Ninja Firewall

Un pare-feu léger pour votre WordPress

Autant vous l'avouer tout de suite, je n'ai jamais été très chaud pour instal­ler un pare-feu (fire­wall) sur mes sites, trop angois­sé à me retrou­ver bloqué à l'extérieur ou plan­ter le site sans pouvoir le récu­pé­rer. Et puis je disais la même chose des plugins de cache et fina­le­ment j'en ai instal­lé un. Et le plugin de protec­tion du fichier wp-login.php n'arrêtait pas de me lancer des messages d'alerte comme quoi le site subis­sait une attaque. J'ai fini par me dire que je ne risquais pas grand chose à faire un test.

Ninja­Fi­re­wall n'est pas le plus connu des pare-feu Word­Press – le plus popu­laire étant proba­ble­ment Word­fence – mais en tombant sur un compa­ra­tif ou je ne sais quoi, j'ai été séduit par la mise en avant du fait qu'il n'alourdissait par Word­Press lui-même.

Ninja­Fi­re­wall est en effet un pare-feu géné­rique conçu pour proté­ger tout script PHP. Il va donc s'interfacer entre les visi­teurs et le site lui-même, rédui­sant les effets néga­tifs des attaques contre votre Word­Press puisque les méchants n'arrivent même pas aux fichiers Word­Press. Enfin, c'est ce que j'ai cru comprendre…

Il est un peu diffi­cile de lister toutes les possi­bi­li­tés de ce genre de plugin aussi vais-je commen­ter les options.

Installation et lancement

L'installation est assez stres­sante. J'ai conser­vé les réglages par défaut dans un premier temps.

Pour la dernière étape, le plugin propose la créa­tion d'un fichier php.ini qui lance­ra le script lui-même. En cas d'échec, le plugin ne pour­ra pas fonctionner.

ninja-firewall-installation04

Il se trouve que de nombreux héber­geurs ne permettent pas l'utilisation de plusieurs php.ini sur leur instal­la­tion ( et il y en a un qui tourne déjà par défaut ). Il est alors conseillé de passer le réglage à .user.ini. C'est d'ailleurs le réglage qui fonc­tionne chez mon héber­geur et chez OVH.

Vous allez obli­ga­toi­re­ment voir ce message qui annonce que le pare-feu ne fonc­tionne pas. Il faut en effet que le fichier ini défi­nit précé­dem­ment soit pris en charge par votre héber­ge­ment. Et cela ne se fait qu'en relan­çant PHP sur votre serveur. Certains héber­geurs permettent à leurs utili­sa­teurs de le faire manuel­le­ment sinon il vous faudra attendre cinq minutes pour que ce soit pris en compte (c'est bien le cas sur OVH).

ninja-firewall-installation05

Au moment de l'installation, le plugin génère un mail qui vous liste toutes les adresses utiles en cas de problème. Pratique.

ninja-firewall-installation06

Options

Vous remar­que­rez que vous pouvez person­na­li­ser un message qui s'affichera pour un visi­teur suspect mais néan­moins bloqué qui est invi­té à vous contac­ter avec un numé­ro de suivi. Le numé­ro d'incident permet de cibler quelle règle du plugin est en cause et vous pouvez la désac­ti­ver éven­tuel­le­ment – cf. plus loin.

ninja-firewall-options

Réglages

J'ai tout lais­sé en réglages par défaut. SAUF la règle sur l'API XML-RCP que j'ai bloquée – cible de nombres d'attaques. Si vous n'en avez pas l'usage – vous n'envoyez pas vos billets par mail ou avec un autre logi­ciel externe, je vous conseille de la proté­ger. Atten­tion : la fonc­tion peut être utile pour certaine fonc­tion­na­li­tés Jetpack.

Protection de fichier

Vous prévient si un script PHP a été instal­lé et utilisé.

ninja-firewall-guard

Création d'une sauvegarde

Le plugin crée une sauve­garde de TOUS vos fichiers pour véri­fier si ils sont modi­fiés sans votre consen­te­ment. C'est une tâche très gour­mande à n'utiliser que si votre héber­ge­ment est costaud. J'ai préfé­ré m'en passer.

ninja-firewall-check

Alertes

Poli­tique d'alerte par email pour chaque cas listé.

ninja-firewall-notif

Protection du login et du XMLRPC

C'est la cible préfé­rée des pirates qui cherchent à cracker vos iden­ti­fiants d'administrateurs. Ninja­Fi­re­wall bloque l'accès aux fichiers en ques­tion en cas d'attaque – vous préci­sez les condi­tions – et les protège par un nouvel iden­ti­fiant et mot de passe qu'il vous faudra entrer en cas de tenta­tive de connexion de votre part durant une attaque. Notez-les donc soigneu­se­ment puisqu'ils peuvent/​doivent être diffé­rents de vos login de connexion à l'administration !
Atten­tion : la fonc­tion XMLRPC peut être utile pour certaine fonc­tion­na­li­tés Jetpack.

ninja-firewall-login

ATTENTION : le plugin souligne bien le fait que cette protec­tion ne sera pas désac­ti­vée si vous désac­ti­vez le plugin. Il faudra passer par cette option pour suppri­mer ce réglage avant de désac­ti­ver le plugin ! Depuis sa dernière version, la protec­tion est désac­ti­vée auto­ma­ti­que­ment si vous désac­ti­vez le plugin.

Mise à jour de la version 3.3.0 : cette fonc­tion­na­li­té peut être rempla­cé par un capt­cha, bien pratique pour ceux qui oublient leurs mots de passe.

Log des attaques

Le plugin liste les attaques que vous subis­sez et supprime régu­liè­re­ment les logs.

ninja-firewall-log

Surveillance en direct

Vous pouvez suivre en direct l'activité bloquée sur le site.

ninja-firewall-live-log

Réglages et mises à jour

Ninja­Fi­re­wall a une liste de réglages qu'il vous propose de mettre à jour régu­liè­re­ment suivant l'actualité des failles WordPress.

ninja-firewall-update

ninja-firewall-rules

Log en accueil et en résumé

ninja-firewall-accueil

ninja-firewall-stats

Mise à jour de WordPress

Lorsque vous faites une mise à jour de Word­Press, vous rece­vrez des messages d’alerte de Ninja Fire­wall qui vont signa­ler l’utilisation de nouveaux fichiers PHP qui corres­pondent aux fichiers instal­lés par la mise à jour. Il n’y a donc pas lieu de s’inquiéter.

Désinstallation

Le plugin ne peut pas être désac­ti­vé en suppri­mant juste son réper­toire par exemple puisque le fichier ini qui le lance existe toujours. Il faut donc le désactiver/​supprimer à partir de l'administration.
En cas de problème, refe­rez-vous à la docu­men­ta­tion offi­cielle : https://​nintech​net​.com/​n​i​n​j​a​f​i​r​e​w​a​l​l​/​w​p​-​e​d​i​t​i​o​n​/​h​e​lp/

Conséquence inattendue et conclusion

J'ai toujours eu une admi­nis­tra­tion un peu fainéante et j'ai toujours mis cela sur le compte du nombre assez impor­tant de plugins que j'utilise côté admi­nis­tra­tion. Après instal­la­tion de Ninja­Fi­re­wall, j'ai consta­té une nette amélio­ra­tion de ce côté-là. Coïn­ci­dence ou réalité ?

J'aime beau­coup la philo­so­phie du plugin qui cherche à allé­ger votre instal­la­tion Word­Press des attaques exté­rieures mais, en contre­par­tie, la gestion de problème ou la désins­tal­la­tion néces­site un peu de connais­sances et de doig­té. Mais il me semble que c'est le cas pour la plupart des plugins de ce type.

Il existe une version payante – abon­ne­ment annuel – du plugin qui permet une gestion plus fine et une meilleure gestion des attaques.

site WP du plugin : https://​word​press​.org/​p​l​u​g​i​n​s​/​n​i​n​j​a​f​i​r​e​w​a​ll/ ‑ version testée : 1.4

If you have found a spel­ling error, please, noti­fy us by selec­ting that text and pres­sing Ctrl+Enter.

Étiquettes

8 commentaires

  1. Bonsoir,
    jamais mis de plugin de sécu­ri­té, je trouve que c'est un truc à la mode, déjà si on main­tient à jour son site, on dimi­nue les risques, puis quelques codes dans le fichier .htac­cess pour proté­ger, ne pas utili­ser l"identifiant Admin, en créé un autre, créer aussi un autre compte niveau Editeur, pour écrire ses articles et ses pages.
    Désac­ti­ver l'éditeur de thème, enfin quelques trucs, et votre site sera quasi­ment sûr, sans plugin de sécurité.

  2. Malheu­reu­se­ment, mettre à jour ne signi­fie pas une protec­tion assu­rée (par exemple une exten­sion aban­don­née sur laquelle on trouve une faille). L’extension de sécu­ri­té permet d’avertir le proprié­taire quand il se passe des choses suspectes en cas de faille. Et elle a le grand avan­tage à mes yeux d’alléger le site en limi­tant les requêtes malveillantes.
    Avec un WP tout nu, je serais d’accord avec vous mais dès que l’on installe des choses exté­rieures, il faut se méfier. Sans comp­ter qu’un nombre impor­tants de pira­tages ne sont pas dûs aux compo­sants du site (héber­geurs, ordi local…). Je vois trop de gens pira­tés sur le forum pour ne pas conseiller une exten­sion de sécu­ri­té puisqu’en géné­ral, ce sont juste­ment les gens qui ne font pas atten­tion à la main­te­nance qui se font avoir. Il vaut mieux préve­nir que guérir.

  3. Bonjour,
    Excu­sez-moi, mais une exten­sion aban­don­née, n'est pas une exten­sion à jour, c'est bien ce que je dis, il faut main­te­nir à jour son site à 100%, là nous sommes en 2017, je n'ai que des plugins mis à jour en 2017, je ne garde pas les plugins donc la dernière mise à jour date de 2016.

    Je vois aussi le nombre de personnes sur le forum qui ont leurs sites de pira­té, mais pardon, vous le dites, ils ne font pas atten­tion à la main­te­nance de leurs sites, donc cela est bien d'une négli­gence de leur part.
    Sur le forum, j'ai vu aussi des messages de personnes qui avaient "cassé" leurs sites avec les plugins de sécu­ri­té, souvent quand ils modi­fient les préfixes des tables, ou le lien pour se connec­ter, etc.

    Je n'ai pas dit que la mise à jour garan­tis­sait la protec­tion, j'ai dit que cela dimi­nuer les risques, n'est-ce pas ,

    Si je comprends le plugin de sécu­ri­té est là pour faire le "boulot " du webmaster.
    Oui mieux vaut préve­nir que guérir, d'où ma prudence des mises à jour.
    Les failles de sécu­ri­té peuvent être présentes aussi dans un plugin de sécurité.
    Le risque 0 n'existe pas, l'hébergeur pira­té, virus sur son ordi­na­teur, etc..

    Je comprends votre point de vue, je crains juste que les gens au lieu de prendre les bonnes habi­tudes de main­te­nance d'un site, se reposent sur un plugin de sécurité.
    Avant ces plugins sur le forum, vous deviez dire, mettre à jour votre site, non ?
    Main­te­nant vous dites, instal­ler un plugin de sécu­ri­té, n'est-ce pas ?

    Compre­nez-moi, je ne suis pas contre le plugin de sécu­ri­té, mais celui-ci doit être vu en complé­ment et non de repla­ce­ment du rôle du webmas­ter, on peut conseiller l'installation d'un plugin de sécu­ri­té, mais on doit rappe­ler, à l'occasion, l'important des mises à jour, de ne pas garder des plugins "obso­lètes", ne pas juste les désac­ti­ver, mais les suppri­mer et mettre les codes néces­saires dans .htac­cess.

    Bien à vous

  4. Bon, je ne conteste pas votre point de vue mais, comme je l’ai dit, une exten­sion de sécu­ri­té peut allé­ger la charge du serveur et simpli­fie la gestion de la sécu­ri­té. Et ceci n’est pas un billet sur la sécu­ri­té en géné­ral mais sur cette exten­sion en parti­cu­lier. La sécu­ri­té en géné­ral aura droit à son petit billet, j’y songe.

    • Il y a des fonc­tions communes mais Cyber semble plus "complet" que Ninja. Après, ça dépend ce que vous cher­chez. Moi ça me convient. Ninja est plus inté­res­sant au niveau légè­re­té de fonctionnement.

  6. Bonjour. Je viens d'installer cette exten­sion pour la 2ème fois … après avoir renon­cé une 1ère fois devant la complexi­té du truc.
    Les captures d'écran de ton article auraient besoin d'être mise à jour, car tout est main­te­nant en fran­çais : ça aide un peu, mais après avoir fait 3 – 4 modifs, ce serait bien de revoir les réglages par défaut sur tes captures pour compa­rer. Et puis, quelques options ont été ajou­tées et d'autres déplacées.

    Petit conseil pour ceux qui installent cette exten­sion : il ne faut pas désac­ti­ver l'API-REST si vous affi­chez un flux Insta­gram sur votre site.

    • Tu imagines s’il fallait que je reprenne tous ces articles suite aux mises à jour des exten­sions ? Mais je vais faire ce que je peux.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Notifiez-moi les commentaires à venir via email. Vous pouvez aussi vous abonner sans commenter.

Ce site embarque des cookies pour vous offrir la meilleur expérience possible

ACCEPTER PLUS D’INFOS

Spelling error report

The following text will be sent to our editors:

Send