ReportedIP 2.1.4 : la version « Firewall », passant de 12 à 16 capteurs
La version 2.1.4ReportedIP transforme le plugin en pare-feu. Depuis la dernière version dont nous avons parlé — la 2.0.22 —, Hive s'est enrichi d'un pare-feu pour applications Web (WAF) capable d'inspecter les requêtes, de trois capteurs gratuits supplémentaires et d'un flux de règles fourni par le serveur, portant ainsi le nombre de capteurs de 12 à 16.
L'ensemble du noyau de protection reste libre et sous licence GPL-2.0. Effectuez la mise à jour via Plugins → Vérifier les mises à jour, ou téléchargez le dernier fichier ZIP depuis la page des versions sur GitHub.
Quelles sont les nouveautés depuis la version 2.0.22 de Hive ?
Neuf versions ont été publiées entre la 2.0.22 et la 2.1.4. La série 2.1.x est la principale nouveauté — une couche de pare-feu complète — mais plusieurs versions de la série 2.0.2x ont d'abord renforcé la détection et corrigé de véritables bugs de verrouillage.
| Version | Modification du titre |
|---|---|
| 2.0.23 | L'assistant de configuration enregistre désormais chaque étape côté serveur ; les fausses alertes 404 / REST ne bloquent plus automatiquement les visiteurs réels ; un administrateur connecté ne peut plus être bloqué par un blocage automatique. |
| 2.0.25 | La validation par SMS à deux facteurs (2FA) passe désormais exclusivement par le relais géré ; l'outil d'exportation/effacement conforme au RGPD et le générateur de texte de confidentialité sont désormais disponibles ; schéma v8. |
| 2.0.27 | Compatibilité avec l'interface d'administration du réseau multisite WordPress ; masquage des erreurs de connexion en fonction des codes d'erreur, de sorte que les raisons de l'authentification à deux facteurs et de la réinitialisation s'affichent dans toutes les langues. |
| 2.0.28 | Moins de faux positifs (liste blanche des bots plus large, erreurs 404 des ressources statiques ignorées) ; une documentation honnête comparant les versions gratuite et payante. |
| 2.0.29 | Le mode « Hardening » détecte désormais les botnets distribués qui changent d'adresse IP selon une fenêtre glissante, et non plus uniquement lors de pics d'activité sur une même minute. |
| 2.1.0 | Intégration de MainWP et codes de référence des pages de blocs (le X-RIP-Ref (en-tête). |
| 2.1.2 | Nouveautés du pare-feu : WAF, détection des bots vérifiés, blocage des adresses e-mail jetables, piège à commentaires, en-têtes de sécurité, score de renforcement de la sécurité et journal Business ; schéma v9. |
| 2.1.3 | Correction de la détection des bots vérifiés pour les robots d'indexation se connectant via IPv6. |
| 2.1.4 | Refonte de l'administration du pare-feu, un onglet « Configuration du serveur » unique et des codes de motif WAF spécifiques pour SSRF, Log4Shell, XXE et bien d'autres encore. |
Le pare-feu pour applications Web est le thème principal de la section 2.1.2
La version 2.1.2 de Hive a introduit un pare-feu WAF capable d'inspecter les requêtes, qui s'exécute sur init et compare l'URI, la chaîne de requête, le corps de la requête et l'agent utilisateur à un ensemble de règles de signature : injection SQL, XSS, traversée de chemin, injection de commande, wrappers LFI et outils de scan, auxquels s'ajoutent, depuis la version 2.1.4, le SSRF, Log4Shell/JNDI, l'injection d'objets PHP, NoSQL, XXE, les téléchargements de web-shells, CRLF et l'injection de modèles.
Le moteur et la base de référence « OWASP Top 10 Paranoia Level 1 » sont inclus gratuitement dans toutes les formules. La formule Professional donne accès aux ensembles de règles plus avancés (niveaux 2 et 3), mis à jour régulièrement, via Priority Sync. Le WAF est protégé contre les attaques ReDoS et fonctionne en mode « fail-open » : ainsi, une règle mal formée ne provoquera jamais la mise hors service du site.
Les règles sont générées à partir d'un flux signé et fourni par le serveur
Les signatures ne sont pas intégrées en dur dans le plugin. Elles proviennent de l'API Rule reportedip.de : elles sont versionnées, signées avec Ed25519 et réparties par niveaux sur quatre ensembles de règles (waf, bot_signatures, disposable_domains, scan_paths), synchronisées toutes les six heures. Hive vérifie chaque ensemble de règles par rapport à une clé publique intégrée avant de l'appliquer et revient toujours à une configuration de base intégrée ; ainsi, un flux altéré ou inaccessible ne peut pas corrompre vos règles. Les nouvelles signatures d'attaques sont transmises à toutes les installations en quelques heures, sans qu'il soit nécessaire de publier un nouveau plugin.
Un module optionnel à installer avant WordPress permet d'exécuter le WAF avant même le chargement de WordPress, grâce à la configuration automatique d'Apache et de PHP-FPM ainsi qu'à un extrait de code nginx. Il est désactivé par défaut, et sa suppression supprime toujours la directive avant de supprimer le garde, de sorte qu'un préfixe obsolète ne puisse jamais entraîner une erreur fatale sur le site.
Trois capteurs gratuits supplémentaires : bot vérifié, adresse e-mail jetable, piège à commentaires
Cette même mise à jour a ajouté trois capteurs de détection, inclus gratuitement dans tous les forfaits, ce qui a fait passer leur nombre de 12 à 16 :
- La détection vérifiée des bots permet de confirmer qu'une requête se présentant comme provenant de Googlebot, Bingbot ou d'un autre robot d'indexation provient bien de ces sources : la vérification s'effectue d'abord par une correspondance sans DNS avec les plages d'adresses IP officielles du robot, puis par un recours à la résolution DNS inverse confirmée par renvoi. Les usurpateurs sont signalés ou bloqués ; les robots d'indexation authentiques ne sont jamais bloqués. La version 2.1.3 a corrigé le chemin IPv6 afin que les véritables robots d'indexation utilisant IPv6 ne soient plus confondus avec des faux.
- La fonctionnalité de blocage des adresses e-mail jetables vérifie l'adresse lors de l'inscription sur WordPress et WooCommerce, avec des modes « désactivé », « surveiller » et « bloquer ». Les relais de confidentialité tels que « Hide My Email » d'Apple et « Firefox Relay » constituent une catégorie à part et sont autorisés par défaut.
- Comment Honeypot ajoute un champ leurre invisible, ignoré par les lecteurs d'écran, au formulaire de commentaires ; les robots spammeurs qui remplissent tous les champs sont ainsi bloqués sans que les visiteurs légitimes aient à passer par un CAPTCHA.
Pour consulter la liste complète et les seuils par défaut, consultez le guide consacré aux 16 capteurs d'attaques qui détectent les intrusions dans WordPress.
En-têtes de sécurité, score de renforcement de la sécurité et journal Business
La version 2.1.2 a également introduit trois nouveautés qui passaient inaperçues. Hive envoie désormais des en-têtes de réponse de renforcement de sécurité pour chaque requête frontale : le trio de base (X-Content-Type-Options, X-Frame-Options, Referrer-Policy) en version gratuite, et HSTS, Permissions-Policy, une Content-Security-Policy en mode « report-only-first » ainsi que le trio d’isolation inter-origines en version Professionnelle. Les en-têtes déjà envoyés par votre serveur ou par un autre plugin sont détectés et laissés intacts.
Le tableau de bord s'est enrichi de deux indicateurs (0–100 et une note de A+ à F, à la manière de Mozilla Observatory) qui évaluent la couverture de détection et le niveau de renforcement de la sécurité, avec des liens directs vers chaque élément. Business incluent un fichier en écriture seule journal des événements d'audit — connexions, échecs de connexion, réinitialisations de mot de passe, mises à jour de profil, changements de rôle (y compris pour l'utilisateur par intérim) et détection de nouvelles adresses IP — avec des filtres, l'exportation au format CSV/JSON et l'intégration du RGPD dans WordPress. Il est hébergé sur un serveur dédié audit_log Table ajoutée par le schéma v9.
2.1.0 et 2.1.4 : expérience utilisateur pour la gestion et l'administration
La version 2.1.0 a permis de gérer Hive à distance depuis le tableau de bord MainWP sans plugin enfant supplémentaire, et a attribué à chaque réponse bloquée un code de référence permettant d'établir un lien, tel que WAF_SQLI-3F9A2B71, affiché sur la page et émis sous la forme de X-RIP-Ref en-tête. Le jeton est un hachage à sens unique de l'adresse IP, du motif et de l'heure ; ainsi, un visiteur bloqué par erreur peut fournir une courte chaîne de caractères qu'un administrateur pourra retrouver dans les journaux sans divulguer aucune donnée personnelle.
La version 2.1.4 a remanié l'interface d'administration du pare-feu : l'onglet « Aperçu » est désormais un mini-tableau de bord affichant l'état de chaque module ainsi qu'un flux des événements récents du pare-feu ; un onglet unique « Configuration du serveur » regroupe tous les paramètres relatifs au serveur web en un seul endroit ; enfin, la configuration de la « Protection étendue » est désormais vérifiable : le statut indique si la protection s'est effectivement déclenchée pour la requête en cours.
Comment mettre à jour
L'outil de vérification des mises à jour intégré interroge GitHub toutes les 12 heures ; les nouvelles versions apparaissent dans votre écran « Plugins » comme n'importe quelle autre mise à jour. Pour télécharger immédiatement la version 2.1.4, ouvrez Plugins → Vérifier les mises à jour. L'étape consacrée au pare-feu dans l'assistant de configuration guide les nouvelles installations à travers le WAF, l'action « verified-bot », le mode « disposable-email » et le « comment honeypot », avec des paramètres par défaut sécurisés.