Vérificateur de Sécurité WordPress
Vérifiez n'importe quel site WordPress pour les problèmes de sécurité courants : fichiers exposés, signaux de version obsolète, exposition de la page de connexion, XML-RPC et énumération d'utilisateurs.
Comment utiliser Vérificateur de Sécurité WordPress
- 1Entrez l'URL de votre site WordPress.
- 2Notre scanner vérifie les erreurs de configuration de sécurité WordPress courantes et les points d'accès exposés.
- 3Examinez chaque résultat avec son niveau de gravité et la correction recommandée.
- 4Appliquez les étapes de renforcement recommandées pour réduire votre surface d'attaque.
ZenovayAnalytics
Analytics sans aucun bandeau cookies.
- Suivi des visiteurs en temps réel
- Vie privée d'abord, sans bandeau cookies
- Installé en deux minutes
Outils connexes
Générateur de Mot de Passe
Générez des mots de passe forts et aléatoires avec longueur, caractères et complexité personnalisables.Vérificateur de Force de Mot de Passe
Vérifiez la force de votre mot de passe. Obtenez un temps de fissuration estimé et des suggestions d'amélioration.Générateur HMAC
Générez des signatures HMAC en utilisant SHA-256, SHA-384 ou SHA-512 avec l'API Web Crypto.Chiffrement/Déchiffrement AES
Chiffrez et déchiffrez du texte avec AES-GCM et la dérivation de clé PBKDF2. S'exécute entièrement dans votre navigateur.Questions fréquemment posées
Que teste ce vérificateur de sécurité WordPress ?▾
Il vérifie 12 problèmes de sécurité WordPress courants : informations de version exposées, readme.html et license.txt accessibles, point de terminaison XML-RPC, protection de la page de connexion, énumération des utilisateurs via l'API REST, exposition de wp-cron, accès au script d'installation, sauvegardes wp-config, HTTPS et en-têtes de sécurité.
Est-il sûr d'analyser mon propre site WordPress ?▾
Oui. Cet outil n'effectue que des requêtes HTTP standard vers des pages publiquement accessibles — les mêmes requêtes que n'importe quel navigateur web ou robot de moteur de recherche ferait. Aucune authentification, tentative de force brute ou payload d'exploitation n'est utilisé.
Pourquoi XML-RPC est-il un risque de sécurité ?▾
XML-RPC est une API d'appel de procédure à distance héritée dans WordPress. Il permet jusqu'à 500 tentatives de connexion par requête XML-RPC unique (multicall), permettant des attaques par force brute pour contourner la limitation de débit. Il est également utilisé dans les attaques d'amplification DDoS par pingback. Désactivez-le sauf si vous en avez spécifiquement besoin.
Qu'est-ce que l'énumération des utilisateurs et pourquoi est-ce un risque ?▾
L'API REST WordPress à /wp-json/wp/v2/users expose publiquement les noms d'utilisateur. Les attaquants peuvent récupérer tous les noms d'utilisateur administrateurs et les utiliser dans des attaques ciblées par force brute ou de bourrage de credentials. Bloquer ce point de terminaison supprime un vecteur d'attaque.
Comment masquer ma version WordPress ?▾
Ajoutez `remove_action("wp_head", "wp_generator");` dans le functions.php de votre thème. Supprimez également readme.html et license.txt de votre répertoire racine WordPress. Utilisez un plugin de sécurité comme Wordfence, iThemes Security ou Solid Security pour le durcissement automatisé.
Pourquoi ma page de connexion est-elle signalée comme un problème ?▾
La page wp-login.php doit exister pour l'accès administrateur mais est une cible courante des attaques par force brute. La recommandation est d'ajouter une limitation de débit (la plupart des plugins de sécurité le font), d'activer l'authentification à deux facteurs, ou d'utiliser une liste blanche d'IP pour l'accès wp-admin.
Cet outil vérifie-t-il les plugins ou thèmes vulnérables ?▾
Non. La vérification des vulnérabilités des plugins et thèmes nécessite un accès authentifié à votre tableau de bord WordPress ou wp-cli. Utilisez WPScan, Patchstack ou Wordfence pour l'analyse des vulnérabilités des plugins. Cet outil se concentre sur les mauvaises configurations de sécurité publiquement visibles.