WP Cerber Security est dérivé du nom Cerberus, issu des mythologies grecque et romaine, dans lesquelles Cerberus est un chien à plusieurs têtes avec une queue de serpent et des griffes de lion, et personne ne pouvait contourner ce chien toujours en colère.
Installation de WP Cerber
La version gratuite du plugin WP Cerber Security peut être téléchargée ici. L’installation se fait de la même façon que pour les autres plugins WordPress: installez le plug-in via Plugins > Ajouter un nouveau > Téléchargez ou décompressez le package du plug-in.
Cette extension est compatible avec WooCommerce, le mode multisite de WordPress, Cloudflare, bbPress, et Wp Engine.
Présentation
WP Cerber Security protège votre site WordPress contre les attaques par force brute, le spam, les chevaux de Troie et les logiciels malveillants.
Ce plugin atténue les attaques par force brute en limitant le nombre de tentatives de connexion rendues possibles via le formulaire de connexion, les requêtes API XML-RPC / REST ou par l’utilisation des cookies d’authentification.
WP Cerber Security suit l’activité des utilisateurs ayant une activité malveillante avec des notifications par e-mail. Elle arrête aussi les spammeurs en utilisant un moteur anti-spam spécialisé.
WP Cerber Security utilise Google reCAPTCHA pour protéger les formulaires d’inscription, de contact et de commentaires et restreint l’accès avec les listes d’accès IP, surveille l’intégrité du site Web avec un scanner de logiciels malveillants.
Il est aussi possible de gérer plusieurs instances WP Cerber Security à partir d’un seul tableau de bord, ce qui est particulièrement utile pour le cas où vous devez assurer la sécurité de plusieurs sites internet.
Enfin, l’extension renforce la sécurité générale de WordPress avec un ensemble de règles de sécurité flexibles et des algorithmes de sécurité.
Limitation des tentatives de connexion
Par défaut, WordPress autorise un nombre illimité de tentatives de connexion via le formulaire de connexion, ce qui permet de casser les mots de passe avec une relative facilité via une attaque par force brute.
WP Cerber Security empêche les intrus par IP ou sous-réseau de faire d’autres tentatives après qu’une limite spécifiée de tentatives est atteinte, ce qui rend impossibles les attaques par force brute ou les attaques par force brute distribuées à partir de botnets.
Vous pourrez créer une liste d’accès IP noire ou une liste d’accès IP blanche pour bloquer ou autoriser les connexions à partir d’une adresse IP particulière, d’une plage d’adresses IP ou d’un sous-réseau de toute classe (A, B, C).
De plus, vous pouvez créer votre page de connexion personnalisée et oublier les attaques automatiques contre le fichier wp-login.php par défaut, qui ont le défaut d’attirer l’attention et qui consomment beaucoup de ressources serveur. Si un attaquant tente d’accéder à wp-login.php, il sera bloqué et obtiendra une réponse d’erreur 404.
Scan des logiciels malveillants
WP Cerber Security Scanner est un outil extrêmement puissant qui analyse en profondeur chaque dossier et inspecte chaque fichier d’un site Web à la recherche de traces de logiciels malveillants, de chevaux de Troie, de portes dérobées, de fichiers modifiés et nouveaux fichiers.
Plus de détails sur les options de configuration du scan ici.
Vérification de l’intégrité des dossiers et fichiers WordPress
Le scanner de WP Cerber Security vérifie si tous les dossiers et fichiers WordPress correspondent à ce qui existe dans le référentiel principal WordPress officiel, compare vos plugins et thèmes avec ce qui se trouve dans le référentiel WordPress officiel et vous avertit de tout changement. Comme pour l’analyse des plugins et des thèmes gratuits, le scanner analyse et vérifie les plugins et les thèmes commerciaux qui sont installés manuellement.
Analyses planifiées avec récupération automatique des fichiers
Le scanner de WP Cerber Security vous permet de configurer facilement un calendrier pour une analyse récurrente automatisée. Une fois le calendrier configuré, le scanner analyse automatiquement le site Web, supprime les logiciels malveillants et récupère les fichiers WordPress modifiés et infectés. Après chaque analyse, vous pouvez obtenir un rapport facultatif par e-mail avec les résultats de l’analyse.
Authentification à deux facteurs
L’authentification à deux facteurs (2FA) fournit une couche de sécurité supplémentaire nécessitant un deuxième facteur d’identification au-delà d’un simple nom d’utilisateur et d’un mot de passe. Lorsque la fonction 2FA est activée sur un site internet, l’utilisateur doit fournir un code de vérification supplémentaire lors de la connexion au site Web. Ce code de vérification est généré automatiquement et envoyé à l’utilisateur par e-mail.
Détail intéressant, cette fonction 2FA est compatible avec la gestion de plusieurs instances WP Cerber Security à partir d’un seul tableau de bord.
Protection anti-spam et anti-bot
Grâce à WP Cerber Security il est possible de bénéficier d’une bonne protection anti-spam et anti-bot pour les contacts, inscriptions, commentaires et autres formulaires. Le moteur anti-spam et de détection de bot protège désormais tous les formulaires d’un site Web. Testé avec Gravity Forms, Caldera Forms, HappyForms, Contact Form 7, Ninja Forms, Formidable Forms, Fast Secure Contact Form, Contact Form by WPForms.
Ce module vous permet de bénéficier d’un reCaptcha invisible sur le formulaire de connexion WordPress, le formulaire d’inscription WordPress, le formulaire de mot de passe WordPress perdu, et enfin sur le formulaire de commentaire WordPress.
Cette fonctionnalité est fonctionnaire aussi pour WooCommerce (Formulaire de connexion WooCommerce, Formulaire d’inscription WooCommerce, Formulaire de mot de passe perdu WooCommerce).
Avant d’activer le reCAPTCHA invisible, vous devez obtenir des clés distinctes pour la version invisible. Plus de détails ici.
Si vous souhaitez tester les fonctionnalités de WP Cerber Security, faites-le sur un autre ordinateur (ou une fenêtre de navigateur incognito) et supprimez l’adresse IP ou le réseau de l’ordinateur de la liste d’accès blanche.
Le Pare-feu de WP Cerber Security « Traffic Inspector »
Il est important de noter que, selon WP Cerber Security, le pare-feu ne ralentit pas les performances de WordPress. Il n’affecte pas non plus le classement SEO de votre site internet. En effet, WP Cerber Security ne bloque pas automatiquement les requêtes ordinaires provenant des pages de vos visiteurs, et ne perturbe pas donc l’indexation des moteurs de recherche.
Seules seront analysées et bloquées les requêtes malveillantes et potentiellement dangereuses, telles que: les soumissions de formulaires, les requêtes avec les paramètres GET et POST, les requêtes aux scripts PHP. WP Cerber bloquera alors l’adresse IP, et enverra une réponse 403 « Accès interdit ». Ces événements seront consignés dans le journal d’activité. Plus de détails ici.
Intégration avec Cloudflare
Un module complémentaire Cloudflare spécial pour WP Cerber Security synchronise la liste des adresses IP bloquées avec les règles d’accès IP de Cloudflare.
Si votre site est derrière le service proxy Cloudflare et que votre WordPress est protégé par le plugin WP Cerber, vous devez faire deux choses pour qu’ils fonctionnent bien ensemble.
1) Activez l’option « Mon site est derrière un proxy inverse » sur la page Paramètres principaux.
2) Dans le cas où vous avez configuré l’URL de connexion personnalisée, vous devez l’exclure de la mise en cache par les serveurs de Cloudflare. Pour ce faire, ajoutez une règle sur la page des paramètres « Page Rules » dans les paramètres de votre compte Cloudflare, comme décrit ici.
Si vous avez configuré l’URL de connexion personnalisée et que vous utilisez Cloudflare ou un plugin de mise en cache W3 Total Cache ou WP Super Cache, vous devez ajouter la nouvelle URL de connexion personnalisée à la liste des pages à ne pas mettre en cache.
Autres mesures de sécurité utiles de WP Cerber Security
Les étapes suivantes sont facultatives mais elles permettent de renforcer la protection de votre WordPress.
- Ajustement des paramètres de limitation des tentatives de connexion en les rendant plus restrictifs en fonction des besoins.
- Configuration de l’URL de connexion personnalisée (le plugin vous enverra un e-mail avec).
- Une fois que vous avez configuré l’URL de connexion personnalisée, cochez « Bloquer immédiatement l’IP après toute demande à wp-login.php » et « Bloquer l’accès direct à wp-login.php et renvoyer l’erreur HTTP 404 introuvable ». N’utilisez plus wp-admin pour vous connecter à votre tableau de bord WordPress.
- Si votre WordPress compte quelques utilisateurs expérimentés, cochez « Bloquer immédiatement l’IP lorsque vous tentez de vous connecter avec un nom d’utilisateur inexistant ».
- Spécifiez la liste des noms d’utilisateur interdits que les utilisateurs légitimes n’utiliseront jamais. Ils ne seront pas autorisés à se connecter ou à s’inscrire.
Consultez ici nos autres articles relatifs à la sécurité des sites WordPress.
