Sécurité WordPress.

WordPress est la cible numéro 1 des bots qui scannent le web. Pas parce que WordPress est intrinsèquement vulnérable, mais parce qu’il est partout et souvent mal configuré.

Notre hardening

• XML-RPC désactivé
• Édition de fichiers depuis l’admin bloquée
• Limitation des tentatives de login + 2FA
• Headers sécurité (HSTS, CSP, X-Frame-Options, etc.)
• Cookies sécurisés (Secure, HttpOnly, SameSite)
• Bloquer l’énumération d’utilisateurs via REST API
• Masquer la version WordPress
• Permissions fichiers strictes (644 / 755)
• wp-config.php hors du document root quand possible
• Scanner anti-malware actif (Wordfence, Sucuri ou équivalent serveur)
• Sauvegardes chiffrées hors site
• Plan de réponse aux incidents documenté

Audit sécurité complet

On effectue un audit qui détecte les configurations risquées, les plugins vulnérables, les comptes administrateurs faibles, les sauvegardes incomplètes. Rapport actionnable avec priorités.

Si vous êtes déjà compromis

On intervient pour nettoyer un site infecté : retrait du malware, restauration depuis sauvegarde propre, fermeture du vecteur d’entrée, durcissement post-incident. Discrétion garantie.

FAQ

Wordfence suffit ?

Wordfence est un bon outil défensif, mais il n’est pas suffisant seul. Le hardening en amont (configuration, hébergement, accès) compte autant que l’outil de détection.