Nous aimons tous les systèmes de gestion de contenus libres, Wordpress, avec ses qualités et ses défauts, a su s'imposer ces dernières années comme le CMS le plus populaire. Son confort d'utilisation et son orientation résolument orientée utilisateurs est sa plus grande force. Des dizaines de milliers d'extensions sont disponibles, certaines très simples, d'autres bien plus complexes. Ces extensions, ainsi que les thèmes, peuvent poser des problèmes de sécurité.
Le modèle de sécurité de Wordpress lui même pourrait être discuté, mais ce n'est pas l'objet de ce billet. Pour palier ces quelques carences, que ce soit de Wordpress ou d'autres applications web, les WAF (Web Application Firewalls) ont fait leur apparition.
Ninja Firewall propose une solution assez complète pour Wordpress. Attention cependant, il est dédié à une utilisation pour Wordpress sur GNU/Linux ou Unix, il n'est pas compatible Windows. Il propose beaucoup de fonctionnalités assez avancées pour protéger votre Wordpress plusieurs types de menaces (escalation de privilèges, XSS, phishing, clickjacking, attaques par force brutes, moteur de détection de malwares, surveillance des modifications de fichiers, blocage de l'énumération des utilisateurs, surveillance et filtrage des fichiers uploadés, surveillance et filtrage des requêtes et fu trafic HTTP/HTTPS, détection des backdoors et des tentatives d'injection, protection de l'API XML RPC, blocage des bots et scanners, système d'alertes, monitoring temps réel, éditeur de règles, compatibilité IPV6...). Ninja Firewall est probablement l'un des plugins de durcissement de Wordpress les plus intéressants.
L'un des autres points forts de Ninja Firewall, c'est qu'il est déployé sur votre propre infrastructure, il n'est pas dans le cloud, et vous assure ainsi un bon niveau de confidentialité.
Pour l'installation, il s'agit d'un plugin Wordpress, il vous suffit donc de dézipper l'archive de l'extension dans le répertoire /wp-content/plugins. Attention cependant le wp-content devra permettre au groupe www-data ou au groupe propriétaire de votre installation d'écrire dans ce répertoire, un dossier /wp-content/nfwlog/ est créé.
Une fois l'extension activée, vous découvrirez l'interface de Ninja firewall sur /wp-admin/admin.php?page=NinjaFirewall.
Vous pourrez éditer la configuration des règles du firewall sur /wp-admin/admin.php?page=nfsubpolicies
Dès qu'une nouvelle menace est connue, les règles de Ninja Firewall sont mise à jour de manière automatique (sur la page /wp-admin/admin.php?page=nfsubupdates).
Ninja Firewall vous propose également cet outil de scan pour détecter les malwares
Les outils File Guard et File check vous permettent de vous assurer de l'intégrité de vos fichiers en vérifiant régulièrement que ceux ci n'ont pas été modifiés ou altérés.
Une protection anti attaques par force brute vous propose d'ajouter une autre authentification en amont de la page d'identification de Wordpress.
Une interface vous permet d'activer ou de désactiver lè règles par défaut du firewall
Les journaux de connexion du firewall sont consultables sur la page /wp-admin/admin.php?page=nfsublog. Pour une meilleure lecture, ces dernières sont classiviée de basse importance (info) à critiques.
Vous pouvez également configurer de manière fine les notifications que vous souhaitez recevoir ou non
Même s'il ne vous dispense pas d'observer de bonnes pratiques comme garder le core et vos extensions à jour, configurer correctement votre serveur pour que ce dernier n'indexe pas les répertoires (...), Ninja Firewall propose donc une suite d'outils complète vous permettant de bloquer des attaques, de monitorer votre trafic, de vous assurer de l'intégrité de vos fichiers et bien d'autres choses pour durcir le niveau de sécurité de votre Wordpress. Il existe en version gratuite et en version payante (WP+ Edition), et vous pouvez comparer les deux fonctionnalités des deux versions sur cette page.
