Tutoriel Wordfence : comment sécuriser votre site WordPress contre les pirates ?

Les paramètres de sécurité de WordFence causent beaucoup de confusion là-bas sur Internet, il semble à en juger par la quantité d'e-mails que nous recevons pour obtenir de l'aide pour le configurer! Wordfence est un excellent moyen d'augmenter la sécurité du site Web sur votre site Web WordPress, mais c'est un plugin assez complexe. Il n'est pas évident lorsque vous l'installez quels sont les paramètres optimaux. Nous espérons que ce guide clarifiera cela pour vous et vous donnera les meilleurs paramètres pour votre installation Wordfence.

Au moment où j'écris cet article, quelqu'un quelque part voit son site Web piraté! Regardez ces statistiques!

La sécurité des sites Web est un sujet brûlant et la sécurisation de votre site WordPress est un must car les pirates tentent constamment d'y accéder. En effet, vous êtes probablement tombé sur cet article parce que vous êtes vous-même concerné. Vous vous êtes assis devant votre ordinateur portable et avez tapé dans Google "Wordfence Security" ou un autre terme de recherche.

Avant de commencer, jetons un coup d'œil à certaines des statistiques WordFence tirées aujourd'hui de ce site Web:

Comme vous pouvez le voir, il y a eu beaucoup d'attaques sur mon site Web au cours des 7 derniers jours seulement. Il y a eu 108 tentatives d'utilisation d'admin comme nom d'utilisateur de connexion, par exemple:

Heureusement pour nous, nous utilisons WordFence sur tous nos sites et également sur nos sites clients, donc tout cela est surveillé et signalé. Le simple fait est que le jour où vous lancez un site Web, quelqu'un quelque part essaiera de le pirater et d'y accéder. Ignorer cela ou penser que cela ne vous arrivera pas, c'est vous enfouir la tête dans le sable.

Avec cet article, je vais vous montrer comment en utilisant le plugin de sécurité Wordfence, vous pouvez protéger votre site Web WordPress contre les pirates afin que vous n'ayez plus à vous en soucier. Je vais vous montrer comment installer WordFence sur votre serveur, puis le configurer avec les paramètres optimaux. Du début à la fin, il vous faudra environ 30 minutes pour installer et configurer correctement le plugin Wordfence Security.

Au moment où nous aurons terminé, votre site sera protégé et vous pourrez vous détendre en sachant que vous avez fait tout votre possible pour empêcher les pirates d'y accéder. Tout d'abord, examinons le pirate et ce qu'il recherche en premier lieu.

Pourquoi les pirates veulent-ils pirater mon site WordPress?

C'est une bonne question et il y a quelques raisons. Ceux-ci sont:

• Ils veulent avoir un bon aperçu et voler toute information cachée que le site peut contenir. Il peut s'agir des détails du client, des adresses e-mail, des informations de connexion à d'autres sites.
• Ils veulent supprimer votre site et laisser un slogan ou un message désagréable sur la page d'index pour vous embarrasser.
• Ils veulent installer un virus ou un malware sur votre serveur afin qu'ils puissent créer des liens de spam ou envoyer des virus à vos visiteurs en utilisant vos comptes de messagerie.

Comment obtiennent-ils l'accès ?

• Les pirates exécutent des programmes logiciels qui exécutent des requêtes ping constamment sur les sites Web. Une fois qu'ils ont trouvé un site, le logiciel continuera d'essayer des noms d'utilisateur et des mots de passe de connexion aléatoires jusqu'à ce qu'ils y accèdent. Comme vous pouvez le voir dans l'image ci-dessous aujourd'hui, nous avons eu 114 tentatives.

Maintenant, bien sûr, le nom d'utilisateur de ce site n'est pas "admin" pour commencer, mais le programme des pirates essaiera toutes sortes de combinaisons et ils frappent sur les sites qui utilisent l'ancien classique de

mot de passe administrateur

que les informations de connexion, puis Et Voila, ils sont.

• Ils trouvent un trou dans votre code ou l'un des plugins que vous utilisez. Il s'agit d'un itinéraire plus complexe vers votre serveur ou site Web, mais cela peut être fait si vous avez une vulnérabilité dans votre code. C'est pourquoi il est important de mettre à jour Windows et de maintenir à jour votre site Web et ses plugins lorsque de nouvelles versions sont publiées.
• Semblable à ce qui précède, ils trouvent une faille de sécurité dans votre serveur Web lui-même ou ils devinent le compte FTP de vos serveurs Web. Encore une fois en essayant des combinaisons d'administrateur, de mot de passe, etc. pour les noms d'utilisateur de connexion.

Je me suis cogné à ce sujet plusieurs fois. Nous utilisons RoboForm pour TOUS nos mots de passe et la génération de mots de passe et nos noms d'utilisateur sont toujours obscurs et jamais «admin».

Wordfence La meilleure façon de protéger votre site WordPress contre les pirates

Wordfence est un plugin GRATUIT (il existe une version premium) que vous pouvez installer sur votre site wordpress qui aide à le protéger des pirates et de leurs attaques. Si un pirate parvient à passer et à installer des logiciels malveillants, par exemple, WordFence vous aidera également à le supprimer.

Wordfence vous aide à protéger votre site des principales manières suivantes.

Wordfence utilise et Endpoint Firewall qui analyse tout le trafic de données AVANT qu'il n'atteigne votre site Web. S'il détecte un pirate informatique, il le bloque avant qu'il ne puisse accéder à votre site.

Malware Scanner:

Wordfence a un scanner de malware intégré qui scanne régulièrement vos fichiers, plugins et thèmes à la recherche de malware. Il analyse également vos pages et vos publications à la recherche de liens que les pirates informatiques auraient pu insérer dans le code. Vous pouvez bien sûr passer à la version premium de WordFence et bénéficier d'une protection encore plus importante. Au moment de la rédaction, c'est 99 $ pour un site pour l'année. Nous avons la version premium sur tous nos sites mais je l'ai supprimée temporairement afin que je puisse écrire cet article montrant les captures d'écran de la version gratuite pour vous.

Réparation de fichiers WordFence:

Wordfence possède un système de réparation de fichiers intégré qui vous permet de:

• Trouver des fichiers corrompus
• Téléchargez le fichier d'origine pour le comparer au fichier modifié et voyez les différences
• Afficher et réparer le fichier dans son état d'origine

Wordfence surveille également les attaques en temps réel sur son site Web que vous pouvez voir sur cette carte:

Premium ou pas?

Alors, quelle est la différence entre la version gratuite et la version premium que nous utilisons sur tous nos sites et sites clients d'ailleurs? Ce sont les principales différences bien qu'elles modifient cela de temps en temps si elles ajoutent des fonctionnalités supplémentaires.

Liste noire Ip en temps réel:

Cela bloque en temps réel toutes les adresses IP connues qui attaquent actuellement les sites Web wordpress.

Mises à jour du pare-feu en temps réel:

WordFence surveille tout le trafic sur le réseau et met à jour en temps réel les règles de pare-feu.

Blocage par pays:

Vous permet littéralement d'empêcher un pays entier d'accéder à votre site.

Mises à jour des signatures de logiciels malveillants:

Le pare-feu et le scanner WordFence s'appuient sur des signatures de logiciels malveillants pour aider à identifier les logiciels malveillants sur votre site. Avec la version premium, cela se produit en temps réel.

Mises à jour automatiques:

Mises à jour de WordFence au besoin. Les utilisateurs gratuits attendent celui-ci pendant 30 jours.

Vérifications de réputation:

Vérifie si votre site Web ou votre adresse IP figure sur des listes noires pour la diffusion de spam ou d'activités malveillantes.

La version premium en vaut-elle la peine? À notre avis, oui, mais nous exécutons des versions premium pour tous les plugins pour être honnête.

Comment installer et configurer Wordfence ?

Maintenant, comme vous le savez peut-être. C'est une chose d'obtenir tous ces plugins sophistiqués et une autre chose de savoir comment les configurer correctement! WordFence n'est pas différent ici car il est assez complexe et certaines des règles que vous ne comprendrez pas quel est le meilleur paramètre. Donc, dans cette section, je vais vous montrer comment l'installer sur un nouveau site en utilisant la version gratuite et, plus important encore, comment la configurer.

Commençons donc par ceci:

• Connectez-vous à votre administrateur WordPress
• Dans le menu de gauche, sélectionnez les plugins

• Maintenant, cliquez sur le bouton Ajouter un nouveau.
• Tapez ensuite WordFence dans la zone de recherche en haut à droite et appuyez sur Entrée.

Vous devriez maintenant regarder quelque chose comme ça.

Cliquez sur Installer maintenant dans WordFence Security - Firewall & Malware Scan, puis attendez quelques secondes pendant que le plugin est installé. Le bouton passera alors à Activer. Cliquez sur Activer une fois que vous le pouvez.

Une fois activé, ce petit écran apparaîtra:

Saisissez votre adresse e-mail et décidez si vous souhaitez ou non recevoir des mises à jour par e-mail. Cochez ensuite la case et cliquez sur Continuer.

L'écran suivant vous permet de passer à la version premium. Ici, vous pouvez entrer votre clé premium si vous l'avez déjà ou cliquez simplement sur Non merci si vous ne le faites pas car vous pouvez mettre à niveau plus tard si vous le souhaitez.

Ok c'est WordFence est maintenant installé sur votre site WordPress. Arrive maintenant le moment où tout le monde se débat. Comment le configurer correctement!

Configurer la sécurité Wordfence de la bonne façon

Après avoir activé le plugin, il apparaîtra dans votre menu de gauche comme ceci.

Si vous cliquez sur ce lien, il vous amènera à votre tableau de bord et une fenêtre contextuelle apparaîtra sur la version actuelle qui ressemble à ceci.

Lorsque vous ouvrez chaque nouvelle section, vous obtiendrez un de ces pop-ups vous indiquant ce que cette section peut faire. Vous pouvez cliquer sur Suivant, Suivant, etc. si vous souhaitez les lire ou simplement les fermer avec le petit x dans le coin supérieur droit de la boîte.

Pour nos besoins, je veux que vous cliquiez sur Suivant suivant sur toutes les cases, puis faites défiler vers le haut de la page et sélectionnez «CLIQUEZ ICI POUR CONFIGURER»

Cela fera apparaître cette petite boîte pour vous.

Appuyez sur le bouton télécharger .HTACCESS et enregistrez le fichier dans un endroit sûr. Nous téléchargeons notre fichier .htaccess car WordFence va apporter des modifications à celui du serveur, c'est donc votre sauvegarde si les choses tournent mal ici.

Une fois que vous l'avez téléchargé, cliquez sur Continuer. Vous ne pouvez pas cliquer sur continuer tant que vous n'avez pas cliqué sur TÉLÉCHARGER

Ensuite, vous verrez ce petit message.

Cliquez sur FERMER sur ce message pour revenir au bureau WordFence. Vous allez maintenant voir cela.

Je veux que vous cliquiez sur «Oui, activez la mise à jour automatique».

Terminé? Agréable. Ce message aura disparu et vous devriez être de retour au tableau de bord. Tout bon.

En regardant votre tableau de bord, vous verrez maintenant que le pare-feu est en mode apprentissage. C'est normal. Une fois l'apprentissage terminé, il passera automatiquement à Activé et Protéger.

Maintenant, je veux passer en revue tous les autres paramètres que vous devez configurer.

Configuration des paramètres avancés de WordFence

Encore avec moi? Bon continuons. Alors maintenant, je veux que vous reveniez au menu de gauche et cliquez sur Toutes les options. Comme ça.

Cela vous amènera à cette page. Cliquez sur Tout développer sur cette page pour qu'elle ressemble à ceci.

Il y a beaucoup d'options ici et je vais parcourir chaque section afin que vous puissiez les définir correctement:

Licence WordFence:

Celui-ci, vous pouvez le laisser tel quel. Vous ne modifieriez celui-ci que si vous êtes passé à premium et que vous souhaitez ajouter votre licence premium ici.

Personnalisation de la vue:

Définissez votre personnalisation de la vue comme celle-ci avec l'option de menu Affichage «Toutes les options» cochée

Paramètres généraux de WordFence:

Définissez vos paramètres WordFence généraux comme le mien dans cette diapositive.

• Ajoutez l'adresse e-mail à laquelle vous souhaitez envoyer les alertes.
• Définissez «Laissez WordFence utiliser la méthode la plus sécurisée pour obtenir les adresses IP des visiteurs
• Suspendre les mises à jour en direct lorsque la fenêtre perd le focus
• Intervalle de mise à jour en secondes défini sur 15
• Supprimer les tables WordFence et les données sur la désactivation

Options de notification du tableau de bord:

• Assurez-vous que le statut de numérisation est coché

Préférences d'alerte par e-mail:

Celui-ci, vous pouvez définir comme vous le souhaitez. Il s'agit d'une liste de choses dont vous serez informé par e-mail si elles se produisent. C'est ainsi que le mien est défini pour nos sites, mais vous pouvez jouer avec si certains d'entre eux vous ennuient.

Rapport d'activité:

Pour celui-ci, cochez «Activer le widget de rapport d'activité sur le tableau de bord WordPress»

Options de pare-feu:

Options de base du pare-feu:

Comme vous pouvez le voir sur cette diapositive, mon site est en mode d'apprentissage et en «Activé et protecteur»

Options avancées de pare-feu:

Assurez-vous que cette section ressemble à la diapositive ci-dessous.

Règles:

Assurez-vous de cliquer sur le bouton «Développer toutes les règles», puis assurez-vous que TOUTES les règles du pare-feu sont vérifiées comme les miennes.

Brute Force Protection:

Définissez la protection Brute Force comme suit:

• Verrouiller après combien d'échecs de connexion = 20
• Verrouiller après combien de tentatives de mot de passe oublié = 20
• Compter les échecs sur quelle période = 4 heures
• Durée de verrouillage d'un utilisateur = 4 heures
• Verrouillez immédiatement les noms d'utilisateur invalides = Vérifié UN
• Empêcher l'utilisation de mots de passe divulgués lors de violations de données = cochée

Options additionelles:

Pour les paramètres de force brute supplémentaires, définissez-les comme suit:

• Appliquer des mots de passe forts = coché
• Ne laissez pas WordPress révéler des utilisateurs valides dans les erreurs de connexion = coché
• Empêcher les utilisateurs d'enregistrer le nom d'utilisateur «admin» s'il n'existe pas = coché
• Empêchez la découverte des noms d'utilisateurs via les analyses '/? Author = N', l'API oEmbed et l'API REST WordPress = Vérifié
• Bloquer les adresses IP qui envoient des demandes POST avec un agent utilisateur et un référent vierges = vérifié UN
• Vérifier la force du mot de passe lors de la mise à jour du profil = coché
• Participer au réseau de sécurité Wordfence en temps réel = coché

Limitation de débit:

Pour la limitation de débit, définissez-les comme suit:

• Activer la limitation de débit et le blocage avancé = activé
• Bloquer immédiatement les faux robots Google = coché
• Comment devrions-nous traiter les robots d'exploration de Google = Les robots d'exploration Google vérifiés ont un accès illimité
• Si les demandes de quelqu'un dépassent = 240 par minute, réduisez-les
• Si le nombre de pages vues d'un robot dépasse = 240 par minute, réduisez-le
• Si les pages d'un robot non trouvées (404 s) dépassent = 30 par minute, bloquez-le
• Si le nombre de pages vues par un humain dépasse = 240 par minute, réduisez-le
• Si les pages d'un humain non trouvées (404s) dépassent = 15 par minute, bloquez-le
• Combien de temps une adresse IP est-elle bloquée lorsqu'elle enfreint une règle = 5 minutes

URL de liste blanche:

Sur une nouvelle installation, votre section URL de liste blanche sera vide. Wordfence ajoutera des URL à cette liste et vous pouvez également les ajouter manuellement vous-même.

Options de blocage

Les options de blocage à l'échelle du pays ne sont disponibles que dans la version premium, donc sur votre installation gratuite, cela ressemblera à ceci.

Options de numérisation

Planification de l'analyse:

Définissez ici les options de numérisation suivantes:

• Planifier les analyses Wordfence = Activé
• Laissez Wordfence choisir quand analyser mon site (recommandé) = Coché
• Analyse personnalisée

General Options:

Définissez les options de scan suivantes telles que les miennes dans la diapositive ci-dessous.

Performance Options:

Utilisez les paramètres de performances suivants:

• Utiliser l'analyse des ressources faibles (réduit la charge du serveur en allongeant la durée de l'analyse) = cochée
• Limitez le nombre de problèmes envoyés dans l'e-mail des résultats de l'analyse = 500
• Limite de temps pendant laquelle une analyse peut s'exécuter en secondes = vide
• Quelle quantité de mémoire Wordfence doit-il demander lors de la numérisation = 100
• Temps d'exécution maximum pour chaque étape de scan = 0

Options de numérisation avancées:

Vous pouvez laisser ces deux champs vides.

Options d'outils

Options de trafic en direct:

Pour les options de trafic en direct, définissez-les comme les miennes dans cette diapositive.

Les deux options restantes sur cette page sont vos options de paramètres d'importation et d'exportation. Vous pouvez enregistrer tous ces paramètres et les exporter, puis si vous configurez un nouveau site, importez-les tous. C'est ce que nous faisons pour les clients et cela accélère tout le processus.

Excellent travail, vous avez terminé avec tous les principaux paramètres de WordFence. WordFence s'efforcera désormais de protéger votre site de tous les pirates informatiques. Il vous enverra par e-mail les détails des analyses et des menaces potentielles. Comme avec tous les plugins WordpRess, assurez-vous de le tenir à jour avec les nouvelles versions dès qu'elles seront disponibles.