Défenseur WPMU Pro

Publié: 2019-03-19

La sécurité est (ou devrait être) l'une des principales priorités de tout propriétaire de site Web, il n'y a rien de tel qu'être trop sécurisé . Aujourd'hui je vais passer en revue un plugin particulièrement intéressant qui traite de la sécurité, il est fait par WPMU et il s'appelle Defender Pro. Ce plugin offre des tonnes d'outils intuitifs et faciles à utiliser et des fonctionnalités vraiment utiles et il fait partie du pack que WPMU propose en tant que modèle basé sur un abonnement.

Prix du défenseur

WPMU suit le modèle d'abonnement avec un peu de jus supplémentaire. Plus de 100 plugins sont disponibles pour tous les membres et ils peuvent être installés sur n'importe quel nombre de sites, des durées illimitées pour un seul coût forfaitaire de 49 $ par mois, c'est une bonne affaire pour ceux qui cherchent à couvrir toutes les bases, comme WPMU a des outils pour à peu près tout, la sécurité et la rapidité étant deux des plus importantes. Le plugin en question, Defender Pro est l'une de leurs meilleures offres. Même si le prix peut sembler élevé à première vue, surtout si vous utilisez l'un des plugins de sécurité freemium du référentiel WordPress, les avantages d'avoir ce plugin couplé à plus de 100 autres rendent définitivement cette offre plus qu'intéressante.

Defender peut être installé directement via le tableau de bord WPMU DEV. Vous disposez de 2 méthodes pour ajouter le plugin principal à votre site. Dans cet article, je vais ajouter le plugin à mon propre magazine de jeux. Vous pouvez soit le faire par une fonctionnalité que WPMU appelle Auto Sync, ce qui implique de donner votre nom d'utilisateur et votre mot de passe au panneau Web de WPMU afin qu'il installe automatiquement le plugin, soit en téléchargeant vous-même le plugin WPMU DEV Dashboard et en vous connectant à votre tableau de bord WPMU Dev avec vos informations d'identification .

Après ce point, tout devient tellement plus facile. Une fois le tableau de bord de développement WPMU installé, ajouter un plugin est aussi simple que de cliquer dessus dans la liste et c'est parti.

Caractéristiques du défenseur

Defender peut être installé à partir de la liste des plugins proposés via le modèle d'abonnement. Avant l'installation, vous pouvez jeter un œil aux fonctionnalités qu'il a à offrir.

Outre la sécurité de base comme l'analyse de votre site et l'offre de modifications, Defender Pro offre également des fonctionnalités avancées telles que l'authentification à 2 facteurs (2fa), un outil de verrouillage IP et la surveillance de la liste noire de Google, entre autres : le plugin ne se contente pas de regarder intérieurement quels changements vous pouvez apporter à votre site afin de le rendre plus sécurisé, il regarde également vers l'extérieur les menaces du monde réel et vous aide à les gérer. C'est un plugin très bien emballé.

Performances avant et après

Avant de creuser dans les fonctionnalités, examinons les performances du site, sans mise en cache et sans Defender Pro activé.

Avant que

Après

Et maintenant, voici les performances après l'activation de Defender Pro. Vous pouvez voir que le plugin n'ajoute aucune requête supplémentaire au site et les performances sont exactement les mêmes que si le plugin n'était pas présent. Comme il ne s'agit pas d'un plugin d'amélioration de la vitesse, nous ne recherchons pas des résultats améliorés, nous ne voulons tout simplement pas de pires résultats. Bon travail jusqu'à présent.

Configuration

Maintenant, pour l'écran de bienvenue. Defender Pro vous permet de tout activer au moyen d'une configuration rapide, ou vous pouvez simplement ignorer cet écran de bienvenue et tout faire vous-même. Pour les personnes expérimentées, je recommande ce dernier.

Les principales fonctionnalités du plugin sont divisées en : analyses automatiques de fichiers, journalisation d'audit, verrouillage IP et moniteur de liste noire. Vous verrez qu'il y a encore plus de fonctionnalités à activer qui ne font pas partie de cette configuration rapide.

Le tableau de bord

Une fois le plugin activé et prêt, vous êtes accueilli avec le tableau de bord suivant.

WPMU sait comment faire des tableaux de bord, c'est sûr. C'est propre et clair où tout est donc même si c'est la première fois que vous visualisez l'interface utilisateur d'un plugin de sécurité, vous pourrez probablement vous débrouiller. Le plugin signalera toute irrégularité en affichant des avertissements jaunes et rouges. L'analyse des fichiers a détecté 26 fichiers suspects sur mon site Web et a également recommandé plusieurs réglages de sécurité. Les fichiers se trouvaient être d'anciennes installations laissées par d'autres plugins et ont été supprimés facilement. Les recommandations ont également été utiles et faciles à exécuter car le plugin vous permet de les exécuter sans avoir recours à des méthodes tierces, telles que FTP, etc. Le scanner de fichiers peut détecter les vulnérabilités sur votre site et peut également contrôler les fichiers WordPress Core à partir de s'altérer.

Ajustements de sécurité

Defender Pro m'a recommandé de désactiver l'éditeur de fichiers dans WordPress, de régénérer mes clés de sécurité et également de bloquer certains dossiers dangereux en appliquant des règles. Étant donné qu'Apache est le seul capable d'exécuter des règles sans modifier sa propre configuration, les règles NGINX liées à mon service ont dû être copiées-collées sur le serveur, ce n'est pas une limitation du plugin, c'est juste comment les choses se font dans NGINX. Le plugin facilite la tâche en affichant le code qui doit être téléchargé dans la configuration NGINX, très agréable.

Une fois que toutes les fonctionnalités de sécurité ont été implémentées, le plugin a affiché une liste de contrôle verte. Gagnant.

Plus de fonctionnalités

Le plugin utilise également une fonctionnalité appelée IP Lockouts qui vous permettra de contrôler la façon dont les téléspectateurs peuvent accéder à votre site. Cette fonctionnalité est également utile pour contrôler les tentatives d'échec de connexion, comme je vais vous le montrer plus tard.

La fonction Blacklist Monitor affiche l'état actuel de votre site par rapport à la liste noire de Google. Cette fonctionnalité vérifiera votre site toutes les 6 heures et signalera par e-mail si quelque chose ne va pas.

Outils avancés

Dans le menu Outils avancés, vous trouverez certaines des fonctionnalités les plus intéressantes de ce plugin à ce jour.

Authentification à deux facteurs

Le plugin ajoute l'authentification à deux facteurs à votre site et à la zone de connexion du masque.

L'authentification à 2 facteurs peut être activée en utilisant l'application Google Authenticator sur votre téléphone. Cela signifie essentiellement que toute personne essayant d'utiliser vos informations de connexion aurait également besoin de votre téléphone devant elle. C'est un excellent moyen de vous assurer que vous seul pouvez vous connecter en tant que vous, et de la même manière pour chaque utilisateur de votre site.

Vous pouvez également personnaliser l'e-mail envoyé à l'utilisateur et activer un coffre-fort au cas où l'utilisateur perdrait son téléphone en donnant l'option d'un mot de passe à usage unique.

Masque Zone de connexion

La deuxième option sous les outils avancés est la zone de connexion du masque. Cette fonctionnalité utile vous permet de renommer le lien direct pour vous connecter à votre tableau de bord. En remplaçant /wp-login et /wp-admin par le mot que vous désirez. Alors que la sécurité par l'obscurité est un sujet très débattu dans WordPress et dans les communautés de logiciels plus larges, j'étais simplement heureux de savoir que Defender m'a donné l'option.

mieux encore, vous pouvez même activer l'option de rediriger tout trafic tentant de se connecter à votre site en redirigeant tout le trafic /wp-admin et /wp-login vers l'URL de votre choix. Cool hein?

Dans mon cas, la connexion à l'URL nécessitera une petite modification de ma configuration NGINX pour ignorer le cache, tout comme le /wp-admin , sinon cela ne fonctionnera pas. Ce n'est pas nécessaire sous Apache.

La fonction de verrouillage IP

C'est l'une des fonctionnalités les plus intéressantes et les plus utiles de Defender Pro, je vais donc l'examiner de plus près. Il a même son propre tableau de bord.

La première partie de la fonctionnalité est la plus importante puisque la protection de connexion limitera les tentatives de connexion sur votre site avec un seuil défini par les tentatives et le délai. La durée du verrouillage vous permet de limiter le nombre de secondes que vous donnez à ladite adresse IP jusqu'à ce qu'il soit autorisé à réessayer de se connecter.

La détection 404 vous permettra de configurer des verrouillages pour toute visite qui utilise des tentatives 404 excessives. Cela peut être utile ou non car il y a probablement de véritables utilisateurs essayant d'accéder à des liens sur votre site qui ne sont plus disponibles.

L'outil IP Banning contrôle la façon dont vous gérez les adresses IP qui étaient auparavant verrouillées, il inclut les options de liste blanche et de liste noire , comme il fallait s'y attendre. C'est une bonne idée d'aller de l'avant et de mettre votre propre adresse IP sur liste blanche.

Les notifications vous permettent de contrôler comment vous allez recevoir les notifications sur votre e-mail. Vous pouvez ajouter des destinataires supplémentaires ici et également contrôler le nombre d'e-mails que vous recevez.

Enfin, voici un exemple typique de la façon dont vous allez recevoir ces e-mails chaque fois que des problèmes surviennent sur votre site. Vous pouvez toujours contrôler et modifier le processus à votre guise, ce qui est un gros plus du plugin.

Emballer

Avoir un scanner de fichiers actif, une fonction de verrouillage IP avec protection de connexion et en plus un moniteur Google Blacklist, un masque pour la zone de connexion et une authentification à deux facteurs tout en un, avec l'avantage supplémentaire de la journalisation d'audit active en fait un superbe et pack très complet. N'oubliez pas que lorsque vous comparez les prix avec d'autres options, vous ne payez pas pour Defender, vous payez pour tout ce que WPMU a à offrir et c'est beaucoup. Sans aucun doute, c'est l'un des meilleurs plugins de sécurité que j'ai rencontré et que je recommande totalement si la sécurité est une priorité sur votre blog ou votre site Web. Une fois de plus, WPMU s'est avéré excellent dans ce qu'il fait, fournissant des plugins utiles pleins d'options faciles à naviguer et à utiliser. Quelles que soient vos compétences, ce plugin est un gardien solide qui se sent stable, bien codé et regorgeant de fonctionnalités.