Plugin WordPress — ReportedIP (édition complète)

ReportedIP est un plugin de sécurité WordPress alimenté par la communauté. Il transforme chaque site protégé en capteur : lorsqu’un site est attaqué, la communauté en tire des enseignements et tous les autres sites peuvent repousser l’attaquant avant même que la première requête n’aboutisse. Informations sur les menaces en temps réel, seize capteurs d’attaques incluant un pare-feu pour applications web, une authentification à deux facteurs (2FA) à quatre méthodes, une escalade progressive des blocages et des ensembles de règles de pare-feu signés et fournis par le serveur. Open source, publié sous licence GPLv2+ sur GitHub.

Installation

Assistant de configuration (10 étapes)

L'assistant s'exécute lors de la première activation et peut être relancé à tout moment depuis les paramètres du plugin. Chaque étape est immédiatement enregistrée côté serveur à chaque navigation (y compris lorsque vous cliquez sur « Retour »), ce qui vous permet de vous interrompre et de reprendre sans perdre aucun paramètre.

Modes de fonctionnement

Deux modes — passez de l'un à l'autre à tout moment sans perdre vos données locales.

Ce que vous obtenez à chaque niveau

Le plugin Hive est entièrement fonctionnel dans la version gratuite : protection locale, les seize capteurs, les quatre méthodes d'authentification à deux facteurs. Les formules payantes incluent une infrastructure de diffusion gérée (e-mail et SMS) ainsi que des quotas plus élevés pour le réseau communautaire. Consultez la page Tarifs pour obtenir une comparaison complète et passer à une formule supérieure.

Business plusieurs réservations. Tous Business indiqués ci-dessus Business s'entendent par licence. Réservez Business , x5, x10 ou x20 lors du paiement (ou modifiez ce choix ultérieurement via le portail client Stripe) : le nombre de vérifications/rapports quotidiens, le quota mensuel d'e-mails/SMS pour l'authentification à deux facteurs (2FA) et le nombre de domaines s'adaptent tous en fonction du nombre de licences — par exemple, x5 = 75 domaines et 500 000 vérifications/jour. Une remise sur volume s'applique automatiquement à partir de x2. La version PRO reste à licence unique ; les chiffres de la version Enterprise sont illimités (utilisation raisonnable) et ne sont jamais multipliés.

Commande groupée (PRO et Business) : d'abord le forfait mensuel inclus (25 SMS / 500 e-mails pour PRO, 75 / 2 500 pour Business), puis le solde du forfait prépayé. Une fois ces deux forfaits épuisés, l'API renvoie un code HTTP 429 et Hive bascule vers le mode local wp_mail() pour les e-mails (ou les SMS avec limite stricte) — les autres méthodes d'authentification à deux facteurs restent opérationnelles. Les crédits du pack n'expirent jamais. Stripe utilise tax_behavior = inclusive pour les offres groupées au prix brut (conformes à la PAngV) ; l'autoliquidation / OSS est gérée automatiquement par Stripe Tax.

Une défense à six niveaux

Hive effectue ses vérifications dans l'ordre : chaque couche peut interrompre la requête avant qu'elle n'atteigne la suivante. Accroché à init avec une priorité 1 afin que les autres plugins ne s'exécutent pas pour une adresse IP bloquée.

1. Liste blanche — les adresses IP et les plages CIDR de confiance sont toujours autorisées (votre bureau, les services de surveillance, etc.).
2. Liste de blocage locale — Les adresses IP que vous avez bloquées manuellement ou qui ont dépassé les seuils locaux. Enregistrées dans wp_reportedip_hive_blocked.
3. Pare-feu d'application Web (WAF) — l'ensemble de règles WAF actif est comparé à l'URI, à la requête, au corps du message et à l'agent utilisateur ; toute correspondance est bloquée via le chemin 403 partagé et codé en référence. Prise en charge des listes blanches et reconnaissance de l'auteur du contenu pour éviter les faux positifs. Un module optionnel à intégrer avant WordPress permet d'exécuter cette couche avant même le chargement de WordPress.
4. Compteurs de tentatives — les compteurs de connexion, de commentaires, XMLRPC, de requêtes REST en rafale et de scans 404 déclenchent un blocage automatique dès que le seuil est atteint.
5. Réputation de la communauté — en mode « Réseau communautaire », les adresses IP dont le niveau de confiance est supérieur ou égal au seuil défini sont bloquées en périphérie.
6. Vérification à deux facteurs: les comptes protégés doivent passer par une deuxième étape de vérification pour se connecter.

Les seize capteurs d'attaque

Chaque capteur peut être activé ou désactivé et réglé individuellement dans Paramètres → Protection.

Escalade par paliers

Les récidivistes paient plus cher. L'échelle par défaut est la suivante : 5 min → 15 min → 30 min → 24 h → 48 h → 7 j. Après 30 jours sans incident, le compteur revient à l'étape 1. Les visiteurs légitimes qui déclenchent le système pour la première fois (CGNAT, administrateurs maladroits, sortie du réseau mobile) sont réintégrés en quelques minutes ; les attaquants persistants atteignent l'étape des 7 jours.

L'échelle, la fenêtre de réinitialisation et le commutateur principal se trouvent sous Paramètres → Blocage → Blocage progressif. L'étape « Protection » de l'assistant affiche le commutateur principal, de sorte que les nouvelles installations prennent en charge la gestion des droits d'accès dès la première sauvegarde. La correction block_duration Ce paramètre reste actif même lorsque l'échelle est désactivée. La granularité inférieure à l'heure est assurée par ReportedIP_Hive_Database::block_ip_for_minutes().

Pare-feu d'applications Web et mise en place des règles

Depuis la version 2.1.2, Hive intègre un pare-feu pour applications Web (WAF) capable d'inspecter les requêtes. Sur init cela correspond à l'élément actif waf Il applique un ensemble de règles à l'URI, à la chaîne de requête, au corps de la requête et à l'agent utilisateur, et bloque les requêtes correspondantes via le chemin 403 partagé, compatible avec la mise en cache et codé par référence. Il est renforcé contre les attaques ReDoS (retour en arrière PCRE limité, mode « fail-open » en cas de règle mal formée), prend en compte les listes blanches et l'auteur du contenu pour éviter les faux positifs, et ajoute environ 4 µs de CPU par requête sans aucune requête de base de données supplémentaire lorsqu'un cache d'objets persistant est présent.

Les règles ne sont pas codées en dur dans le plugin. Ils proviennent du site reportedip.de API Rule — fournies par le serveur, versionnées, signées avec Ed25519 et réparties sur quatre ensembles de règles (waf, bot_signatures, disposable_domains, scan_paths). Le plugin vérifie chaque ensemble de règles par rapport à une clé publique intégrée avant de l'appliquer et se rabat toujours sur une configuration de base intégrée ; ainsi, un flux altéré, trop volumineux ou inaccessible ne peut en aucun cas corrompre vos règles. Les nouvelles signatures d'attaques sont diffusées à toutes les installations en quelques heures, sans qu'il soit nécessaire de publier une nouvelle version du plugin.

• Inclus gratuitement dans tous les forfaits: le moteur WAF et l'ensemble de règles de base « OWASP Top 10 Paranoia Level 1 », entièrement utilisables hors ligne en mode Local Shield à partir de la configuration de base fournie.
• Synchronisation prioritaire (à partir de la version Professional) — les ensembles de règles « Paranoia Level 2/3 » plus complets, fréquemment mis à jour et signés (couvrant l'obfuscation et les techniques de contournement), ainsi que les flux en temps réel sur les plages d'adresses IP des bots et les domaines jetables. La version Free synchronise la base de référence fournie ; la version Contributor, chaque semaine ; les versions Professional et supérieures, chaque jour.
• Module d'extension de garantie (en option) — avant l'arrivée de WordPress auto_prepend_file un module qui exécute le WAF avant le chargement de WordPress. Apache (.htaccess) et PHP-FPM (.user.ini) sont configurés automatiquement ; les serveurs Nginx et les hébergements gérés disposent d'un fichier php.ini / d'un panneau d'hébergement auto_prepend_file ligne ou un extrait de code Nginx. Désactivé par défaut ; la suppression supprime toujours la directive avant de supprimer le garde, de sorte qu’un préfixe obsolète ne peut jamais entraîner une erreur fatale sur le site.
• Codes de référence — chaque bloc (WAF ou capteur) comporte un code permettant d'établir une corrélation, tel que WAF_SQLI-3F9A2B71, affiché sur la page du bloc et émis sous la forme de X-RIP-Ref En-tête. Un visiteur bloqué par erreur fournit une courte chaîne de caractères qu’un administrateur retrouve dans les journaux ; le jeton est un hachage à sens unique de l’adresse IP, du motif et de l’heure, de sorte qu’aucune donnée personnelle n’est divulguée.

Les paramètres de configuration et l'état en temps réel sont accessibles via le menu dédié au pare-feu: un mini-tableau de bord « Aperçu » (état par module, compteurs sur 7 jours, événements récents du pare-feu), un onglet WAF (moteur / mode / sélecteur de niveau de paranoïa), un onglet Vérification des bots, un onglet Protection anti-spam (e-mails jetables + honeypot), une vue de l'état de la synchronisation des règles et un onglet Configuration du serveur qui regroupe tous les extraits de code du serveur web en un seul endroit.

Détection des bots vérifiés, blocage des adresses e-mail jetables et piège à commentaires

• Détection vérifiée des bots (gratuit). Vérifie qu'une requête se présentant comme provenant de Googlebot, Bingbot ou d'un autre robot d'indexation provient bien de ces sources : d'abord, une comparaison sans DNS avec les plages d'adresses IP officielles du robot (Priority Sync), puis, à défaut, une vérification par DNS inversé avec confirmation de l'adresse, qui résout à la fois les enregistrements A et AAAA. Les usurpateurs sont signalés (par défaut) ou bloqués ; un robot d'indexation authentique n'est jamais bloqué. facebookexternalhit est vérifiée par rapport aux plages d'adresses IP publiées par Meta.
• Blocage des adresses e-mail jetables (gratuit). Vérifie l'adresse fournie lors de l'inscription (WordPress et WooCommerce) par rapport à la liste des adresses jetables. Trois modes : désactivé / surveiller / bloquer. Les relais de confidentialité (Apple « Masquer mon e-mail », Firefox Relay, etc.) constituent une catégorie distincte qui est autorisée par défaut. La liste en temps réel est mise à jour via Priority Sync.
• Comment Honeypot (gratuit). Un champ leurre invisible, ignoré par les lecteurs d'écran, dans le formulaire de commentaires ; les robots spammeurs qui remplissent tous les champs sont bloqués sans que les visiteurs réels aient à passer par un CAPTCHA.

En-têtes de sécurité

Renforcement des en-têtes de réponse pour chaque requête frontale. Les en-têtes déjà envoyées par votre serveur ou par un autre plugin sont détectées et ne sont pas modifiées.

• Trio de base (gratuit) — X-Content-Type-Options, X-Frame-Options, Referrer-Policy.
• Avancé (Professionnel) — HSTS, Permissions-Policy, une politique de sécurité du contenu (réglée par défaut sur « rapport uniquement », avec un générateur) et le trio d'isolation inter-origines (COOP / CORP / COEP).

L'onglet « Configuration du serveur » permet également d'exporter les en-têtes configurés au niveau du serveur nginx add_header / Apache Header directives.

Note de protection et de renforcement

Deux jauges du tableau de bord (0–100 et une note de A+ à F, à la manière de Mozilla Observatory) évaluent votre couverture de détection et votre niveau de renforcement de la sécurité, avec des liens directs vers chaque élément pour activer un capteur. Les fonctionnalités verrouillées (payantes) sont prises en compte dans le potentiel visible, mais n’affectent pas votre score — le niveau gratuit peut donc tout de même atteindre la note maximale.

Journal des événements d'audit (Business)

Une piste de suivi du cycle de vie des utilisateurs en mode « ajout uniquement » — connexions, échecs de connexion, réinitialisations de mot de passe, mises à jour de profil, changements de rôle (y compris l'utilisateur par intérim), inscriptions et détection des nouvelles adresses IP — avec filtres, exportation au format CSV/JSON, intégration à WordPress pour l'exportation et la suppression conformément au RGPD, et nettoyage des données conservées (1 an pour Business, configurable pour la version Enterprise). Stockée dans le audit_log table (schéma v9). Les journaux de sécurité standard de 30 jours restent disponibles dans toutes les formules ; la piste d'audit constitue quant à elle l'enregistrement de niveau conformité qui vient s'y ajouter.

Intégration de MainWP

Hive peut être géré à distance depuis le tableau de bord MainWP sans nécessiter de plugin enfant supplémentaire. Il s'intègre à MainWP Child mainwp_child_extra_execution filtre (authentifié par le canal MainWP Child) et remplit deux fonctions : la synchronisation des indicateurs de sécurité (chiffres agrégés uniquement — blocages actifs, taille de la liste blanche, échecs de connexion, spam dans les commentaires, blocages liés à la réputation, taille de la file d'attente, événements critiques récents, utilisateurs ayant activé l'authentification à deux facteurs) et la fourniture de clés API à partir du tableau de bord de confiance. Aucune adresse IP, aucun nom d'utilisateur, aucun secret ni aucune clé API ne quitte le site.

Authentification à deux facteurs (2FA)

Quatre méthodes sont prises en charge et peuvent être combinées pour chaque utilisateur. Les codes de récupération sont générés lors de la première configuration. Les secrets sont chiffrés au repos (à l'aide de libsodium, avec OpenSSL comme solution de secours).

• TOTP — RFC 6238 (6 chiffres, fenêtre de 30 secondes). Compatible avec Google Authenticator, Authy, 1Password, Bitwarden, …
• E-mail — code à usage unique (OTP) à six chiffres envoyé par le fournisseur de messagerie configuré ; débit limité (3 codes toutes les 15 minutes, 5 tentatives de vérification par code, délai de réenvoi de 60 secondes).
• SMS — mot de passe à usage unique (OTP) à six chiffres via le relais reportedIP managed reportedIP (formule Professional et supérieures ; voir ci-dessous). Le numéro de téléphone est chiffré au repos.
• WebAuthn — clés d'accès, clés de sécurité (YubiKey), authentificateurs de plateforme (Touch ID, Face ID, Windows Hello). Analyseur CBOR interne, aucune dépendance externe.
• Appareils de confiance — jetons « Se souvenir de cet appareil » activables avec une durée de validité configurable (30 jours par défaut). Stockés dans wp_reportedip_hive_trusted_devices sous forme de hachages SHA-256.
• Codes de récupération — 10 à usage unique xxxx-xxxx codes ; alerte « low-code » lorsque le nombre restant est ≤ 3.

Protection contre les attaques par force brute pour l'authentification à deux facteurs

L'échelle de vérification de l'authentification à deux facteurs est 3 → 30 s, 5 → 5 min, 10 → 30 min, 15 → 1 h. Lorsque le compteur atteint la marche supérieure, l'IP passe au niveau central auto_block_ip() chemin (événement 2fa_brute_force) qui déclenche une escalade progressive et la transmission d'alertes en mode « Community », comme n'importe quel autre capteur.

API REST pour l'authentification à deux facteurs sans interface utilisateur

Pour les intégrations d'applications, le plugin expose trois routes sous l'espace de noms reportedip-hive/v1:

• POST /2fa/challenge — identifiant + mot de passe → jeton de sécurité + méthodes activées (20 requêtes / 5 minutes par adresse IP).
• POST /2fa/verify — jeton + méthode + code → définit le cookie d'authentification (30 requêtes / 5 minutes par adresse IP).
• GET /2fa/methods — affiche les méthodes actives pour l'utilisateur actuel.

Connexion en interface utilisateur de WooCommerce

La fonctionnalité d'authentification à deux facteurs (2FA) de Hive s'intègre directement à votre thème de boutique en ligne actuel — les clients qui se connectent via [woocommerce_my_account], le processus de paiement classique ou les blocs « Panier » et « Paiement » de WooCommerce conservent leur deuxième facteur d'authentification sur une page thématique. L'état du panier et du paiement est préservé lors de la redirection, et le cookie d'appareil de confiance est partagé avec le flux de connexion WordPress.

• Chemin de configuration — 2FA → Connexion à l'interface publique pour WooCommerce.
• Slugs configurables — nom du défi (par défaut reportedip-hive-2fa) et le slug de configuration (par défaut reportedip-hive-2fa-setup); les règles modifiables, celles soumises à la vérification des conflits et celles de réécriture sont automatiquement actualisées lorsqu'elles sont modifiées.
• Rétrogradation de forfait — désactivation temporaire pour les forfaits « Free » et « Contributor » ; les paramètres, les choix de slugs et l'état de l'intégration sont conservés ; aucune perte de données lors du retour au forfait supérieur.
• Détection des conflits — Hive affiche un message d'administration lorsque Solid Security, le plugin WP Two-Factor ou Wordfence 2FA gère le formulaire de connexion, et désactive la vérification sur l'interface publique afin d'éviter les doubles invites.
• Disponibilité des forfaits — Version Professionnelle et supérieures. Les capteurs gratuits de connexion échouée pour WooCommerce (woocommerce_login_failed, woocommerce_checkout_login_form_failed_login) restent présents dans tous les plans et continuent d'alimenter le compteur de force brute.

Envoi d'e-mails et de SMS

La couche de messagerie fonctionne via un contrat de fournisseur modulable (ReportedIP_Hive_Mailer). Le fournisseur par défaut est WordPress wp_mail(); les intégrateurs peuvent remplacer ce dernier par le leur sans modifier le reste du plugin. La 2FA par SMS est une fonctionnalité de la version Professionnelle disponible exclusivement via le relais géré reportedip.de — aucun compte SMS ni contrat avec un opérateur n'est nécessaire. Elle est configurée automatiquement avec un forfait payant ; activez-la sous Paramètres → Authentification à deux facteurs → SMS.

Aperçu de la configuration

Tous les paramètres se trouvent dans ReportedIP → Paramètres. Voici les valeurs par défaut les plus importantes :

Tables de base de données

Huit tables, créées lors de l'activation et préfixées wp_reportedip_hive_. Version 9 du schéma, avec migration idempotente étape par étape à chaque mise à jour du plugin ; suppression optionnelle lors de la désinstallation. Sur Multisite, toutes les tables se trouvent sous $wpdb->base_prefix Les décisions relatives aux menaces s'appliquent donc à l'ensemble du réseau.

• logs — événements de sécurité, détails JSON, niveau de gravité, indicateur de signalement.
• whitelist — adresses IP et plages CIDR approuvées ; date d'expiration facultative.
• blocked — blocages actifs (manuels / automatiques / basés sur la réputation), avec blocked_until.
• attempts — compteurs par adresse IP et par type de tentative, avec les horodatages de début et de fin.
• api_queue — rapports en attente et ayant échoué vers l'API communautaire ; logique de nouvelle tentative.
• stats — les données cumulées quotidiennes pour les graphiques du tableau de bord (tendances sur 7 et 30 jours).
• trusted_devices — Jeton de l'appareil pour l'authentification à deux facteurs (hachages SHA-256), adresse IP et nom de l'appareil, date d'expiration.
• audit_log — Journal d'audit du cycle de vie des utilisateurs en mode « ajout uniquement » (Business) ; ajouté dans la version 9 du schéma.

Shortcodes côté client et pied de page automatique

Intégrez un petit badge « Protégé par Hive » n'importe où sur le site. Tous les codes courts affichent un seul <rip-hive-banner> composant web qui récupère des données en temps réel à partir d'un cache temporaire de 6 heures (sans appel d'API à chaque consultation de page).

• [reportedip_badge] — petit badge (par défaut) protéger (ton).
• [reportedip_stat] — une seule statistique (par défaut) confiance (ton).
• [reportedip_banner] — bannière large (par défaut) communauté (ton).
• [reportedip_shield] — icône en forme de bouclier (par défaut) contributeur (ton).

Caractéristiques communes : stat (par exemple attacks_30d, reports_total), tone (protect / trust / community / contributor), color, background, label, intro. Le pied de page automatique de l'assistant utilise le même composant, dont la variante et l'alignement sont configurables.

Référence WP-CLI

L'outil d'authentification à deux facteurs est entièrement scriptable. Disponible sous wp reportedip 2fa …:

wp reportedip 2fa status [--user=<id>]
wp reportedip 2fa enable <user_id> --method=<totp|email|sms|webauthn> [--secret=<base32>]
wp reportedip 2fa disable <user_id> [--method=<m>]
wp reportedip 2fa reset <user_id>
wp reportedip 2fa enforce --role=<role> [--remove]
wp reportedip 2fa audit [--user=<id>] [--since=<date>]
wp reportedip 2fa cleanup

Compatibilité des plugins de mise en cache

Depuis la version 1.5.2, la réponse de page bloquée définit DONOTCACHEPAGE, DONOTCACHEDB et DONOTCACHEOBJECT (pris en charge par WP Rocket, W3 Total Cache, WP Super Cache et LiteSpeed Cache) et envoie des instructions explicites Cache-Control: no-store, no-cache, must-revalidate, max-age=0, Pragma: no-cache ainsi que le cœur de WordPress nocache_headers() définir. Un seul attaquant bloqué ne peut plus polluer le cache de pages avec un code 403 que les visiteurs légitimes recevraient autrement jusqu'à l'expiration du cache.

Filtres et hooks d'action

• apply_filters('reportedip_hive_external_url', $url, $context) — Remplacez toutes les URL externes (politique de confidentialité, inscription, FAQ, etc.).
• apply_filters('reportedip_hive_rest_bypass_routes', $routes) — étendre la liste des préfixes de routes REST qui contournent le moniteur de trafic (intégrations de bannières de cookies).
• apply_filters('reportedip_hive_scan_paths', $paths) — étendre la liste des chemins d'accès aux honeypots pour le détecteur de scan.
• do_action('reportedip_hive_ip_blocked', $ip, $reason) — déclenché lorsqu'une adresse IP est bloquée.
• do_action('reportedip_hive_report_queued', $ip, $category) — déclenché lorsqu'un rapport est mis en file d'attente pour l'API.

Foire aux questions

Les questions qui nous sont le plus souvent posées. Chaque réponse renvoie, le cas échéant, à la section correspondante ci-dessus.

Généralités

Installation et configuration

Modes et capteurs

Authentification à deux facteurs

Performances et compatibilité

Confidentialité et RGPD

Personnalisation et extension

add_filter('reportedip_hive_rest_bypass_routes', function ($routes) {
    $routes[] = '/my-consent-plugin/v1';
    return $routes;
});

add_filter('reportedip_hive_scan_paths', function ($paths) {
    $paths[] = '/.aws/credentials';
    return $paths;
});

Quotas, forfaits et compte

Dépannage

Le plugin ne bloque aucune adresse IP

Vérifiez si le mode « Rapport uniquement » est activé : il enregistre les menaces sans les bloquer. Vérifiez également que le seuil de blocage n'est pas trop élevé (75 % par défaut) et que le blocage automatique est activé (la stratégie de durée est désactivée lorsque le blocage automatique est désactivé).

Erreurs de connexion à l'API en mode Réseau communautaire

Assurez-vous que votre serveur peut envoyer des requêtes HTTPS sortantes vers reportedip.de. Certains hébergeurs bloquent les connexions sortantes par défaut. Vérifiez la clé API sur le Tableau de bord.

Les visiteurs qui ignorent la bannière relative aux cookies sont bloqués

Depuis la version 1.5.0, les quatre espaces de noms Common Consent (real-cookie-banner, complianz, borlabs-cookie, cookie-law-info) sont ignorés par défaut. Si votre pile utilise un espace de noms différent, étendez la liste des éléments à ignorer via le reportedip_hive_rest_bypass_routes filtre.

Les utilisateurs légitimes se font bloquer

Ajoutez leurs adresses IP ou leurs plages CIDR à la liste blanche locale. Les adresses IP figurant sur la liste blanche ne sont jamais bloquées, quelle que soit leur réputation.

Utilisation élevée de l'API / épuisement des vérifications

Par défaut, les réponses sont mises en cache localement (avec ETag) pendant 24 heures. Si vous continuez à manquer de vérifications, augmentez cache_duration ou passez à un forfait supérieur. Surveillez la file d'attente et le quota sur le Tableau de bord.

Bloqué par l'authentification à deux facteurs

Utilisez l'un des codes de récupération enregistrés lors de la configuration de l'authentification à deux facteurs. Si vous les avez perdus, un administrateur peut réinitialiser l'authentification à deux facteurs pour n'importe quel utilisateur sous Utilisateurs → Authentification à deux facteurs. En dernier recours : wp reportedip 2fa reset <user_id>.

L'éditeur de blocs (Gutenberg) est sans cesse ralenti

L'éditeur de blocs envoie plus de 50 requêtes REST en quelques secondes. Depuis la version 1.2.2, les utilisateurs connectés ne sont plus pris en compte par le moniteur global de pics de requêtes REST ; seuls les pics provenant d'utilisateurs anonymes sont comptabilisés. Assurez-vous d'utiliser la version 1.2.2 ou une version plus récente.

RGPD et confidentialité

Ce plugin a été conçu dans le respect de la vie privée et est entièrement conforme au RGPD.

• Mode Local Shield : aucune donnée ne quitte votre serveur. La détection et le blocage s'effectuent entièrement en local.
• Mode « Réseau communautaire » : seules l'adresse IP de l'attaquant, la catégorie de menace et l'horodatage sont partagés. Aucun nom d'utilisateur, aucun mot de passe, aucun contenu de commentaire, aucune donnée relative à l'utilisateur final.
• Les agents utilisateur sont tronqués à 50 caractères avant d'être enregistrés.
• Nettoyage automatique : les journaux de sécurité sont supprimés à l'issue de la période de conservation configurée (30 jours par défaut). L'anonymisation automatique intervient plus tôt (7 jours par défaut).
• Chiffrement au repos : les clés TOTP, les identifiants WebAuthn et les numéros de téléphone utilisés pour les SMS sont chiffrés à l'aide de libsodium (avec OpenSSL en secours).
• Pas de suivi : pas de cookies, pas de pixels de suivi, pas de télémétrie.
• Open source : le code source complet est publié sur GitHub — chaque ligne peut être vérifiée.

Points forts du journal des modifications

• 2.1.x — La version du pare-feu : un framework de distribution de règles fourni par le serveur et signé Ed25519, alimentant un pare-feu d'applications Web inspectant les requêtes (moteur gratuit + base de référence Paranoia-Level-1, niveaux PRO 2/3 via Priority Sync), détection des bots vérifiés, blocage des adresses e-mail jetables, un honeypot de commentaires, des en-têtes de réponse de sécurité (de base gratuit, avancé PRO), un tableau de bord indiquant le score de protection et de renforcement, des codes de référence pour les pages de blocage (X-RIP-Ref), le journal des événements Business (schéma v9), l'intégration de MainWP et un espace d'administration du pare-feu.
• 2.0.x — Activation multisite à l'échelle du réseau (Network: true), gestion des niveaux par blog, bannières de mise à niveau, renforcement de la sécurité des surveillances des mots de passe d'application et des anomalies géographiques, activation de l'authentification à deux facteurs (2FA) en interface publique pour WooCommerce dans la version PRO+, mode de renforcement de la sécurité contre les attaques coordonnées, détection et signalement des chemins de détournement.
• 1.5.2 — Compatibilité du plugin de mise en cache sur la page 403 ; la limitation de la 2FA évolue vers un véritable blocage en cas d'escalade ; init priorité n° 1.
• 1.5.1 — Clarté de l'onglet « Blocage » (Mode rapport uniquement > Blocage automatique > Stratégie de durée) ; les éditeurs à longueur fixe et en échelle s'intervertissent en ligne.
• 1.5.0 — Escalade progressive des blocages (échelle de 5 m à 7 jours) ; contournement par défaut des points de terminaison des bannières de cookies ; assouplissement des paramètres par défaut pour les erreurs 404 et le spam dans les commentaires.
• 1.2.4 — Le bouton « Retry » (Réessayer) de la file d'attente API déclenche désormais effectivement l'appel API.
• 1.2.0 — Sept nouveaux capteurs : surveillance des mots de passe d'application, surveillance des rafales REST, blocage de l'énumération des utilisateurs, détecteur d'erreurs 404/de scans, anomalies géographiques, force des mots de passe, masquage de l'URL de connexion.
• 1.1.0 — Système de messagerie centralisé avec modèle de marque.
• 1.0.0 — Première version publique : blocage d'adresses IP, authentification à deux facteurs (2FA) à 4 méthodes, assistant de configuration, tableaux de listes.

Historique complet : CHANGELOG.md sur GitHub.

Vous cherchez le format plus petit ?