ITSkillsCenter
Cybersécurité

Protéger Vaultwarden, Forgejo, WordPress avec CrowdSec : tutoriel 2026

4 min de lecture

📍 Article principal du cluster : CrowdSec 2026 : guide complet.

Vos applications auto-hébergées sont exposées : Vaultwarden, Forgejo, WordPress, Coolify. CrowdSec offre des collections dédiées à chacune avec scenarios prêts à détecter brute-force login, enumeration utilisateurs, scan paths sensibles. Ce tutoriel détaille la configuration spécifique pour les 3 apps les plus déployées chez les PME francophones.

Prérequis

  • CrowdSec installé (voir tutoriel installation).
  • Bouncers Caddy/Nginx configurés.
  • Vaultwarden et/ou Forgejo et/ou WordPress en production.
  • Niveau attendu : intermédiaire.
  • Temps estimé : 30-60 minutes.

Protection Vaultwarden

Étape 1 — Collection Vaultwarden

cscli collections install LePresidente/vaultwarden
cscli scenarios list | grep vaultwarden

Scenarios installés :

  • LePresidente/vaultwarden-bf : brute-force login.
  • LePresidente/vaultwarden-enum : enumeration utilisateurs (test multiples emails).

Étape 2 — Pointer parser sur logs Vaultwarden

Vaultwarden logs dans /var/lib/coolify/services/vaultwarden-prod/data/vaultwarden.log. Configuration acquisition :

nano /etc/crowdsec/acquis.yaml
filenames:
  - /var/lib/coolify/services/vaultwarden-prod/data/vaultwarden.log
labels:
  type: vaultwarden
systemctl restart crowdsec

Étape 3 — Test détection

Tenter 6 logins avec mauvais password depuis IP test. CrowdSec doit créer alerte :

cscli alerts list | grep vaultwarden

Protection Forgejo

Étape 1 — Collection Forgejo

cscli collections install crowdsecurity/gitea
# Forgejo est compatible Gitea

Étape 2 — Configuration acquisition Forgejo

cat >> /etc/crowdsec/acquis.yaml << EOF
filenames:
  - /var/lib/coolify/services/forgejo-prod/data/log/gitea.log
labels:
  type: gitea
EOF
systemctl restart crowdsec

Étape 3 — Scenarios Forgejo

  • Brute-force login.
  • Brute-force git push.
  • Enumeration users via API public.

Protection WordPress

Étape 1 — Collection WordPress

cscli collections install crowdsecurity/wordpress

Étape 2 — Acquisition Caddy/Nginx

WordPress n’a pas de log natif utile. CrowdSec parse les logs Caddy/Nginx pour détecter :

  • Brute-force /wp-login.php.
  • Scan /wp-admin/, /xmlrpc.php.
  • Probe plugins vulnérables (XSS, RCE patterns).
  • Enumeration utilisateurs via /?author=N.
filenames:
  - /var/log/caddy/access.log
labels:
  type: caddy

Étape 3 — Whitelist legitimate plugins

Éviter de bloquer Updraft Plus, Wordfence, Yoast SEO qui font des appels API légitimes. Whitelist par user-agent ou path :

# /etc/crowdsec/parsers/s02-enrich/whitelists.yaml
whitelist:
  expression:
    - evt.Parsed.user_agent contains "WordPress/6"

Protection Coolify lui-même

filenames:
  - /var/log/coolify/access.log
labels:
  type: coolify

cscli scenarios install crowdsecurity/http-bf-wordpress_bf
cscli scenarios install crowdsecurity/http-cve-2024-XXXX

Dashboard CrowdSec Console

Une fois connecté à console.crowdsec.net :

  • Vue temps réel des alertes.
  • Top scenarios déclenchés.
  • Géolocalisation attaquants.
  • Top IPs bannies.

Erreurs fréquentes

Erreur Cause Solution
Logs Vaultwarden non parsés Format différent Vérifier EXTENDED_LOGGING=true côté Vaultwarden
Faux positifs WordPress admin Pas de whitelist IP fixe admin Whitelist IP bureau
Scenarios ne match pas Date format log différent Customiser parser format
Forgejo logs path Coolify path différent Vérifier docker inspect volume
Plugin légitime bloqué Pas de whitelist user-agent Ajouter whitelist UA
Caddy logs non lus Permissions logs chmod 644 + adduser crowdsec adm

Adaptation au contexte ouest-africain

Trois précisions. WhatsApp Business webhook : si plugin WP envoie webhooks Wave/Orange Money, whitelist leurs IPs. Plugins WordPress français : Yoast, WP Rocket, MonsterInsights tous légitimes, à whitelist par user-agent. Forgejo Actions runners : runners auto-hébergés font multiples appels API, exclure leur IP de la détection.

Tutoriels frères

FAQ

Combien de temps avant détection ? Premier ban dans 5-15 minutes après installation, selon trafic. Communautaire applique immédiatement 4M IPs connues.

Custom scenarios ? Oui, fichiers YAML dans /etc/crowdsec/scenarios/. Documentation détaillée.

Performance VPS petit ? CX22 (4 Go RAM) supporte CrowdSec + 5 apps + bouncers. Aucun lag.

Multi-app sur même VPS ? Oui, parsers détectent type log via labels.

Coolify built-in ? Coolify n’inclut pas CrowdSec par défaut. Installation manuelle sur l’hôte.

Pour aller plus loin

#audited
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires