Wordfence sera comme votre ange gardien si vous êtes un utilisateur de la plateforme WordPress, il ne manquera pas de surveiller votre blog de près.
Description de WordFence
Par défaut, WordPress ne limite pas le nombre de tentatives de connexion à votre tableau de bord. Surtout ce celui ne demande qu’un pseudo et un mot de passe. Alors si en plus d’utiliser le pseudo « Admin » pour vous connecter (ce dont je n’espère pas!) vous utilisez un mot de passe assez simple, avec un brute force le pirate aura tout son temps pour mettre les pieds dans votre administration. Wordfence va surveiller toutes les tentatives de connexion et vous avertir par email que la connexion ait réussie ou pas. Si les échecs sont trop fréquents, il bannira provisoirement l’indélicat. Si vous êtes absent à ce moment, le plugin agira donc à votre place. Dans la version payante, il est même possible d’activer la double identification à votre tableau de bord, par mot de passe et par téléphone. Ce qui accroît considérablement votre sécurité.
Wordfence est très complet et ne s’arrête pas à cela. Il va régulièrement effectuer un scan de vos fichiers pour vérifier qu’un pirate n’a pas exploité une faille et modifier l’un d’entre eux. Au moindre octet différent entre un de vos fichiers et les fichiers originaux de wordpress, vous recevrez une alerte. Si le fichier a été modifié par vos soins, vous pouvez le lui dire et il en tiendra compte lors de son prochain scan.
WordFence vous indique en temps réel tout ce qui se passe sur votre blog. Qui visite votre blog, d’où vient-il, quelles actions a-t-il fait ? Vous savez donc rapidement si un internautes chinois, russe, allemand … à tenter de se connecter à votre tableau de bord, d’accéder à une page qui n’existe pas, … ça parait inutile comme ça, mais croyez moi même si la page est inexistante chez vous ça en dit long sur les intentions de ces internautes et surtout sur les failles en circulation.
Depuis que j’utilise Wordfence, je vois beaucoup de tentatives d’accès à des fichiers absent chez moi, du style le readme.txt d’un plugin, ou l’ajout de paramètres après une url (/…/download.php?=1). en analysant ces liens, on devine aisément qu’il s’agit de tests en vie d’exploiter une faille de sécurité présente sur des plugins que je n’utilise pas et heureusement pour moi. Si jamais, une IP s’avérait un peu trop insistante, il sera très simple de la bannir. D’ailleurs la version payante de wordfence permet même de bannir tout un pays à la fois. Si vous avez trop de tentatives de piratages en provenance d’un pays vous pouvez bloquer le pays tout entier d’un simple clic de souris.
Pour éviter d’en arriver là, Wordfence partira également à la recherche de faille sur votre blog. Il regardera les extensions que vous utilisez et vous indiquera si l’une d’entre elles, a une faille connues. Le cas échéant, il vous proposera de la mettre à jour ou vous donnera ou le fera automatiquement selon ce que vous avez indiqué dans les paramètres de Wordfence. En effet, si vous le souhaitez, vous avez la possibilité de faire en sorte que dès qu’une mise à jour se présente que le plugin fasse la mise à jour de lui même, ainsi pas de faille qui reste béante le temps que vous êtes absent. Plus vite une faille est bouchée, moins les chances qu’un pirate exploite cette faille sont élevées. Le plugin partira également à la recherche d’autre faille de type Heartbleed ou changement de DNS … Si les accès à votre blog par des robots du style GoogleBot, BingBot etc… ne pose pas de problème à Wordfence, en revanche, des internautes qui tentent de se faire passer pour l’un d’eux en usurpant leur user-agent par exemple, ça ne lui plait pas beaucoup et l’accès sera directement refusé.
D’ailleurs, si vous le souhaitez, mais ça je ne vous le recommande pas, à moins que le contenu de votre blog soit illicite, vous pouvez refuser l’accès à tous les bots depuis les paramètres de Wordfence. Un robots.txt à la racine de votre hébergement est censé les empêcher de vous référencer mais il arrive que des bots n’en tiennent pas compte. Si c’était le cas, wordfence affichera un beau texte leur indiquer que l’accès leur est refusé et ne pourront pas scruter votre contenu. Wordfence dispose encore de nombreuses autres fonctions comme un pare-feu, un filtre antispam puissant (accessible uniquement dans la version payante) et diverses autres sécurités.
Personnellement, je l’utilise depuis plusieurs mois en version gratuite et je dois dire qu’il fait très bien son boulot. Chaque jours, j’empêche l’accès à mon tableau de bord ou à des plugins inexistant aux pirates des 4 coins du globe. je l’ai couplé à un autre plugin qui m’envoie un mail à chaque fois qu’une erreur 404 se présente sur le blog. Ainsi je sais immédiatement qui tente d’accéder à quoi, combien de fois il l’a fait, quelle est son IP, son user-agent etc … Si je ne suis pas devant le Pc, je suis ainsi averti sur mon smartphone et je peux agir rapidement en conséquence. Au niveau des ressources utilisées par Wordfence, effectivement il en utilise en peu, mais selon moi c’est le prix à payer pour avoir un minimum de sécurité. Il ne double pas non plus le temps d’accès à aux articles, juste quelques fractions de secondes le temps de faire quelques vérifications sur la personne qui me rend visite. 🙂 Si vous avez un blog propulsé par WordPress, je vous recommande donc Wordfence qui vous protégera efficacement. Surtout qu’il est assez simple de le paramétrer, même pour un débutant. il faut juste parler un peu anglais car le plugin n’a pas été traduit en français. Rien d’insurmontable en soi.