Sécuriser WordPress — notre ligne de base de sécurité à 8 niveaux

<h2>Les 8 niveaux</h2><ol><li><strong>Pare-feu d'application Web</strong> — la couche nginx bloque les injections SQL, les XSS, les exploits de téléchargement de fichiers pour le noyau WordPress/plugins/thèmes</li><li><strong>Limitation de connexions</strong> — max 5 tentatives erronées par IP par minute → blocage de 1h via fail2ban</li><li><strong>Authentification à 2 facteurs optionnelle</strong> — Google Authenticator pour le rôle d'administrateur</li><li><strong>Permissions de fichiers</strong> — wp-config.php = 600, plugins-dir = 755, pas d'exécution sur les téléchargements</li><li><strong>Épinglage SSL + HSTS</strong> — pour 12 mois + préchargement</li><li><strong>Plugins malveillants</strong> — détection automatique (base de données Wordfence) → ticket pour l'administrateur</li><li><strong>Mises à jour automatiques des versions mineures</strong> — correctifs de sécurité dans les 24h</li><li><strong>Analyse quotidienne de corruption</strong> — comparaison de sommes de contrôle avec les fichiers canoniques de WordPress.org</li></ol><h3>Que faisons-nous en cas de piratage?</h3><p>Détection dans les 6h via la surveillance cron → site hors ligne dans les 30 minutes après confirmation → restauration à partir de la dernière sauvegarde propre → durcissement + ticket pour le client. Gratuit avec chaque forfait.</p><h3>Que devez-vous faire?</h3><ul><li>Mot de passe fort pour votre compte administrateur (16+ caractères)</li><li>Activer l'authentification à 2 facteurs</li><li>Pas de "admin" comme nom d'utilisateur (cible de bot connue)</li><li>Éviter les plugins de créateurs inconnus</li></ul>