Comment paramétrer Wordfence pour sécuriser WordPress ?

La sécurité de votre site WordPress est un sujet crucial que l’on peut facilement avoir tendance à sous-estimer, jusqu’à ce qu’un problème surgisse : piratage, malware, perte de données sensibles… Pourtant, quelques bonnes pratiques suffisent souvent à éviter bien des soucis, et l’utilisation d’un plugin comme Wordfence peut faire toute la différence.

Dans cet article, nous allons découvrir ensemble comment Wordfence peut protéger efficacement votre site. Ce plugin de sécurité tout-en-un propose une gamme complète d’outils, allant de la détection des malwares à la mise en place de pare-feu (firewall) personnalisés, sans oublier la surveillance en temps réel des menaces.

Nous verrons quels avantages offre Wordfence, mais aussi comment le configurer pas à pas pour garantir une protection optimale de votre site WordPress.

Réglages rapides pour sécuriser rapidement un site WordPress

Wordfence reste sans doute à ce jour l’un des meilleurs plugins gratuits pour améliorer la sécurité sur WordPress (Solid Security, anciennement iThemes Security, fait aussi partie des plugins réputés). Il peut à la fois jouer un rôle préventif et un rôle curatif, en vous aidant à repérer les fichiers touchés par un piratage.

Pour l’installer, direction le menu Extensions > Ajouter de votre site. Cherchez le nom de l’extension. Pensez à l’activer une fois l’installation terminée.

Globalement, les réglages par défaut du plugin protègent déjà votre site dans de nombreuses situations. Si vous êtes pressé et n’avez pas le temps d’entrer dans le détail de la configuration en lisant le tutoriel complet, je vous conseille quelques paramétrages rapides à mettre en place :

• Allez dans le menu Wordfence > All Options de l’administration WordPress et vérifiez que l’option “Web Application Firewall Status” est activée pour activer le pare-feu.
• Au niveau de la ligne “Allowlisted IP addresses that bypass all rules”, indiquez votre adresse IP si elle est fixe (l’adresse IP est un numéro qui identifie une machine – comme un ordinateur par exemple – sur un réseau, elle peut être fixe ou changer à chaque connexion). Vous pouvez utiliser un site comme Mon IP pour la connaître. Ca permet de se prémunir contre un blocage par erreur.
• Vérifiez que l’option “Enable brute force protection” est activée. Juste en-dessous, réglez “Lock out after how many login failures” sur 3 et “Lock out after how many forgot password attempts” sur 2, “Count failures over what time period” sur 2h (2 hours) et “Amount of time a user is locked out” sur 2 months (2 mois) : ça permet de bloquer assez rapidement quelqu’un qui fait plusieurs mots de passe erronés en un temps limité ou essaie plusieurs fois de récupérer le mot de passe.
• Dans la partie “Live Traffic Options”, je vous conseille de choisir “Security Only” et pas “All traffic” pour que Wordfence ne stocke pas TOUT ce qui se passe sur le site mais seulement l’essentiel, afin d’améliorer la performance web.

Sécuriser WordPress avec Wordfence est une première brique du travail, en complément je vous conseille la lecture de mon guide sur la sécurité WordPress pour identifier d’autres actions de protection à mettre en place.

Si vous souhaitez entrer dans le détail, nous allons maintenant voir l’ensemble des options de configuration disponibles.

Le dashboard Wordfence : une synthèse de la protection de WordPress

C’est un tableau de bord qui vous donne un panorama instantané de la situation sur votre site.

Notifications de sécurité

Si des problèmes sont détectés lors d’un scan de sécurité (comme des fichiers modifiés ou des vulnérabilités dans des plugins), ces alertes apparaissent directement sur le tableau de bord. Vous y trouverez un résumé des mesures recommandées pour résoudre les problèmes détectés.

Attaques bloquées

Vous pouvez voir le nombre d’attaques bloquées par le pare-feu de Wordfence (“Firewall Summary – Attacks Blocked”) par jour, par semaine ou sur le mois.

Vous pouvez également avoir une idée du volume global d’attaques bloquées par Wordfence sur le réseau de tous les sites qui utilisent l’extension (“Total Attacks Blocked: Wordfence Network”).

“Qualité” de la protection

Je mets de gros guillemets à ce terme et vous allez comprendre pourquoi. Wordfence propose une évaluation de la qualité du paramétrage du pare-feu (“Firewall”) et du scan, évaluée sous forme de pourcentage.

En réalité, pour obtenir tous les points, il est indispensable d’activer des options Premium (donc disponibles uniquement dans la version payante du plugin). Ces statistiques ont donc plutôt pour but de vous montrer qu’il est possible d’aller encore plus loin qu’avec la version gratuite.

En complément de ce dashboard, vous avez accès à d’autres informations quand vous vous trouvez dans le tableau de bord principal de WordPress (menu “Tableau de bord” de votre administration) :

• Un aperçu des adresses IP bloquées par l’extension (Top 5 IPs Blocked).
• Un aperçu des pays qui attaquent votre site en majorité (Top 5 Countries Blocked) : Pays-Bas, France et Singapour arrivent en tête dans mon cas.
• Un aperçu de toutes les connexions à votre administration ayant échoué (Top 5 Failed Logins) : c’est le cas lorsque quelqu’un teste plusieurs mots de passe et noms d’utilisateur pour essayer de se connecter sur votre site.

Le menu Firewall

Wordfence intègre un pare-feu qui vous protège contre une multitude de formes de piratage (injections SQL, cross-site scripting, exploitation des failles de certains plugins connus, etc). Je vous conseille donc de l’utiliser.

Ce pare-feu est activé par défaut, si vous êtes un utilisateur avancé vous pouvez le paramétrer plus finement en sélectionnant des exceptions au pare-feu mais la configuration par défaut ne m’a jamais posé problème.

Ici aussi, vous pouvez avoir un aperçu des adresses IP bloquées par le plugin, des tentatives de connexion ayant réussi ou échoué (avec les adresses IP associées) ainsi que des principaux pays à l’origine d’attaques sur votre blog. Vous pouvez également accéder à plusieurs options de paramétrage, que nous allons aborder dans le détail par la suite :

L’option “Rate Limiting”

Ces réglages de Wordfence permettent de limiter l’activité de certains utilisateurs (humains ou robots) afin de préserver les ressources de votre site.

Pour ma part, j’ai choisi de laisser les options par défaut car même s’il existe des robots de spam qui sont néfastes, beaucoup de robots jouent aussi un rôle très positif (ils se promènent sur vos pages pour les indexer dans un moteur de recherche par exemple !). Je ne veux donc pas prendre le risque de les brider.

Si vous êtes un utilisateur expert, vous pouvez bien sûr faire un choix différent et décider d’une limite au-delà de laquelle l’activité du robot sera bridée (“throttle it”) voire totalement bloquée (“block it”).

L’option “Blocking”

Il est parfois nécessaire sur un site de bloquer certains visiteurs indésirables : spammeurs, hackers, etc.

Wordfence se charge lui-même de bloquer certains utilisateurs identifiés comme spammeurs, hackers potentiels, etc. Le blocage s’effectue sur la base de leur adresse IP, série de chiffres unique qui identifie chaque machine présente sur un réseau.

Vous pouvez retrouver dans cet onglet tous les utilisateurs bloqués : ceux dont l’accès au site a été interdit, ceux qui sont bloqués parce qu’ils ont tenté de se connecter à de nombreuses reprises à votre administration, ceux qui ont tenté d’accéder trop souvent à votre site (ce qui peut arriver lors d’attaques en séries). En activant l’option “Show Wordfence Automatic Blocks”, vous verrez les utilisateurs que l’extension a bloqués d’elle-même.

Vous pouvez aussi bloquer manuellement une adresse IP précise si vous êtes régulièrement importuné par un spammeur. Commencez par choisir le type de blocage que vous souhaitez mettre en place :

• IP Address – Blocage par adresse IP.
• Country – Option qui vous permet de bloquer l’accès à votre site depuis certains pays. La fonctionnalité est réservée aux utilisateurs de Wordfence Premium.
• Custom pattern – Ce choix permet de définir des critères de blocage bien plus précis pour éliminer le trafic parasite. On peut ainsi bloquer du trafic en fonction d’une plage d’adresses IP, d’un nom d’hôte, d’un user-agent ou d’un referrer.

Vous pouvez entrer une raison à chaque blocage (“Block Reason”), ce qui est utile si la personne concernée vient se plaindre de ne plus avoir accès à votre site. N’oubliez pas de valider !

On peut bien entendu choisir de débloquer une personne précédemment bloquée, en cochant simplement l’adresse IP concernée et en cliquant sur “Unblock”.

Options avancées du pare-feu

En cliquant sur “All Firewall Options”, vous pouvez accéder à des paramètres avancés.

Delay IP and Country blocking until after WordPress and plugins have loaded – Sauf exception, il n’est pas utile de cocher cette case. Par défaut, Wordfence est actif dès le début du chargement de la page… Cette option permet d’attendre le chargement complet de WordPress et de ses extensions avant de mettre en place les blocages par adresse IP ou par pays.

Allowlisted IP addresses that bypass all rules – Ici, vous pouvez indiquer des adresses IP qui échappent à toutes les règles de filtrage paramétrées. C’est une fonctionnalité très pratique pour éviter tout risque de se bloquer soi-même. C’est un problème qui peut vous arriver si vous paramétrez mal Wordfence !

Imaginons par exemple que vous décidiez de bloquer tous les utilisateurs qui font plus de trois erreurs de mot de passe. En vous connectant à votre administration, vous vous trompez à plusieurs reprises. Vous risquez alors de vous faire bloquer par Wordfence.

Que faire si Wordfence vous a bloqué ? Il suffit de vous connecter sur votre FTP, où sont stockés les fichiers de votre site. Allez dans le dossier wp-content > plugins et renommez simplement le dossier “wordfence” (par exemple, en “wordfence2”). Ça désactivera le plugin et vous permettra de retrouver un accès à votre administration.

Pour éviter ce problème, vous pouvez aller sur un site quelconque pour connaître votre adresse IP et entrer l’information dans ce champ “Allowlisted IP addresses”. La méthode ne fonctionne que si vous avez une adresse IP fixe (qui ne change pas à chaque connexion).

Allowlisted services – Vous pouvez également mettre certains sites en “liste blanche” pour éviter qu’ils ne soient bloqués, à l’instar de Facebook ou du site de sécurité Sucuri. Par défaut, tous ces sites sont placés en liste blanche.

Immediately block IPs that access these URLs – Vous pouvez ici entrer l’adresse de certaines pages sensibles de votre site. Tout utilisateur tentant d’accéder à ces pages sera immédiatement bloqué par Wordfence. Il faut écrire l’adresse sous forme relative (au lieu d’écrire https://www.example.com/page-interdite/, écrivez juste /page-interdite/ en commençant toujours par un slash).

Ignored IP addresses for Wordfence Web Application Firewall alerting – Vous pouvez ici indiquer des adresses IP qui ne déclencheront aucune des alertes prévues par le pare-feu de Wordfence. En règle générale, je vous conseille de laisser ce champ vide pour continuer à être alerté en toutes circonstances.

Ensuite, vous disposez de la possibilité de choisir au cas par cas toutes les fonctionnalités du pare-feu parmi une liste assez conséquente.

Protection contre les attaques par force brute

Wordfence propose des protections contre les attaques par force brute. Ces attaques consistent à tester systématiquement des combinaisons de noms d’utilisateur et de mots de passe pour accéder à votre site. La protection est activée par défaut et je vous conseille de la laisser en place. Elle va améliorer la sécurité de la page de connexion à l’administration de WordPress.

L’extension va agir à plusieurs niveaux :

• Blocage des tentatives de connexion ratées – Dans mon cas, après 3 tentatives de connexion ratées (chiffre à renseigner au niveau de la ligne “Lock out after how many login failures”), l’utilisateur est automatiquement bloqué. Ça permet d’éviter les attaques en série où une personne va tenter de se connecter plusieurs fois de suite avec différents noms et mots de passe.
• Blocage des tentatives de récupération du mot de passe – Certains pirates vont essayer d’utiliser le formulaire “Mot de passe oublié” pour récupérer votre mot de passe. Vous pouvez définir un chiffre X au niveau de la ligne “Lock out after how many forgot password attempts”. Au bout de X utilisations de ce formulaire par un même utilisateur, celui-ci sera automatiquement bloqué. J’ai choisi 2 pour ma part.
• Période d’application (“Count failures over what time period”) – Définissez ici la période pendant laquelle les tentatives sont comptabilisées. Pour ma part, j’ai choisi 2h.
• Choisissez la durée du blocage (“Amount of time a user is locked out”) – Vous pouvez définir combien de temps un utilisateur bloqué doit attendre avant de pouvoir réessayer. Cela dissuade les pirates de poursuivre leurs tentatives.
• Immediately lock out invalid usernames – Cette option vous permet de bloquer immédiatement tout utilisateur qui se trompe en entrant son nom d’utilisateur pour se connecter. Je vous conseille de laisser cette case décochée car personne n’est à l’abri de faire une erreur ponctuelle en écrivant son nom d’utilisateur.
• Immediately block the IP of users who try to sign in as these usernames – Il peut être utile de bloquer par défaut les tentatives avec un nom “générique” qui n’est pas le vôtre. Si votre site est bien sécurisé, votre nom d’utilisateur n’est pas “admin” (le nom par défaut) et n’est pas non plus le nom de votre site (qui serait trop facile à deviner). Vous pouvez alors bloquer les gens qui tentent d’utiliser ces noms.
• Prevent the use of passwords leaked in data breaches – Cette option vous empêche de choisir un mot de passe qui a fuité sur le web suite à une faille de sécurité.

Options additionnelles

Vous avez enfin voir quelques options supplémentaires dans la partie “Additional options”.

• Enforce strong passwords – Cette option oblige les administrateurs et éditeurs (publishers) à utiliser des mots de passe très sécurisés, essentiels pour se protéger contre les tentatives de piratage. Je vous conseille d’activer cette option pour garantir une sécurité optimale sur votre site.
• Don’t let WordPress reveal valid users in login errors – Activez cette option. Par défaut, WordPress peut indiquer si un nom d’utilisateur est correct ou non lors d’une tentative de connexion infructueuse, ce qui aide les pirates à deviner les identifiants. Cette option empêche ces messages explicites, rendant plus difficile la découverte de comptes valides.
• Prevent users registering “admin” username if it doesn’t exist – Cette option s’adresse aux personnes qui autorisent la création de nouveaux comptes sur leur site. Si vous avez par exemple un espace réservé aux membres ou que vous acceptez l’inscription de contributeurs, ça les empêche de créer un compte avec le nom d’utilisateur “admin”. A cocher !
• Prevent discovery of usernames through ‘/?author=N’ scans, the oEmbed API, the WordPress REST API, and WordPress XML Sitemaps – Certains pirates utilisent ces solutions pour collecter les noms d’utilisateur du site. Cette option bloque ces méthodes, renforçant la sécurité. A activer, donc.
• Disable WordPress application passwords – WordPress permet d’utiliser des mots de passe spécifiques pour connecter des applications externes (par exemple, des intégrations tierces). Cependant, ces mots de passe peuvent constituer une faille s’ils sont mal gérés. Activez l’option pour les désactiver, sauf si vous en avez un besoin précis.
• Block IPs who send POST requests with blank User-Agent and Referer – Les requêtes POST sans ces en-têtes sont souvent associées à des activités suspectes (bots ou scripts malveillants). Cette option bloque les adresses IP de ces utilisateurs. Je vous conseille d’activer cette option mais seulement si vous pouvez vérifier que vos services externes légitimes ne risquent pas d’être bloqués.
• Custom text shown on block pages – Permet de personnaliser le message que les utilisateurs voient lorsqu’ils sont bloqués. Par exemple, vous pouvez expliquer pourquoi l’accès est interdit ou fournir un moyen de contact. Le texte peut inclure des sauts de ligne, mais les balises HTML seront supprimées.
• Check password strength on profile update – Lorsqu’un utilisateur modifie son mot de passe, cette option impose qu’il respecte des critères de robustesse (longueur minimale, caractères spéciaux, etc.). Activez cette option pour maintenir des mots de passe sécurisés.
• Participate in the Real-Time Wordfence Security Network – Wordfence mutualise toutes les données des utilisateurs qui ont activé cette option pour améliorer la sécurité chez tout le monde. Par exemple, s’il détecte sur un site quelque part dans le monde un utilisateur qui envoie énormément de spams, il va pouvoir mémoriser l’information et bloquer ensuite cet utilisateur sur votre propre site.. A activer, donc !

Paramétrer Wordfence : le menu Scan

Wordfence vous permet de scanner les fichiers de votre site afin de détecter des menaces de sécurité. Le scan peut être réalisé en continu ou à la demande, en cliquant sur le bouton “Start new scan”.

Que détecte le scan Wordfence ?

Le scan Wordfence est susceptible de détecter…

• Les fichiers infectés ou compromis (par des malwares, virus, ou code malveillant).
• Les vulnérabilités connues dans les thèmes et extensions installés.
• Les configurations dangereuses, comme des mots de passe faibles ou des permissions de fichiers incorrectes.
• Les modifications suspectes dans les fichiers WordPress de base, les thèmes et les extensions.
• Les fichiers inconnus ajoutés dans des répertoires sensibles (comme wp-content).
• Les alertes de sécurité sur votre site, comme les tentatives de piratage ou les attaques par force brute.

Après un scan, Wordfence génère un rapport listant :

• Les fichiers modifiés : vous pouvez les réparer (restaurer la version officielle) ou les ignorer si les changements sont légitimes.
• Les fichiers inconnus : Vous pouvez enquêter sur leur origine pour statuer et éventuellement les supprimer.
• Mises à jour nécessaires : Wordfence recommande de mettre à jour les plugins, thèmes ou WordPress pour corriger les vulnérabilités.
• Problèmes critiques : des alertes qui nécessitent une action immédiate, comme des fichiers contenant du code malveillant.

Face à un fichier signalé comme “suspect”, vous disposez de plusieurs options :

• Le réparer – Ça consiste à restaurer la version initiale du fichier (celle sans le code suspect). Notez qu’en cas de piratage, ça ne résout pas le problème de fond, à savoir qu’il existe une faille de sécurité ayant permis l’ajout de ce code. Mais ça peut vous permettre de récupérer un site propre, non piraté.
• L’ignorer – Si vous estimez que le code n’est pas suspect, vous pouvez choisir d’ignorer le signalement d’erreur jusqu’à ce qu’un nouveau changement soit apporté au fichier (“Ignore until file changes”) ou de manière permanente (“Always ignore”).
• Afficher les détails – Cette option vous permet de visualiser les changements et déterminer s’ils sont suspects ou non, notamment en cliquant sur “View differences”, un bouton qui permet de comparer la version du fichier telle qu’elle est connue de Wordfence, et la version qui se trouve sur votre blog.

Voici par exemple une comparaison entre deux versions d’un fichier :

Si vous constatez qu’un code étrange a été inséré dans vos fichiers, essayez d’en copier une partie sur Google pour trouver plus d’informations sur le sujet.

Les options de scan

En cliquant sur le lien “Manage scan”, vous accédez à une foule d’options pour paramétrer Wordfence selon vos besoins. Il y a d’abord différents niveaux de scan (“Basic Scan Type Options”) :

• Scan limité (Limited) : c’est un scan très léger, conçu pour préserver au maximum les ressources de votre hébergement.
• Scan standard : il analyse vos fichiers, extensions, thèmes, et recherche des malwares.
• Scan approfondi (High Sensitivity) : plus complet mais consomme davantage de ressources. Recommandé pour les sites confrontés à des menaces fréquentes ou après une infection.
• Scan personnalisé : il permet de choisir ce que l’on souhaite analyser.

Dans les “General Options”, vous pouvez ensuite choisir tout ce que Wordfence contrôle, par exemple :

• La réputation du site et de son IP pour repérer si votre site est identifié comme source de spam ;
• Les fichiers WordPress modifiés ou ajoutés illégitimement ;
• Les vulnérabilités dans les plugins, thèmes et versions obsolètes, ainsi que les configurations sensibles exposées publiquement, comme les fichiers de sauvegarde ou de configuration ;
• Les contenus malveillants (backdoors, trojans, URL menant à des sites frauduleux) dans les fichiers, articles, commentaires et paramètres ;
• Les utilisateurs : vérifier par exemple qu’il n’y a pas de compte admin “indésirable” créé sans passer par WordPress, que les mots de passe sont robustes…
• L’espace disque, pour prévenir les interruptions de service ;
• La configuration du pare-feu ;
• L’analyse des fichiers, qui peut s’effectuer comme s’il s’agissait de fichiers exécutables pour essayer de détecter des malwares déguisés ;
• Ce qui se passe en-dehors du répertoire de WordPress, idéal pour les environnements complexes.

Viennent ensuite des options de performance qui permettent si besoin de réduire la charge sur le serveur grâce à un mode de scan moins gourmand en ressources mais plus long (cochez la case “Use low resource scanning (reduces server load by lengthening the scan duration”). On peut aussi limiter le nombre de problèmes signalés par e-mail, définir une durée maximale pour un scan (par défaut 3 heures) et gérer la mémoire et le temps d’exécution alloués à chaque étape du scan. Si vous constatez que votre serveur a du mal à faire face à un scan, vous pouvez agir ici !

Enfin, il y a des options de scan avancé (Advanced Scan Options) qui permettent d’exclure des fichiers spécifiques grâce à des motifs définis (wildcards), ce qui est utile pour ignorer des répertoires ou fichiers non pertinents comme des caches ou des journaux. Vous pouvez également ajouter des signatures personnalisées pour détecter des menaces spécifiques, forcer l’utilisation de l’IPv4 pour démarrer les scans, et limiter le nombre de tentatives pour reprendre une étape de scan interrompue. Ces réglages offrent une grande flexibilité pour adapter les analyses aux besoins techniques de votre site.

Conseils d’utilisation du scan Wordfence

Je vous conseille d’effectuer un premier scan juste après l’installation de Wordfence pour détecter d’éventuels problèmes et partir sur une base propre. Par la suite, planifiez des scans réguliers pour maintenir une surveillance constante de votre site et gardez des notifications actives pour être prévenu rapidement en cas de problème.

Ne supprimez pas des fichiers signalés par Wordfence sans vérifier si c’est réellement nécessaire : parfois, les fichiers signalés comme modifiés sont liés à des modifications que vous avez apportées volontairement (traduction, etc) et non à un piratage.

Enfin, notez que le scan peut solliciter le serveur, surtout sur les hébergements mutualisés. Si toutefois vous rencontrez des problèmes de performance à ce niveau, vous pouvez choisir un niveau de scan moins gourmand en ressources.

Le menu Tools, la boîte à outils de Wordfence

Ce menu propose plusieurs outils complémentaires et facultatifs de l’extension.

L’onglet Live Traffic

L’option Live Traffic de Wordfence est un outil puissant qui permet de surveiller en temps réel l’activité de votre site WordPress. Elle offre une vue détaillée des actions effectuées sur votre site, que ce soit par des visiteurs humains, des bots, ou des pirates potentiels.

Vous pouvez visualiser en direct les requêtes entrantes sur votre site, qu’il s’agisse de pages visitées, de tentatives de connexion ou de requêtes bloquées par Wordfence. Chaque action est accompagnée d’informations précises, comme l’adresse IP de l’utilisateur, l’URL ciblée, le statut de l’action (réussie, bloquée ou rejetée), l’heure et la date, ainsi que les informations sur le navigateur utilisé.

Cet outil est particulièrement utile pour identifier des menaces en cours, comme des attaques par force brute, des tentatives d’accès interdites ou des comportements anormaux de bots malveillants. En quelques clics, vous pouvez bloquer une adresse IP suspecte directement depuis l’interface Live Traffic.

Wordfence propose deux modes de suivi pour cette fonctionnalité.

• Le mode “All Traffic” enregistre toutes les requêtes, y compris celles des bots légitimes comme Googlebot, offrant une vue exhaustive mais demandant davantage de ressources. Je vous conseille de ne pas l’utiliser car il fait peser une lourde charge sur le serveur.
• Le mode “Security Only”, quant à lui, se concentre uniquement sur les activités liées à la sécurité, comme les tentatives de connexion ou les requêtes bloquées, ce qui allège la charge sur le serveur tout en maintenant une surveillance efficace.

Vous disposez de plusieurs options pour ignorer le suivi de certains utilisateurs, comme les membres du site ayant des droits de publication (en cochant la case “Don’t log signed-in users with publishing access”). Vous pouvez ignorer des adresses IP, des navigateurs, limiter la quantité de données stockées par Wordfence (“Amount of Live Traffic data to store”) et la durée maximale du stockage (“Maximum days to keep Live Traffic data”).

L’onglet Audit Log

L’onglet Audit Log de Wordfence, principalement disponible dans la version Premium, est un outil qui permet de suivre en détail toutes les actions et événements liés à votre site WordPress. Il fournit un journal exhaustif des connexions et déconnexions des utilisateurs, en précisant leur rôle, leur adresse IP et les informations sur leur navigateur. Il consigne aussi les modifications apportées aux fichiers WordPress, comme les thèmes, les plugins ou les fichiers de base, qu’elles soient effectuées manuellement ou via des mises à jour automatiques. Les changements au niveau des paramètres, la création, suppression ou modification de comptes utilisateurs, ainsi que les ajustements du contenu (articles, pages, commentaires) sont également enregistrés, ce qui permet de surveiller toute l’activité sur le site.

L’Audit Log est particulièrement utile pour détecter des comportements suspects, comme l’ajout d’un administrateur inconnu ou des modifications non autorisées dans les fichiers, et pour diagnostiquer des problèmes en cas de dysfonctionnement ou d’attaque. Il est très utile également si vous avez besoin d’avoir une traçabilité pointue de ce qui est fait sur le site, pour prouver la sécurité des accès et des données.

Comme le Live Traffic, c’est une fonctionnalité qui peut produire une grande quantité de données, surtout sur de gros sites, on peut donc la personnaliser et la limiter au suivi des événements critiques.

Les utilisateurs de Wordfence Premium, la version payante de l’extension, peuvent configurer des alertes en temps réel ou exporter les journaux pour une analyse plus approfondie.

L’onglet WhoIs Lookup

Cette rubrique vous permet tout simplement de connaître l’origine géographique d’une adresse IP. Par exemple, si vous recevez régulièrement des spams depuis la même adresse IP, vous pouvez connaître sa provenance (ville ou quartier) et même bloquer toute la plage d’adresses IP associées (en cliquant sur “Block this network]”). Ça permet un blocage en série.

L’adresse IP est par exemple visible dans le menu Commentaires de WordPress, sous l’adresse e-mail du commentateur.

L’onglet Import/Export des réglages

Vous pouvez exporter les réglages de l’extension si vous avez plusieurs sites à configurer. Ça vous évitera de recommencer la procédure à chaque fois. Vous aurez simplement à utiliser la fonctionnalité d’import pour appliquer vos réglages à l’autre site.

L’onglet Diagnostics

C’est une grosse synthèse de l’état de votre site : plugins actifs, base de données, version de php et de MySQL, options actives, etc. La plupart du temps, vous n’aurez pas besoin d’y accéder.

Dans le tableau de diagnostic, le plugin Wordfence vous propose également différents tests (via la ligne “Other tests”) : test de la mémoire allouée par votre hébergeur à votre site (en cliquant sur “Test your WordPress host’s available memory”), test de l’envoi d’e-mails à partir de votre site (“Send a test email from this WordPress server to an email address”), etc.

C’est aussi là, dans la rubrique “Debugging Options”, que vous pouvez activer le mode de débogage (“Enable debugging mode”) si vous rencontrez un problème lié au plugin (vous pourrez ainsi consulter les erreurs).

Le menu Login Security, pour améliorer la sécurité de la page de connexion

Le menu Login Security de Wordfence permet de mieux sécuriser la page de connexion de votre site WordPress, souvent ciblée par les pirates et les bots malveillants. Ce menu propose des outils pour protéger efficacement les accès et empêcher les tentatives d’intrusion.

L’authentification à deux facteurs (2FA)

La fonctionnalité authentification à deux facteurs (2FA) de Wordfence renforce la sécurité de la page de connexion WordPress en ajoutant une deuxième étape d’identification : en complément du mot de passe, vous devez entrer un code unique généré par une application d’authentification comme Google Authenticator ou Authy. Ce code change toutes les 30 secondes et doit être saisi après le mot de passe pour accéder au site.

Autrefois réservée à la version Premium, cette fonctionnalité est désormais disponible gratuitement et peut être utilisée par les administrateurs, éditeurs ou tout autre rôle utilisateur. Wordfence génère également des codes de récupération uniques à conserver en cas de perte du dispositif d’authentification.

Le 2FA est compatible avec la page de connexion WordPress par défaut et WooCommerce, mais peut ne pas fonctionner avec des formulaires personnalisés créés par d’autres plugins ou thèmes. La désactivation de la 2FA est possible pour un utilisateur ou un compte si nécessaire, notamment en cas de changement de téléphone.

Les options d’authentification disponibles

On peut y activer l’authentification à deux facteurs (2FA) pour différents rôles d’utilisateurs, comme les administrateurs, éditeurs, ou abonnés, avec des paramètres spécifiques pour chacun. Une période de grâce configurable (par exemple 10 jours) peut être définie pour laisser le temps aux utilisateurs d’activer la 2FA avant que leur accès ne soit suspendu. Par ailleurs, l’option « Remember device for 30 days » offre un confort supplémentaire en limitant les demandes de code 2FA à une fois par mois sur chaque appareil.

Des fonctionnalités liées à XML-RPC permettent de renforcer encore la sécurité en exigeant des codes 2FA pour toute tentative d’authentification via cette interface ou en désactivant entièrement les requêtes XML-RPC nécessitant une connexion. Wordfence propose également une intégration avec WooCommerce, ajoutant un support pour reCAPTCHA et la 2FA sur les formulaires de connexion et d’inscription, ainsi qu’un onglet 2FA dans la page “Mon compte” des utilisateurs.

Le menu inclut également la possibilité d’activer reCAPTCHA v3 sur les pages de connexion et d’inscription. Cette version analyse le comportement des visiteurs pour distinguer les humains des bots sans qu’ils aient à résoudre de puzzles ou cliquer sur des cases. Vous pouvez configurer le seuil de confiance (par exemple, 0,5 pour indiquer une activité probablement humaine) et activer un mode test pour ajuster les paramètres avant de bloquer des connexions.

Des options générales permettent de définir des adresses IP en liste blanche pour contourner les exigences de 2FA et reCAPTCHA, et de synchroniser les horloges via NTP pour garantir une précision optimale pour l’authentification TOTP. Enfin, une option permet de supprimer toutes les données et configurations de sécurité de connexion (comme les enregistrements 2FA) lors de la désactivation de Wordfence, offrant une gestion propre en cas de désinstallation du plugin.

Le menu All Options, synthèse de tous les réglages pour paramétrer Wordfence

Dans ce menu, vous allez pouvoir accéder sur la même page à l’ensemble des options de configuration de l’extension Wordfence.

Wordfence License

C’est là que vous pouvez entrer votre numéro de licence si vous achetez la version Premium de l’extension.

View customization

Vous pouvez choisir de rendre certaines options plus faciles d’accès, en les affichant sous forme de sous-menu : la rubrique “Toutes les options” (All Options), la rubrique “Blocking” qui permet de bloquer facilement l’accès à votre site à certains utilisateurs indésirables, la rubrique “Live Traffic” qui permet de suivre le trafic en temps réel ou encore la rubrique “Audit log” dont je vous ai parlé pour les utilisateurs de Wordfence Premium.

Il suffit de cocher la case de l’option que vous souhaitez faire apparaître comme sous-menu. Pour ma part, j’ai coché “All Options” et “Blocking” car ce sont des rubriques auxquelles il est utile d’avoir accès rapidement pour paramétrer Wordfence et gérer la sécurité de son site au quotidien.

General Wordfence Options

Update Wordfence automatically when a new version is released – Cette option permet de configurer la mise à jour automatique de Wordfence dans les 24 heures suivant la sortie d’une nouvelle version. Si vous avez tendance à oublier de mettre à jour vos extensions WordPress, cocher cette case vous assure de toujours bénéficier des dernières améliorations de sécurité et corrections de bugs.

Where to email alerts – Vous pouvez spécifier une adresse e-mail pour recevoir des alertes de sécurité de Wordfence, comme un résumé des adresses IP bloquées, des menaces détectées ou des plugins nécessitant une mise à jour. Il est essentiel de configurer une adresse e-mail active pour ne manquer aucune information critique.

How does Wordfence get IPs – Wordfence propose plusieurs méthodes pour identifier les adresses IP des visiteurs. Par défaut, il utilise la méthode la plus sécurisée pour éviter les usurpations d’IP, ce qui fonctionne avec la plupart des sites. Vous pouvez également choisir des méthodes spécifiques comme REMOTE_ADDR, X-Forwarded-For, ou CF-Connecting-IP si vous utilisez un proxy ou Cloudflare. Il est recommandé de laisser la méthode par défaut, sauf si vous avez une configuration avancée.

Look up visitor IP locations via Wordfence servers – Si activée, cette option permet à Wordfence de déterminer les régions et villes des adresses IP via ses serveurs. Si désactivée, seule la localisation par pays sera disponible à l’aide d’une base de données locale.

Hide WordPress version – Cette option masque la version de WordPress utilisée sur votre site, compliquant ainsi la tâche des pirates qui cherchent des failles spécifiques aux versions obsolètes. Il est fortement conseillé de cocher cette case.

Disable Code Execution for Uploads directory – En activant cette option, vous empêchez l’exécution de code PHP dans le répertoire “uploads”. Cela limite les risques en cas d’accès malveillant à ce dossier. Cependant, cette option peut poser problème si certains plugins nécessitent l’exécution de scripts dans ce répertoire.

Pause live updates when window loses focus – Cette fonctionnalité met en pause les mises à jour en temps réel (comme les scans ou le suivi de trafic) lorsque la fenêtre de l’administration WordPress n’est plus active. Cela peut réduire la charge serveur sur des sites très sollicités, mais je ne l’ai pas activée car elle n’impacte pas significativement les performances de mon site.

Update interval in seconds – Ce paramètre définit la fréquence des mises à jour des informations affichées par Wordfence (comme le trafic ou le statut des scans). Vous pouvez le régler sur 5 secondes, une fréquence adaptée pour la plupart des sites. Si vous souhaitez réduire le trafic vers le serveur, vous pouvez augmenter cet intervalle.

Bypass the LiteSpeed “noabort” check – Si votre site est hébergé sur un serveur LiteSpeed et que l’option “External application abort” est configurée sur “No abort”, vous pouvez cocher cette case pour éviter des problèmes de compatibilité. Cela évite de modifier manuellement le fichier .htaccess.

Delete Wordfence tables and data on deactivation – Cette option permet de supprimer complètement les tables et données créées par Wordfence lors de sa désactivation. Cela inclut les réglages de sécurité, les journaux et les rapports de scan. Toutefois, cette option n’efface pas les données liées à “Login Security”, qui doivent être supprimées séparément dans les paramètres correspondants.

Dashboard Notification Options

Il s’agit des notifications qui apparaissent sur le tableau de bord, je vous conseille de tout cocher : des alertes s’afficheront si une mise à jour est nécessaire (pour une extension, un thème, WordPress lui-même), mais aussi si le scan du site aboutit à des “découvertes” de fichiers suspects.

En version gratuite, Wordfence peut aussi afficher des informations sur les mises à jour de Wordfence, les nouveautés, les promotions. Pour désactiver cet aspect publicitaire, il faut disposer de la version premium de l’extension.

Email Alert Preferences

Wordfence peut vous envoyer des alertes par e-mail dans un grand nombre de situations et je vous conseille de les paramétrer pour éviter d’être submergé de messages. Vous allez peut-être être surpris de découvrir que votre site est exposé en permanence à des robots de spam ou à des tentatives d’attaques.

Voici la liste des alertes que vous pouvez recevoir grâce à Wordfence :

• Être informé quand le plugin est mis à jour automatiquement (Email me when Wordfence is automatically updated) – Comme vous voulez !
• Être informé si le plugin est désactivé (Email me if Wordfence is deactivated) – A cocher impérativement, mieux vaut être prévenu si on désactive le plugin à votre insu !
• Être informé si le pare-feu est désactivé (Email me if the Wordfence Web Application Firewall is turned off) – A cocher aussi.
• Recevoir un e-mail selon les résultats du scan (Alert me with scan results of this severity level or greater) – Je vous conseille de choisir “High”, ainsi vous aurez un e-mail pour toute menace justement élevée ou critique.
• Recevoir une alerte quand une adresse IP est bloquée (Alert when an IP address is blocked) – A décocher car ça arrive souvent !
• Recevoir une alerte quand quelqu’un se fait bloquer après avoir tenté d’accéder plusieurs fois à l’administration (Alert when someone is locked out from login) – A vous de voir, pour ma part j’ai décoché la case.
• Recevoir une alerte quand quelqu’un se fait bloquer après avoir essayé d’utiliser un mot de passe dévoilé lors d’une fuite de données personnelles (Alert when someone is blocked from logging in for using a password found in a breach) – Vous pouvez cocher la case, il arrive régulièrement que des mots de passe soient exposés sur le web.
• Recevoir une alerte quand quelqu’un utilise le formulaire “mot de passe oublié” avec un nom d’utilisateur existant (Alert when the “lost password” form is used for a valid user) – A cocher ! C’est le cas où un pirate a deviné votre nom d’utilisateur et essaie de récupérer le mot de passe.
• Etre informé quand quelqu’un se connecte en tant qu’administrateur (Alert me when someone with administrator access signs in) – Pour ma part, je coche cette case ainsi que la case située en dessous (“M’alerter seulement si cet administrateur se connecte depuis un nouvel appareil ou un nouvel endroit”). Ça permet de surveiller l’accès à l’administration sans recevoir un message à chacune de ses propres connexions.
• Etre informé quand quelqu’un se connecte avec un autre rôle que le rôle d’administrateur (Alert me when a non-admin user signs in) – A vous de voir, si vous avez un site collaboratif mieux vaut décocher cette case pour éviter de recevoir une alerte à chaque fois que vos contributeurs se connectent !
• Recevoir un e-mail quand il y a une augmentation significative des attaques sur votre site (Alert me when there’s a large increase in attacks detected on my site) – Cochez cette case, Wordfence vous informera si vous êtes ciblé par une tentative de piratage de grande ampleur.

Enfin, vous pouvez définir un nombre maximum d’e-mails par heure. Si vous avez correctement paramétré vos alertes, vous ne devriez pas crouler sous les messages donc vous pouvez laisser “0” dans la case (= alertes illimitées).

Activity Report

Wordfence peut vous adresser une synthèse régulière par e-mail de la situation sur votre site : les adresses IP qui ont été bloquées, les plugins qui exigent d’être mis à jour, les fichiers qui ont été récemment modifiés, etc.

Dans cette partie des options, vous pouvez choisir si vous souhaitez activer ce résumé (en cochant la case “Enable email summary”), définir la fréquence d’envoi des e-mails (“Once a day/week/month” = un par jour/semaine/mois).

Vous pouvez aussi choisir d’exclure certains répertoires du suivi de la modification des fichiers (je vous conseille de laisser les paramètres par défaut sauf si vous savez ce que vous faites !).

Vous pouvez enfin afficher un widget de synthèse sur le tableau de bord de votre administration WordPress en cochant la case “Enable activity report widget on the WordPress dashboard”.

Pour ma part, j’ai désactivé le résumé par e-mail car je reçois déjà des alertes en cas de problème sur le blog. Je préfère ne pas encombrer inutilement ma boîte mail ! En revanche, j’ai activé le widget sur le tableau de bord car il permet de garder un œil sur la sécurité globale du site.

Options déjà évoquées

Toutes les options qui suivent ont déjà été évoquées dans le reste de l’article :

• Options du pare-feu (Firewall Options) ;
• Options de blocage (Blocking Options)
• Options de scan (Scan Options)
• Options des outils (Tool Options)

A qui s’adresse la version payante de Wordfence ?

Wordfence Premium peut valoir le coup si vous gérez un site WordPress qui nécessite un niveau de sécurité élevé ou une protection avancée contre les menaces. Cette version payante offre des fonctionnalités supplémentaires, par exemple des mises à jour en temps réel des signatures de malwares, un blocage géographique (permettant de restreindre l’accès à certains pays), des scans programmables, une vérification approfondie de la réputation de votre domaine (pour détecter s’il est inscrit sur des listes noires), et un support prioritaire.

Ces options sont particulièrement utiles pour les sites à fort trafic, les sites e-commerce, ou ceux manipulant des données sensibles, où la moindre faille pourrait avoir des conséquences importantes. Cependant, pour un blog personnel ou un petit site avec des risques limités, la version gratuite de Wordfence, déjà très complète, peut suffire.

Pour conclure, Wordfence s’impose comme un outil indispensable pour protéger efficacement un site WordPress. La version gratuite se révèle déjà très performante, et avec une configuration adaptée, elle peut répondre aux besoins de la majorité des utilisateurs. Par ailleurs, on rappellera l’importance d’adopter une approche proactive, en configurant correctement le plugin et en effectuant des scans réguliers. En combinant Wordfence avec d’autres bonnes pratiques de sécurité, vous pouvez naviguer plus sereinement dans l’univers WordPress.

Connaissiez-vous ce plugin ? Avez-vous mis en place des mesures pour assurer la sécurité de votre site ? Avez-vous déjà été piraté ?