Premiers pas avec WP Cerber Security

English version: Getting Started with WP Cerber Security

Après l'installation et l'activation de l'extension , un ensemble de paramètres essentiels est automatiquement chargé. Ceux-ci permettent à WP Cerber de protéger efficacement votre site WordPress. Toutefois, pour une utilisation optimale de WP Cerber et pour garantir le plus haut niveau de protection à votre site web, une configuration soignée de l'extension est nécessaire.

1. Assurez-vous que Cerber détecte correctement les adresses IP.

1. Ouvrez la page « Quelle est mon adresse IP ? » dans votre navigateur.
2. Ouvrez un deuxième onglet (fenêtre) de navigateur et accédez à l'onglet Outils / Diagnostic de votre installation WP Cerber sur votre site web.
3. Trouvez la ligne « Votre adresse IP est détectée comme » dans la section « Informations système ».
4. Comparez l'adresse IP figurant sur la page « Quelle est mon adresse IP ? » à l'adresse IP affichée dans la ligne « Votre adresse IP est détectée comme ».
5. Vous devriez voir deux adresses IP identiques. Si vous voyez deux adresses IP différentes, vérifiez que votre site est bien protégé par un proxy inverse dans les paramètres principaux de l'extension et répétez les étapes ci-dessus.
6. Si vous voyez toujours deux adresses IP différentes et que le site web n'est pas protégé par un proxy, suivez ces instructions : Résolution des problèmes de détection d'adresse IP incorrecte
7. Une étape supplémentaire si votre WordPress est hébergé sur Cloudflare

2. Activer le chargement du plugin en mode standard

Accédez aux paramètres principaux et définissez le paramètre du moteur de sécurité de chargement sur le mode Standard .

3. Assurez-vous de recevoir les notifications par e-mail

Lorsque vous activez l'extension, un e-mail de bienvenue est envoyé à l'adresse e-mail de l'administrateur du site web. Si vous ne l'avez pas reçu, vérifiez que l'adresse e-mail indiquée dans l'onglet « Notifications » est correcte et que les e-mails de l'extension ne sont pas classés comme indésirables. Si vous n'avez pas reçu l'e-mail de bienvenue, vous risquez de ne pas recevoir les autres notifications importantes. Vous pouvez saisir d'autres adresses e-mail dans le champ prévu à cet effet. Pour tester la réception des e- mails , cliquez sur un lien de test .

Lire la suite : Comment configurer les notifications mobiles sur votre smartphone

4. Activez votre page de connexion et d'inscription personnalisée

Pour masquer la page de connexion WordPress par défaut (wp-login.php) contre les attaques automatisées et les inscriptions indésirables, spécifiez votre propre URL de connexion personnalisée et désactivez wp-login.php. Remarque : si vous utilisez une extension de cache (comme W3 Total Cache ou WP Super Cache), vous devez ajouter votre URL de connexion personnalisée à la liste des pages à exclure du cache.

Comment configurer une URL de connexion personnalisée pour WordPress

5. Ajoutez l'adresse IP de votre domicile ou de votre bureau à la liste blanche d'accès IP.

Si vous travaillez à domicile ou au bureau sur un ordinateur doté d'une adresse IP fixe, il est judicieux d'ajouter cette adresse IP (ou l'ensemble du réseau de l'entreprise) à la liste blanche d'accès IP. Cela vous permettra d'atteindre deux objectifs : éviter d'être bloqué accidentellement hors de votre site web et restreindre l'accès à XML-RPC, à l'API REST et à d'autres éléments essentiels de WordPress.

Lire la suite : Comment utiliser les listes d’accès pour WordPress

6. Activer la protection anti-spam

Le moteur anti-spam de Cerber est compatible avec la plupart des constructeurs de formulaires WordPress et capable de protéger quasiment tous les formulaires. Sur la page d'administration Anti-spam, activez toutes les options nécessaires dans la section Moteur anti-spam Cerber . Une fois l'anti-spam activé, vérifiez que les formulaires de votre site fonctionnent correctement. Si certaines fonctionnalités ne fonctionnent plus, activez l'option « Utiliser des politiques moins restrictives (autoriser AJAX) » .

Enfin, laissez l'extension gérer les commentaires indésirables. Choisissez de les refuser complètement ou de simplement les marquer comme indésirables . Activez le déplacement automatique des commentaires indésirables vers la corbeille.

• Comment empêcher les inscriptions d'utilisateurs indésirables sur votre WordPress
• Comment bloquer les soumissions de formulaires indésirables sur votre site WordPress
• Comment configurer reCAPTCHA pour WordPress

7. Restreindre l'accès à l'API REST et à XML-RPC

1. Accédez à la page d'administration du durcissement .
2. Cochez la case « Désactiver l’API REST » . Spécifiez les exceptions d’espace de noms pour l’API REST si nécessaire. Par exemple, si vous utilisez Contact Form 7, l’espace de noms est contact-form-7 , et pour Jetpack, il s’agit jetpack .
3. Cochez la case « Autoriser l'API REST pour les utilisateurs connectés » si vous souhaitez autoriser l'utilisation de l'API REST pour tout utilisateur WordPress autorisé, sans limitation.
4. Cochez la case « Désactiver XML-RPC » si vous n'utilisez pas l'extension Jetpack. Si vous utilisez XML-RPC uniquement depuis certains hôtes, ajoutez leurs adresses IP à la liste blanche d'accès IP .

Lire la suite : Restreindre l’accès à l’API REST de WordPress

8. Spécifiez une liste des noms d'utilisateur interdits.

Rendez-vous sur la page d'administration des utilisateurs du plugin et, si votre liste est encore vide, il est conseillé d'y ajouter les noms d'utilisateur suivants : admin, administrator, manager, editor, user, demo, test .

En savoir plus sur les noms d'utilisateur interdits

9. Activer l'authentification à deux facteurs

Pour protéger les comptes utilisateurs et empêcher leur piratage, activez l'authentification à deux facteurs. Elle offre une couche de sécurité supplémentaire exigeant un deuxième élément d'identification en plus du nom d'utilisateur et du mot de passe WordPress.

Lire la suite : Authentification à deux facteurs pour WordPress

10. Activer les mises à jour automatiques pour WP Cerber

Les mises à jour régulières de WP Cerber sont essentielles pour une sécurité optimale de WordPress, car nous améliorons constamment ses algorithmes, mettons en place des protections contre les nouvelles menaces et corrigeons les bugs. Vous pouvez les activer en quelques clics : Comment activer les mises à jour automatiques de WP Cerber.

11. Activer le masquage des champs de formulaire pour l'inspecteur de la circulation

Si vous avez activé l'enregistrement des champs de formulaire dans le journal ( l'option « Enregistrer les champs de requête » est activée) et que vous utilisez une extension qui génère le formulaire de connexion de votre site web, vous devez ajouter le nom du champ « mot de passe » à la section « Masquer ces champs de formulaire » dans les paramètres de Traffic Inspector. WP Cerber masque systématiquement le champ « mot de passe » du formulaire de connexion WordPress par défaut, ainsi que les champs suivants : « pwd », « pass » et « password ».

Inspecteur de la circulation et enregistrement des données : comment

12. Activer l'envoi d'adresses IP malveillantes au laboratoire de Cerber

Laissez l'équipe du plugin améliorer les algorithmes de sécurité et optimiser ses performances. Accédez aux Paramètres principaux , puis, dans la section Activité, activez la connexion à Cerber Lab . Pour une sécurité renforcée, configurez le protocole Cerber Lab sur HTTPS. En savoir plus sur Cerber Lab .

13. Activer les alertes mobiles et les notifications par e-mail

Pour suivre une activité spécifique ou être notifié lorsqu'un utilisateur s'inscrit ou se connecte à votre site web, sélectionnez l'activité correspondante dans l'onglet « Activité » et cliquez sur « Créer une alerte » . En savoir plus : Les notifications WordPress simplifiées .

Vous avez une question ou besoin d'aide concernant WP Cerber ?

• Trouvez des réponses dans la documentation WP Cerber
• Rejoignez la communauté WP Cerber pour bénéficier du soutien de ses membres et d'autres utilisateurs du monde entier.