Bienvenue dans ce guide dans lequel nous allons utiliser l’extension WordFence Security – Firewall & Malware Scan pour sécuriser votre site internet contre les hacks, les malwares, les spams et même contre le DDoS .
Il est important d’avoir un site internet sécurisé, pour cela avoir un hébergement sécurisé est primordial. Un hébergement est sécurisé lorsqu’il offre un environnement sûr et garantit que les données soient conservées malgré les incidents potentiels et risques qui existent : incendies, piratages, coupure électrique…
Supprimer les plugins que vous n’utilisez pas
La majeure partie des attaques de sites WordPress passent par des plugins, selon une étude WordFence, cette part représenterait 55,9% de toutes les portes dérobées connues. Certaines extensions peuvent présenter des failles dans leur code et ces failles sont ensuite exploitées par les hackers pour avoir accès à votre site internet. C’est pourquoi il est important de désactiver et de supprimer les extensions que vous n’utilisez pas.
Mettre à jour vos extensions
Les mises à jour sont très importantes sur WordPress. Elles ajoutent parfois de nouvelles fonctionnalités, corrigent des bugs et corrigent souvent les failles de sécurité.
Vérifier les utilisateurs sur votre site
Il est important de vérifier que les utilisateurs inscrits sur votre site soient de véritables personnes. Comment faire ? Simplement en regardant le nom des utilisateurs et leur adresse mail vous pourrez facilement identifier les spammeurs et les utilisateurs malveillants qu’il faudra alors supprimer.
Réaliser un scan WordFence
Une fois l’extension WordFence installée et activée, vous pourrez réaliser un scan pour voir l’état de votre site internet. Pour cela, il faudra se rendre dans le menu Scan puis sur le bouton Start New Scan. Si vous cliquez sur Manage Scan ou sur Scan Options & Scheduling, vous pourrez choisir la sensibilité du scan :
- Limited Scan : permet de scanner les sites qui ont un serveur avec peu de ressources.
- Standard Scan : recommandé par WordFence, il permet de scanner la majeure partie des sites internet.
- High Sensitivity : si vous pensez avoir été attaqué, c’est cette option qu’il faudra choisir, attention, cette option peut produire des faux positifs.
- Custom Scan
Dans Performance Options vous pourrez choisir de limiter les ressources utilisées par WordFence lors du scan pour ne pas impacter les visiteurs de votre site internet car les scans demandent des ressources qui peuvent ralentir votre site internet.
Le scan peut durer de quelques minutes à 1 heure, en fonction de la taille de votre site internet et de la vitesse de votre hébergement. WordFence va nous permettre de savoir si les fichiers WordPress ont été modifiés, si des malware sont sur votre site internet, si l’état du serveur est sain.
Si WordFence détecte des fichiers corrompus, il faudra d’abord vérifier que ces fichiers soient bien des fichiers malveillants, pour cela, vous pourrez saisir le nom du fichier sur Google et voir si ces fichiers sont connus par la communauté pour être malveillants ou non. Si les fichiers sont bien des fichiers malveillants vous pourrez alors les supprimer cependant nous vous conseillons tout de même d’effectuer une sauvegarde avant de commencer à supprimer des fichiers sur votre site WordPress.
Firewall WordFence
Si vous avez de nombreux utilisateurs qui essayent de s’inscrire sur votre site, le Firewall WordFence peut être intéressant, car il va limiter l’accès de ces robots à votre tableau de bord. Il faudra alors se rendre dans le menu Firewall puis cliquer sur le bouton Manage Firewall puis sur le bouton Optimize The WordFence Firewall puis Continue.
Tools : analyser la dangerosité de vos visiteurs
Dans l’onglet Tools, vous pourrez voir en temps réel les personnes qui essaient de se connecter à votre site internet avec leur localisation géographique, la page visitée et d’autres informations. Grâce aux différentes pastilles de couleur, vous pourrez voir :
- Les visiteurs qui sont des humains (en vert)
- Les visiteurs qui sont en réalité des robots ou bots (en gris)
- Les utilisateurs qui présentent un avertissement (en jaune)
- Les utilisateurs qui ont été bloqués par WordFence car dangeureux
Vous pourrez ainsi avoir des indications sur les pays qui attaquent le plus votre site internet, cependant le blocage de certains pays est uniquement disponible dans la version payante de WordFence.
Pour activer cette fonctionnalité, il faudra d’abord télécharger une application sur votre smartphone, pour cela vous avez le choix entre de nombreuses application :
- Google Authenticator
- Sophos Mobile Security
- FreeOTP Authenticator
- 1Password (version mobile ou ordinateur) voir : 1Password help
- LastPass Authenticator
- Microsoft Authenticator
- Authy 2-Factor Authentication
Vous devrez ensuite scanner avec votre smartphone et l’application sélectionnée, le QR Code qui apparaît dans le menu Wordfence > Login Security de votre site internet.
Scannez le QR code sur la page Login Security. Votre application d’authentification devrait alors afficher un code à six chiffres.
Dans la section Download recovery codes, cliquez sur le bouton Download. Les codes de récupération peuvent être utilisés si vous perdez votre appareil. Imprimez ou enregistrez le fichier et conservez le dans un endroit sûr. Entrez le code à six chiffres qui apparaît dans votre application d’authentification. Ce code change toutes les 30 secondes.
Login Security : la double authentification sur WordPress
L’onglet Login Security permet d’avoir accès à une fonctionnalité gratuite (qui d’ailleurs est rarement incluse gratuitement si l’on regarde les extensions de sécurité concurrentes) : la double authentification.
Cette fonctionnalité permet d’ajouter un niveau de sécurité pour se connecter à votre site en vous demandant de scanner un QR Code avec votre smartphone. Si vous perdez votre téléphone, vous pourrez toujours utiliser les codes de récupération qui sont d’ailleurs téléchargeables.
Si une personne trouve votre mot de passe, la double authentification bloquera quand même l’accès à votre site car la personne devra passer par son smartphone pour prouver son identité.
All options
Email Alert Preferences
WordFence vous alerte par mail lorsqu’il détecte des vulnérabilités sur votre site internet, vous verrez que beaucoup de mails seront envoyés, même quand une simple mise à jour WordPress est disponible. C’est dans cette section que vous pourrez gérer les mails que vous souhaitez recevoir pour ainsi ne pas être « spammé » par les mails automatiques tout en ayant de vraies informations concernant la sécurité de votre site.
Il en est de même pour les mails Activity Report que vous pouvez choisir de recevoir chaque jour, chaque semaine ou chaque mois.
Basic Firewall Options
Nous vous conseillons de sélectionner l’option Enabled and Protecting, cela active le pare-feu WordFence qui bloque les demandes correspondant à des modèles d’attaques connus et protège votre site contre de potentielles attaques.
Brute Force protection
C’est une des options les plus importantes dans les paramètres, elle permet de vous protéger face aux personnes qui essaient de se connecter sur votre tableau de bord WordPress en essayant de se connecter à de multiples reprises en essayant de nombreux noms d’utilisateur et mot de passe.
Vous pouvez donc ici bloquer les utilisateurs qui essaient de se connecter X fois à votre tableau de bord, nous vous conseillons de sélectionner 10 tentatives pour ce paramètre.
Vous avez dans cette section d’autres paramètres pour forcer des mots de passe sécurisés sur votre site internet Enforce strong passwords, vous pouvez activer cette option pour les administrateurs et les auteurs, pour tous les utilisateurs ou désactiver totalement l’option.
Rate limiting pour se protéger face aux attaques DDoS
Cette option va vous permettre de vous protéger face aux attaques DDoS mais aussi contre les robots qui essaient de voler votre contenu et de vous plagier, il s’agit du scraping.
If anyone’s requests exceed
Cette option permet de bloquer ou limiter les personnes qui effectuent X requêtes par minute. Pour cette option, nous vous conseiller de bloquer les personnes qui effectuent plus de 30 requêtes par minute.
If crawler’s page views exceed
Cette option permet de bloquer les crawlers qui visitent X pages par minute. Nous conseillons de bloquer les crawlers qui visitent plus de 5 pages par minute. Cela ne bloquera pas les robots Google.
If a human’s page views exceed
Cette option permet de gérer les utilisateurs qui visitent X pages par minute. Ces visiteurs vont alors utiliser beaucoup de ressources sur votre serveur ou peuvent tout simplement être des robots, c’est pourquoi nous conseiller de limiter les ressources pour ces utilisateurs : 15 per minute then throttle it.
La version payante de WordFence Security
Il existe une version payante pour cette extension dans laquelle vous pourrez bloquer certains pays. Cela peut être intéressant pour les sites e-commerce par exemple, si vous souhaitez ne pas faire d’envois à l’étranger, vous pourrez donc bloquer certains pays d’où proviennent la majeure partie des attaques par exemple.
Si un trojan ou un script a été intégré dans le code de votre site, vous pourrez passer par le service payant de WordFence car la version gratuite ne pourra malheureusement pas faire grand-chose pour vous. WordFence propose un service de nettoyage de site hacké pour 179$.
