Plugin WordPress

Renforcement complet de la sécurité, gestion des en-têtes HTTP, protection de connexion, pare-feu de requêtes, protection de l’API REST et audit de sécurité — le tout depuis un seul plugin léger.

Security Pilot est un plugin de sécurité WordPress complet qui renforce votre site contre les attaques et vulnérabilités courantes. Il implémente des en-têtes de sécurité HTTP conformes aux standards de l'industrie, protège votre page de connexion contre les attaques par force brute, bloque les requêtes malveillantes avec un pare-feu intégré, et restreint les points de terminaison sensibles de l'API REST.

Avantages clés :

• En-têtes de sécurité HTTP (HSTS, CSP, X-Frame-Options, et plus)
• Protection des connexions avec limitation de taux, verrouillages et bannissements permanents
• Analyse pare-feu des requêtes pour SQLi, XSS, traversal de chemin et injection de commandes
• Protection des points de terminaison REST API (users, WooCommerce, Jetpack, Divi, Elementor)
• Renforcement WordPress (désactiver l'éditeur de fichiers, XML-RPC, exposition de version)
• Audit de sécurité pour les plugins et thèmes obsolètes/inactifs
• Journalisation des attaques et blocage/liste blanche des IP

Bloquez les attaques par force brute avec une limitation de taux configurable. Définissez le nombre max d'échecs, la durée de verrouillage et les seuils de bannissement permanent. Recevez des alertes par e-mail en cas d'attaques et de blocages d'IP. Masquez les messages d'erreur détaillés.

Bloquez l'accès non autorisé aux endpoints sensibles : /wp/v2/users (énumération des utilisateurs), WooCommerce, Jetpack, wp-site-health, Divi Builder et endpoints Elementor.

Exécutez des vérifications de sécurité pour identifier les plugins obsolètes, les thèmes obsolètes et les plugins inactifs qui peuvent présenter des risques de sécurité. Obtenez des recommandations actionnables.

Accédez à Paramètres → Security Pilot.

Activez/désactivez les en-têtes individuels. Chaque en-tête protège contre des vecteurs d’attaque spécifiques :

• X-Frame-Options: SAMEORIGIN — empêche le clickjacking
• X-Content-Type-Options: nosniff — empêche le sniffing de type MIME
• Strict-Transport-Security (HSTS) — impose les connexions HTTPS
• Content-Security-Policy — contrôle les origines de chargement des ressources

• Max Failed Attempts: Nombre d'échecs avant verrouillage (1–20, par défaut : 5)
• Attempt Window: Fenêtre temporelle pour compter les échecs (1–120 minutes)
• Lockout Duration: Durée du verrouillage d'une IP (1–1440 minutes)
• Permanent Ban: Verrouillages avant bannissement permanent (1–20)

Alertes par e-mail pour les attaques et blocages d'IP (configurable).

Activez le module pare-feu — il analyse automatiquement toutes les requêtes entrantes.

Aucune configuration requise — les motifs de détection sont intégrés et couvrent SQLi, XSS, path traversal, RFI et command injection.

Activez la protection pour chaque groupe d'endpoints indépendamment.

Groupes protégés : /wp/v2/users, WooCommerce, Jetpack, wp-site-health, Divi Builder, Elementor.

Chaque option de durcissement peut être activée indépendamment.

Recommandé : Désactiver l'éditeur de fichiers, XML-RPC et l'exposition des versions pour tous les sites de production.

1. Installez et activez Security Pilot.
2. Allez dans Réglages → Security Pilot.
3. Activez HTTP Security Headers — commencez par les valeurs par défaut recommandées.
4. Activez la Protection de Connexion et configurez le nombre max d'échecs (5 est une bonne valeur par défaut).
5. Activez le Firewall de Requêtes pour un blocage automatique des requêtes malveillantes.
6. Activez la Protection REST API pour les endpoints que vous ne souhaitez pas exposés.
7. Activez les options de Renforcement WordPress (notamment désactivez l'éditeur de fichiers en production).
8. Lancez un Audit de Sécurité pour identifier les plugins ou thèmes obsolètes.

Renforcement de sécurité de niveau entreprise sans la complexité.