Avant la grosse vague de piratages de blogs WordPress qui a eu lieu récemment à la mi-juillet 2014, j’avais pris le temps de commencer à rechercher des ressources pour protéger le blog, mais je n’avais pas pris le temps de vraiment m’arrêter sur tout ce que pouvaient proposer ces différents plugins que j’avais trouvé. Parmi tout ce que j’ai pu voir et tester jusque là, voici 2 plugins qui pour le moment fonctionnent bien et répondent à mes attentes :
Wordfence
Wordfence est un plugin WordPress gratuit en partie seulement. Certaines fonctions sont disponibles par défaut sans aucun coût, quant aux autres, il faut payer pour en bénéficier.
Pour faire court, Wordfence fonctionne sur le blog WordPress comme un antivirus et un pare-feu : Il permet notamment de scanner la base et vérifier si rien ne craint, quant en parallèle il bloque toute tentative d’entrée malveillante sur le site.
Pour le blog, je me contente des fonctionnalités offertes qui me paraissent suffisantes, et j’ose espérer que ça durera 🙂
Parmi les fonctions gratuites de Wordfence, on trouve la fonction SCAN. Cette fonction est simple à utiliser. Il suffit de se rendre sur son administration WP, de survoler le menu Wordfence et de cliquer sur le premier sous menu nommé Scan.
Le scan tourne comme le ferait un scan via un antivirus sur un ordinateur classique, sauf que là tout tourne sur la page WordPress.
Pour lancer le scan, une fois sur la page dédiée, il suffira alors de cliquer sur Start a Wordfence scan et laisser le plugin faire le boulot. Si on regarde la chose tourner, on voit que certaines fonctionnalités sont payantes et qu’elles ne seront pas enclenchées, mais grosso modo, le scan tourne de façon assez complète. Comme avec un antivirus classique, on voit l’avancée de l’analyse et les résultats, et logiquement, le résultat à la fin est chouette : rien d’inquiétant ! 🙂
Sous l’onglet SCAN, on voit une seconde fonction nommée Live Traffic. Un petit tour sur cet onglet permet de découvrir une autre fonction sympa de Wordfence, à savoir sa fonction de blocage de certaines tentatives d’entrées sur le blog.
Une fois sur la page LIVE TRAFFIC, c’est en se rendant sur Logins and Logouts qu’on peut voir que certaines choses se passent sans qu’on le sache. Ce n’est pas forcément rassurant de savoir qu’il y a autant de tentatives de connexion, et en même temps au moins, on voit que ce conseil super courant sur WordPress qui invite tous les propriétaires de sites à modifier le LOGIN : ADMIN se vérifie :
J’en profite donc pour faire ce rappel, ne restez pas avec le login ADMIN qui peut être activé par défaut. Modifiez le 🙂 Chaque année, de nombreux blogs WordPress sont piratés par le biais des comptes toujours activés avec le login Admin. De toutes façons Admin c’est moche 🙂 alors autant le virer et le remplacer !
Je vous laisse découvrir les autres fonctionnalités qui sont toutes aussi intéressantes, mais payantes pour la plupart.
Les aspects négatifs de Worfence : Le plugin est en anglais et si perso cela ne me pose pas de soucis, je sais cependant qu’avoir des extensions en français reste quand même relativement + confortable. C’est toujours mieux de manipuler des outils qu’on ne connaît pas très bien, dans sa langue maternelle. En bref, à quand une version française ? L’autre aspect + ou moins négatif, c’est que le plugin soit en partie payant. Mais bon, les fonctions gratuites sont loin d’être gadget et on peut a priori s’en contenter.
BackUpWordPress
Ce second plugin sert lui à faire des sauvegardes du blog. D’un côté des sauvegardes de la base SQL, d’un autre, des sauvegardes de la totalité des fichiers du blog présents sur le serveur FTP : Images…
Ce plugin comme Wordfence, est téléchargeable depuis le répertoire des extensions de WordPress. Une fois le plugin téléchargé depuis le tableau de bord de WordPress et l’extension activée, on y accède via la rubrique OUTILS de son administration WordPress, puis en cliquant sur Sauvegardes. Simple non ? 🙂 C’est là qu’on arrive sur la page de gestion des sauvegardes présentée ci dessous.
Complete Weekly amène sur la page des sauvegardes complètes faites toutes les semaines. Complètes car cela intègre la sauvegarde intégrale du blog sur le serveur d’hébergement + la sauvegarde de la base SQL. Ceci est le paramètre par défaut : Si on ne touche rien à la configuration de base, le blog sera automatiquement sauvé de façon hebdo.
Database Daily : C’est le lien vers les sauvegardes de la base SQL, également appelée BDD (Base De Données). Ces sauvegardes ont lieu tous les jours 🙂 Une fois sur la page, on a la liste de toutes les sauvegardes faites avec 2 choix : Télécharger ou Supprimer.
Ensuite, on trouve en dernier lieu : Ajouter une planification. Là, pas de mystère sur le pourquoi du comment. Cela sert tout simplement à programmer soi même d’autres sauvegardes 🙂 Pratique si on veut faire des « saves » plus fréquemment.
Bon à savoir : Lorsqu’on planifie une sauvegarde, un courriel peut être envoyé à l’adresse électronique de son choix pour y recevoir la fameuse sauvegarde. Si le fichier est trop lourd, alors on reçoit tout de même un email pour prévenir que la « Save » a été faite et qu’on peut aller la télécharger 🙂
Les aspects négatifs de BackUpWordPress : Le plugin est assez mal traduit, on a du français et de l’anglais, bref, bof bof. Sinon rien à reprocher à ce plugin. On veut des sauvegardes, on a des sauvegardes. Même si on ne touche pas à la configuration de l’extension, les sauvegardes se font toutes seules en autonome. Plutôt cool. En revanche, il faut bien penser à aller les télécharger au moins 1 fois par semaine 🙂 sans quoi les sauvegardes, elles servent à rien 😉
Pour compléter les actions de ces 2 plugins, j’utilise également une fonction du super Plugin Jetpack, à savoir MONITOR. Ce petit module est vraiment pas mal. Comme indiqué dans sa description, il sonde régulièrement le blog sur lequel il est activé, et dès qu’il détecte une indispo ou autre chose bizarre, il envoie un email à l’adresse de notre choix 🙂
Il m’arrive de temps en temps donc de recevoir des mails me disant que le blog a été Out pendant quelques minutes. On reçoit un mail quand plantage il y a, et un mail quand c’est revenu. Souvent, tout est à nouveau ok avant même qu’on ait à agir (sans doute quelques latences serveur ou autre petite déco SQL).
Ces petites sécurités n’empêcheront pas tout, et si jamais le blog devait subir une attaque, j’imagine que ça finirait par marcher un jour. C’est un peu comme avoir une assurance dans la Vie de tous les jours, on en est toujours content et satisfait tant qu’il ne nous arrive rien, et c’est parfois quand il y a un pépin qu’on peut être amené à déplorer certains détails du contrat. Mais avoir peur n’empêche pas le danger, alors puisque là tout va bien, ce genre de petits plugins permet au moins de sécuriser un peu + son blog et d’être + tranquille vis à vis de certains événements vraiment super casse-tête.
Bonjour GG !
J’utilise BackUpWordPress depuis longtemps même si -heureusement !- je n’ai jamais eu à m’en servir.
Par contre je ne connaissais pas du tout Wordfence et je vais tout de suite l’installer 😉 J’ai regardé rapidement, je pense aussi me contenter de la version gratuite.
A bientôt
Iris
Coucou Iris,
Oh, bah tu me diras ce que tu penses de Wordfence 🙂 Ici l’installation date d’un peu plus d’un mois et jusque là no soucis.
Comme dirait Jean Yves lafesse : Pourvu que ça dure ! 🙂
J’ai installé Wordfence et c’est pas mal merci pour le conseil !
Clairre
Coucou Claire ! J’espère que le Plugin te conviendra 🙂 Welcome back !
Oui! Je ne pensais pas qu’autant de personnes essayait de se connecter via « admin » mais il y en a plusieurs par heure, ça fait vraiment peur ! Ca m’a convaincu de prendre 10 minutes pour changer le nom de mon compte 🙂
Au début j’étais un peu dubitative vis à vis de toutes ces connections en mode Admin, mais j’ai lu sur pas mal de sites sur WordPress qui sont des références, que cette technique de piratage est un classique, courante, qui fait des dégâts, donc finalement c’est pas si surprenant : ça rend même parano lol.
j’avais aussi lu cet article après l’installation pour voir un peu les échos ailleurs : http://wpformation.com/wordfence-antivirus-wordpress/
a priori Wordfence est reconnu comme efficace par l’auteur du blog 🙂
Salut,
pour ma part j’utilise backWPup pour les sauvegardes. Il permet automatiquement d’envoyer une sauvegarde des fichiers et de la BDD sur dropbox, par fichier ou encore FTP, tout ça gratuitement…
En plus, limit login attempt pour bloquer les utilisateurs qui essayeraient de s’identifier trop de fois (avec des robots par exemple) et block bad queries.
A+
Bonjour Mathieu,
J’ai déjà entendu parler de backWPup pour les saves aussi, mais pas encore eu l’occasion de tester, peut être très prochainement sur un ancien blog. En es-tu satisfait ?
Login Limit attempt je pense souvent à le prendre mais j’ai peur que ça fasse double emploi avec Wordfence. Je testerai en même temps que BackWPup tiens, cela fera un retour d’expérience 🙂
Merci pour ton commentaire !
repasse quand tu veux !
(ps : Bravo pour ton blog, j’y suis allée cet après midi, sacré boulot !)
GG
Hello Gg, je découvre ton blog 😉
C’est dingue ce qui s’est passé en juillet, plein de blogueurs ont été piraté. Un de mes blogs que j’avais délaissé a failli être piraté à cause de plugins non mises à jours. J’ai installé wordfence dessus 😉
Hello Rémi et bienvenu !
Worfence est vraiment pas mal. Je ne pense pas qu’il puisse tout empêcher, mais j’apprécie le système d’alerte notamment. N’hésites pas à partager ici si tu connais d’autres plugins tops que tu utilises ou aurais testé.
GG
Super article. Perso j’utilise Duplicator pour les sauvegardes. Il permet surtout de réinstaller complètement le site via un fichier php et de rétablir facilement les liens avec une BDD, utile pour déménager un site 😉
Hello Christophe et merci pour ton petit mot ! J’ai vu en partie ce qui était possible avec duplicator et je me garde cette référence sous le coude en cas de besoin. J’ai bien vu combien ça avait été utile pour Share Freelance et le super boulot que tu nous a fait !
Bonne journée ! =)
Coucou! Merci beaucoup pour ce tuyau. Je ne savais même pas qu’on pouvait se faire pirater son blog… O.O
Bonjour
Perso, j’utilise Updraftplus pour mes sauvegardes de sites sous WP. Beaucoup de fonctionnalités , mais il faut souvent acheter la version premium pour en bénéficier, ce qui est le piège de nombreuses extensions.
Je viens d’installer Wordfence après la lecture de ton article ! merci pour les conseils.