C’est quoi, OLOsecurity
OLOsecurity est un plugin de sécurité WordPress tout-en-un : pare-feu, antivirus, gestion des accès avec 2FA, audit et nettoyage dans un seul panneau, Sentinel, 8 onglets opérationnels.
Le choix de fond : traitement 100 % local. Analyses, signatures et logs restent sur votre serveur ; aucun trafic n’est expédié vers des clouds tiers pour être « analysé ». Aucun dataset tiers n’est embarqué dans le plugin : les flux se téléchargent à la demande depuis votre site. RGPD simple.
Code GPL, vérifiable ligne par ligne. WP Plugin Check : 0 erreur / 0 warning.
Firewall · mini-WAF
- Règles par famille OWASP : injection SQL, XSS, path traversal, LFI/RCE, activables par groupes.
- Réputation IP depuis des listes publiques + règles de blocage avancées.
- Rate limiting sur les requêtes anormales.
- Géo-blocage IPv4 et IPv6 par pays.
- Proxys de confiance : reconnaissance de Cloudflare et des réseaux locaux pour évaluer correctement
X-Forwarded-For.
Accessi & 2FA
- Anti force brute : limite de tentatives, verrouillage temporisé, auto-blocklist permanente pour IP récidivistes, allowlist/blocklist.
- 2FA TOTP : configuration par QR, codes de secours, repli email, reset admin.
- Mots de passe compromis : vérification HIBP avec k-anonymity : le mot de passe ne quitte jamais le serveur.
- CAPTCHA et blocage de l’énumération d’utilisateurs.
- Anti faux crawlers : vérification FCrDNS : qui se fait passer pour Googlebot est démasqué.
- Durcissement optionnel : XML-RPC, security headers, masquage de version,
DISALLOW_FILE_EDIT, blocage d’upload PHP, protection .htaccess.
Scanner · trois passes
- Intégrité / checksums : baseline trust-on-first-use ; comparaison du core, des plugins et des thèmes avec wordpress.org ; détecte les fichiers modifiés.
- Heuristique profonde : parcourt les fichiers PHP (saute les non exécutables) avec 5 heuristiques fortes calibrées anti faux positifs ; la double extension masquée (ex.
.jpg.php) est traitée comme webshell quasi certaine. - Signatures malware : passe par hash MD5/SHA256 sur le flux de signatures : lookup O(1), coût négligeable.
Performances : ~11 000 fichiers PHP en ~2–3 secondes sur un site typique ; sur les hébergements à timeout, mode par blocs avec reprise. Flux CVE pour plugins et thèmes installés, mise à jour quotidienne via cron, index avec autoload OFF.
Restauration & registre
- Nettoyage guidé post-attaque : réparation du core en un clic depuis la version officielle, réinstallation plugins/thèmes depuis wordpress.org avec sauvegarde automatique.
- Quarantaine réversible des fichiers suspects.
- Régénération des salts et rapport d’incident prêt à remettre.
- Journal d’audit « qui/quoi/quand » sur table dédiée, filtrable, export CSV, conservation 90 jours.
- Monitoring : trafic en temps réel, graphique d’événements, moniteur d’espace disque, digest email, webhooks.
Fiche technique
| Type | Plugin de sécurité WordPress tout-en-un · panneau Sentinel, 8 onglets |
| Prérequis | WordPress 5.9+ (testé jusqu’à WP 7.0) · PHP 7.4+ |
| Traitement | 100 % local, aucun trafic vers des clouds tiers |
| Firewall | Mini-WAF: regole OWASP per famiglia, reputazione IP, rate limiting, geo-blocco IPv4/IPv6 |
| Accès | Anti force brute, 2FA TOTP + secours, HIBP k-anonymity, CAPTCHA, FCrDNS |
| Scanner | Checksums vs wordpress.org · 5 heuristiques anti-webshell · hash MD5/SHA256 O(1) |
| Performances | ~11 000 fichiers PHP en ~2–3 s · mode par blocs avec reprise |
| Feedon-demand · opt-in | maldet/rfxn.com, InterServer (~76 000 signatures) · OpenPhish + URLhaus (~30.000 URL) · api.wordpress.org (checksum, CVE) · cron quotidien |
| Restauration | Nettoyage guidé, quarantaine réversible, régénération des salts, rapport d’incident |
| Registre | Journal d’audit sur table dédiée · export CSV · 90 jours |
| Licence | GPLv2 or later · WP Plugin Check 0 erreur / 0 warning |