Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Wordfence est l'extension de sécurité la plus déployée sur WordPress. Elle combine un pare-feu applicatif (WAF), un scanner de malware, une protection contre le brute force et un moniteur de trafic en direct. Wordfence inspecte chaque requête côté PHP et échange des données de menace avec les serveurs de Defiant Inc. aux États, Unis. C'est un outil de sécurité strictement nécessaire au sens du RGPD, qui traite les adresses IP et les métadonnées de requêtes pour détecter et bloquer les attaques.
Wordfence est une extension de sécurité pour WordPress éditée par Defiant Inc. Elle s'exécute entièrement à l'intérieur du site en PHP. Elle combine un pare-feu applicatif (WAF) qui inspecte les requêtes HTTP, un scanner de malware qui compare les fichiers du cœur de WordPress à ceux du dépôt officiel, un module de protection contre le brute force et un moniteur de trafic en direct. C'est l'une des extensions WordPress les plus installées, avec plusieurs millions d'instances actives en Europe.
Côté serveur, Wordfence journalise les adresses IP, les user agents, les URI de requêtes et, pour les utilisateurs authentifiés, les noms d'utilisateur associés aux tentatives de connexion échouées. Le WAF inspecte le corps des requêtes, ce qui implique que les payloads de formulaires transitent par les règles de filtrage de Wordfence. Côté client, Wordfence pose un petit nombre de cookies utilisés pour identifier le navigateur de l'administrateur (variantes wfwaf_authcookie) et suivre les tentatives de connexion. Ces cookies sont fonctionnels et liés à la finalité de sécurité, et non à du profilage utilisateur.
Les adresses IP sont des données personnelles au sens du RGPD. Wordfence les collecte et les traite de manière systématique, ce qui place l'extension dans le champ du règlement. Le point favorable est que le considérant 49 du RGPD reconnaît explicitement la sécurité des réseaux et de l'information comme un intérêt légitime du responsable de traitement, ce qui permet de retenir la base légale de l'art. 6, 1, f RGPD plutôt que le consentement. Les cookies Wordfence strictement nécessaires au mécanisme de sécurité relèvent de l'exemption sécurité de l'art. 5, 3 de la directive ePrivacy et ne nécessitent pas de consentement préalable.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Defiant Inc. est une société américaine et le Threat Defense Feed est hébergé sur une infrastructure aux États, Unis. Lorsque l'extension interroge ce flux, lorsque les utilisateurs Premium remontent de la télémétrie d'attaque, ou lorsqu'un site est connecté à Wordfence Central, des données personnelles (notamment des adresses IP et des empreintes d'attaquants) sont transférées hors de l'EEE. Le transfert s'appuie sur les Clauses Contractuelles Types (CCT) au titre de l'art. 46, 2, c RGPD. Une analyse d'impact sur les transferts (Transfer Impact Assessment) est recommandée pour les organisations particulièrement sensibles à la législation américaine de surveillance.
Documentez Wordfence dans le registre des traitements (RoPA) comme outil de sécurité reposant sur l'intérêt légitime. Réalisez une courte analyse d'intérêt légitime qui justifie la nécessité et la proportionnalité du traitement. Mentionnez Wordfence et le transfert vers les États, Unis dans la politique de confidentialité, avec une référence aux CCT. Maintenez une durée de conservation courte pour les journaux (l'extension permet de configurer la rétention du Live Traffic). Pour les sites dans des secteurs très régulés (santé, secteur public), envisagez des alternatives auto, hébergées ou un nettoyage plus strict des logs.
Les sites web utilisant Wordfence doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Wordfence traite les adresses IP, user agents, payloads de requêtes et métadonnées de tentatives de connexion à des fins de détection et de prévention d'intrusions. Points clés pour l'AIPD : (1) traitement systématique des adresses IP, qui sont des données personnelles au sens du RGPD ; (2) transfert de télémétrie d'attaques et, dans les offres Premium, de données de menace détaillées vers Defiant Inc. aux États, Unis ; (3) journalisation possible du corps des requêtes POST, qui peut inclure incidemment des données personnelles soumises via des formulaires ; (4) traitement des métadonnées d'authentification (échecs de connexion, événements 2FA) des utilisateurs légitimes ; (5) interaction avec le tableau de bord cloud Wordfence Central pour la gestion multi, sites. Une AIPD formelle n'est généralement pas requise car Wordfence relève de l'exemption sécurité (considérant 49 RGPD), mais une analyse d'intérêt légitime (LIA) reste fortement recommandée, en particulier pour les versions Premium qui activent l'échange du flux de menace en temps réel.
Exemple de texte de consentement
Notre site utilise Wordfence pour le protéger contre les tentatives de piratage, les malwares et le trafic abusif. Pour cela, Wordfence inspecte les requêtes entrantes, journalise les adresses IP suspectes et échange des données de menace avec Defiant Inc. aux États, Unis. Ce traitement repose sur notre intérêt légitime à assurer la sécurité du site (art. 6, 1, f RGPD), tel que reconnu par le considérant 49 du RGPD.
Domaines tiers contactes
wordfence.comwww.wordfence.comnoc1.wordfence.comnoc4.wordfence.comnoc7.wordfence.comwfcentral.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| wfwaf-authcookie-<hash> | Functional / Security | Session (4 hours by default) | Identifies the browser of an authenticated WordPress user so that the Wordfence Web Application Firewall (WAF) can apply the trusted user ruleset and avoid blocking legitimate admin actions. |
| wordfence_verifiedHuman | Functional / Security | 24 hours | Marks a visitor as human after a successful CAPTCHA challenge or interaction, reducing the friction of subsequent firewall checks during the same session. |
| wfvt_<id> | Functional / Security | Session | Stores a visitor tracking identifier used by the Live Traffic feature to group requests from the same browser when admins review traffic in real time. |
| wf_loginalerted_<hash> | Functional / Security | 1 year | Records that a successful login alert email has already been sent for a given user and IP combination, to avoid sending duplicate alerts on every subsequent login. |
Wordfence collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Wordfence pose un petit nombre de cookies fonctionnels, principalement des variantes de wfwaf-authcookie qui servent à reconnaître le navigateur de l'administrateur et à contourner le pare, feu pour les sessions de confiance. Quelques cookies de courte durée sont posés par les modules Live Traffic et Login Security. Ces cookies sont fonctionnels et liés à la finalité de sécurité, sans profilage.
Dans la grande majorité des cas, non. Wordfence est un outil de sécurité strictement nécessaire. Ses cookies relèvent de l'exemption sécurité de l'art. 5, 3 de la directive ePrivacy et le traitement de données est justifié par l'intérêt légitime au titre de l'art. 6, 1, f RGPD, conforté par le considérant 49 (sécurité des réseaux et de l'information). Le consentement n'est pas requis.
L'intérêt légitime (art. 6, 1, f RGPD), le considérant 49 du RGPD reconnaissant explicitement la sécurité des réseaux et systèmes d'information comme un intérêt légitime du responsable. Une courte analyse d'intérêt légitime (LIA) doit être documentée pour étayer ce choix.
Oui. Defiant Inc., l'éditeur, est une société américaine. Les adresses IP, les patterns d'attaque et la télémétrie de menaces sont échangés avec des serveurs aux États, Unis via le Threat Defense Feed et Wordfence Central. Les transferts s'appuient sur les Clauses Contractuelles Types au titre de l'art. 46, 2, c RGPD.
Une AIPD formelle est rarement exigée car le traitement relève de l'exemption sécurité et porte sur des catégories de données limitées. Documentez plutôt une analyse d'intérêt légitime et envisagez une analyse d'impact sur les transferts si votre organisation est particulièrement sensible aux lois de surveillance américaines.
Installez l'extension, gardez l'anonymisation IP et la durée de rétention des journaux courtes, mentionnez Wordfence dans la politique de confidentialité avec le transfert vers les États, Unis et les CCT, n'activez pas la télémétrie Premium sans actualiser la LIA, et évitez de journaliser le corps des requêtes POST pour les formulaires collectant des données sensibles.
Côté plugins WordPress : Sucuri (siège US, mais CDN mondial), Solid Security (anciennement iThemes), Patchstack (Estonie, threat intelligence basée dans l'UE), et Cloudflare WAF en edge. Pour des installations auto, hébergées, ModSecurity avec l'OWASP Core Rule Set reste une option entièrement maîtrisable dans l'UE.
Wordfence doit être listé dans la catégorie « strictement nécessaires » ou « sécurité » de la politique cookies, avec une description courte de chaque cookie (nom, finalité, durée), la mention du transfert vers les États, Unis avec CCT, et une déclaration claire indiquant que le consentement n'est pas requis car le traitement repose sur l'intérêt légitime avec exemption sécurité.