FrançaisForum Piwigo
Pages: 1
- » Installation
- » Auditer la sécurité d'un WordPress auto-hébergé : vos outils ?
#1 2026-05-29 16:10:10
- ThomasM294
- Membre
- 2026-05-29
- 6
Auditer la sécurité d'un WordPress auto-hébergé : vos outils ?
Bonjour à tous,
J'héberge ma galerie Piwigo sur un mutualisé, et sur le même hébergement tourne aussi un petit WordPress (le blog qui accompagne les photos). En consultant les logs récemment, j'ai vu pas mal de tentatives d'accès bizarres : scans de /wp-login, essais sur des vieux dossiers, etc. Ça m'a un peu refroidi.
Pour Piwigo je commence à voir comment faire (droits sur les dossiers, htaccess, version à jour), mais sur la partie WordPress justement, j'aimerais surtout tester la sécurité de mon site WordPress et repérer les failles avant qu'elles soient exploitées : plugins obsolètes, permissions, version exposée...
Vous qui gérez aussi du self-hosted, vous faites un audit régulier ? Avec quels outils ? Je cherche surtout un truc qui sort un rapport clair des points à corriger en priorité.
Merci d'avance.
Dernière modification par ThomasM294 (2026-06-05 19:04:59)
Hors ligne
#2 2026-05-30 21:35:55
- Gotcha
- Ex Equipe Piwigo
- Pierrelatte (26)
- 2007-03-14
- 13666
Re: Auditer la sécurité d'un WordPress auto-hébergé : vos outils ?
Bonjour,
Piwigo est mis à jour régulièrement donc si vous mettez à jour ce dernier, vous limiterez les risques.
Après, tout se pirate un jour sur internet. Tous les sites finissent par se faire pirater alors ce n'est pas nous, petits webmasters, qui allons pouvoir contrez les méchants si ce n'est en éviter d'exposer trop facilement nos secrets ou autres informations sensibles.
Je ne parle pas des robots qui vampirisent le moindre octet de vos sites.
Les plugins, tout comme chez Wordpress, sont tout autant de porte d'entrée possibles.
Mais ça, c'est inhérent à chaque système ouvert/modifié...
Hors ligne
#3 2026-06-02 20:49:58
- C_Lucien
- Membre
- 2015-10-01
- 8
Re: Auditer la sécurité d'un WordPress auto-hébergé : vos outils ?
Bonjour,
je gère deux sites WordPress, le premier depuis 2012, le second depuis 2019.
Le premier est protégé par deux extensions : Wordfence et Ninja Firewall.
Le second est protégé par Ninja Firewall, après avoir essayé une autre extension de sécurité. Avant cela, il avait été piraté une fois via la compromission du compte d'un membre.
Je peux voir les milliers de tentatives d'intrusion qui sont bloquées par ces extensions, mais aussi les innombrables scan des moteurs d'IA.
Je mets à jour systématiquement les extensions, car elles sont des portes d'entrée plus faibles que WordPress lui-même.
Pour WordPress lui-même, je surveille les forums d'utilisateurs qui "essuient les plâtres" et j'attends généralement la version X.1 pour mettre à jour, sachant que les mises à jour de sécurité sont automatiquement appliquées.
Hors ligne
Pages: 1
- » Installation
- » Auditer la sécurité d'un WordPress auto-hébergé : vos outils ?