Ninja Firewall

Un pare-feu léger pour votre WordPress

Autant vous l'avouer tout de suite, je n'ai jamais été très chaud pour instal­ler un pare-feu (fire­wall) sur mes sites, trop angois­sé à me retrou­ver bloqué à l'extérieur ou plan­ter le site sans pouvoir le récu­pé­rer. Et puis je disais la même chose des plugins de cache et fina­le­ment j'en ai instal­lé un. Et le plugin de protec­tion du fichier wp-login.php n'arrêtait pas de me lancer des messages d'alerte comme quoi le site subis­sait une attaque. J'ai fini par me dire que je ne risquais pas grand chose à faire un test.

Ninja­Fi­re­wall n'est pas le plus connu des pare-feu Word­Press – le plus popu­laire étant proba­ble­ment Word­fence – mais en tombant sur un compa­ra­tif ou je ne sais quoi, j'ai été séduit par la mise en avant du fait qu'il n'alourdissait par Word­Press lui-même.

Ninja­Fi­re­wall est en effet un pare-feu géné­rique conçu pour proté­ger tout script PHP. Il va donc s'interfacer entre les visi­teurs et le site lui-même, rédui­sant les effets néga­tifs des attaques contre votre Word­Press puisque les méchants n'arrivent même pas aux fichiers Word­Press. Enfin, c'est ce que j'ai cru comprendre…

Il est un peu diffi­cile de lister toutes les possi­bi­li­tés de ce genre de plugin aussi vais-je commen­ter les options.

Installation et lancement

L'installation est assez stres­sante. J'ai conser­vé les réglages par défaut dans un premier temps.

Pour la dernière étape, le plugin propose la créa­tion d'un fichier php.ini qui lance­ra le script lui-même. En cas d'échec, le plugin ne pour­ra pas fonctionner.

ninja-firewall-installation04

Il se trouve que de nombreux héber­geurs ne permettent pas l'utilisation de plusieurs php.ini sur leur instal­la­tion ( et il y en a un qui tourne déjà par défaut ). Il est alors conseillé de passer le réglage à .user.ini. C'est d'ailleurs le réglage qui fonc­tionne chez mon héber­geur et chez OVH.

Vous allez obli­ga­toi­re­ment voir ce message qui annonce que le pare-feu ne fonc­tionne pas. Il faut en effet que le fichier ini défi­nit précé­dem­ment soit pris en charge par votre héber­ge­ment. Et cela ne se fait qu'en relan­çant PHP sur votre serveur. Certains héber­geurs permettent à leurs utili­sa­teurs de le faire manuel­le­ment sinon il vous faudra attendre cinq minutes pour que ce soit pris en compte (c'est bien le cas sur OVH).

ninja-firewall-installation05

Au moment de l'installation, le plugin génère un mail qui vous liste toutes les adresses utiles en cas de problème. Pratique.

ninja-firewall-installation06

Options

Vous remar­que­rez que vous pouvez person­na­li­ser un message qui s'affichera pour un visi­teur suspect mais néan­moins bloqué qui est invi­té à vous contac­ter avec un numé­ro de suivi. Le numé­ro d'incident permet de cibler quelle règle du plugin est en cause et vous pouvez la désac­ti­ver éven­tuel­le­ment – cf. plus loin.

ninja-firewall-options

Réglages

J'ai tout lais­sé en réglages par défaut. SAUF la règle sur l'API XML-RCP que j'ai bloquée – cible de nombres d'attaques. Si vous n'en avez pas l'usage – vous n'envoyez pas vos billets par mail ou avec un autre logi­ciel externe, je vous conseille de la proté­ger. Atten­tion : la fonc­tion peut être utile pour certaine fonc­tion­na­li­tés Jetpack.

Protection de fichier

Vous prévient si un script PHP a été instal­lé et utilisé.

ninja-firewall-guard

Création d'une sauvegarde

Le plugin crée une sauve­garde de TOUS vos fichiers pour véri­fier si ils sont modi­fiés sans votre consen­te­ment. C'est une tâche très gour­mande à n'utiliser que si votre héber­ge­ment est costaud. J'ai préfé­ré m'en passer.

ninja-firewall-check

Alertes

Poli­tique d'alerte par email pour chaque cas listé.

ninja-firewall-notif

Protection du login et du XMLRPC

C'est la cible préfé­rée des pirates qui cherchent à cracker vos iden­ti­fiants d'administrateurs. Ninja­Fi­re­wall bloque l'accès aux fichiers en ques­tion en cas d'attaque – vous préci­sez les condi­tions – et les protège par un nouvel iden­ti­fiant et mot de passe qu'il vous faudra entrer en cas de tenta­tive de connexion de votre part durant une attaque. Notez-les donc soigneu­se­ment puisqu'ils peuvent/​doivent être diffé­rents de vos login de connexion à l'administration !
Atten­tion : la fonc­tion XMLRPC peut être utile pour certaine fonc­tion­na­li­tés Jetpack.

ninja-firewall-login

ATTENTION : le plugin souligne bien le fait que cette protec­tion ne sera pas désac­ti­vée si vous désac­ti­vez le plugin. Il faudra passer par cette option pour suppri­mer ce réglage avant de désac­ti­ver le plugin ! Depuis sa dernière version, la protec­tion est désac­ti­vée auto­ma­ti­que­ment si vous désac­ti­vez le plugin.

Mise à jour de la version 3.3.0 : cette fonc­tion­na­li­té peut être rempla­cé par un capt­cha, bien pratique pour ceux qui oublient leurs mots de passe.

Log des attaques

Le plugin liste les attaques que vous subis­sez et supprime régu­liè­re­ment les logs.

ninja-firewall-log

Surveillance en direct

Vous pouvez suivre en direct l'activité bloquée sur le site.

ninja-firewall-live-log

Réglages et mises à jour

Ninja­Fi­re­wall a une liste de réglages qu'il vous propose de mettre à jour régu­liè­re­ment suivant l'actualité des failles WordPress.

ninja-firewall-update

ninja-firewall-rules

Log en accueil et en résumé

ninja-firewall-accueil

ninja-firewall-stats

Mise à jour de WordPress

Lorsque vous faites une mise à jour de Word­Press, vous rece­vrez des messages d’alerte de Ninja Fire­wall qui vont signa­ler l’utilisation de nouveaux fichiers PHP qui corres­pondent aux fichiers instal­lés par la mise à jour. Il n’y a donc pas lieu de s’inquiéter.

Désinstallation

Le plugin ne peut pas être désac­ti­vé en suppri­mant juste son réper­toire par exemple puisque le fichier ini qui le lance existe toujours. Il faut donc le désactiver/​supprimer à partir de l'administration.
En cas de problème, refe­rez-vous à la docu­men­ta­tion offi­cielle : https://​nintech​net​.com/​n​i​n​j​a​f​i​r​e​w​a​l​l​/​w​p​-​e​d​i​t​i​o​n​/​h​e​lp/

Conséquence inattendue et conclusion

J'ai toujours eu une admi­nis­tra­tion un peu fainéante et j'ai toujours mis cela sur le compte du nombre assez impor­tant de plugins que j'utilise côté admi­nis­tra­tion. Après instal­la­tion de Ninja­Fi­re­wall, j'ai consta­té une nette amélio­ra­tion de ce côté-là. Coïn­ci­dence ou réalité ?

J'aime beau­coup la philo­so­phie du plugin qui cherche à allé­ger votre instal­la­tion Word­Press des attaques exté­rieures mais, en contre­par­tie, la gestion de problème ou la désins­tal­la­tion néces­site un peu de connais­sances et de doig­té. Mais il me semble que c'est le cas pour la plupart des plugins de ce type.

Il existe une version payante – abon­ne­ment annuel – du plugin qui permet une gestion plus fine et une meilleure gestion des attaques.

site WP du plugin : https://​word​press​.org/​p​l​u​g​i​n​s​/​n​i​n​j​a​f​i​r​e​w​a​ll/ ‑ version testée : 1.4

Étiquettes

8 commentaires

  1. Bonsoir,
    jamais mis de plugin de sécu­ri­té, je trouve que c'est un truc à la mode, déjà si on main­tient à jour son site, on dimi­nue les risques, puis quelques codes dans le fichier .htac­cess pour proté­ger, ne pas utili­ser l"identifiant Admin, en créé un autre, créer aussi un autre compte niveau Editeur, pour écrire ses articles et ses pages.
    Désac­ti­ver l'éditeur de thème, enfin quelques trucs, et votre site sera quasi­ment sûr, sans plugin de sécurité.

  2. Malheu­reu­se­ment, mettre à jour ne signi­fie pas une protec­tion assu­rée (par exemple une exten­sion aban­don­née sur laquelle on trouve une faille). L’extension de sécu­ri­té permet d’avertir le proprié­taire quand il se passe des choses suspectes en cas de faille. Et elle a le grand avan­tage à mes yeux d’alléger le site en limi­tant les requêtes malveillantes.
    Avec un WP tout nu, je serais d’accord avec vous mais dès que l’on installe des choses exté­rieures, il faut se méfier. Sans comp­ter qu’un nombre impor­tants de pira­tages ne sont pas dûs aux compo­sants du site (héber­geurs, ordi local…). Je vois trop de gens pira­tés sur le forum pour ne pas conseiller une exten­sion de sécu­ri­té puisqu’en géné­ral, ce sont juste­ment les gens qui ne font pas atten­tion à la main­te­nance qui se font avoir. Il vaut mieux préve­nir que guérir.

  3. Bonjour,
    Excu­sez-moi, mais une exten­sion aban­don­née, n'est pas une exten­sion à jour, c'est bien ce que je dis, il faut main­te­nir à jour son site à 100%, là nous sommes en 2017, je n'ai que des plugins mis à jour en 2017, je ne garde pas les plugins donc la dernière mise à jour date de 2016.

    Je vois aussi le nombre de personnes sur le forum qui ont leurs sites de pira­té, mais pardon, vous le dites, ils ne font pas atten­tion à la main­te­nance de leurs sites, donc cela est bien d'une négli­gence de leur part.
    Sur le forum, j'ai vu aussi des messages de personnes qui avaient "cassé" leurs sites avec les plugins de sécu­ri­té, souvent quand ils modi­fient les préfixes des tables, ou le lien pour se connec­ter, etc.

    Je n'ai pas dit que la mise à jour garan­tis­sait la protec­tion, j'ai dit que cela dimi­nuer les risques, n'est-ce pas ,

    Si je comprends le plugin de sécu­ri­té est là pour faire le "boulot " du webmaster.
    Oui mieux vaut préve­nir que guérir, d'où ma prudence des mises à jour.
    Les failles de sécu­ri­té peuvent être présentes aussi dans un plugin de sécurité.
    Le risque 0 n'existe pas, l'hébergeur pira­té, virus sur son ordi­na­teur, etc..

    Je comprends votre point de vue, je crains juste que les gens au lieu de prendre les bonnes habi­tudes de main­te­nance d'un site, se reposent sur un plugin de sécurité.
    Avant ces plugins sur le forum, vous deviez dire, mettre à jour votre site, non ?
    Main­te­nant vous dites, instal­ler un plugin de sécu­ri­té, n'est-ce pas ?

    Compre­nez-moi, je ne suis pas contre le plugin de sécu­ri­té, mais celui-ci doit être vu en complé­ment et non de repla­ce­ment du rôle du webmas­ter, on peut conseiller l'installation d'un plugin de sécu­ri­té, mais on doit rappe­ler, à l'occasion, l'important des mises à jour, de ne pas garder des plugins "obso­lètes", ne pas juste les désac­ti­ver, mais les suppri­mer et mettre les codes néces­saires dans .htac­cess.

    Bien à vous

  4. Bon, je ne conteste pas votre point de vue mais, comme je l’ai dit, une exten­sion de sécu­ri­té peut allé­ger la charge du serveur et simpli­fie la gestion de la sécu­ri­té. Et ceci n’est pas un billet sur la sécu­ri­té en géné­ral mais sur cette exten­sion en parti­cu­lier. La sécu­ri­té en géné­ral aura droit à son petit billet, j’y songe.

    • Il y a des fonc­tions communes mais Cyber semble plus "complet" que Ninja. Après, ça dépend ce que vous cher­chez. Moi ça me convient. Ninja est plus inté­res­sant au niveau légè­re­té de fonctionnement.

  6. Bonjour. Je viens d'installer cette exten­sion pour la 2ème fois … après avoir renon­cé une 1ère fois devant la complexi­té du truc.
    Les captures d'écran de ton article auraient besoin d'être mise à jour, car tout est main­te­nant en fran­çais : ça aide un peu, mais après avoir fait 3 – 4 modifs, ce serait bien de revoir les réglages par défaut sur tes captures pour compa­rer. Et puis, quelques options ont été ajou­tées et d'autres déplacées.

    Petit conseil pour ceux qui installent cette exten­sion : il ne faut pas désac­ti­ver l'API-REST si vous affi­chez un flux Insta­gram sur votre site.

    • Tu imagines s’il fallait que je reprenne tous ces articles suite aux mises à jour des exten­sions ? Mais je vais faire ce que je peux.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Notifiez-moi les commentaires à venir via email. Vous pouvez aussi vous abonner sans commenter.

Ce site embarque des cookies pour vous offrir la meilleur expérience possible

ACCEPTER PLUS D’INFOS