Comment sécuriser WordPress avec Wordfence Security

Gérer un site WordPress, c’est passer par différentes émotions. Parfois, il y a de la joie. Comme lorsque vous voyez vos contenus se positionner petit à petit sur Google.

Parfois, il y a de la colère, quand votre site plante après une mise à jour. Et parfois, vous ressentez même de la peur. C’est le cas lors d’un piratage, un désagrément qui n’arrive pas qu’aux autres.

Pour éviter les sueurs froides à l’avenir, et protéger votre site, utilisez une extension de sécurité.

La plus célèbre du répertoire officiel se nomme Wordfence Security. Comme il est difficile de passer à côté, on l’a testée pour vous, histoire de savoir ce qu’elle a dans le ventre. 

À la fin de cet article, elle n’aura plus de secret pour vous et vous saurez comment la paramétrer et l’utiliser.

Qu’est-ce que Wordfence Security ?

Wordfence Security est une extension pour renforcer la sécurité de votre site WordPress. Elle propose plusieurs fonctionnalités pour protéger votre installation, parmi lesquelles : un pare-feu applicatif, un scanner de logiciels malveillants, l’authentification à deux facteurs, ou encore la protection contre les attaques par force brute.

Avec 5M+ installations actives, il s’agit de l’extension de sécurité la plus populaire du répertoire officiel de plugins devant iThemes Security (900K installations actives), All in One Security (1M+ installations actives) et Sucuri 800K+ installations actives).

L’extension Wordfence Security, aussi appelée « Wordfence Free », est gratuite. À côté de cela, Wordfence propose aussi plusieurs solutions payantes :

• Wordfence Premium, une version encore plus complète que l’extension gratuite, avec assistance incluse ;
• Wordfence Care : l’équipe de l’outil de sécurité se charge d’installer Wordfence, de le configurer, de l’optimiser et de surveiller votre site pour vous. En cas de problème lié à la sécurité, une équipe dédiée intervient ;
• Wordfence Response, un service dédié aux sites WordPress pour lesquels les temps d’arrêt (downtime) ont un impact financier. Ce service est surtout destiné aux gros sites recevant beaucoup de trafic et aux boutiques e-commerce ;
• Wordfence Intelligence est dédié essentiellement aux hébergeurs web qui souhaitent recueillir des données sur la sécurité en général.

Notez que l’équipe de WordFence propose aussi deux autres extensions gratuites sur le répertoire officiel. Wordfence Assistant est un plugin qui vous sera utile si Wordfence est actif sur votre site mais que vous ne pouvez plus accéder à votre tableau de bord. Wordfence Login Security contient certaines fonctionnalités déjà présentes dans l’extension gratuite : authentification à deux facteurs, protection XML-RPC et CAPTCHA sur la page de connexion. Vous n’avez aucune utilité à l’activer si vous vous servez déjà de Wordfence Security.

Quelles sont les fonctionnalités majeures de Wordfence Security ?

Wordfence Security est une solution de sécurité globale qui agit à plusieurs niveaux. Pour en profiter, l’utilisateur profite de plusieurs options phares :

• un pare-feu applicatif (web application firewall, WAF) qui identifie et bloque le trafic malveillant depuis votre serveur web (et pas dans le cloud comme le propose son concurrent Sucuri, par exemple) ;
• un scanner de logiciels malveillants (malwares) qui bloque les requêtes qui incluent du code ou du contenu malveillant ;
• une protection contre les attaques par force brute (brute force attacks) en limitant les tentatives de connexions à votre page de connexion à l’administration ;
• l’authentification à deux facteurs, pour ajouter une couche de sécurité supplémentaire pour pouvoir vous connecter à votre site WordPress ;
• un reCAPTCHA sur vos pages de connexion pour empêcher les robots de se connecter et limiter le spam ;
• des alertes par e-mail lorsqu’un problème de sécurité est détecté ;
• une plateforme, appelée Wordfence Central, pour gérer la sécurité de plusieurs sites en un seul endroit. Cela fonctionne sur le même principe que ManageWP, qui permet d’assurer la maintenance de vos sites WordPress.

Pourquoi utiliser une extension de sécurité comme WordFence ?

Vous le savez peut-être déjà : WordPress est le CMS (Content Management System, Système de gestion de contenu) le plus utilisé à travers la planète, avec 62,8 % de parts de marché.

Au-delà de cela, il propulse près d’un site sur deux à travers le monde (parmi le million de sites recevant le plus de trafic).

Cette position dominante aiguise les appétits des pirates humain, et surtout des bots malveillants qui agissent en automatique tels que les :

• robots de spam ;
• robots qui scrappent (extraient) votre contenu ;
• robots qui lancent des attaques par déni de service (DoS) ou des attaques par déni de service distribué (DDoS).

Au total, 90 % des attaques perpétrées contre un CMS touchent WordPress. Et 2 800 attaques à la seconde cibleraient même des installations WordPress, à travers le monde !

Rassurez-vous : fort heureusement, WordPress n’est pas une passoire. Selon un rapport publié en 2021 par l’expert en sécurité Patchstack, seulement 0,58 % des failles de sécurité proviennent du Cœur (Core) de WordPress.

Le principal coupable, ce sont vos plugins, qui concentrent à eux seuls 92,81 % des vulnérabilités (contre 6,61 % pour les thèmes).

Certaines conclusions de l’étude de Patchstack sont assez éloquentes et réclament de prendre la question de la sécurité très au sérieux :

• en moyenne, 42 % des sites WordPress ont au moins un composant vulnérable (plugin, thème) installé ;
• les vulnérabilités ont augmenté de 150 % entre 2020 et 2021 ;
• 29 % des plugins WordPress contenant des vulnérabilités critiques n’ont pas reçu de correctif.

Du coup, vous me voyez venir : votre site WordPress doit être OBLI-GA-TOI-RE-MENT protégé pour renforcer sa sécurité. 

Pour cela, une extension comme Wordfence peut faire le boulot. Ça tombe bien, je vous montre ci-dessous comment l’installer. 

Comment installer Wordfence en 3 étapes ?

Étape 1 : Activer l’extension sur votre tableau de bord WordPress

La première étape consiste à installer le plugin depuis votre interface d’administration WordPress. 

Passez par le menu Extensions > Ajouter et tapez « wordfence » dans la barre de recherche :

Cliquez sur le bouton « Installer maintenant » à côté de « Wordfence Security – Firewall & Malware Scan », puis activez l’extension.

Étape 2 : Obtenir une clé de licence WordFence

Une fois le plugin activé, une fenêtre va s’ouvrir en surbrillance pour vous demander d’obtenir une licence Wordfence. C’est un préalable nécessaire pour profiter de toutes les options de l’extension gratuite.

Cliquez sur le bouton « Get your Wordfence license » :

Vous êtes alors renvoyé sur la page présentant les tarifs de Wordfence, sur son site officiel. Cliquez sur le bouton « Get a free license » pour obtenir une clé pour la version gratuite de l’extension :

Une nouvelle fenêtre s’ouvre sur votre écran. Wordfence vous demande si vous êtes sûr de vouloir utiliser sa version gratuite… en vous exposant le principal avantage de sa version premium : dès que l’équipe du plugin déploie une mesure de protection sur son pare-feu ou son scanner de logiciels malveillants, elle est mise à jour en temps réel sur l’offre premium (contre 30 jours après sur l’offre gratuite).  

Comme je souhaite simplement me servir du plugin gratuit, je clique sur « I’m OK waiting 30 days for protection from new threats » :

Dans la fenêtre suivante, entrez votre adresse e-mail, cochez les cases et cliquez sur « Register » («S’inscrire ») :

Étape 3 : Installer votre licence sur WordPress

À présent, rendez-vous sur votre boîte de réception mail. Vous avez dû recevoir un courrier électronique de la part de Wordfence.

À l’intérieur, vous trouverez votre clé de licence pour pouvoir l’activer manuellement. Pour aller encore plus vite, Wordfence vous propose aussi de l’activer automatiquement pour vous. Pour cela, cliquez sur le bouton « Install My License Automatically » :

Vous serez redirigé sur votre tableau de bord WordPress, avec les champs « Email » et « License key » déjà remplis. Terminez en cliquant sur « Install License » :

Bien joué : le plugin est désormais en ordre de marche. Dans la barre latérale de gauche, sur votre interface d’administration, vous disposez à présent d’un nouveau menu baptisé « Wordfence » contenant tous les réglages proposés par l’extension :

Découvrez-les tout de suite en détails, histoire de voir ce qui se cache sous le capot du plugin.

Comment paramétrer le plugin Wordfence Security ?

Comment fonctionne le tableau de bord de Wordfence Security ?

Le centre névralgique de l’extension, c’est son tableau de bord (« Dashboard »).

Il propose des raccourcis rapides pour accéder aux différentes options proposées par l’extension, que vous retrouvez aussi dans le menu situé dans votre barre latérale (sidebar) de gauche.

En un clic, vous pouvez profiter :

• du pare-feu applicatif ;
• du scanner de logiciels malveillants ;
• de Wordfence Central. Pour profiter de ce service qui permet de mettre à jour la sécurité de vos sites depuis le même tableau de bord, vous devez créer un compte gratuit. Cela peut être pratique si vous devez gérer la sécurité de plusieurs sites en même temps. Pour un usage individuel, passez votre chemin ;
• des options générales pour paramétrer vos alertes par e-mail et vos réglages du pare-feu et du scanner ;
• d’un accès à la documentation de l’extension ;
• d’un journal de notifications ;
• d’un résumé des attaques bloquées sur votre site WordPress ;
• d’un graphique présentant le nombre total d’attaques bloquées sur l’entièreté du réseau Wordfence.

Le tableau de bord est clair et compréhensible. On arrive facilement à se repérer parmi les différentes options proposées. Par contre, on peut regretter que l’interface soit uniquement disponible en anglais.

Si cela vous pose problème, voici deux solutions :

• servez-vous d’un outil comme Google Traduction pour traduire les termes que vous ne comprenez pas ;
• si vous avez un peu de temps devant vous, vous pouvez aussi traduire tous les menus de Wordfence Security à l’aide de l’extension Loco Translate. Comme ça, vous disposerez de Wordfence en français ! Alex vous présente Loco Translate en détails dans cette vidéo :

Comment utiliser le pare-feu applicatif ?

Une protection contre de multiples attaques

L’une des principales fonctionnalités de Wordfence reste son pare-feu applicatif.

Ce dernier est capable d’identifier le trafic malicieux et de bloquer les pirates et autres bots malveillants avant qu’ils ne puissent accéder à votre site.

Le pare-feu est accessible en passant par Wordfence > Firewall. Il protège notamment votre site contre les attaques suivantes :

• injections SQL, soit des attaques sur votre base de données ;
• script de site à site (cross-site scripting, XSS) : du code malveillant est injecté dans le contenu de vos pages ;
• téléchargements de fichiers malicieux ;
• attaques par traversée de répertoire (directory traversal) ;
• failles Local File Inclusion (LFI), dans lesquelles des fichiers distants sont ajoutés sur votre serveur web.

Par défaut, il faut savoir que le pare-feu est en mode apprentissage (Learning Mode) pendant une semaine, à partir du moment où vous installez l’extension.

« Cela permet à Wordfence d’apprendre à connaître votre site afin de comprendre comment le protéger et comment autoriser les visiteurs normaux à traverser le pare-feu, détaille Wordfence. Nous vous recommandons de laisser Wordfence en mode apprentissage pendant une semaine avant d’activer le pare-feu. »

Si vous souhaitez outrepasser ces recommandations, cliquez sur « Enabled and Protecting » dans le menu déroulant ci-dessous :

Comme indiqué précédemment, seule la version premium de l’extension bénéficie d’une mise à jour du pare-feu en temps réel à chaque fois qu’une nouvelle menace est détectée par l’équipe de Wordfence (au global, pas forcément une attaque destinée à viser votre site). La mise à jour de la version gratuite du pare-feu intervient 30 jours après que la menace a été détectée. 

Mode de fonctionnement du firewall de WordFence Security

Par défaut, le plugin a configuré des réglages de base pour renforcer la sécurité de votre site. Mais vous pouvez quand même procéder à des réglages un peu plus techniques en profitant d’options supplémentaires :

Parmi eux, on recense par exemple les éléments suivants :

• mettre en liste blanche certaines adresses IP ;
• renseigner des adresses IP à ne pas prendre en compte par le pare-feu ;
• configurer la protection des attaques par force brute. Vous pouvez par exemple spécifier à partir de combien de tentatives de connexion échouées l’accès à votre page de connexion sera impossible (et pendant combien de temps).
  Cela vous évite l’usage d’une extension supplémentaire comme Limit Login Attempts Reloaded.

Lorsque le pare-feu est en ordre de marche, des cercles vous indiquent votre niveau de protection (en pourcentage). Lorsque le cercle est gris, le pare-feu est en mode apprentissage.

L’objectif est d’arriver à un score de 100 % (couleur verte). Vous pouvez y parvenir en suivant les recommandations fournies, en passant votre souris sur chaque cercle :

Cependant, un score de 100 % ne sera pas toujours atteignable avec la version gratuite de l’extension. 

Pour y parvenir, il faudra utiliser des options premium, comme le blocage en temps réel des adresses IP.

L’onglet Blocage du pare-feu applicatif

Outre les règles de pare-feu qui protègent contre diverses attaques, Wordfence dispose également de fonctions personnalisées pour un blocage supplémentaire. Elles sont accessibles en passant par l’onglet « Blocking » :

Vous pouvez créer des règles de blocage basées sur :

• une adresse IP ;
• une zone géographique (Country) ;
• un ensemble de critères (Custom Pattern) comme un réseau d’adresses IP ou des navigateurs web. 

Pour plus d’infos là-dessus, regardez cette vidéo :

Comment se servir du scanner de logiciels malveillants ?

Passons maintenant au scanner proposé par le plugin, accessible via Wordfence > Scan.

L’outil de scan analyse votre site (fichiers du Cœur, des thèmes et des plugins) à la recherche des éléments suivants : logiciels malveillants, mauvaises URLs, portes dérobées (backdoors, accès distant à votre site), spam SEO, redirections malicieuses et autres injections de code.

Lors de son scan, l’extension « compare vos fichiers de base, vos thèmes et vos plugins avec ce qui se trouve sur le répertoire de WordPress.org », détaille Wordfence Security. « Elle vérifie leur intégrité et vous signale toute modification. »

Dans un premier temps, le scan se concentre sur des contrôles de spam et d’adresses IP placées sur liste noire (pour la version premium uniquement). Elle passe ensuite à l’étude des fichiers de votre site et fournit des résultats.

Dans mon cas, le plugin me signale que j’utilise un identifiant administrateur trop peu sécurisé (« admin »). Je peux alors résoudre ce problème en cliquant sur « Edit », ou tout simplement l’ignorer :

Comme pour le pare-feu, des cercles m’indiquent les éléments à optimiser pour atteindre un score de 100 %.

En cliquant sur « Scan Options and Scheduling », il est aussi possible de paramétrer des réglages plus spécifiques. 

Pour optimiser la performance, vous pouvez par exemple :

• choisir de faire tourner le scanner de façon limitée, pour économiser de la bande passante (rappelez-vous que Wordfence tourne sur votre serveur web, il utilise donc de la ressource) ;
• limiter manuellement le nombre d’éléments à scanner.

Comment activer l’authentification à deux facteurs ?

Après le pare-feu et le scanner d’analyse de votre site, WordFence Security propose à ses utilisateurs d’activer l’authentification à deux facteurs (Wordfence 2FA). 

L’authentification à deux facteurs ajoute une mesure de sécurité supplémentaire pour se connecter à votre site WordPress.

Après avoir entré votre identifiant et votre mot de passe, on va vous demander d’utiliser un appareil, bien souvent votre smartphone ou votre tablette, pour pouvoir valider le processus de connexion.

C’est une méthode déjà utilisée par les établissements bancaires lorsque vous procédez à des paiements en ligne. Elle est très efficace pour vous protéger contre les attaques par force brute.

Pour vous en servir, passez par le menu Wordfence > Login Security. En résumé, vous devez :

• installer sur votre smartphone une application pour vous authentifier, à l’image de Google Authenticator, Sophos Mobile Security ou FreeOTP Authenticator ;
• scanner le QR code proposé par Wordfence avec l’application d’authentification choisie (1) ;
• entrer le code à 6 chiffres affiché après le scan du QR code pour autoriser la connexion entre votre site WordPress et l’application (2).

Si vous désirez suivre ce processus d’activation en vidéo, consultez cette ressource :

L’authentification à deux facteurs peut être mise en place pour tous les rôles utilisateurs, de l’administrateur à l’abonné, en passant par l’onglet « Settings » (« Réglages ») :

Toujours dans l’onglet « Settings » du menu « Login Security », vous pouvez aussi activer la version 3 de Google reCAPTCHA, pour vous protéger contre le spam sur la page de connexion à l’administration. Pour fonctionner, ce service nécessite d’obtenir une clé de licence gratuite de la part de Google.

Les autres outils proposés par Wordfence Security

Le tour du propriétaire WordFence Security est bien avancé. Pour terminer, plongeons-nous dans les deux derniers menus proposés par l’extension WordPress de sécurité.

Le menu Tools

Le menu Tools (« Outils ») se compose de 4 onglets :

• « Live Traffic » vous montre ce qui se passe sur votre site en temps réel, notamment les connexions des utilisateurs, les tentatives de piratage et les requêtes qui ont été bloquées par le pare-feu Wordfence. Un code couleur (vert, gris, jaune, rouge) vous indique qui essaie d’accéder à votre site (humains ou robots) et l’état (avertissement, blocage) :

• « Whois Lookup » pour savoir à qui appartient une adresse IP ou un nom de domaine qui visite votre site ou qui se livre à une activité malveillante sur vos pages ;
• « Import/Export Options » pour exporter ou importer vos options Wordfence sur un autre site WordPress ;
• « Diagnostics » livre des informations qui peuvent être utilisées pour résoudre des conflits, des problèmes de configuration ou de compatibilité avec d’autres plugins, thèmes ou l’environnement d’un serveur.

Le menu All Options

De son côté, le menu « All Options » recense sur une même page toutes les options disséminées dans d’autres menus, comme par exemple au niveau du pare-feu, du scanner d’analyse ou des options de connexion.

L’avantage, c’est que vous retrouvez tout au même endroit. Je ne vais pas décortiquer toutes les options, puisque vous avez vu les principales précédemment.

Par contre, il est intéressant de noter que c’est ici que vous pouvez paramétrer vos préférences d’alertes par e-mail. Vous disposez d’une dizaine de cases à cocher qui permettent par exemple d’être alerté (ou non) :

• lorsqu’une adresse IP est bloquée ;
• quand une personne est bannie de votre page de connexion ;
• quand un nombre important d’attaques est détecté sur votre site WordPress.

On en a terminé avec ce tour complet des fonctionnalités de Wordfence Security. Intéressons-nous maintenant de plus près aux tarifs de cette solution.

Combien coûte Wordfence ?

Wordfence Security est d’abord disponible gratuitement sur le répertoire officiel WordPress. Forcément, comme toute version gratuite, elle ne comprend pas toutes les options proposées dans l’offre payante de l’extension.

Wordfence Premium est facturée 119 $/an (113 €). En dehors du support prioritaire, la différence principale avec l’offre gratuite réside dans la fréquence des mises à jour des outils proposés par Wordfence.

En premium, dès que les serveurs de Wordfence détectent des menaces en temps réel, ils mettent à jour dans la foulée les règles de votre pare-feu, la détection des logiciels malveillants, et la liste de blocage des adresses IP. 

Avec le plugin gratuit, vous devez attendre 30 jours après la mise en ligne pour bénéficier des mises à jour effectuées. 

Au-delà de cela, Wordfence propose aussi deux licences au sein desquelles une équipe dédiée se charge d’installer, configurer et gérer Wordfence à votre place :

• Wordfence Care : 490 $/an (465 €) ;
• Wordfence Response : 950 $/an (900 €). Cette licence donne accès aux mêmes options que Wordfence Care, mais vous disposez en plus d’un temps de réponse garanti en 1 heure maximum et les délais d’intervention sont possibles 7j/7j.

Ces deux dernières offres sont surtout dédiées aux sites d’envergure et aux personnes n’ayant pas le temps de se charger de la sécurité de leur site (et qui disposent du budget pour déléguer cette tâche).

Pour votre site ou blog personnel, le plugin gratuit ou premium de Wordfence sera suffisant. 

Notre avis final sur le plugin Wordfence

Pour conclure, récapitulons ce que nous avons vu depuis le début de cet article, avec un résumé des points forts et des points faibles de cette extension de sécurité.

Avantages de l’extension Wordfence Security

• L’interface agréable et claire, qui facilite la prise en main.
• Elle applique automatiquement des réglages de sécurité basiques pour vous.
• Les nombreuses fonctionnalités proposées dès la version gratuite, avec en particulier la présence d’un pare-feu applicatif.
• L’authentification à deux facteurs.
• Le scanner de sécurité.
• Les alertes par e-mail pour vous signaler un problème.

Inconvénients de l’extension 

• L’interface du plugin n’est pas traduite en français.
• Certains réglages sont trop complexes pour un débutant, mais c’est aussi le lot des autres extensions de sécurité. 
• Le fait que les dernières mises à jour des menaces détectées ne soient appliquées que 30 jours après leur mise en ligne.
• L’usage de Wordfence peut provoquer des ralentissements sur vos pages car il consomme pas mal de ressources serveur. Si votre hébergeur ne suit pas derrière, la performance de votre site pourrait être impactée. Si vous êtes hébergé chez o2switch (lien aff), tout devrait bien se passer. 

Devez-vous l’utiliser ?

Dans sa globalité, Wordfence reste une très bonne extension de sécurité. Comme elle fonctionne en automatique pour la plupart de ses options, elle conviendra aux débutants.

Les utilisateurs plus confirmés apprécieront quant à eux de pouvoir appliquer des réglages plus techniques et avancés.

Grâce à l’extension gratuite, vous disposerez d’un bouclier appréciable pour bloquer la plupart des attaques malveillantes, à travers son pare-feu applicatif notamment. Ce dernier sera déjà efficace pour proposer un premier niveau de sécurité à votre site.

C’est à souligner car d’autres extensions concurrentes (ex : Sucuri) ne proposent pas de pare-feu dans leur version gratuite. C’est pourtant une protection de base à avoir pour n’importe quel site.

Et si vous souhaitez en plus vous protéger des dernières menaces détectées par l’équipe de Wordfence (c’est toujours mieux), basculez sur l’offre premium si votre budget le permet.

Au final, n’oubliez pas que l’usage d’une extension de sécurité ne fait pas tout. Déjà, parce qu’aucun site n’est infaillible. Ensuite parce que vous devez appliquer des bonnes pratiques au quotidien. Pensez par exemple à mettre à jour et à sauvegarder votre site régulièrement.

Alors, que pensez-vous de Wordfence ? Donnez-moi votre avis dans les commentaires.