2 plugins WordPress pour sécuriser son blog

Avant la grosse vague de piratages de blogs WordPress qui a eu lieu rĂ©cemment Ă  la mi-juillet 2014, j’avais pris le temps de commencer Ă  rechercher des ressources pour protĂ©ger le blog, mais je n’avais pas pris le temps de vraiment m’arrĂȘter sur tout ce que pouvaient proposer ces diffĂ©rents plugins que j’avais trouvĂ©. Parmi tout ce que j’ai pu voir et tester jusque lĂ , voici 2 plugins qui pour le moment fonctionnent bien et rĂ©pondent Ă  mes attentes :

Wordfence un plugin de sécurité populaire

Wordfence est un plugin WordPress gratuit en partie seulement. Certaines fonctions sont disponibles par défaut sans aucun coût, quant aux autres, il faut payer pour en bénéficier.

Pour faire court, Wordfence fonctionne sur le blog WordPress comme un antivirus et un pare-feu : Il permet notamment de scanner la base et vĂ©rifier si rien ne craint, quant en parallĂšle il bloque toute tentative d’entrĂ©e malveillante sur le site.

Pour le blog, je me contente des fonctionnalitĂ©s offertes qui me paraissent suffisantes, et j’ose espĂ©rer que ça durera 🙂

wordfence-menu

Parmi les fonctions gratuites de Wordfence, on trouve la fonction SCAN. Cette fonction est simple Ă  utiliser. Il suffit de se rendre sur son administration WP, de survoler le menu Wordfence et de cliquer sur le premier sous menu nommĂ© Scan.

Le scan tourne comme le ferait un scan via un antivirus sur un ordinateur classique, sauf que lĂ  tout tourne sur la page WordPress.

Pour lancer le scan, une fois sur la page dĂ©diĂ©e, il suffira alors de cliquer sur Start a Wordfence scan et laisser le plugin faire le boulot. Si on regarde la chose tourner, on voit que certaines fonctionnalitĂ©s sont payantes et qu’elles ne seront pas enclenchĂ©es, mais grosso modo, le scan tourne de façon assez complĂšte. Comme avec un antivirus classique, on voit l’avancĂ©e de l’analyse et les rĂ©sultats, et logiquement, le rĂ©sultat Ă  la fin est chouette : rien d’inquiĂ©tant ! 🙂

Sous l’onglet SCAN, on voit une seconde fonction nommĂ©e Live Traffic. Un petit tour sur cet onglet permet de dĂ©couvrir une autre fonction sympa de Wordfence, Ă  savoir sa fonction de blocage de certaines tentatives d’entrĂ©es sur le blog.

Une fois sur la page LIVE TRAFFIC, c’est en se rendant sur Logins and Logouts qu’on peut voir que certaines choses se passent sans qu’on le sache. Ce n’est pas forcĂ©ment rassurant de savoir qu’il y a autant de tentatives de connexion, et en mĂȘme temps au moins, on voit que ce conseil super courant sur WordPress qui invite tous les propriĂ©taires de sites Ă  modifier le LOGIN : ADMIN se vĂ©rifie :

login-logout-wordfence-yesweblog

J’en profite donc pour faire ce rappel, ne restez pas avec le login ADMIN qui peut ĂȘtre activĂ© par dĂ©faut. Modifiez le 🙂 Chaque annĂ©e, de nombreux blogs WordPress sont piratĂ©s par le biais des comptes toujours activĂ©s avec le login Admin. De toutes façons Admin c’est moche 🙂 alors autant le virer et le remplacer !

Je vous laisse découvrir les autres fonctionnalités qui sont toutes aussi intéressantes, mais payantes pour la plupart.

Les aspects nĂ©gatifs de Worfence : Le plugin est en anglais et si perso cela ne me pose pas de soucis, je sais cependant qu’avoir des extensions en français reste quand mĂȘme relativement + confortable. C’est toujours mieux de manipuler des outils qu’on ne connaĂźt pas trĂšs bien, dans sa langue maternelle. En bref, Ă  quand une version française ? L’autre aspect + ou moins nĂ©gatif, c’est que le plugin soit en partie payant. Mais bon, les fonctions gratuites sont loin d’ĂȘtre gadget et on peut a priori s’en contenter.

BackUpWordPress

Ce second plugin sert lui Ă  faire des sauvegardes du blog. D’un cĂŽtĂ© des sauvegardes de la base SQL, d’un autre, des sauvegardes de la totalitĂ© des fichiers du blog prĂ©sents sur le serveur FTP : Images…

backup-yes-we-blog

Ce plugin comme Wordfence, est tĂ©lĂ©chargeable depuis le rĂ©pertoire des extensions de WordPress. Une fois le plugin tĂ©lĂ©chargĂ© depuis le tableau de bord de WordPress et l’extension activĂ©e, on y accĂšde via la rubrique OUTILS de son administration WordPress, puis en cliquant sur Sauvegardes. Simple non ? 🙂 C’est lĂ  qu’on arrive sur la page de gestion des sauvegardes prĂ©sentĂ©e ci dessous.

sauvegarde-yesweblog

Complete Weekly amĂšne sur la page des sauvegardes complĂštes faites toutes les semaines. ComplĂštes car cela intĂšgre la sauvegarde intĂ©grale du blog sur le serveur d’hĂ©bergement + la sauvegarde de la base SQL. Ceci est le paramĂštre par dĂ©faut : Si on ne touche rien Ă  la configuration de base, le blog sera automatiquement sauvĂ© de façon hebdo.

Database Daily : C’est le lien vers les sauvegardes de la base SQL, Ă©galement appelĂ©e BDD (Base De DonnĂ©es). Ces sauvegardes ont lieu tous les jours 🙂 Une fois sur la page, on a la liste de toutes les sauvegardes faites avec 2 choix : TĂ©lĂ©charger ou Supprimer.

Ensuite, on trouve en dernier lieu : Ajouter une planification. LĂ , pas de mystĂšre sur le pourquoi du comment. Cela sert tout simplement Ă  programmer soi mĂȘme d’autres sauvegardes 🙂 Pratique si on veut faire des « saves » plus frĂ©quemment.

Bon Ă  savoir : Lorsqu’on planifie une sauvegarde, un courriel peut ĂȘtre envoyĂ© Ă  l’adresse Ă©lectronique de son choix pour y recevoir la fameuse sauvegarde. Si le fichier est trop lourd, alors on reçoit tout de mĂȘme un email pour prĂ©venir que la « Save » a Ă©tĂ© faite et qu’on peut aller la tĂ©lĂ©charger 🙂

Les aspects nĂ©gatifs de BackUpWordPress : Le plugin est assez mal traduit, on a du français et de l’anglais, bref, bof bof. Sinon rien Ă  reprocher Ă  ce plugin. On veut des sauvegardes, on a des sauvegardes. MĂȘme si on ne touche pas Ă  la configuration de l’extension, les sauvegardes se font toutes seules en autonome. PlutĂŽt cool. En revanche, il faut bien penser Ă  aller les tĂ©lĂ©charger au moins 1 fois par semaine 🙂 sans quoi les sauvegardes, elles servent Ă  rien 😉

Pour complĂ©ter les actions de ces 2 plugins, j’utilise Ă©galement une fonction du super Plugin Jetpack, Ă  savoir MONITOR. Ce petit module est vraiment pas mal. Comme indiquĂ© dans sa description, il sonde rĂ©guliĂšrement le blog sur lequel il est activĂ©, et dĂšs qu’il dĂ©tecte une indispo ou autre chose bizarre, il envoie un email Ă  l’adresse de notre choix 🙂

Il m’arrive de temps en temps donc de recevoir des mails me disant que le blog a Ă©tĂ© Out pendant quelques minutes. On reçoit un mail quand plantage il y a, et un mail quand c’est revenu. Souvent, tout est Ă  nouveau ok avant mĂȘme qu’on ait Ă  agir (sans doute quelques latences serveur ou autre petite dĂ©co SQL).

Ces petites sĂ©curitĂ©s n’empĂȘcheront pas tout, et si jamais le blog devait subir une attaque, j’imagine que ça finirait par marcher un jour. C’est un peu comme avoir une assurance dans la Vie de tous les jours, on en est toujours content et satisfait tant qu’il ne nous arrive rien, et c’est parfois quand il y a un pĂ©pin qu’on peut ĂȘtre amenĂ© Ă  dĂ©plorer certains dĂ©tails du contrat. Mais avoir peur n’empĂȘche pas le danger, alors puisque lĂ  tout va bien, ce genre de petits plugins permet au moins de sĂ©curiser un peu + son blog et d’ĂȘtre + tranquille vis Ă  vis de certains Ă©vĂ©nements vraiment super casse-tĂȘte.

Étiquettes
Partager ce contenu :
Griselidis Gaillet
Griselidis Gaillet

Bonjour ! Je suis Griselidis. Webmaster WordPress & Consultante SEO. Fondatrice de Yes We Blog créé en mai 2014, je partage ici des tutoriels et articles pour vous aider à créer votre site web et le faire connaßtre. Je crée, entretiens et dépanne des sites internet.

Newsletter

Saisissez votre adresse e-mail ci-dessous et abonnez-vous Ă  la newsletter

Sur le mĂȘme ThĂšme

14 commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

  1. Bonjour GG !

    J’utilise BackUpWordPress depuis longtemps mĂȘme si -heureusement !- je n’ai jamais eu Ă  m’en servir.
    Par contre je ne connaissais pas du tout Wordfence et je vais tout de suite l’installer 😉 J’ai regardĂ© rapidement, je pense aussi me contenter de la version gratuite.

    A bientĂŽt
    Iris

    • Coucou Iris,
      Oh, bah tu me diras ce que tu penses de Wordfence 🙂 Ici l’installation date d’un peu plus d’un mois et jusque lĂ  no soucis.
      Comme dirait Jean Yves lafesse : Pourvu que ça dure ! 🙂

      • Oui! Je ne pensais pas qu’autant de personnes essayait de se connecter via « admin » mais il y en a plusieurs par heure, ça fait vraiment peur ! Ca m’a convaincu de prendre 10 minutes pour changer le nom de mon compte 🙂

        • Au dĂ©but j’Ă©tais un peu dubitative vis Ă  vis de toutes ces connections en mode Admin, mais j’ai lu sur pas mal de sites sur WordPress qui sont des rĂ©fĂ©rences, que cette technique de piratage est un classique, courante, qui fait des dĂ©gĂąts, donc finalement c’est pas si surprenant : ça rend mĂȘme parano lol.

          j’avais aussi lu cet article aprĂšs l’installation pour voir un peu les Ă©chos ailleurs : http://wpformation.com/wordfence-antivirus-wordpress/
          a priori Wordfence est reconnu comme efficace par l’auteur du blog 🙂

  3. Salut,

    pour ma part j’utilise backWPup pour les sauvegardes. Il permet automatiquement d’envoyer une sauvegarde des fichiers et de la BDD sur dropbox, par fichier ou encore FTP, tout ça gratuitement…
    En plus, limit login attempt pour bloquer les utilisateurs qui essayeraient de s’identifier trop de fois (avec des robots par exemple) et block bad queries.

    A+

    • Bonjour Mathieu,
      J’ai dĂ©jĂ  entendu parler de backWPup pour les saves aussi, mais pas encore eu l’occasion de tester, peut ĂȘtre trĂšs prochainement sur un ancien blog. En es-tu satisfait ?
      Login Limit attempt je pense souvent Ă  le prendre mais j’ai peur que ça fasse double emploi avec Wordfence. Je testerai en mĂȘme temps que BackWPup tiens, cela fera un retour d’expĂ©rience 🙂
      Merci pour ton commentaire !
      repasse quand tu veux !
      (ps : Bravo pour ton blog, j’y suis allĂ©e cet aprĂšs midi, sacrĂ© boulot !)
      GG

  4. Hello Gg, je dĂ©couvre ton blog 😉
    C’est dingue ce qui s’est passĂ© en juillet, plein de blogueurs ont Ă©tĂ© piratĂ©. Un de mes blogs que j’avais dĂ©laissĂ© a failli ĂȘtre piratĂ© Ă  cause de plugins non mises Ă  jours. J’ai installĂ© wordfence dessus 😉

    • Hello RĂ©mi et bienvenu !
      Worfence est vraiment pas mal. Je ne pense pas qu’il puisse tout empĂȘcher, mais j’apprĂ©cie le systĂšme d’alerte notamment. N’hĂ©sites pas Ă  partager ici si tu connais d’autres plugins tops que tu utilises ou aurais testĂ©.
      GG

  5. Super article. Perso j’utilise Duplicator pour les sauvegardes. Il permet surtout de rĂ©installer complĂštement le site via un fichier php et de rĂ©tablir facilement les liens avec une BDD, utile pour dĂ©mĂ©nager un site 😉

    • Hello Christophe et merci pour ton petit mot ! J’ai vu en partie ce qui Ă©tait possible avec duplicator et je me garde cette rĂ©fĂ©rence sous le coude en cas de besoin. J’ai bien vu combien ça avait Ă©tĂ© utile pour Share Freelance et le super boulot que tu nous a fait !
      Bonne journée ! =)

  7. Bonjour
    Perso, j’utilise Updraftplus pour mes sauvegardes de sites sous WP. Beaucoup de fonctionnalitĂ©s , mais il faut souvent acheter la version premium pour en bĂ©nĂ©ficier, ce qui est le piĂšge de nombreuses extensions.
    Je viens d’installer Wordfence aprĂšs la lecture de ton article ! merci pour les conseils.