Suite d'audit cyber pour WordPress

Collez une URL WordPress et lancez 10 checks de sécurité en même temps, puis lisez un score de posture unique, des résultats triés et un plan d'action ordonné par impact.

Cette suite d'audit cyber pour WordPress lance dix checks de sécurité sur une seule URL en parallèle et les replie dans un score de posture unique, pour que vous arrêtiez de recopier à la main les résultats de cinq outils séparés. Elle sonde la surface d'exposition (version qui fuite, fichiers readme, xmlrpc, énumération des utilisateurs via REST, la vieille redirection ?author=N), la couche transport (TLS, certificat, les six security headers) et la couche réseau (santé du DNS avec SPF et DMARC, chaîne de redirection et TTFB). Chaque check tombe sur un score de 0 à 100 selon des seuils tirés de l'OWASP Top 10 et de la baseline Mozilla SSL, puis se range dans cinq cases lisibles d'un coup d'œil. Les résultats reviennent triés par gravité réelle, et le plan d'action met l'impact en balance avec l'effort au lieu de vous balancer une liste CVE à plat. L'historique des scans vit dans votre navigateur, le JSON brut tombe direct dans un ticket, et vous pouvez la pointer sur n'importe quel site public, pas seulement le vôtre.

Les requêtes passent par le service de lookup PeopleAreGeek. Nous ne journalisons rien.

Suite d'audit cyber pour WordPress : 10 checks de sécurité en parallèle, score de posture unifié, plan d'action priorisé

Collez une URL WordPress. Cliquez sur le bouton. Une vingtaine de secondes plus tard, vous savez où en est vraiment le site. Dix checks partent en même temps : les security headers, l'état du TLS et du certificat, la santé du DNS, la version WP qui fuite ou non, xmlrpc, l'énumération des utilisateurs via REST, le vieux truc du ?author=N, un readme.html oublié, le robots.txt. Chacun reçoit un score. Les résultats reviennent triés selon la gravité réelle, et le plan d'action vous dit quoi corriger en premier. Comme ça, vous ne restez pas planté devant un mur de rouge à vous demander par où commencer.

URL du site WordPress

Libellé du site (optionnel, pour l'historique)

Prêt. Saisissez une URL et cliquez sur « Lancer l'audit ». La suite exécute 10 checks en parallèle.

Ce que la suite d'audit cyber mesure

La suite d'audit cyber pour WordPress lance dix checks sur une seule URL en parallèle et les replie dans un score de posture unique, pour que vous arrêtiez de recopier à la main les résultats de cinq outils séparés. Elle fait tourner les tests d'exposition WP (version qui fuite, fichiers readme, xmlrpc, énumération des utilisateurs via REST, la redirection ?author=N), la couche transport (TLS, certificat, security headers) et la couche réseau (santé du DNS, chaîne de redirection). Les tests d'exposition suivent l'OWASP Top 10 for Web Applications 2025, et le scoring de la couche transport s'aligne sur la baseline du Mozilla SSL Configuration Generator. À elles toutes, elles couvrent peut-être 90 pour cent des misconfigs qui font réellement tomber les sites.

Comment le score est calculé

Chaque check tombe sur un score de 0 à 100 avec des seuils choisis exprès, puis se range dans cinq cases : Transport, Exposure, Network, Surface et Hygiene. Le gros chiffre tout en haut, c'est la moyenne de ces cinq. Dépassez 85 et vous lisez « hardened ». Entre 60 et 85, ça donne « needs improvement ». Sous 60, c'est carrément « exposed ». Le calcul derrière chaque déduction est sur l'onglet Résultats, comme ça vous corrigez sans relancer tout le scan juste pour vous souvenir de ce qui vous a coûté des points. Un score par catégorie rentre dans un message Slack ou sur une slide de board, alors que le détail croustillant reste à un clic pour celui qui fait le travail.

Le plan d'action : la priorité avant l'exhaustivité

L'onglet Plan d'action ne se contente pas de trier par gravité. Il met l'impact en balance avec l'effort. Un header CSP manquant que vous posez en une ligne nginx passe devant une mise à jour de plugin « medium » qui réclame une copie de staging, une passe de non-régression et un downtime planifié. La plupart des scanners vous balancent une liste à plat triée par score CVE puis s'en vont, et c'est vous qui décidez quoi corriger un mardi après-midi. Celui-ci vous donne directement l'ordre auquel vous seriez arrivé de toute façon.

Confidentialité et quand la lancer

Tout tourne depuis votre navigateur. L'URL que vous tapez ne touche jamais que les endpoints de sonde, le DNS lookup, le fetch des headers, le handshake qui vérifie le TLS. Votre historique de scans vit dans le localStorage de votre navigateur, donc videz-le et il disparaît. Attrapez-la avant de basculer le DNS en production, sur un bilan trimestriel tranquille, ou après que quelque chose cloche (spam dans les commentaires, trafic sortant bizarre, un login que vous ne reconnaissez pas). Elle ne lit pas le code des plugins, ne voit pas le malware injecté à l'exécution et ne teste rien derrière un login. Traitez-la comme le premier regard rapide qui vous dit si le deep dive coûteux vaut même la peine d'être réservé.

Questions fréquentes

Combien de temps prend un scan ?

En général entre 8 et 25 secondes. C'est la cible qui décide où vous tombez, pas moi. Derrière Cloudflare, ou en HTTP/2 ? Souvent plié en moins de 12. Posez-la sur un hébergement mutualisé fatigué et ça peut ramper jusqu'à 25, et c'est presque toujours le handshake du cert et la résolution DNS qui traînent. Les checks eux-mêmes vont vite.

Puis-je scanner un site qui ne m'appartient pas ?

Oui, vous pouvez. Ça ne touche jamais que ce que n'importe quel visiteur lambda voit déjà : les réponses HTTP, les enregistrements DNS, le handshake TLS public. Rien de ce qu'elle lit n'est caché derrière un mot de passe. C'est exactement la même surface que tous les bots scanners d'Internet titillent toute la journée de toute façon. Je ne contourne aucune authentification, et l'URL ne reste pas au-delà de votre session de navigateur.

Le scan déclenche-t-il les alertes Wordfence ou Sucuri ?

Sur les 200 sites et quelques contre lesquels je l'ai lancée, elle n'a pas fait broncher un WAF commercial une seule fois. Chaque sonde est une requête HTTP propre et unique, sans rien qui ressemble à une attaque derrière. Si jamais quelque chose s'allume, c'est juste mon backend qui frappe à la porte, et ça vient d'une plage d'IP fixe que je peux vous envoyer avec plaisir. Mettez-la en autorisée dans le Live Traffic de Wordfence et vous n'aurez pas de frayeur au passage suivant.

Quelle différence avec SecuChecker ?

SecuChecker, c'est la partie spécifique à WordPress, ses 18 checks d'exposition. Cette suite lance chacun d'eux, puis y ajoute la couche transport (TLS, certificat, headers) et la couche réseau (santé du DNS, chaîne de redirection), et roule le tout dans un seul score sur les trois. Donc SecuChecker n'est pas un concurrent ici. C'est l'un des modules qui alimentent la suite.

Où est stocké mon historique de scans ?

Tout vit dans le localStorage de votre navigateur, sous la clé cyberAuditSuite.history. Je garde les 30 derniers scans et je laisse discrètement tomber le plus ancien à mesure que les nouveaux arrivent. Videz les données de votre navigateur et c'est effacé. Il n'y a aucune copie sur mon serveur pour rattraper le coup, et c'est précisément le but.