Table des matières

Un plugin wordpress de géofiltrage pour sécuriser son site

Aujourd’hui, je vais céder mon clavier à mon ami Stéphane (Stef pour les initiés) du blog Stéphane Lamur (si vous ne connaissez pas, rassurez-vous car son blog ne traite absolument pas du paranormale, pas de ça ici), qui a souhaité vous présenter un plugin pour sécuriser votre WordPress.

Allez Stéphane, je te cède la place, mais n’oublies tout-de-même pas de me la rendre une fois que tu auras fini, car j’y tiens 😉

Sécuriser son WordPress grâce à un plugin

« 3 tentatives d’accès ont échouées (1 bloqué(s)) depuis l’adresse IP: 195.88.203.179. Dernière tentative de l’utilisateur: admin. L’adresse IP a été bloquée pour 4320 minutes.« 

La dernière fois que j’ai reçu un mail de ce type, c’était en janvier 2013, soit plus d’un an. C’était le dernier de plus de 110 tentatives d’intrusions par « force brute », comme disent les initiés, toutes ayant eu lieu la même nuit…

Sur les conseils d’un ami blogueur, j’avais eu recours aux services de CloudFlare (un service gratuit de reverse-proxy ou pour faire simple, un pare-feu pour les sites internets) pour stopper les attaques et ça avait merveilleusement marché…

Jusqu’à la semaine dernière !

Etant très confiant dans ce service qui a, par le passé, protégé Paranormale Entreprise de milliers d’attaques made in china, je ne me suis pas alarmé mais j’ai quand même voulu en avoir le coeur net en allant sur mon interface chez le prestataire, pour essayer de comprendre pourquoi le service n’avait pas fait son taf.

D’autant que le rythme des attaques augmentait rapidement, sans compter les nombreux messages spammés adressés via mon formulaire de contact.

C’est donc bouche bée que je constatais avec consternation, que CloudFlare refusait de bloquer une des adresses IP en question, sous prétexte que celle-ci émanait tout simplement… de Cloudflare lui même ! Comme toutes les autres IP, d’ailleurs !

Retour à la case départ : une fois mes DNS ramenés chez mon hébergeur initial et le service résilié, je me suis revu un an en arrière : sous le feu des attaques !

« Mais qu’est ce qu’ils peuvent bien lui vouloir à mon petit site, ces *** de robots ?! »

Heureusement pour moi, je n’ai pas attendu un an sans rien glander pour la sécurité de mon site : même si je pense ne pas faire long feu devant un vrai pirate humain sur-motivé pour éradiquer mon site (ceci dit, ce n’est absolument pas un défi les gars…), je pense que pour les robots, ce sera quand même assez compliqué.

D’autant que pour trouver mon identifiant et mon mot de passe, il va falloir un TRES grand nombre de tentatives et donc également un grand nombre d’IP à sacrifier…

Mais ça ne suffisait pas : je ne sais pas pour vous, mais moi, juste installer un plugin de blocage à l’admin, et attendre que le robot se lasse, ce n’est pas du tout mon truc.

C’est pourquoi, tel que Bruno me connait, c’est à dire, fâché avec le code, je me suis lancé en quête d’un énième plugin pour protéger mon site, encore…

Mon Graal du moment étant une fonction qui permettrait de restreindre l’accès à la page de login de mon site, puisque même en déplaçant sans cesse l’Url, ça ne dissuadait pas les robots à le rechercher et le trouver.

Je me suis d’abord penché sur la possibilité de restreindre l’accès à mon administration à une seule IP, mais je réalisais vite que ce n’était tout simplement pas possible, puisque mon fournisseur d’accès internet me donne une adresse IP dynamique, et même si ce n’était pas le cas, le fait de ne jamais pouvoir accéder à mon admin en dehors de chez moi, ne m’enchantait pas…

Mais après quelques heures de recherche, j’ai enfin trouvé mon bonheur…

Un plugin gratuit me permettant de restreindre l’accès à mon site pour certains pays :

Le plugin WordPress Iq Block Country va bloquer l'accès de votre site aux pays que vous aurez interdits.

Le plugin WordPress iQ Block Country, comme son nom anglais l’indique, permet de bloquer l’accès à son site pour un ou plusieurs pays, voir tous.

L’installation et le paramétrage restent comme toujours pour beaucoup de plugins, assez simple et intuitif, la seule réelle difficulté (et encore…) étant de décider si l’on souhaite charger la GéoIp Database en IPV4 ou IPV6.

Mais vous allez maintenant me dire que c’est une bonne idée, mais que vous ne souhaitez pas bloquer l’accès à votre site au niveau international car on peut tout à fait vouloir continuer à être visible chez les chinois…

Pas de problème. Le plugin propose en effet de dissocier l’accès au FrontEnd et au BackEnd, c’est à dire que vous pouvez bloquer l’accès à l’administration de votre site WordPress, tout en laissant les internautes internationaux visiter tranquillement vos pages de vente.

Elle est pas belle la vie ?

En fait, le lecteur attentif aura compris qu’il reste quand même une faille de taille : si comme moi, vous avez bloqué l’accès à tout autre pays que la France (ou votre pays de résidence), le robot peut toujours essayer de forcer le mot de passe depuis une Ip française, certes hypothèse plus rare, mais possible…

Mais c’est quand même un peu plus rassurant !

Je laisse le soin à Bruno, de me corriger et de vous proposer LA solution magique, qui va définitivement régler le problème du piratage, si elle existe…

En attendant, je vous laisse et m’en vais de ce pas sécuriser mon formulaire de contact…

Conclusion

Merci Stéphane, je reprends la main pour la conclusion, alors disons que ton plugin est intéressant, mais il faut savoir qu’il y en a des plus complets qui font également cela comme Wordfence en version premium, mais c’est vrai que c’est payant.

Je me suis amusé à l’installer sur un de mes blogs de test pour voir et du coup, je me suis décidé à le traduire (vous trouverez sa traduction gratuite ici) et à faire un tutoriel vidéo concernant son paramétrage que vous trouverez ici.

Je laisse maintenant la parole à mes lecteurs afin qu’ils nous donnent leurs impressions, recommandations et/ou retours d’expérience.

Si vous avez trouvé une faute d’orthographe ou une coquille, vous pouvez m’en informer en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée. Je vous en remercie par avance.

Suggestions de tutoriels

2 Responses

  1. Merci Bruno pour cette tribune.
    J’ai déjà essayé le plugin Wordfence par le passé, mais pas en version premium. Je n’avais pas été satisfait de mon essai pour la simple raison que je trouvais fastidieux de bloquer individuellement les IP, après avoir constaté que le mal était fait. Et c’est vrai que je n’ai pas pris le temps de voir ce que proposait la version aboutie.
    Avec tout ce temps perdu à sécuriser son site, il faut peut-être aussi se demander s’il n’est pas plus productif d’utiliser un autre cms que wordpress au final, qui est la cible de tous les robots (et ça ne concerne pas que les sites les plus connus).
    Bon, je te laisse, je vais aller voir ta vidéo de ce pas…
    Encore une fois merci et à plus !
    @micalement.

  2. Bonjour
    Merci les infos sur ce plugin.
    J’utilise Cloudflare depuis 3 mois et j’avoue que j’en suis très satisfait… cependant je reste également bouche bée devant ta mésaventure ! Du coup j’ai des doutes…
    Etant, très certainement, complètement parano, j’utilise conjointement le plugin Brute Protect (https://wordpress.org/plugins/bruteprotect/) associé à Spam Comments Cleaner (https://wordpress.org/plugins/spam-comments-cleaner/) et j’avoue que je suis, pour l’instant, serein…

    Brute Protect m’annonce qu’il a déjà stoppé plus de 14 000 tentatives (je trouve ça étonnant vu que Cloudflare n’est pas censé le faire ? D’où quelques doutes…

Partenaires

Rapport de faute d’orthographe

Le texte suivant sera envoyé à nos rédacteurs :