Un Web Application Firewall (WAF) est une couche de securite qui inspecte chaque requete HTTP et HTTPS entrante et bloque le trafic malveillant avant qu il atteigne l application. Contrairement a un pare feu reseau classique qui filtre par IP et port, un WAF comprend le protocole HTTP et examine les URLs, parametres, corps de requete, cookies, en-tetes et user agents. Pour WordPress il bloque les injections SQL, le cross site scripting (XSS), l inclusion de fichiers locaux, les tentatives de brute force, le spam de commentaires, les scanners de vulnerabilites et les patterns d exploits connus pour plugins et themes. Les WAF suivent les categories OWASP Top 10 et constituent une exigence PCI DSS reconnue (Requirement 6.4.2 dans PCI DSS v4.0, obligatoire depuis mars 2025) pour tout site traitant des donnees de carte bancaire.
Comment fonctionne un Web Application Firewall ?
Un WAF inspecte le trafic HTTP au regard d un ensemble de regles. Chaque regle cherche un motif specifique : corps contenant UNION SELECT (injection SQL), URL avec ../../etc/passwd (path traversal), formulaire de login frappe plus de 5 fois par minute depuis une meme IP (brute force). Quand une regle matche, le WAF peut bloquer avec HTTP 403, challenger avec un CAPTCHA ou un test JavaScript, ou simplement journaliser. La plupart combinent detection par signatures, detection d anomalies et modeles de machine learning entraines sur des milliards de requetes.
Quels types de WAF existent ?
- WAF cloud (base DNS) : Cloudflare, Sucuri, Akamai, AWS WAF avec CloudFront, Imperva. Deploiement rapide, CDN et anti DDoS inclus, changement de nameservers requis.
- WAF reverse proxy : nginx avec ModSecurity ou HAProxy devant l origine.
- WAF endpoint (niveau application) : plugin comme Wordfence ou All In One WP Security. Facile a installer mais la requete consomme deja PHP. Ne stoppe pas un DDoS.
- WAF reseau (materiel) : F5 BIG-IP ASM, FortiWeb, Barracuda WAF.
Quelles menaces un WAF bloque-t-il ?
OWASP Top 10 (version 2021, mise a jour 2025 en projet) definit les categories :
- A01 Broken Access Control.
- A02 Cryptographic Failures.
- A03 Injection : SQL, NoSQL, commandes, LDAP.
- A04 Insecure Design.
- A05 Security Misconfiguration : bloque
wp-config.php.bak,.git/config,.env,xmlrpc.php. - A06 Vulnerable Components : patches virtuels pour CVE comme Elementor (CVE-2023-48777), WPBakery, RevSlider.
- A07 Authentication Failures : brute force sur
/wp-login.php. - A08 Software and Data Integrity Failures.
- A09 Logging and Monitoring Failures.
- A10 SSRF.
Qu est ce que le virtual patching ?
Quand une faille critique de plugin est publiee (par exemple l elevation de privilege CVE-2024-28000 sur LiteSpeed Cache, plus de 5 millions de sites concernes en aout 2024), le correctif officiel met des jours a se diffuser. Un WAF deploie un patch virtuel au niveau du edge en quelques minutes. Wordfence le fait via son Threat Intelligence Feed (Premium en temps reel, Free decalee de 30 jours). Cloudflare WAF Managed Rules et Sucuri aussi.
Options WAF populaires pour WordPress
| Solution | Type | Gratuit | Particularites |
|---|---|---|---|
| Cloudflare | Cloud / DNS | Oui (illimite) | CDN, DDoS, Bot Fight Mode |
| Sucuri Firewall | Cloud / DNS | Non, des 9,99 USD/mois | Nettoyage malware inclus |
| Wordfence | Plugin endpoint | Oui | Threat Feed temps reel (Premium) |
| All In One WP Security | Plugin endpoint | Oui | Verrouillage de login |
| NinjaFirewall | Endpoint pre WP | Oui | S execute avant le core |
| AWS WAF | Cloud (CloudFront) | Non | Managed Rule Groups |
| Imperva | Cloud / DNS | Non | SLA entreprise |
| ModSecurity + OWASP CRS | Proxy inverse open source | Oui | Configurable |
OWASP Core Rule Set
OWASP CRS est l ensemble open source de regles utilise par ModSecurity et de plus en plus par Cloudflare, AWS WAF et Google Cloud Armor. Version stable CRS 4.0 (janvier 2024), niveaux de paranoia 1 a 4.
WAF cloud ou plugin endpoint ?
- Cloud : arrete les attaques avant le serveur, indispensable contre les DDoS.
- Plugin endpoint : voit le trafic dechiffre et le contexte WordPress.
- Bonne pratique : combiner les deux.
Activer un WAF pour WordPress
- Cloudflare Free : ajouter le domaine, changer les nameservers, activer Managed Rules et Bot Fight Mode, SSL Full strict.
- Sucuri Firewall : pointer l A record vers l IP du proxy Sucuri.
- Wordfence : assistant, passer en Enabled and Protecting apres une semaine.
- NinjaFirewall : deplacer l execution avant le core.
Limites d un WAF
- N est pas un scanner antimalware.
- Ne protege pas des mots de passe faibles ni du credential stuffing.
- Risque de faux positifs sur le contenu redactionnel HTML.
- Confiance requise envers le fournisseur cloud.
- Ne remplace pas les mises a jour.
WAF et conformite PCI DSS
PCI DSS v4.0 Requirement 6.4.2 (obligatoire depuis le 31 mars 2025) exige un WAF ou un processus manuel de revue de code pour toute application publique manipulant des donnees de carte. Pour WooCommerce la WAF est l option pratique.
Comment InspectWP aide a detecter un WAF ?
InspectWP analyse les en-tetes de reponse et signatures serveur de chaque URL. Le rapport identifie les WAFs courants par leurs empreintes (Server: cloudflare, X-Sucuri-ID, X-WAF) et signale les sites sans WAF.