Aller au contenu
20 January 2026: HelloBlog.io débarque : un blog tech multilingue (22 langues), sans pub, orienté WordPress et open source
Български Čeština Dansk Deutsch Eesti Ελληνικά English Español Français Hrvatski Italiano Latviešu Lietuvių Magyar Nederlands Polski Português Română Slovenčina Slovenščina Suomi Svenska
HelloBlog
WP-CLI et Abilities API : piloter Wordfence depuis le terminal (et le rendre accessible aux agents IA)
Aminata Diallo
Aminata Diallo 21 January 2026 · 5 min de lecture

WP-CLI et Abilities API : piloter Wordfence depuis le terminal (et le rendre accessible aux agents IA)

Écosystème wordpress automation sécurité wordfence wordpress wp-cli

Administrer la sécurité WordPress via l’interface d’admin, c’est pratique… jusqu’au jour où tu dois maintenir une flotte de sites, industrialiser des contrôles, ou brancher des outils d’automatisation. Un plugin open-source récent propose exactement ça : il ajoute un jeu de commandes WP-CLI à Wordfence Security, et – point plus rare – il implémente l’Abilities API introduite avec WordPress 6.9 pour rendre ces actions découvrables et actionnables par des outils d’automatisation et des agents IA.

Le dépôt GitHub du projet : github.com/trueqap/wpcli-for-wordfence.

Ce que le plugin apporte concrètement

Une fois activé, le plugin ajoute un nouveau namespace de commandes WP-CLI : wp wfsec. L’objectif est clair : donner un accès complet aux opérations Wordfence sans passer par le back-office.

1) Lancer et suivre des scans de sécurité

  • Démarrer un scan malware « quick » ou « full »
  • Suivre l’avancement du scan en temps réel
  • Consulter l’historique des scans et des logs détaillés

2) Gérer le pare-feu (WAF) et les blocages IP

  • Bloquer ou débloquer des adresses IP
  • Définir une durée de blocage et une raison (utile pour l’audit)
  • Vérifier si une IP donnée est bloquée
  • Activer ou désactiver la protection WAF

3) Suivre et traiter les « issues » (alertes / menaces détectées)

  • Lister toutes les issues détectées
  • Filtrer par statut (new, ignored, resolved)
  • Supprimer ou gérer des menaces individuellement

4) Configuration et licence

  • Lire et modifier des réglages Wordfence
  • Vérifier le statut de la licence
  • Exporter et importer des configurations

Exemples rapides en WP-CLI

Voici quelques commandes typiques pour vérifier l’état, lancer un scan, gérer les issues et bloquer une IP. Le namespace étant wfsec, tout se pilote depuis la console :

# Vérifier l’état global de Wordfence
wp wfsec status

# Démarrer un scan complet
wp wfsec scan start --type=full

# Suivre l’avancement du scan
wp wfsec scan status

# Lister toutes les issues de sécurité
wp wfsec issues ls --status=all

# Bloquer une IP pendant 24h (86400 secondes)
wp wfsec firewall block 192.168.1.100 --duration=86400 --reason="Brute force attempt"

# Vérifier le statut de la licence
wp wfsec license status

À noter : toutes les commandes supportent --format=json, ce qui est particulièrement utile pour du scripting (bash, CI/CD) ou pour alimenter un outil interne (dashboard, alerting, etc.).

Le vrai « twist » : support de l’Abilities API (WordPress 6.9)

Là où ce plugin se démarque, c’est son intégration de l’Abilities API. Introduite dans WordPress 6.9, cette API vise à fournir une interface standardisée permettant à des outils (y compris des agents IA) de découvrir des capacités (abilities) offertes par un site WordPress et de les exécuter via un mécanisme auto-descriptif et validé par schéma.

En pratique, au lieu d’écrire une intégration “sur mesure” pour chaque plugin, un agent ou un outil d’automatisation peut s’appuyer sur des abilities publiées, avec une structure prévisible. Le plugin se positionne ainsi comme l’un des premiers exemples concrets de fonctionnalités de sécurité WordPress exposées via cette approche.

Les 7 abilities exposées par le plugin

  • scan-status – Récupérer l’état actuel d’un scan et sa progression
  • scan-start – Démarrer un scan de sécurité de manière programmatique
  • issues-list – Récupérer la liste des issues détectées
  • issues-count – Obtenir un décompte des issues par sévérité
  • firewall-status – Vérifier l’état du WAF
  • firewall-block – Bloquer des IP via l’API
  • license-status – Interroger les informations de licence

Ce que ça débloque côté usage : du monitoring de sécurité « AI-powered », l’intégration de Wordfence dans des dashboards sur mesure, ou encore des automatisations pour exécuter des contrôles routiniers sans intervention manuelle – le tout via une API standardisée, auto-descriptive et validée par schéma, que des agents peuvent découvrir et utiliser sans code d’intégration spécifique au plugin.

Authentification : Application Passwords + Basic Auth

Pour l’authentification, le plugin s’appuie sur les WordPress Application Passwords (mots de passe d’application) via Basic Auth. C’est un choix pragmatique pour des intégrations serveur-à-serveur ou des outils internes, avec une gestion par utilisateur WordPress et des identifiants dédiés.

Prérequis techniques

  • WordPress 6.9+
  • PHP 8.0+
  • WP-CLI 2.5+
  • Plugin Wordfence Security (version gratuite ou premium)

Téléchargement et installation

La version packagée est disponible en ZIP. Il suffit de la télécharger puis de l’uploader dans le répertoire /wp-content/plugins/ :

Download WP CLI for Wordfence v1.0.0 wpcli-for-wordfence-1.0.0.zip

Le projet peut aussi être installé via Composer si tu es sur une stack type Bedrock.

Ce qu’il faut retenir

Avec wp wfsec, ce plugin rend Wordfence vraiment pilotable en ligne de commande : scans, pare-feu, gestion des issues et configuration. Et surtout, en exposant ces actions via l’Abilities API de WordPress 6.9, il ouvre la voie à des intégrations plus standardisées avec des outils d’automatisation et des agents IA, sans réinventer une API ad hoc pour chaque besoin.

Références / Sources

Aminata Diallo

Aminata Diallo

Développeuse junior et blogueuse technique. Python et Django sont mes domaines principaux, mais le monde JavaScript m'attire aussi. J'aime écrire des guides pour les débutants.

Tous les articles

Plus d’articles de Aminata Diallo

WP Media Cleanup (par Duplicator) : faire le ménage dans les images WordPress inutilisées pour libérer du stockage WP Media Cleanup (par Duplicator) : faire le ménage dans les images WordPress inutilisées pour libérer du stockage jQuery 4.0.0 : la première major depuis près de 10 ans, et ce que ça change vraiment jQuery 4.0.0 : la première major depuis près de 10 ans, et ce que ça change vraiment Automatiser les formulaires WordPress avec n8n (WPForms) : pipeline sans copier-coller Automatiser les formulaires WordPress avec n8n (WPForms) : pipeline sans copier-coller

Rejoignez la communauté HelloWP !

Discutez avec nous de WordPress, du développement web et partagez vos expériences avec d’autres développeurs.

- membres
- en ligne
Rejoindre

Nous utilisons des cookies pour améliorer votre expérience. En continuant, vous acceptez notre Politique relative aux cookies.