Plugin WordPress — ReportedIP (édition complète)

ReportedIP est un plugin de sécurité WordPress alimenté par la communauté. Il transforme chaque site protégé en capteur : lorsqu’un site est attaqué, la communauté en tire des enseignements et tous les autres sites peuvent bloquer l’attaquant avant même que la première requête n’aboutisse. Informations sur les menaces en temps réel, treize capteurs d’attaques, authentification à deux facteurs (2FA) à quatre méthodes, escalade progressive du blocage. Open source, publié sous licence GPLv2+ sur GitHub.

Installation

Assistant d'installation (9 étapes)

L'assistant s'exécute lors de la première activation et peut être relancé à tout moment depuis les paramètres du plugin. Chaque étape est enregistrée immédiatement, ce qui vous permet de vous arrêter et de reprendre plus tard.

Modes de fonctionnement

Deux modes — passez de l'un à l'autre à tout moment sans perdre vos données locales.

Ce que vous obtenez à chaque niveau

Le plugin Hive est entièrement fonctionnel dans la version gratuite : protection locale, les treize capteurs et les quatre méthodes d'authentification à deux facteurs. Les formules payantes incluent une infrastructure de diffusion gérée (e-mail et SMS) ainsi que des quotas plus élevés pour le réseau communautaire. Consultez la page Tarifs pour obtenir une comparaison complète et passer à une formule supérieure.

Business plusieurs réservations. Tous Business indiqués ci-dessus Business s'entendent par licence. Réservez Business , x5, x10 ou x20 lors du paiement (ou modifiez ce choix ultérieurement via le portail client Stripe) : le nombre de vérifications/rapports quotidiens, le quota mensuel d'e-mails/SMS pour l'authentification à deux facteurs (2FA) et le nombre de domaines s'adaptent tous en fonction du nombre de licences — par exemple, x5 = 75 domaines et 500 000 vérifications/jour. Une remise sur volume s'applique automatiquement à partir de x2. La version PRO reste à licence unique ; les chiffres de la version Enterprise sont illimités (utilisation raisonnable) et ne sont jamais multipliés.

Commande groupée (PRO et Business) : d'abord le forfait mensuel inclus (25 SMS / 500 e-mails pour PRO, 75 / 2 500 pour Business), puis le solde du forfait prépayé. Une fois ces deux forfaits épuisés, l'API renvoie un code HTTP 429 et Hive bascule vers le mode local wp_mail() pour les e-mails (ou les SMS avec limite stricte) — les autres méthodes d'authentification à deux facteurs restent opérationnelles. Les crédits du pack n'expirent jamais. Stripe utilise tax_behavior = inclusive pour les offres groupées au prix brut (conformes à la PAngV) ; l'autoliquidation / OSS est gérée automatiquement par Stripe Tax.

Une protection en 5 couches

Hive effectue ses vérifications dans l'ordre : chaque couche peut interrompre la requête avant qu'elle n'atteigne la suivante. Accroché à init avec une priorité 1 afin que les autres plugins ne s'exécutent pas pour une adresse IP bloquée.

1. Liste blanche — les adresses IP et les plages CIDR de confiance sont toujours autorisées (votre bureau, les services de surveillance, etc.).
2. Liste de blocage locale — Les adresses IP que vous avez bloquées manuellement ou qui ont dépassé les seuils locaux. Enregistrées dans wp_reportedip_hive_blocked.
3. Compteurs de tentatives — les compteurs de connexion, de commentaires, XMLRPC, de requêtes REST en rafale et de scans 404 déclenchent un blocage automatique dès que le seuil est atteint.
4. Réputation de la communauté — en mode « Réseau communautaire », les adresses IP dont le niveau de confiance est supérieur ou égal au seuil défini sont bloquées en périphérie.
5. Vérification à deux facteurs: les comptes protégés doivent passer par une deuxième étape de vérification pour se connecter.

Les treize capteurs d'attaque

Chaque capteur peut être activé ou désactivé et réglé individuellement dans Paramètres → Protection.

Escalade par paliers

Les récidivistes paient plus cher. L'échelle par défaut est la suivante : 5 min → 15 min → 30 min → 24 h → 48 h → 7 j. Après 30 jours sans incident, le compteur revient à l'étape 1. Les visiteurs légitimes qui déclenchent le système pour la première fois (CGNAT, administrateurs maladroits, sortie du réseau mobile) sont réintégrés en quelques minutes ; les attaquants persistants atteignent l'étape des 7 jours.

L'échelle, la fenêtre de réinitialisation et le commutateur principal se trouvent sous Paramètres → Blocage → Blocage progressif. L'étape « Protection » de l'assistant affiche le commutateur principal, de sorte que les nouvelles installations prennent en charge la gestion des droits d'accès dès la première sauvegarde. La correction block_duration Ce paramètre reste actif même lorsque l'échelle est désactivée. La granularité inférieure à l'heure est assurée par ReportedIP_Hive_Database::block_ip_for_minutes().

Authentification à deux facteurs (2FA)

Quatre méthodes sont prises en charge et peuvent être combinées pour chaque utilisateur. Les codes de récupération sont générés lors de la première configuration. Les secrets sont chiffrés au repos (à l'aide de libsodium, avec OpenSSL comme solution de secours).

• TOTP — RFC 6238 (6 chiffres, fenêtre de 30 secondes). Compatible avec Google Authenticator, Authy, 1Password, Bitwarden, …
• E-mail — code à usage unique (OTP) à six chiffres envoyé par le fournisseur de messagerie configuré ; débit limité (3 codes toutes les 15 minutes, 5 tentatives de vérification par code, délai de réenvoi de 60 secondes).
• SMS — mot de passe à usage unique (OTP) à six chiffres via le relais reportedIP managed reportedIP (formule Professional et supérieures ; voir ci-dessous). Le numéro de téléphone est chiffré au repos.
• WebAuthn — clés d'accès, clés de sécurité (YubiKey), authentificateurs de plateforme (Touch ID, Face ID, Windows Hello). Analyseur CBOR interne, aucune dépendance externe.
• Appareils de confiance — jetons « Se souvenir de cet appareil » activables avec une durée de validité configurable (30 jours par défaut). Stockés dans wp_reportedip_hive_trusted_devices sous forme de hachages SHA-256.
• Codes de récupération — 10 à usage unique xxxx-xxxx codes ; alerte « low-code » lorsque le nombre restant est ≤ 3.

Protection contre les attaques par force brute pour l'authentification à deux facteurs

L'échelle de vérification de l'authentification à deux facteurs est 3 → 30 s, 5 → 5 min, 10 → 30 min, 15 → 1 h. Lorsque le compteur atteint la marche supérieure, l'IP passe au niveau central auto_block_ip() chemin (événement 2fa_brute_force) qui déclenche une escalade progressive et la transmission d'alertes en mode « Community », comme n'importe quel autre capteur.

API REST pour l'authentification à deux facteurs sans interface utilisateur

Pour les intégrations d'applications, le plugin expose trois routes sous l'espace de noms reportedip-hive/v1:

• POST /2fa/challenge — identifiant + mot de passe → jeton de sécurité + méthodes activées (20 requêtes / 5 minutes par adresse IP).
• POST /2fa/verify — jeton + méthode + code → définit le cookie d'authentification (30 requêtes / 5 minutes par adresse IP).
• GET /2fa/methods — affiche les méthodes actives pour l'utilisateur actuel.

Connexion en interface utilisateur de WooCommerce

La fonctionnalité d'authentification à deux facteurs (2FA) de Hive s'intègre directement à votre thème de boutique en ligne actuel — les clients qui se connectent via [woocommerce_my_account], le processus de paiement classique ou les blocs « Panier » et « Paiement » de WooCommerce conservent leur deuxième facteur d'authentification sur une page thématique. L'état du panier et du paiement est préservé lors de la redirection, et le cookie d'appareil de confiance est partagé avec le flux de connexion WordPress.

• Chemin de configuration — 2FA → Connexion à l'interface publique pour WooCommerce.
• Slugs configurables — nom du défi (par défaut reportedip-hive-2fa) et le slug de configuration (par défaut reportedip-hive-2fa-setup); les règles modifiables, celles soumises à la vérification des conflits et celles de réécriture sont automatiquement actualisées lorsqu'elles sont modifiées.
• Rétrogradation de forfait — désactivation temporaire pour les forfaits « Free » et « Contributor » ; les paramètres, les choix de slugs et l'état de l'intégration sont conservés ; aucune perte de données lors du retour au forfait supérieur.
• Détection des conflits — Hive affiche un message d'administration lorsque Solid Security, le plugin WP Two-Factor ou Wordfence 2FA gère le formulaire de connexion, et désactive la vérification sur l'interface publique afin d'éviter les doubles invites.
• Disponibilité des forfaits — Version Professionnelle et supérieures. Les capteurs gratuits de connexion échouée pour WooCommerce (woocommerce_login_failed, woocommerce_checkout_login_form_failed_login) restent présents dans tous les plans et continuent d'alimenter le compteur de force brute.

Envoi d'e-mails et de SMS

La couche de messagerie fonctionne via un contrat de fournisseur modulable (ReportedIP_Hive_Mailer). Le fournisseur par défaut est WordPress wp_mail(); les intégrateurs peuvent remplacer ce dernier par le leur sans modifier le reste du plugin. La 2FA par SMS est une fonctionnalité de la version Professionnelle disponible exclusivement via le relais géré reportedip.de — aucun compte SMS ni contrat avec un opérateur n'est nécessaire. Elle est configurée automatiquement avec un forfait payant ; activez-la sous Paramètres → Authentification à deux facteurs → SMS.

Aperçu de la configuration

Tous les paramètres se trouvent dans ReportedIP → Paramètres. Voici les valeurs par défaut les plus importantes :

Tables de base de données

Créé lors de l'activation, préfixé wp_reportedip_hive_. Version 3 du schéma, avec migration idempotente à chaque mise à jour du plugin.

• logs — événements de sécurité, détails JSON, niveau de gravité, indicateur de signalement.
• whitelist — adresses IP et plages CIDR approuvées ; date d'expiration facultative.
• blocked — blocages actifs (manuels / automatiques / basés sur la réputation), avec blocked_until.
• attempts — compteurs par adresse IP et par type de tentative, avec les horodatages de début et de fin.
• api_queue — rapports en attente et ayant échoué vers l'API communautaire ; logique de nouvelle tentative.
• stats — les données cumulées quotidiennes pour les graphiques du tableau de bord (tendances sur 7 et 30 jours).
• trusted_devices — Jeton de l'appareil pour l'authentification à deux facteurs (hachages SHA-256), adresse IP et nom de l'appareil, date d'expiration.

Shortcodes côté client et pied de page automatique

Intégrez un petit badge « Protégé par Hive » n'importe où sur le site. Tous les codes courts affichent un seul <rip-hive-banner> composant web qui récupère des données en temps réel à partir d'un cache temporaire de 6 heures (sans appel d'API à chaque consultation de page).

• [reportedip_badge] — petit badge (par défaut) protéger (ton).
• [reportedip_stat] — une seule statistique (par défaut) confiance (ton).
• [reportedip_banner] — bannière large (par défaut) communauté (ton).
• [reportedip_shield] — icône en forme de bouclier (par défaut) contributeur (ton).

Caractéristiques communes : stat (par exemple attacks_30d, reports_total), tone (protect / trust / community / contributor), color, background, label, intro. Le pied de page automatique de l'assistant utilise le même composant, dont la variante et l'alignement sont configurables.

Référence WP-CLI

L'outil d'authentification à deux facteurs est entièrement scriptable. Disponible sous wp reportedip 2fa …:

wp reportedip 2fa status [--user=<id>]
wp reportedip 2fa enable <user_id> --method=<totp|email|sms|webauthn> [--secret=<base32>]
wp reportedip 2fa disable <user_id> [--method=<m>]
wp reportedip 2fa reset <user_id>
wp reportedip 2fa enforce --role=<role> [--remove]
wp reportedip 2fa audit [--user=<id>] [--since=<date>]
wp reportedip 2fa cleanup

Compatibilité des plugins de mise en cache

Depuis la version 1.5.2, la réponse de page bloquée définit DONOTCACHEPAGE, DONOTCACHEDB et DONOTCACHEOBJECT (pris en charge par WP Rocket, W3 Total Cache, WP Super Cache et LiteSpeed Cache) et envoie des instructions explicites Cache-Control: no-store, no-cache, must-revalidate, max-age=0, Pragma: no-cache ainsi que le cœur de WordPress nocache_headers() définir. Un seul attaquant bloqué ne peut plus polluer le cache de pages avec un code 403 que les visiteurs légitimes recevraient autrement jusqu'à l'expiration du cache.

Filtres et hooks d'action

• apply_filters('reportedip_hive_external_url', $url, $context) — Remplacez toutes les URL externes (politique de confidentialité, inscription, FAQ, etc.).
• apply_filters('reportedip_hive_rest_bypass_routes', $routes) — étendre la liste des préfixes de routes REST qui contournent le moniteur de trafic (intégrations de bannières de cookies).
• apply_filters('reportedip_hive_scan_paths', $paths) — étendre la liste des chemins d'accès aux honeypots pour le détecteur de scan.
• do_action('reportedip_hive_ip_blocked', $ip, $reason) — déclenché lorsqu'une adresse IP est bloquée.
• do_action('reportedip_hive_report_queued', $ip, $category) — déclenché lorsqu'un rapport est mis en file d'attente pour l'API.

Foire aux questions

Les questions qui nous sont le plus souvent posées. Chaque réponse renvoie, le cas échéant, à la section correspondante ci-dessus.

Généralités

Installation et configuration

Modes et capteurs

Authentification à deux facteurs

Performances et compatibilité

Confidentialité et RGPD

Personnalisation et extension

add_filter('reportedip_hive_rest_bypass_routes', function ($routes) {
    $routes[] = '/my-consent-plugin/v1';
    return $routes;
});

add_filter('reportedip_hive_scan_paths', function ($paths) {
    $paths[] = '/.aws/credentials';
    return $paths;
});

Quotas, forfaits et compte

Dépannage

Le plugin ne bloque aucune adresse IP

Vérifiez si le mode « Rapport uniquement » est activé : il enregistre les menaces sans les bloquer. Vérifiez également que le seuil de blocage n'est pas trop élevé (75 % par défaut) et que le blocage automatique est activé (la stratégie de durée est désactivée lorsque le blocage automatique est désactivé).

Erreurs de connexion à l'API en mode Réseau communautaire

Assurez-vous que votre serveur peut envoyer des requêtes HTTPS sortantes vers reportedip.de. Certains hébergeurs bloquent les connexions sortantes par défaut. Vérifiez la clé API sur le Tableau de bord.

Les visiteurs qui ignorent la bannière relative aux cookies sont bloqués

Depuis la version 1.5.0, les quatre espaces de noms Common Consent (real-cookie-banner, complianz, borlabs-cookie, cookie-law-info) sont ignorés par défaut. Si votre pile utilise un espace de noms différent, étendez la liste des éléments à ignorer via le reportedip_hive_rest_bypass_routes filtre.

Les utilisateurs légitimes se font bloquer

Ajoutez leurs adresses IP ou leurs plages CIDR à la liste blanche locale. Les adresses IP figurant sur la liste blanche ne sont jamais bloquées, quelle que soit leur réputation.

Utilisation élevée de l'API / épuisement des vérifications

Par défaut, les réponses sont mises en cache localement (avec ETag) pendant 24 heures. Si vous continuez à manquer de vérifications, augmentez cache_duration ou passez à un forfait supérieur. Surveillez la file d'attente et le quota sur le Tableau de bord.

Bloqué par l'authentification à deux facteurs

Utilisez l'un des codes de récupération enregistrés lors de la configuration de l'authentification à deux facteurs. Si vous les avez perdus, un administrateur peut réinitialiser l'authentification à deux facteurs pour n'importe quel utilisateur sous Utilisateurs → Authentification à deux facteurs. En dernier recours : wp reportedip 2fa reset <user_id>.

L'éditeur de blocs (Gutenberg) est sans cesse ralenti

L'éditeur de blocs envoie plus de 50 requêtes REST en quelques secondes. Depuis la version 1.2.2, les utilisateurs connectés ne sont plus pris en compte par le moniteur global de pics de requêtes REST ; seuls les pics provenant d'utilisateurs anonymes sont comptabilisés. Assurez-vous d'utiliser la version 1.2.2 ou une version plus récente.

RGPD et confidentialité

Ce plugin a été conçu dans le respect de la vie privée et est entièrement conforme au RGPD.

• Mode Local Shield : aucune donnée ne quitte votre serveur. La détection et le blocage s'effectuent entièrement en local.
• Mode « Réseau communautaire » : seules l'adresse IP de l'attaquant, la catégorie de menace et l'horodatage sont partagés. Aucun nom d'utilisateur, aucun mot de passe, aucun contenu de commentaire, aucune donnée relative à l'utilisateur final.
• Les agents utilisateur sont tronqués à 50 caractères avant d'être enregistrés.
• Nettoyage automatique : les journaux de sécurité sont supprimés à l'issue de la période de conservation configurée (30 jours par défaut). L'anonymisation automatique intervient plus tôt (7 jours par défaut).
• Chiffrement au repos : les clés TOTP, les identifiants WebAuthn et les numéros de téléphone utilisés pour les SMS sont chiffrés à l'aide de libsodium (avec OpenSSL en secours).
• Pas de suivi : pas de cookies, pas de pixels de suivi, pas de télémétrie.
• Open source : le code source complet est publié sur GitHub — chaque ligne peut être vérifiée.

Points forts du journal des modifications

• 2.0.x — Activation multisite à l'échelle du réseau (Network: true), gestion des niveaux par blog, bannières de mise à niveau, renforcement de la sécurité des surveillances des mots de passe d'application et des anomalies géographiques, activation de l'authentification à deux facteurs (2FA) en interface publique WooCommerce pour les abonnés PRO+.
• 1.5.2 — Compatibilité du plugin de mise en cache sur la page 403 ; la limitation de la 2FA évolue vers un véritable blocage en cas d'escalade ; init priorité n° 1.
• 1.5.1 — Clarté de l'onglet « Blocage » (Mode rapport uniquement > Blocage automatique > Stratégie de durée) ; les éditeurs à longueur fixe et en échelle s'intervertissent en ligne.
• 1.5.0 — Escalade progressive des blocages (échelle de 5 m à 7 jours) ; contournement par défaut des points de terminaison des bannières de cookies ; assouplissement des paramètres par défaut pour les erreurs 404 et le spam dans les commentaires.
• 1.2.4 — Le bouton « Retry » (Réessayer) de la file d'attente API déclenche désormais effectivement l'appel API.
• 1.2.0 — Sept nouveaux capteurs : surveillance des mots de passe d'application, surveillance des rafales REST, blocage de l'énumération des utilisateurs, détecteur d'erreurs 404/de scans, anomalies géographiques, force des mots de passe, masquage de l'URL de connexion.
• 1.1.0 — Système de messagerie centralisé avec modèle de marque.
• 1.0.0 — Première version publique : blocage d'adresses IP, authentification à deux facteurs (2FA) à 4 méthodes, assistant de configuration, tableaux de listes.

Historique complet : CHANGELOG.md sur GitHub.

Vous cherchez le format plus petit ?