Mise à jour 2025 — WP Cerber & sécurité WordPress
WP Cerber est l’un des plugins de sécurité WordPress les plus complets pour protéger votre site contre les attaques de connexion, les bots, les injections et de nombreuses tentatives d’exploitation. Bien configuré, il devient un vrai pare-feu applicatif côté WordPress, surtout lorsqu’il est combiné à un WAF comme Cloudflare.
Résumé rapide : Installez WP Cerber, activez la limitation de tentatives de connexion, configurez le blocage des IP malveillantes, sécurisez wp-login.php et l’API, activez le scan de fichiers et le journal d’activité, puis combinez le tout avec un CDN/WAF comme Cloudflare pour filtrer les attaques en amont.
Ce guide fait partie d’un ensemble d’articles sécurité sur Le Mag Web, dont :
- Guide WordPress sécurisé 2025 : la checklist ultime (100 points de contrôle)
- Configurer Cloudflare avec WordPress : SSL, cache et erreurs 5xx
- Sauvegarder & restaurer WordPress avec WPvivid (sans casser le site)
Sommaire
1. WP Cerber en 2025 : pourquoi ce plugin ?
WP Cerber est un plugin de sécurité qui se concentre sur ce que WordPress fait le plus : gérer des connexions, des formulaires, des fichiers et une base de données. Contrairement à certaines solutions “tout-en-un” très lourdes, Cerber met l’accent sur la défense des points d’entrée réels (login, API, formulaires, commentaires) et sur la visibilité (journaux d’activité complets).
1.1 – Ce que WP Cerber protège concrètement
- Les tentatives de connexion (brute force, dictionnaire, bots).
- L’API REST et les endpoints exposés par WordPress et certaines extensions.
- Les formulaires (commentaires, formulaires de contact) grâce à l’anti-spam intégré.
- Les fichiers du core et certains scripts sensibles via le scanner d’intégrité.
- Les adresses IP suspectes, grâce à des règles de blocage, de liste blanche / noire et au mode lockdown.
1.2 – WP Cerber vs autres plugins de sécurité
Il existe d’excellents concurrents (Wordfence, iThemes Security, Sucuri, etc.). WP Cerber se distingue notamment par :
- Une interface claire pour suivre les événements (logins, blocages, changements de fichiers).
- Un module anti-spam efficace qui réduit le besoin d’outils supplémentaires.
- Une très bonne gestion des listes d’IP et des règles de blocage conditionnelles.
- Des réglages fins pour protéger l’API REST sans tout casser.
Si vous débutez en sécurité WordPress, consultez d’abord la checklist complète « Sécurité WordPress 2025 », puis revenez sur cet article pour configurer WP Cerber de manière cohérente avec l’ensemble de votre stack.
2. Installer WP Cerber étape par étape
L’installation est simple, mais quelques bonnes pratiques permettent d’éviter de se bloquer soi-même, surtout si vous êtes derrière Cloudflare ou un autre proxy.
2.1 – Installation via le dépôt officiel
- Connectez-vous à votre back-office WordPress avec un compte administrateur.
- Allez dans Extensions > Ajouter et recherchez « WP Cerber ».
- Cliquez sur Installer, puis Activer.
- Un nouveau menu WP Cerber apparaît dans la barre latérale d’administration.
2.2 – Première ouverture et assistant de configuration
Au premier lancement, WP Cerber applique déjà une configuration par défaut raisonnable. Avant de durcir davantage, assurez-vous d’avoir :
- Une adresse e-mail d’admin à jour (pour recevoir les alertes).
- Un accès au back-office via HTTPS fonctionnel.
- Idéalement, un accès FTP ou SSH au serveur en cas de blocage (pour désactiver le plugin si besoin).
Si vous travaillez derrière Cloudflare, gardez l’article Configurer Cloudflare avec WordPress sous la main, afin de vérifier que l’adresse IP du visiteur final est bien restaurée côté serveur (module RemoteIP, règles Cloudflare, etc.).
3. Configuration de base recommandée
La configuration de base vise à bloquer les attaques les plus courantes sans perturber la navigation des utilisateurs légitimes.
3.1 – Limitation des tentatives de connexion
- Définissez un nombre maximum de tentatives de connexion (par exemple 5) avant blocage de l’IP.
- Configurez une durée de blocage (20 à 60 minutes pour commencer, plus si votre site subit beaucoup d’attaques).
- Activez le blocage des tentatives sur
wp-login.php, mais aussi sur l’API XML-RPC si elle est encore utilisée. - Activez les notifications en cas de série de tentatives ou de blocages massifs.
3.2 – Comptes et rôles sensibles
Dans WP Cerber, la protection des comptes peut être ajustée pour certains rôles :
- Renforcez les contraintes sur les comptes Administrateur et Éditeur.
- Exigez des mots de passe forts et, si possible, activez la double authentification avec une extension compatible.
- Surveillez particulièrement les connexions depuis des pays inhabituels pour votre audience.
3.3 – Protection de base des formulaires et anti-spam
WP Cerber dispose d’un module anti-spam capable de filtrer les commentaires et certains formulaires sans dépendre de CAPTCHA classiques.
- Activez l’anti-spam sur les commentaires WordPress.
- Si vous utilisez un plugin de formulaires compatible (Contact Form 7, etc.), activez l’anti-spam pour ces formulaires.
- Ajoutez éventuellement votre propre solution de challenge (JS, champ caché, etc.) en complément si votre site est très exposé.
4. Réglages avancés pour durcir votre site
Une fois la configuration de base validée (aucun utilisateur légitime bloqué, pas de faux positifs gênants), vous pouvez activer des options plus strictes.
4.1 – Protéger l’API REST et XML-RPC
- Limiter l’accès à l’API REST aux utilisateurs connectés pour certaines routes sensibles (par exemple, tout ce qui expose des données utilisateurs).
- Bloquer XML-RPC si vous n’utilisez ni l’application mobile officielle ni des services qui en dépendent.
- Si XML-RPC est encore nécessaire, n’autoriser que des IP ou des clés spécifiques, et surveiller les logs associés.
4.2 – Mode lockdown et listes d’IP
Le mode lockdown de WP Cerber permet de bloquer l’accès admin pendant une période donnée (par exemple lors d’un pic d’attaque ou pendant une migration sensible).
- Utilisez la liste blanche pour votre propre IP, ou un petit ensemble d’IP de confiance.
- Ajoutez les IP clairement malveillantes en liste noire, mais privilégiez plutôt les règles automatiques.
- Activez, si nécessaire, un blocage automatique au-delà d’un certain nombre d’événements suspects pour une IP.
4.3 – Scanner d’intégrité et fichiers modifiés
Le scanner de WP Cerber peut comparer les fichiers du core et certains plugins à des versions de référence.
- Planifiez un scan régulier (par exemple hebdomadaire) des fichiers du core WordPress.
- Analysez les fichiers modifiés ou ajoutés dans des répertoires sensibles (core, plugins, thèmes).
- Supprimez immédiatement les fichiers suspects, après avoir sauvegardé et documenté l’incident.
Pour une vue plus globale du durcissement (fichiers, serveur, Apache, PHP, etc.), vous pouvez suivre la checklist Sécurité WordPress 2025 en parallèle de la configuration de WP Cerber.
5. Utiliser WP Cerber avec Cloudflare
WP Cerber protège WordPress de l’intérieur, tandis que Cloudflare filtre le trafic en amont (DNS, CDN, WAF, DDoS). Bien configurés, les deux outils se complètent très bien.
5.1 – S’assurer que WP Cerber voit la vraie IP du visiteur
- Sur votre serveur, vérifiez que le module RemoteIP (Apache) ou l’équivalent Nginx est configuré pour restaurer l’IP réelle du client derrière Cloudflare.
- Dans WP Cerber, vérifiez dans les logs que les IP enregistrées ne sont pas toutes des IP Cloudflare.
- Si les IP sont erronées, corrigez la configuration serveur avant de durcir les règles de blocage.
5.2 – Répartition des rôles entre WP Cerber et Cloudflare
- Laissez Cloudflare gérer le WAF global, la protection DDoS et le filtrage géographique.
- Laissez WP Cerber gérer la sécurité applicative (connexions, API, formulaires, fichiers).
- Utilisez les rules de Cloudflare pour ajouter un challenge ou un blocage supplémentaire sur
/wp-login.phpet/xmlrpc.php, en parallèle de Cerber.
Pour une configuration Cloudflare plus détaillée (cache, SSL, WAF), référez-vous à l’article dédié : Configurer Cloudflare avec WordPress : SSL, cache et erreurs 5xx.
6. Logs, alertes et bonnes pratiques au quotidien
Un plugin de sécurité n’est utile que si on jette un œil de temps en temps à ce qu’il remonte. WP Cerber fournit des journaux très détaillés : connexions, blocages, requêtes suspectes, fichiers scannés, etc.
6.1 – Journaux d’activité
- Consultez régulièrement les logs de connexions pour identifier les IP qui insistent sur vos comptes admin.
- Repérez les tentatives récurrentes depuis certains pays ou ASN, pour éventuellement renforcer les règles Cloudflare.
- Surveillez les événements critiques (changements de rôles, création de nouveaux comptes admin, modifications de fichiers).
6.2 – Alertes par e-mail
- Activez les notifications sur les blocages massifs, les scans de fichiers et les événements de sécurité majeurs.
- Utilisez une adresse e-mail surveillée (pas une boîte que vous ne consultez jamais).
- Si le volume d’alertes est trop élevé, ajustez les seuils pour ne garder que les événements importants.
6.3 – Intégration dans une routine de maintenance
- Intégrez la consultation des logs WP Cerber dans votre routine hebdomadaire de maintenance WordPress.
- Lors d’un audit trimestriel (cf. checklist sécurité 2025), exportez ou sauvegardez les journaux importants.
- En cas d’incident, conservez une copie des logs avant de tout nettoyer, afin d’identifier la cause et de renforcer les protections.
7. FAQ – WP Cerber & sécurité WordPress
WP Cerber suffit-il à sécuriser mon site WordPress ?
WP Cerber couvre une grande partie de la sécurité applicative (logins, IP, API, fichiers). Mais un site vraiment solide repose sur plusieurs couches : un serveur correctement durci, un HTTPS bien configuré, des sauvegardes externes fiables et un minimum de bonnes pratiques côté utilisateurs. Utilisez WP Cerber comme brique centrale, pas comme solution unique.
WP Cerber est-il compatible avec Cloudflare ?
Oui, à condition que le serveur récupère bien l’IP réelle du visiteur. Sinon, vous risquez de voir uniquement les IP de Cloudflare dans les logs et de bloquer involontairement des plages d’IP partagées. Vérifiez la configuration serveur (RemoteIP sur Apache, directives équivalentes sur Nginx) et testez les logs avant de durcir les règles.
Est-ce que WP Cerber ralentit WordPress ?
Sur un hébergement correct, l’impact de WP Cerber reste très limité, surtout en configuration standard. Les fonctionnalités les plus lourdes (scans de fichiers fréquents, journalisation très détaillée sur un site à fort trafic) peuvent cependant consommer plus de ressources. Adaptez les réglages (fréquence de scan, rétention des logs) à la taille et au trafic de votre site.
Que faire si je me bloque moi-même avec WP Cerber ?
Si vous perdez l’accès au back-office :
- Essayez d’abord de vous connecter via une autre connexion (4G, autre IP) si vous n’êtes pas certain d’être bloqué globalement.
- Si vous avez un accès FTP/SSH, renommez le dossier du plugin WP Cerber pour le désactiver temporairement (
wp-cerber→wp-cerber-off). - Une fois reconnecté, corrigez la règle qui vous a bloqué (liste d’IP, règle trop stricte, etc.).
Puis-je utiliser WP Cerber en plus d’un autre plugin de sécurité ?
Il est déconseillé de multiplier les plugins de sécurité qui font la même chose (limitation de login, firewall, scan de fichiers…). Cela peut créer des conflits, ralentir le site ou générer des faux positifs. En général, choisissez un plugin principal (WP Cerber par exemple) et complétez avec des outils complémentaires (Cloudflare, plugin de backup, monitoring), mais pas deux “gros” plugins de sécurité en parallèle.
Dois-je configurer toutes les options avancées dès le premier jour ?
Non. L’approche la plus sûre consiste à :
- Commencer par la configuration de base (login, IP, anti-spam, logs).
- Surveiller quelques jours pour vérifier qu’aucun utilisateur légitime n’est bloqué.
- Activer progressivement les options avancées (API REST, lockdown, scans) en testant à chaque étape.
WP Cerber protège-t-il mes sauvegardes ?
WP Cerber ne gère pas directement la stratégie de sauvegarde. Pour cela, utilisez un plugin dédié comme WPvivid et suivez un plan de sauvegarde complet (fichiers + base, stockage externe, tests de restauration). Vous pouvez vous appuyer sur notre guide : Sauvegarder & restaurer WordPress avec WPvivid.
8. Conclusion : intégrer WP Cerber dans une stratégie globale
WP Cerber n’est pas juste un « plugin en plus » dans votre WordPress. Bien configuré, il devient l’un des piliers de votre stratégie de sécurité : il surveille, bloque, journalise et vous alerte sur les comportements dangereux qui passent souvent sous le radar.
Pour tirer le meilleur parti de WP Cerber :
- Combinez-le avec un serveur correctement configuré (PHP, MySQL/MariaDB, Apache/Nginx) et un WAF type Cloudflare.
- Ajoutez une stratégie de sauvegarde sérieuse (par exemple avec WPvivid) et testez vos restaurations.
- Utilisez la checklist Sécurité WordPress 2025 pour garder une vue d’ensemble sur tout ce qui dépasse WP Cerber (serveur, DNS, organisation).
- Planifiez une courte revue régulière des logs et réglages, plutôt qu’une grosse session une fois tous les deux ans.
En résumé : installer WP Cerber est une excellente décision, mais ce n’est que le début. C’est en l’intégrant à une approche globale – serveur, réseau, sauvegardes, bonnes pratiques utilisateurs – que vous transformerez vraiment votre WordPress en un site robuste, fiable et difficile à compromettre.
