Wordfence est un plugin parmi les plus fiables et les plus intéressants du catalogue WordPress, notamment grâce à son excellent pare-feu
- Simple à utiliser
- Excellent pare-feu
- Scan quotidien
- Alerte en temps réel
- Version gratuite
- Seulement en anglais
- Version Premium relativement chère
Disclaimer : Cet article inclut des liens affiliés, ce qui signifie qu’on gagne une petite commission si tu réalises un achat après avoir cliqué sur le lien. Passer par un de nos liens affiliés est un moyen de supporter l’équipe Web & SEO. Merci pour ton soutien et bonne lecture !
Quand on gère un site WordPress, on s’occupe toujours de plusieurs sujets comme l’apparence, le contenu, les performances ou encore le référencement naturel. Mais il y en a un qui devrait figurer en tête de liste : la sécurité. WordPress est le CMS le plus populaire de tous les temps. Il est donc la cible de nombreux hackers qui connaissent ses failles et qui vont tenter de pirater ton site. Et pour s’en protéger, il existe des plugins de sécurité comme Wordfence.
Wordfence est l’une des extensions de sécurité WordPress les plus connues. Disponible en version gratuite ou payante, elle permet en effet de se protéger de la plupart des tentatives de piratage.
Créer et gérer un site internet demande énormément de travail. Je ne compte moi-même plus le nombre d’heures passées à modifier mes sites, les optimiser dans ses moindres détails mais aussi et surtout créer du contenu. Utiliser une extension pour se protéger est donc vital, pour ainsi dire.
Pour ce faire, Wordfence se présente comme l’un des meilleurs choix possibles. C’est pourquoi nous allons voir si ce plugin de sécurité WordPress est fait pour toi.
Spoiler alert : je pense que oui.
Avantages et inconvénients de Wordfence
Note globale 4.7/5
Pour commencer, voici les principaux points forts et inconvénients de Wordfence. Les connaître en amont va t’aider à voir en un instant si cette extension de sécurité pourrait te convenir.
Points forts
- Simplicité d’utilisation : les réglages par défaut permettent de protéger la plupart des sites internet.
- Automatisation : Wordfence scanne quotidiennement ton site à la recherche d’anomalies.
- Alerte en temps réel : Wordfence envoie immédiatement des mails pour te prévenir de toute activité inhabituelle sur ton site.
- Version gratuite : pas besoin de payer pour bénéficier de l’excellente protection procurée par ce plugin de sécurité.
Points faibles
- Interface en anglais : si l’anglais n’est pas ton fort, tu pourrais avoir du mal à comprendre les informations affichées par le plugin.
- Version Premium : certains concurrents proposent des solutions premiums équivalentes pour un prix moins élevé.
Prix de Wordfence
Wordfence gratuit offre déjà un niveau de protection très intéressant en bloquant notamment les attaques par force brute et un pare-feu. Mais si tu souhaites bénéficier d’un niveau de sécurité à toute épreuve, tu peux souscrire à la version payante de Wordfence.
Wordfence Premium coûte $119 par an. Cette version offre une protection avancée en comparaison du plan gratuit :
- Mise à jour du pare-feu en temps réel.
- Détection des malwares avancés.
- Blocage par pays.
- Blocage de plus de 40 000 adresses IP identifiées comme malveillantes.
- Support client prioritaire.
En parallèle de Wordfence Premium, il existe deux formules supplémentaires :
- Wordfence Care à $490 par an : monitoring de la sécurité de ton site par les équipes de Wordfence.
- Wordfence Response à $950 par an : protection 24/7 et 365 jours par an par l’équipe et restauration en 1h en cas de downtime.
Avis Wordfence
À mon avis, Wordfence est à juste titre l’un des meilleurs plugins de sécurité WordPress. Il permet en effet de s’assurer une bonne protection face à la plupart des attaques de hackers sans se faire de nœuds au cerveau.
La sécurisation d’un site internet est en effet un sujet technique qui dépasse la majorité des utilisateurs du célèbre CMS open-source (moi le premier). Avec son plugin, l’équipe de développement de Wordfence a donc réussi l’exploit de proposer une solution avancée, fiable mais aussi simple d’utilisation.
Il suffit d’installer le plugin sur son site, de paramétrer le scan (laisser les réglages par défaut conviendra à une écrasante majorité de sites), de renseigner une adresse mail (pour recevoir les notifications et les alertes de sécurité) et le tour est joué !
Wordfence s’occupera ensuite de protéger ton site contre les attaques par force brute et de scanner les fichiers à la recherche d’anomalies. De ton côté, tu n’auras plus rien à faire et tu pourras dormir sur tes deux oreilles.
Quand bien même, si la version gratuite ne suffisait pas, passer à Wordfence Premium te mettra définitivement hors de danger pour un prix que je trouve tout à fait raisonnable quand on sait à quel point la sécurité d’un site est critique. Certains business reposent entièrement sur leur site web. Si celui-ci venait à cesser de fonctionner, ça pourrait vite mener ces entreprises à la faillite.
À ce titre, $119 par an ne me semble pas cher payé.
Comment utiliser le plugin de sécurité Wordfence
Voyons maintenant comment utiliser Wordfence en conditions réelles. Je vais te présenter ce plugin de sécurité en détail afin que tu saches exactement de quoi il est capable. Dans cet avis Wordfence, nous allons nous focaliser sur la version gratuite puisqu’elle convient à la plupart des usages et qu’elle offre déjà un excellent niveau de protection.
Pour installer Wordfence sur WordPress, rien de plus simple. Il suffit de se rendre dans la rubrique :
Extensions => Ajouter => Wordfence => Installer maintenant => Activer.
Ensuite, ton back-office WordPress va arborer une rubrique supplémentaire intitulée Wordfence dans la barre latérale. Il suffit de t’y rendre pour configurer le plugin.
À première vue, tu pourrais te sentir un peu perdu car il y a plusieurs sous-rubriques mais rassure-toi, il n’y a rien de compliqué. Je trouve même que l’équipe a fait un joli travail de vulgarisation qui permet à tout un chacun d’appréhender ce plugin.
À l’instar de Max qui t’explique tout ça pas-à-pas dans cette vidéo :
Tableau de bord Wordfence
Pour commencer, le tableau de bord Wordfence te permet d’avoir un bon aperçu de l’état actuel de ton site web. Les données qui s’affichent proviennent du dernier scan effectué par le plugin de sécurité.
On voit en un coup d’œil les KPIs Firewall (pare-feu) et Scan. Les pourcentages seront plus ou moins élevés selon la version de Wordfence que tu utilises. Ne sois pas inquiet s’ils ne sont pas à 100%, c’est tout à fait normal. Il est en effet impossible d’atteindre la note maximale en tant qu’utilisateur gratuit. Ce n’est pas pour autant que ton site est en danger.
Même s’ils apparaissent en haut du tableau de bord, ces pourcentages ne sont d’ailleurs pas les indicateurs les plus importants. Il vaut mieux se concentrer sur les informations qui apparaissent dans l’encart des notifications ou dans le Firewall Summary (résumé des données du pare-feu).
Comme tu peux le voir avec l’impression écran ci-dessus, aucune notification n’apparaît et mon site ne présente aucune anomalie (ouf) mais à tout de même subi plus de 4 200 attaques ce mois-ci (toutes bloquées par Wordfence). S’il avait trouvé des erreurs ou des fichiers nécessitant des mises à jour, le plugin m’aurait alors indiqué la démarche à suivre pour les corriger.
Pour commencer, je te conseille donc de lancer un scan de ton site dès la première installation de Wordfence afin de t’assurer que tout va bien.
Scanner un site WordPress
Pour lancer un scan de sécurité avec Wordfence, il suffit de se rendre dans la rubrique Scan du plugin. Ensuite, clique sur le bouton bleu START NEW SCAN pour laisser la magie opérer.
Wordfence va alors analyser ton site en commençant par une vérification de l’état du serveur, des fichiers et des malwares. Ensuite, il va analyser ton contenu et l’intégrité des fichiers publics avant de vérifier la force du mot de passe d’administration (il faut éviter à tout prix les identifiants de type « admin » et les mots de passe « admin1234 »).
Selon la taille de ton site, le scan prendra plus ou moins de temps mais ça ne dure jamais plus de quelques minutes.
En tant qu’utilisateur gratuit, certaines vérifications n’ont pas lieu. Celles-ci sont indiquées par un cadenas verrouillé :
- Spamvertising Checks.
- Spam Check.
- Blocklist Check.
Une fois le scan terminé, Wordfence va afficher une liste des éventuelles anomalies à corriger dans l’encart Results Found en bas de l’écran. Ces erreurs sont catégorisées par importance : Critical (rouge foncé), High (rouge), Medium (jaune) et Low (verte).
Voici quelques exemples d’erreurs que l’on peut retrouver après un scan ainsi que leur niveau d’importance :
- Fichiers du système accessibles publiquement (critique).
- Fichier inconnu détecté (haute).
- Le logiciel WordPress a besoin d’être mis à jour (haute).
- Un plugin a besoin d’être mis à jour (moyenne).
Si Wordfence détecte des erreurs suite à un scan, tu vas pouvoir les corriger assez simplement en cliquant sur DELETE ALL DELETABLE FILES (effacer tous les fichiers effaçables contenant des erreurs) ou REPAIR ALL REPAIRABLE FILES (réparer tous les fichiers réparables). Dans le cas d’une mise à jour de fichier, il suffit de se rendre dans la rubrique WordPress Tableau de bord => Mises à jour.
De toute façon, Wordfence t’indiquera toujours la procédure à suivre pour corriger les erreurs qui s’affichent suite à un scan.
Web Application Firewall (pare-feu)
En parallèle du scan, la principale fonctionnalité de Wordfence est de protéger ton site via un pare-feu (Firewall). Le rôle du pare-feu est simple : bloquer les attaques qui pourraient compromettre sa sécurité.
Généralement, les attaques sont menées par des bots. Le Web Application Firewall (WAF) de Wordfence permet de définir le niveau de protection de ton site face à ces bots. Autrement dit, tu peux configurer le niveau de ressources disponibles pour les bots, robots de référencement et scripts afin d’éviter que les programmes malveillants ne fassent crasher ton site.
Très souvent, les attaques proviennent de hackers ou de sites malveillants qui ciblent les serveurs WordPress via des attaques complexes ou par force brute. C’est-à-dire des bots qui vont tester de façon automatique et très rapide les combinaisons les plus courantes d’identifiants et de mots de passe.
Wordfence bloque automatiquement des listes entières d’adresses IP marquées comme indésirables. Dans la version gratuite, ces adresses IP sont identifiées par d’autres utilisateurs de Wordfence et partagées à l’ensemble de la communauté. C’est pour cela que tu verras apparaître la mention Firewall Rules : Community. Tout cela à lieu automatiquement pour que tu n’aies pas à t’en soucier.
Comme tu peux le voir sur l’impression écran ci-dessus, Wordfence a bloqué des adresses IP dans divers pays : États-Unis, Seychelles, Ukraine, Pays-Bas, Belgique, Taiwan, etc.
Mais on retrouve également :
- Les pays depuis lesquels mon site a subi le plus d’attaques (utile si tu souhaites bloquer les connexions en provenance de pays entiers avec la version Premium de Wordfence).
- Le nombre d’attaques bloquées par Wordfence aujourd’hui, cette semaine et pendant le mois en cours.
- Le nombre total d’attaques bloquées par le réseau d’utilisateurs de Wordfence.
- Les tentatives de connexion qui ont réussi ou échoué. Comme tu peux le voir, les pirates utilisent systématiquement le nom d’utilisateur « admin » lorsqu’ils tentent de se connecter. D’où l’importance d’utiliser un username différent.
Options avancées du pare-feu
Il est possible de configurer le pare-feu via les options avancées en consultant la sous-rubrique Manage WAF de Wordfence.
De là, tu peux par exemple renseigner des whitelists, des blacklists, définir les services autorisés à scanner ton site ou encore bloquer automatiquement des adresses IP lorsqu’elles cherchent à accéder à certaines URLs.
La plupart des utilisateurs n’ont pas besoin de modifier ces options mais tu peux toujours les paramétrer si tu en ressens le besoin. Je pense que ces paramètres sont surtout utiles si tu gères un site internet avec des données absolument critiques comme par exemple un organisme bancaire.
Il existe également des options spécifiques aux attaques par force brute qui te permettent d’apporter une protection supplémentaire aux contenus de ton site, des limitations en termes de visites / crawls, ou encore les URLs autorisées.
Toutes ces options sont très pratiques puiqu’elles permettent de configurer Wordfence selon tes besoins à toi. Sachant qu’on accède à tout cela dès la version gratuite, on comprend aisément pourquoi ce plugin est aussi efficace et répandu.
Authentification à deux facteurs (2FA)
Enfin, Wordfence propose de paramétrer une authentification à deux facteurs (2FA) pour apporter une protection encore plus importante à ton site. C’est à l’heure actuelle l’un des moyens les plus efficaces de se prémunir face au tentatives de piratage.
Cela permet en effet de recevoir un code d’authentification unique via d’autres applications (le plus souvent sur mobile) afin de garantir que personne ne se connecte à ta place :
- Google Authenticator.
- Sophos Mobile Security.
- FreeOTP Authenticator.
- 1Password.
- LastPass Authenticator.
- Microsoft Authenticator.
- Authy 2-Factor Authentication.
- Etc.
Pour configurer cette option (également accessible aux utilisateurs de la version gratuite), il suffit de se rendre dans la rubrique Login Security de Wordfence. Une option de plus qui fait de ce plugin de sécurité WordPress, l’un des meilleurs du marché.
Fonctionnalités de Wordfence Premium
Comme tu peux le voir, la version gratuite de Wordfence offre déjà quelques fonctionnalités très intéressantes. Si tu gères un blog, un site vitrine ou même un site e-commerce, tu pourras probablement rester sur le plan gratuit. Mais tu peux accéder à un niveau de sécurité supérieur en passant à la version Premium du plugin.
Se faire pirater son site peut se traduire par une perte partielle ou totale de contenu, une perte de chiffre d’affaires ou encore du ranking sur Google. Des événements malheureux qui peuvent coûter très cher en termes de temps, d’argent et de crises de nerfs.
Pour $119 par an, Wordfence peut te proposer le plus haut niveau de protection possible pour ton site WordPress.
À commencer par la mise à jour en temps réel du pare-feu qui est mis à jour avec 30 jours de décalage pour les utilisateurs de la version gratuite. Wordfence te protège ainsi de façon automatique et immédiate contre les adresses IP malveillantes, les malwares et autres failles de sécurité.
En parallèle, Wordffence Premium opère aussi un suivi de la réputation de ton site web et permet de bloquer les adresses IPs de pays tout entiers.
Enfin, passer à la version payante donne accès au support Premium. Quand on sait à quel point ce sujet est technique, pouvoir s’appuyer sur une équipe compétente et réactive est tout simplement vital. Les utilisateurs Premium de Wordfence ayant un accès prioritaire au support, ça peut faire toute la différence en cas d’urgence.
Top 3 des alternatives à Wordfence en 2024
Wordfence est selon moi le meilleur plugin de sécurité WordPress. Mais il existe bien sûr des extensions alternatives qui proposent un niveau de protection tout aussi intéressant.
Note:
4.6
|
Note:
4.5
|
Note:
3.8
|
Prix: À partir de $99 / an
|
Prix: Freemium
|
Prix: Freemium
|
1. SecuPress
SecuPress est un plugin de sécurité WordPress permettant de se protéger de la plupart des attaques informatiques.
- La facilité d'utilisation et l'ergonomie du scanner.
- Les fonctionnalités de la version gratuite.
- Le prix avantageux en comparaison de la concurrence.
- Les mises à jour fréquentes.
- Le service client français.
- Pare-feu pas aussi robuste que Wordfence ou Sucuri.
- Le système de modules peut prêter à confusion.
SecuPress est un excellent plugin de sécurité made in France. Il bloque les logiciels et les bots malveillants, il offre une protection contre les attaques par force brute et il renforce un ensemble d’éléments pour transformer WordPress en forteresse.
C’est une excellente alternative à Wordfence, avec un rapport qualité/prix très intéressant pour la version Pro.
2. iThemes Security
Anciennement connu sous le nom d'iThemes Security, Solid Security est un plugin de sécurité WordPress permettant de se protéger des tentatives de piratage.
- La version gratuite qui conviendra à la plupart des besoins.
- Bonne protection contre les attaques par force brute.
- Surveillance des fichiers critiques de WordPress.
- Oblige l'utilisateur à choisir un mot de passe sécurisé.
- Peut bloquer les tentatives de connexion suspectes.
- Permet de déplacer la page de connexion.
- Sauvegardes du site et de la base de données.
- Peut casser ton site en cas de conflit avec d'autres extensions (comme tout plugin de sécurité).
- Peut générer des conflits avec les systèmes d'hébergements mutualisés.
- Ne propose pas de pare-feu applicatif (WAF).
iThemes Security est le plugin de sécurité le plus complet. Il propose des fonctions d’affichage en temps réel de la sécurité du site, l’authentification 2FA, le blocage des bots malveillants, la surveillance des fichiers critiques, et bien plus encore.
C’est une autre très bonne alternative à Wordfence. Avec une version Pro à $99 par an, ce plugin est également très compétitif.
3. Sucuri Security
- Version gratuite
- Facile à utiliser
- Bonne protection contre la plupart des attaques
- Pare-feu WAF sur les plans payants
- CDN et optimisation pour les performances
- Support réactif
- Prix élevé des fonctions premium
- Interface en anglais
- Configuration du plugin compliquée pour les utilisateurs débutants
Sucuri est une entreprise reconnue dans le monde de la sécurité web avec des solutions pour WordPress, Magento, Drupal et Joomla.
Son plugin WordPress permet de faire des audits de sécurité, de surveiller les fichiers critiques ou encore de détecter les malwares et les utilisateurs suspects.
Sucuri est plus cher que Wordfence avec une version Pro disponible à partir de $199 par an.
Pour découvrir d’autres alternatives à Wordfence, je t’invite à lire mon top 10 des meilleurs plugins de sécurité WordPress.
Mon avis final sur Wordfence
Note globale : 4.7/5
Wordfence est un plugin parmi les plus fiables et les plus intéressants du catalogue WordPress, notamment grâce à son excellent pare-feu
- Simple à utiliser
- Excellent pare-feu
- Scan quotidien
- Alerte en temps réel
- Version gratuite
- Seulement en anglais
- Version Premium relativement chère
Wordfence est un plugin parmi les plus fiables et les plus intéressants du catalogue WordPress, notamment grâce à son excellent pare-feu.
Une fois installé et configuré, l’extension envoie automatiquement des alertes et des notifications par email. Tu n’as donc plus rien à faire puisque Wordfence travaille en tâche de fond pour bloquer les tentatives de piratage. Je pense que c’est l’un des meilleurs plugins et je suis encore bluffé du niveau de sécurité offert dès la version gratuite.
À mon avis, Wordfence n’a donc pas usurpé sa place de numéro 1. J’ai du mal à trouver plusieurs raisons qui pousseraient quelqu’un à ne pas l’utiliser. En réalité, je n’en vois qu’une seule : tu utilises déjà un plugin de sécurité WordPress proposant des fonctionnalités équivalentes.
Si tu n’as pas encore installé de plugin de sécurité ou si tu as envie de changer, je ne peux que te recommander Wordfence.
Et toi, quel est ton avis sur Wordfence ? L’as-tu déjà testé ? Peut-être préfères-tu utiliser un plugin de sécurité concurrent ? N’hésite pas à venir partager ton ressenti dans les commentaires ci-dessous !
zonetuto
J’adore cette extension, quand j’installe un Wordpress, c’est à chaque la première que j’installe directement pour éviter tout problème
Eldric Thorne
Salut Fred, ton article sur Wordfence est super détaillé et vraiment éclairant ! Quelqu’un avec un peu moins de compétences techniques pourrait-il véritablement se contenter de la version gratuite sans inquiétude, ou est-il préférable d’envisager la version Premium pour une vraie tranquillité d’esprit ? J’apprécierais ton avis expert sur les scénarios dans lesquels upgrader est indispensable. Merci d’avance !
Elio Durand
Merci pour cet article détaillé sur Wordfence ! En tant que débutant, je suis curieux de savoir comment choisir entre Wordfence et ses alternatives comme SecuPress ou iThemes Security. Y a-t-il des critères spécifiques à privilégier selon la nature de notre site ?