.
Dans la partie Alerts de wordfence
- Alert on critical problems; à cocher si vous voulez être prévenu en cas d’alerte critique
- Alert on warnings: à cocher si vous voulez être prévenu en cas d’avertissement
- Alert when an IP address is blocked: à cocher si vous voulez être prévenu à chaque fois qu’une adresse IP est bloquée
- Alert when someone is locked out from login: à cocher si vous voulez savoir quand quelqu’un a été bloqué de l’espace administration
- Alert when the « lost password » form is used for a valid user: à cocher si vous voulez savoir si quelqu’un fait une demande de récupération de mot de passe
- Alert me when someone with administrator access signs in: à cocher si vous voulez savoir chaque fois qu’une personne avec les droits d’administrateur se connecte
- Alert me when a non-admin user signs in: à cocher si vous voulez savoir à chaque fois qu’un utilisateur se connecte
Dans la partie Live traffic view de wordfence
- Enable Live Traffic View: cocher pour activer la vue du trafic en direct
- Don’t log signed-in users with publishing access: à cocher si vous voulez exclure les personnes connectées avec les droits d’éditeur
- List of comma separated usernames to ignore: indiquez les noms d’utilisateurs à exclure des rapports, séparés par une virgule
- List of comma separated IP addresses to ignore: indiquez les adresses IP à exclure, séparées par une virgule
- Browser user-agent to ignore: Indiquez votre liste d’user-agent à ignorer.
- Limit size of hits table to: taille maximum pour cette table
Dans la partie scans to include de wordfence
- Enable automatic scheduled scans: à cocher pour activer les scans planifiés
- Scan core files against repository versions for changes: à cocher pour vérifier toute modification de vos fichiers de base de votre blog wordpress
- Scan theme files against repository versions for changes: vérifie les fichiers du thème. Uniquement en version payante
- Scan plugin files against repository versions for changes: vérifie les fichiers des plugins. Uniquement disponible en version payante
- Scan for signatures of known malicious files: à cocher pour détecter les signatures des fichiers malveillants connus
- Scan file contents for backdoors, trojans and suspicious code: à cocher pour détecter les backdoors, troyans et autre code suspicieux
- Scan posts for known dangerous URLs and suspicious content: à cocher pour scanner les messages contenant des URLs dangereuses
- Scan comments for known dangerous URLs and suspicious content: à cocher pour détecter les URLs suspicieuses dans les commentaires
- Scan for out of date plugins, themes and WordPress versions: à cocher pour vérifier si les plugins ou les thèmes sont toujours mis à jours avec les nouvelles mises à jour de wordpress
- Check the strength of passwords: à cocher pour vérifier la fiabilité de vos mots de passe
- Monitor disk space: à cocher pour vérifier l’espace disque
- Scan for unauthorized DNS changes: à cocher pour vérifier qu’aucune modification des DNS n’est effectuée
- Scan files outside your WordPress installation: à cocher si vous voulez scanner des fichiers externes à wordpress comme des fichiers en téléchargement ou des pages html par exemple
Dans la partie firewall rules de wordfence
- Enable firewall rules: à cocher pour activer les règles du pare-feu
- Immediately block fake Google crawlers: à cocher pour bloquer les faux robots google
- How should we treat Google’s crawlers: comment traiter les robots de google. Laissez la première option qui permet aux robots un accès illimité à votre blog
- Pour les autres options, je vous suggère de laisser les réglages par défaut. Seuls les utilisateurs expérimentés devraient modifier ces paramètres. Ce qui n’est pas mon cas.
Dans la partie login security options de wordfence
- Enable login security: à cocher pour activer la fonction login sécurité
- Lock out after how many login failures: indiquer au bout de combien de tentatives de connexion échouées, il faut bloquer l’utilisateur
- Lock out after how many forgot password attempts: indiquer au bout de combien de mauvais mots de passe, il faut bloquer l’utilisateur
- Count failures over what time period: indiquez sur quelle durée comptabiliser les échecs
- Amount of time a user is locked out: indiquez le nombre de fois ou un utilisateur peut être bloqué
- Immediately lock out invalid usernames: à cocher si vous voulez bloquer immédiatement un utilisateur en cas de mauvais identifiant de connexion
- Don’t let WordPress reveal valid users in login errors: à cocher si vous ne voulez pas que les utilisateurs valides apparaissent dans les erreurs de connexion
Dans la partie other options de wordfence
- Whitelisted IP addresses that bypass all rules: indiquez ici les adresse IP qui arrivent à contourner toutes les règles de sécurité, séparées par une virgule
- Hide WordPress version: à cocher pour masquer la version de wordpress
- Hold anonymous comments using member emails for moderation: à cocher si vous voulez tenir des commentaires anonymes en utilisant des courriers électroniques de membre modérateurs
- Scan comments for malware and phishing URL’s: à cocher pour détecter les commentaires malveillants, et les tentatives de phishing
- Check password strength on profile update: vérifier la fiabilité du mot de passe sur le profil mis à jour
- Participate in the Wordfence Security Network: à cocher si vous voulez participer à la sécurité des réseaux wordfence
- Maximum memory Wordfence can use: indiquer le maximum de mémoire que doit utiliser wordfence
- Enable debugging mode: à cocher si vous voulez activer le mode débogage
Vous devez maintenant être capable de configurer comme vous le souhaitez le plugin de sécurité wordfence.
Bonjour Thierry,
Il est vrai que dès qu’on publie depuis un moment sur son blog, on n’a pas envie de perdre son contenu, que ce soit par une mauvaise manoeuvre ou une attaque de l’extérieur.
Et comme les outils existent pour se protéger (en plus lorsqu’ils sont gratuits), ce serait dommage de ne pas les utiliser.
Aussi merci de ces infos qui permettent de bien paramétrer ces outils, pour ceux qui ne maîtrisent pas trop bien l’anglais.
Bonjour Bruno
Cet outils dans sa version gratuite, est déjà très complet. Je le conseille.
Et vu que je sais que l’anglais fait encore défaut à pas mal de blogueurs. Alors comme ça …
le site wordfence.com est down depuis 2 jours:(
Je viens de teste, de chez moi, il fonctionne très bien.
J’ai installé Wordfence sur une dizaine de site et je reçois souvent ce message lors de scan.
Could not fetch vulnerability patterns in hourly scheduled job: The Wordfence scanning server may be down for maintenance. Got HTTP status code [0] and curl error: couldn’t connect to host
Je viens de faire un scan sur deux blogs différents, et aucun problème à signaler.
Essaye de les contacter.
Bonjour,
Je viens de l’installer et configurer, le premier scan est ok, on verra ce que ça dans quelque temps.
Merci pour le tuto, c’est clair et net.
Bonjour Thierry,
Je viens de découvrir cet article en faisant une recherche de positionnement sur « sécuriser wordpress avec wordfence » pour laquelle nous sommes visiblement tous les 2 en première page de Google.
Je dois avouer tout-de-même que tes conseils de configuration sont plus nombreux que ceux que Samuel dispense sur mon blog, il va donc falloir que je m’y penche de plus prêt.
Pour finir, ce qui peut être appréciable avec ce plugin en plus de la sécurisation de votre site ou blog, c’est qu’il vous prévient par mail lorsqu’il y a de nouvelles mises à jour de version, thème ou plugin qui sont disponibles.
Plus besoin de se connecter régulièrement à son administration pour être au courant!
Amicalement,
Bruno
Moi qui cherchait un moyen de sécuriser mon site wordpress, je trouve le moyen et le tutoriel dans le même article ! Merci beaucoup pour tes explications très claires. Je vais aller mettre ça en place dés ce soir ! Fini les attaques de hackers de tous les cotés
Merci beaucoup pour ce tuto: je viens de réinstaller mon blog et je découvre ce plug-in. Merci encore !
Bonjour
J’ai installé Wordfence (gratuit) voici un mois après la destruction de l’un de mes sites par un hacker. Voici que depuis quelques jours http://www.methodo-projet.fr subit une attaque intense par « force brute » (merci Wordfence de m’en avoir prévenu !). Je suis en train de renforcer la sécurité, merci pour ce tutoriel bien utile. Quelques questions tout de même :
1- Le niveau de sécurité (Security level) 5 bloque tous les accès. Mais alors comment peut-on se connecter ensuite en tant que « vrai » administrateur.
2- J’ai compté plus d’une centaine de tentatives en 3 minutes, avec chaque fois une URL différente. Ne peut-on pas mettre un petit délai entre chaque tentative, indépendamment de l’URL ?
Encore merci
Bonjour Michel
Désolé pour ce petit délai de réponse. Tu étais accidentellement passé en spam.
Je n’ai pas la réponse aux questions posées. Mais je te renvoie à un topic qui t’expliquera comment sécuriser efficacement un blog avec wordfence, limit login attempts et quelques modifications dans le htaccess.
Bonjour Thierry.
Finalement j’ai abandonné Wordfence car le blocage des pays est une option payante par abonnement. Je fonctionne avec IQ block country qui comme son nom l’indique bloque les tentatives de connexion hors France et qui fournit un historique très clair. Et Login Lockdown qui est censé limiter le nombre de tentatives, mais ne fournit pas d’historique ce qui laisse un doute son efficacité. Par ailleurs j’ai durci le mot de passe. Merci pour le lien.
Bonjour, je viens de faire la mise à jour de Wordfence, il m’a proposé de modifier le .htaccess, et depuis les nouveaux PDF de mon site ne sont pas ouvrables. Quelle serait ma manip ? Merci
Bonjour
Je n’ai aucune idée de ce qui s’est passé. Désolé.
Je n’ai jamais rencontré ce problème.
Vous n’avez pas fait une sauvegarde de votre fichier .htaccess avant de le modifier ?