Une faille de sécurité sur votre site WordPress est un scénario cauchemardesque – tous vos efforts, montés dans une bouffée de fumée (ou, plus probablement, une bouffée de spam de lien de référencement de pharmacie ou des redirections étranges).
Dans l’examen d’aujourd’hui du WP Cerber Security, je vais jeter un coup d’œil à un freemium Plugin de sécurité WordPress qui vise à réduire considérablement les chances qu’une telle violation vous arrive. Ce plugin vous est proposé par Cerber Tech Inc.
Je vais tout vous dire sur les fonctionnalités WP Cerber Security met en œuvre pour vous garder en sécurité. Ensuite, je vous emmènerai sur mon site et vous montrerai comment tout fonctionne.
Examen de la sécurité par WP Cerber: comment protéger votre site
Avant de vous expliquer comment WP Cerber Security fonctionne, laissez-moi vous expliquer tout ce qu'il fait pour assurer la sécurité de votre site.
WP Cerber Security se présente comme «Security, Antispam & Malware Scan», ce qui résume assez bien la façon dont il protège votre site.
Commençons par cette première partie – la sécurité. WP Cerber Security vous aide à mettre en œuvre un grand nombre des techniques que vous voyez dans les billets de blog sur la sécurité WordPress:
- Protégez-vous contre toute une série d'attaques courantes, notamment l'injection de code, l'API REST et les énumérations d'utilisateurs ordinaires, etc.
- Implémenter un pare-feu d'application Web, appelé Traffic Inspector
- Limiter les tentatives de connexion
- Surveiller les tentatives de connexion
- Créer des listes blanches IP ou des listes noires pour restreindre l'accès
- Changez l'URL de votre page de connexion.
- Utiliser une authentification à deux facteurs, y compris des options permettant de contrôler qui doit utiliser
- Désactiver les API XML-RPC et REST (optionnel – votre site peut avoir besoin de l'API pour fonctionner)
- Un «mode Citadel» spécial qui vous protège des attaques par force brute en bloquant la fonctionnalité de connexion
Ce ne sont pas la liste complète des fonctionnalités de sécurité – il implémente également beaucoup de petites modifications.
Ensuite, vous obtenez un certain nombre de fonctionnalités antispam telles que:
- Protégez tous les formulaires sur votre site, y compris l'inscription, la connexion, le mot de passe perdu, le paiement WooCommerce, etc.
- Nettoyer les commentaires de spam
- Ajouter ReCaptcha
- Créer des règles anti-spam par pays
Enfin, vous obtenez l'analyse des logiciels malveillants. WP Cerber Security…
- Vérifie l'intégrité du noyau WordPress, ainsi que vos plugins et thèmes
- Surveille les modifications de fichiers, y compris une option permettant de recevoir des notifications par courrier électronique lorsque les fichiers sont modifiés
- Exécute des analyses automatiques des programmes malveillants, y compris leur suppression
Dans l’ensemble, il se passe beaucoup de choses là-bas! Et toutes ces fonctionnalités permettent d’expliquer pourquoi WP Cerber Security est actif sur plus de 100 000 sites avec une cote de 4,9 étoiles sur plus de 350 avis, selon WordPress.org.
Continuons et je vais vous montrer comment ça marche…
Tableau de bord de sécurité WP Cerber
Le tableau de bord principal de WP Cerber Security vous donne un aperçu de haut niveau de tous les éléments importants de votre site.
Par exemple, vous pouvez voir comment, après avoir laissé le plugin fonctionner pendant environ une semaine, j'ai reçu un tas de requêtes malveillantes provenant de Russie:
Seul le dernier login en provenance du Vietnam, c’est moi. C’est donc définitivement une activité malveillante… ou du moins une tentative.
Si vous explorez ces onglets en haut, vous pourrez regarder de plus près ce qui se passe. Par exemple, vous pouvez voir comment j’ai saisi par erreur un mot de passe erroné, ainsi que les fichiers spécifiques que l’acteur malveillant en Russie cherchait (et que WP Cerber Security a bloqué):
En plus de vous permettre de voir ce qui se passe sur votre site, le tableau de bord principal vous permet également de configurer certains paramètres de base pour votre site.
Réglages principaux
le Réglages principaux L'onglet vous permet de configurer le fonctionnement de la fonctionnalité de nombre limité de tentatives de connexion intégrées. Il y a aussi une belle Lock-out agressif Cette option vous permet d’être plus stricte lorsque vous êtes attaqué.
Si vous le souhaitez, vous pouvez également ajouter à la liste blanche des adresses IP spécifiques (comme le vôtre) pour éviter le risque de vous isoler:
Plus bas, vous pouvez également activer certaines mesures de sécurité proactives:
Et vous pouvez également configurer une page de connexion personnalisée et afficher un 404 pour la page d'origine. Même si j’ai bien vu le bien-fondé de cette tactique sur le plan de la sécurité, tout le monde s’accorde à penser que c’est un bon moyen d’éviter de gaspiller des ressources en trafic:
Ensuite, en bas, vous pouvez configurer Mode Citadelle, qui est utile lorsque vous êtes attaqué. Une fois déclenché, il est ainsi fait que seules les adresses IP que vous avez spécifiquement répertoriées dans la liste blanche peuvent se connecter pendant la durée que vous avez définie:
En gros, la zone Paramètres principaux vous offre de nombreuses options pour verrouiller le processus de connexion de votre site.
Listes d'accès
Si vous sautez à la Listes d'accès onglet, vous pourrez gérer les deux listes blanches IP (Toujours permis) et des listes noires (jamais permis).
Outre des adresses IP spécifiques, vous pouvez également spécifier des plages ou des sous-réseaux:
Durcissement
Comme son nom l'indique, le Durcissement Cet onglet vous aide à mettre en œuvre des tactiques de base pour renforcer la sécurité. C’est très simple à utiliser, assurez-vous de ne pas désactiver quelque chose dont vous avez besoin.
Par exemple, si vous utilisez quelque chose qui repose sur l’API REST, vous ne voudrez peut-être pas le désactiver complètement. Heureusement, WP Cerber Security vous permet également de désactiver de manière conditionnelle l’API REST, ce qui vous permet de l’autoriser de temps en temps, mais pas indifféremment:
Les notifications
Finalement, le Les notifications onglet vous permet de contrôler les notifications vous recevoir. Vous pouvez même le configurer pour recevoir des notifications push, ce qui est très pratique si vous souhaitez surveiller de près votre site:
Inspecteur de la circulation
Le tableau de bord principal vous donne un aperçu de haut niveau de ce qui se passe sur votre site, mais Inspecteur de la circulation va encore plus loin, vous permettant de regarder en détail chaque demande.
Vous pouvez également utiliser des filtres pour, par exemple, ne regarder que les activités suspectes de visiteurs non connectés:
Il existe également une zone de paramètres où vous pouvez:
- Choisissez le degré d'agressivité que vous souhaitez pour l'inspection du trafic
- Ajouter une liste blanche
- Choisissez quoi et combien de connecter
Règles de sécurité
le Règles de sécurité area abrite une fonctionnalité puissante qui vous permet de définir des règles géographiques spécifiques pour ceux qui peuvent:
- S'identifier
- registre
- Soumettre des formulaires
- Poster des commentaires
- Utiliser XML-RPC
- Utiliser l'API REST
Par exemple, vous avez déjà vu comment mon site de test subissait des envois de formulaires malveillants en provenance de Russie.
Si je le voulais, je pourrais mettre en place une règle qui empêche tous les visiteurs russes de soumettre des formulaires:
Bien que vous souhaitiez délibérément définir ces règles, cette fonctionnalité vous donne un contrôle plus proactif sur la sécurité de votre site.
Politiques de l'utilisateur
le Politiques de l'utilisateur area vous aide à définir des règles pour des rôles d'utilisateur spécifiques, ainsi que pour votre site dans son ensemble.
Tout d'abord, vous pouvez configurer ces Basé sur les rôles règles pour:
- Réorienter
- Session expirée
- Utilisation de l'authentification à deux facteurs
Pour deux facteurs, vous pouvez toujours l'activer ou ne le faire que de manière conditionnelle, comme lorsque quelqu'un tente de se connecter depuis un nouveau pays.
Et encore une fois, vous pouvez le faire sur un base par rôle. Vous pouvez donc faire en sorte que tous vos rédacteurs utilisent deux facteurs, mais pas les auteurs:
Au-delà des restrictions spécifiques à un rôle, vous pouvez également définir des limites globales pour des éléments tels que:
- E-mails et noms d'utilisateur interdits
- Limites d'inscription maximales
- Heure d'expiration de la session
Analyses d'intégrité du site
le Intégrité du site l'onglet vous permet d'exécuter des analyses pour:
- Vérifier l'intégrité de vos fichiers en recherchant de nouveaux fichiers et des modifications
- Rechercher un logiciel malveillant ou un autre code malveillant
Vous pouvez exécuter manuellement ces analyses ou les configurer pour qu'elles s'exécutent automatiquement selon un planning. Et vous obtenez également des options pour exclure certains contenus des analyses.
Sur mon site de test, WP Cerber Security semblait avoir marqué beaucoup de fichiers légitimes comme «code suspect trouvé». Vous devrez donc toujours passer au crible les résultats manuellement. Par exemple, j’ai utilisé la fonctionnalité de transfert de Bluehost pour créer un site de transfert dans un sous-répertoire, ce qui a déclenché de nombreux avertissements dans WP Cerber Security:
Anti-spam
le Anti-spam Onglet vous aide à arrêter le spam dans tous les formulaires de votre site, notamment:
- commentaires
- enregistrement
- Autres formes
Vous pouvez ajouter une liste blanche et choisir quoi faire avec les commentaires de spam:
WP Cerber Security peut également vous aider à configurer reCAPTCHA si vous le souhaitez. Et une fonctionnalité intéressante ici est que vous êtes en mesure de choisir exactement les formulaires que vous souhaitez ajouter.
Cerber.Hub
Si vous avez plusieurs sites exécutant WP Cerber Security, le Cerber.Hub L'onglet vous permet de gérer plusieurs sites à partir d'un seul endroit.
Vous pouvez soit le configurer pour que votre site soit le:
- Maîtriser – il gérera d'autres sites.
- Esclave – il sera géré par un autre site maître.
Vous trouverez peut-être cela pratique si vous utilisez beaucoup de sites différents.
Tarification de sécurité WP Cerber
WP Cerber Security propose une version gratuite limitée sur WordPress.org qui vous aide à mettre en œuvre certains les réglages de sécurité de base.
Toutefois, pour accéder aux fonctionnalités les plus proactives – telles que l’analyse des logiciels malveillants, le pare-feu, les contrôles d’intégrité, etc. – vous devrez passer à la version Pro.
Pour un site unique, vous pouvez payer 29 $ par quart ou 99 $ par an. Vous pouvez également acheter une licence de 5 sites pour 39 $ par mois ou 399 $ par an.
Réflexions finales sur la sécurité de WP Cerber
Bien que je n’ai pas délibérément infecté mon site de logiciels malveillants pour tester WP Cerber Security, je pense pouvoir tirer quelques conclusions:
- L'interface est vraiment bien faite. Ce n’est pas flashy, mais le design est propre et facilite l’accès aux informations importantes.
- Il met en œuvre un grand nombre des meilleures pratiques de sécurité WordPress, en particulier en ce qui concerne vos processus de connexion et le renforcement de base.
- Vous disposez de nombreuses options pour configurer les stratégies de sécurité qui conviennent à votre site spécifique, avec la possibilité de définir des restrictions géographiques et des stratégies de connexion basées sur des rôles.
- Il a été capable de détecter le trafic de robots malveillants dont je n'avais aucune idée, ce qui est effrayant en soi.
Tandis que le version gratuite sur WordPress.org peut vous aider à mettre en place le renforcement de sécurité de base, je pense que vous voudrez aller avec la version Pro pour la sécurité la plus proactive.
Enfin, rappelez-vous toujours qu’un bon plugin de sécurité WordPress tel que WP Cerber Security est une excellente première étape, un plugin de sécurité WordPress seul ne peut pas protéger à 100% votre site.