Configurer la sécurité de WordPress en quelques minutes : l'assistant ReportedIP
La configuration de la sécurité sous WordPress implique généralement de jongler entre trois plugins et une douzaine d'écrans de paramètres. ReportedIP remplace tout cela par un assistant en 9 étapes proposant des paramètres par défaut axés sur la confidentialité, de sorte qu'un nouveau site est protégé avant même que vous ayez fini votre café.
Ce guide explique en détail ce que l'assistant configure, ce que le tableau de bord affiche ensuite et comment l'ajuster sans perturber l'expérience des visiteurs réels.
Qu'est-ce que ReportedIP ?
ReportedIP est un plugin de sécurité WordPress complet : 12 capteurs d'attaques, quatre méthodes d'authentification à deux facteurs (2FA), un blocage progressif des adresses IP et un réseau communautaire de détection des menaces (sur inscription) le tout dans un seul plugin prêt à l'emploi. Le plugin est gratuit et sous licence GPL-2.0 ; les formules payantes n'ajoutent que des fonctionnalités de gestion côté serveur, telles que la gestion des relais de messagerie et de SMS. L'ensemble des fonctionnalités ReportedIP est documenté sur la page du produit.
Ce que configure l'assistant d'installation en 9 étapes
L'assistant se déroule dans un ordre fixe, chaque étape s'appuyant sur la précédente : Bienvenue → Connexion → Protection → Authentification à deux facteurs → Confidentialité → Notifications → Connexion → Promouvoir → Terminé. Chaque étape est configurée par défaut pour privilégier la confidentialité ; ainsi, même si vous en ignorez une, votre sécurité ne sera jamais moins bonne qu'avec une installation WordPress standard.
- Connectez-vous. Choisissez « Local Shield » (entièrement hors ligne) ou « Community Network » (collez une clé API gratuite obtenue sur reportedip.de). « Local Shield » n'effectue aucun appel sortant.
- Protection. Activez les capteurs et choisissez une stratégie de durée de blocage : l'échelle progressive ou une durée fixe.
- Authentification à deux facteurs (2FA). Choisissez les méthodes à proposer et les rôles qui doivent s'y inscrire, en définissant un délai de grâce (7 jours par défaut) et un compteur de tentatives.
- Confidentialité. Définissez la durée de conservation et l'anonymisation. Le préréglage « GDPR Minimal » est accessible en un seul clic.
- Se connecter. Déplacer (facultatif)
wp-login.phpderrière un slug personnalisé.
L'assistant peut être ignoré — jusqu'à trois fois avec un délai de grâce de sept jours —, ce qui vous permet de toujours accéder à votre propre interface d'administration pendant que vous prenez votre décision. La dernière étape consiste en une célébration délibérée intitulée « Terminé », qui confirme que la configuration est désormais active.
Ce que montre le tableau de bord en temps réel
Une fois la configuration terminée, le tableau de bord affiche des graphiques Chart.js présentant les tendances sur 7 et 30 jours concernant les adresses IP bloquées, les attaques, les connexions et les spams. Cinq écrans sous forme de tableaux viennent compléter ces informations : adresses IP bloquées, liste blanche, journaux de sécurité, file d'attente API et grille d'administration de l'authentification à deux facteurs (2FA) — chacun pouvant faire l'objet de recherches, d'un tri et d'actions groupées.
Les journaux de sécurité peuvent être filtrés par niveau de gravité et exportés au format JSON ou CSV. L'écran « IP bloquées » vous permet de débloquer une adresse IP, de l'ajouter à la liste blanche ou d'exporter la liste ; l'écran « Liste blanche » prend en charge l'importation de fichiers CSV pour les plages d'adresses fiables.
Optimisez-le sans gêner les utilisateurs réels
Activez le mode « Rapport uniquement » dans Paramètres → Blocage avant d'activer l'application des règles. Chaque événement est consigné exactement comme s'il avait été bloqué, mais aucune adresse IP n'est jamais rejetée — ce qui est idéal pour ajuster les seuils en fonction du trafic réel. Lorsque les chiffres semblent corrects, activez l'application des règles et ces mêmes seuils commenceront à bloquer le trafic.
Guides connexes
- Les 12 capteurs d'attaque et leurs seuils par défaut
- Quatre méthodes d'authentification à deux facteurs intégrées au cœur du système
- Paramètres par défaut de WordPress en matière de sécurité et de confidentialité, conformes au RGPD
Consultez la documentation du plugin WordPress pour obtenir la liste complète des paramètres, ou parcourez les autres guides du pluginReportedIP . Le plugin est accessible au public et peut être consulté sur GitHub.