Configurer wordfence

Publié le par

 

Configurer Wordfence, votre plugin de sécurité pour votre wordpress

 

  • Connectez vous à votre WordPress pour configurer wordfence

Pour vous connecter à votre interface wordpress rendez-vous sur la page http://www.adresse-de-votre-site.com/wp-admin avec votre navigateur internet. Entrez votre identifiant et votre mot de passe dans la boite de dialogue qui apparait.

configurer wordfence

  • Pour configurer Wordfence, dans le menu de gauche cliquer sur l’onglet Wordfence puis « options ».

En cas d’urgence, si vous avez repéré que votre site est entrain de subir une attaque changer le « Security Level » dans les Basic Options en cochant le Level 3 puis valider les modifications.
Pour les autres paramétrages pour configurer Wordfence voici quelques infos (source – http://www.business-marketing-internet.fr)

Dans la partie Basics options de wordfence

  • Where to email alerts: Indiquez votre e-mail pour recevoir les alertes.
  • Your Wordfence API Key: votre clé API par défaut pour une utilisation gratuite. Vous pouvez surclasser votre compte si vous voulez que wordfence analyse aussi les fichiers de vos plugins et de vos thèmes.
  • Security Level: le niveau de sécurité par défaut est 2. Le niveau 0 désactive la protection. le niveau 1 défini une protection légère. Le niveau 3 est à utiliser en cas d’attaque. Le niveau 5 bloque tous les accès en cas d’attaque prolongée.

Dans la partie Alerts de wordfence

  • Alert on critical problems; à cocher si vous voulez être prévenu en cas d’alerte critique
  • Alert on warnings: à cocher si vous voulez être prévenu en cas d’avertissement
  • Alert when an IP address is blocked: à cocher si vous voulez être prévenu à chaque fois qu’une adresse IP est bloquée
  • Alert when someone is locked out from login: à cocher si vous voulez savoir quand quelqu’un a été bloqué de l’espace administration
  • Alert when the « lost password » form is used for a valid user: à cocher si vous voulez savoir si quelqu’un fait une demande de récupération de mot de passe
  • Alert me when someone with administrator access signs in: à cocher si vous voulez savoir chaque fois qu’une personne avec les droits d’administrateur se connecte
  • Alert me when a non-admin user signs in: à cocher si vous voulez savoir à chaque fois qu’un utilisateur se connecte

Dans la partie Live traffic view de wordfence

  • Enable Live Traffic View: cocher pour activer la vue du trafic en direct
  • Don’t log signed-in users with publishing access: à cocher si vous voulez exclure les personnes connectées avec les droits d’éditeur
  • List of comma separated usernames to ignore: indiquez les noms d’utilisateurs à exclure des rapports, séparés par une virgule
  • List of comma separated IP addresses to ignore: indiquez les adresses IP à exclure, séparées par une virgule
  • Browser user-agent to ignore: Indiquez votre liste d’user-agent à ignorer. Pour avoir plus d’infos sur cette liste, lisez cet article
  • Limit size of hits table to: taille maximum pour cette table

Dans la partie scans to include de wordfence

  • Enable automatic scheduled scans: à cocher pour activer les scans planifiés
  • Scan core files against repository versions for changes: à cocher pour vérifier toute modification de vos fichiers de base de votre blog wordpress
  • Scan theme files against repository versions for changes: vérifie les fichiers du thème. Uniquement en version payante
  • Scan plugin files against repository versions for changes: vérifie les fichiers des plugins. Uniquement disponible en version payante
  • Scan for signatures of known malicious files: à cocher pour détecter les signatures des fichiers malveillants connus
  • Scan file contents for backdoors, trojans and suspicious code: à cocher pour détecter les backdoors, troyans et autre code suspicieux
  • Scan posts for known dangerous URLs and suspicious content: à cocher pour scanner les messages contenant des URLs dangereuses
  • Scan comments for known dangerous URLs and suspicious content: à cocher pour détecter les URLs suspicieuses dans les commentaires
  • Scan for out of date plugins, themes and WordPress versions: à cocher pour vérifier si les plugins ou les thèmes sont toujours mis à jours avec les nouvelles mises à jour de wordpress
  • Check the strength of passwords: à cocher pour vérifier la fiabilité de vos mots de passe
  • Monitor disk space: à cocher pour vérifier l’espace disque
  • Scan for unauthorized DNS changes: à cocher pour vérifier qu’aucune modification des DNS n’est effectuée
  • Scan files outside your WordPress installation: à cocher si vous voulez scanner des fichiers externes à wordpress comme des fichiers en téléchargement ou des pages html par exemple

Dans la partie firewall rules de wordfence

  • Enable firewall rules: à cocher pour activer les règles du pare-feu
  • Immediately block fake Google crawlers: à cocher pour bloquer les faux robots google
  • How should we treat Google’s crawlers: comment traiter les robots de google. Laissez la première option qui permet aux robots un accès illimité à votre blog
  • Pour les autres options, je vous suggère de laisser les réglages par défaut. Seuls les utilisateurs expérimentés devraient modifier ces paramètres. Ce qui n’est pas mon cas.

Dans la partie login security options de wordfence

  • Enable login security: à cocher pour activer la fonction login sécurité
  • Lock out after how many login failures: indiquer au bout de combien de tentatives de connexion échouées, il faut bloquer l’utilisateur
  • Lock out after how many forgot password attempts: indiquer au bout de combien de mauvais mots de passe, il faut bloquer l’utilisateur
  • Count failures over what time period: indiquez sur quelle durée comptabiliser les échecs
  • Amount of time a user is locked out: indiquez le nombre de fois ou un utilisateur peut être bloqué
  • Immediately lock out invalid usernames: à cocher si vous voulez bloquer immédiatement un utilisateur en cas de mauvais identifiant de connexion
  • Don’t let WordPress reveal valid users in login errors: à cocher si vous ne voulez pas que les utilisateurs valides apparaissent dans les erreurs de connexion

Dans la partie other options de wordfence

  • Whitelisted IP addresses that bypass all rules: indiquez ici les adresse IP qui arrivent à contourner toutes les règles de sécurité, séparées par une virgule
  • Hide WordPress version: à cocher pour masquer la version de wordpress
  • Hold anonymous comments using member emails for moderation: à cocher si vous voulez tenir des commentaires anonymes en utilisant des courriers électroniques de membre modérateurs
  • Scan comments for malware and phishing URL’s: à cocher pour détecter les commentaires malveillants, et les tentatives de phishing
  • Check password strength on profile update: vérifier la fiabilité du mot de passe sur le profil mis à jour
  • Participate in the Wordfence Security Network: à cocher si vous voulez participer à la sécurité des réseaux wordfence
  • Maximum memory Wordfence can use: indiquer le maximum de mémoire que doit utiliser wordfence
  • Enable debugging mode: à cocher si vous voulez activer le mode débogage

Maintenant, vous pouvez configurer Wordfence pour l’adapter à vos besoins.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *