Web Cybersecurity App pour TSEO PRO. Elle permet de se connecter via un code QR, de surveiller les tentatives d’accès, de bloquer des IP, de détecter des modifications de fichiers et de gérer la sécurité du site directement depuis votre téléphone mobile, sans dépendre de services externes et en réduisant le risque que Google Search Console affiche des avertissements concernant un site piraté ou du contenu malveillant sur votre site web.
Cybersécurité Web Avancée
TSEO Security est l’application officielle de sécurité pour les administrateurs qui utilisent le template TSEO PRO dans WordPress. Son objectif est de transformer l’accès à votre tableau de bord en un processus beaucoup plus sûr et contrôlé, en éloignant les attaques automatisées, les intrusions silencieuses et les accès non autorisés.
Codes QR et authentification à deux facteurs (2FA)
Le cœur de l’application est la connexion via codes QR et l’authentification à deux facteurs (2FA). Au lieu de s’appuyer uniquement sur le nom d’utilisateur et le mot de passe dans wp-login.php, l’administrateur scanne un code QR avec TSEO Security pour compléter l’accès. Cela rend les attaques par force brute ou l’utilisation d’identifiants divulgués beaucoup plus difficiles, puisque l’attaquant aurait également besoin d’un accès physique au téléphone mobile.
L’application se connecte à votre installation TSEO PRO après avoir vérifié le domaine et utilisé un mot de passe d’application spécifique.
Une fois liée, elle permet de surveiller en temps réel les tentatives d’accès : connexions réussies, tentatives échouées, schémas suspects et activité pouvant indiquer une attaque en cours.
À partir de là, vous pouvez prendre des décisions rapides : bloquer des IP, renforcer les règles du pare-feu ou vérifier quel utilisateur est ciblé par les tentatives d’accès.
De cette façon, vous empêchez quelqu’un d’entrer dans le tableau de bord, de modifier du contenu ou de créer des URL indésirables qui apparaîtront ensuite comme des problèmes de sécurité dans Google Search Console.
Couches Multiples de Sécurité
TSEO Security ajoute une couche supplémentaire de protection avec des fonctionnalités avancées : pare-feu IP intégré à votre site, audit technique, détection des modifications et des intrusions dans les fichiers, et une attention particulière aux performances afin de ne pas ralentir votre travail quotidien. Tout le stockage est effectué localement et de manière chiffrée, sans dépendre de serveurs externes, ce qui réduit la surface d’exposition et améliore la confidentialité de l’administrateur.
L’application est conçue pour ceux qui gèrent des projets WordPress sensibles (boutiques, sites corporatifs, intranets, sites avec des données critiques) et souhaitent aller au-delà d’un simple nom d’utilisateur/mot de passe. En combinant TSEO PRO sur le serveur et TSEO Security sur le mobile, vous transformez l’accès au panneau d’administration en un flux beaucoup plus sécurisé, traçable et facile à surveiller.
Points forts de TSEO Security
TSEO Security est le système de sécurité avancé pour WordPress intégré à TSEO PRO et à son application mobile. Ensemble, ils transforment l’accès à votre administration en un processus contrôlé, chiffré et surveillé en temps réel, bien au-delà du simple nom d’utilisateur et mot de passe de wp-login.php. Le système repose sur deux principales couches de protection :
Verrou supplémentaire avec « Mot de Sécurité »
Avant même d’atteindre le formulaire de connexion, TSEO PRO permet d’activer un mot ou une phrase de sécurité qui doit être ajouté à l’URL pour accéder à wp-login.php ou wp-admin.
Par exemple : domain.com/wp-admin/?key=yoursecurityword.
Lorsque la clé est correcte, un cookie sécurisé est généré avec un hash chiffré et un temps de validité configurable (10 minutes par défaut). Sans ce cookie, toute tentative d’accès à la connexion ou au tableau de bord est redirigée et bloquée. Cela filtre directement les bots, les scanners automatiques et les attaques massives qui ne devraient même pas voir votre formulaire de connexion.
En filtrant ces accès avant la connexion, vous réduisez le risque d’intrusion et celui que le site finisse par servir du spam ou des pages piratées qui nuisent à votre SEO.
Authentification à deux facteurs avec QR et application mobile
La seconde couche est la validation par QR intégrée à l’application TSEO Security. Une fois que l’administrateur saisit son nom d’utilisateur et son mot de passe dans la connexion, le système génère un jeton temporaire de seulement 30 secondes, le chiffre avec une clé AES 256 bits partagée entre le site web et l’application, et l’affiche dans un code QR à l’écran.
L’application TSEO Security, préalablement appairée en scannant la « Clé Sécurisée » (la clé AES affichée dans le panneau Sécurité de TSEO PRO), scanne ce QR, déchiffre le jeton et appelle un endpoint sécurisé sur votre site web pour valider le second facteur. Ce n’est qu’une fois le QR validé que WordPress crée la session administrateur et autorise l’accès.
Si le QR expire, le jeton est détruit. S’il est validé correctement, les identifiants temporaires sont utilisés une seule fois puis supprimés de la base de données. Ainsi, même avec le nom d’utilisateur et le mot de passe corrects, sans le téléphone mobile autorisé, aucun accès au panneau d’administration n’est possible.
Monitoring, logging and attempt limitation
En parallèle, TSEO Security enregistre chaque tentative d’accès dans des tables spécifiques de la base de données : utilisateur, IP, user agent, méthode, statut (succès, échec, en attente, attaque), raison de l’échec (utilisateur inexistant, mot de passe incorrect, QR en attente, attaque XML-RPC, etc.), nombre de tentatives accumulées et niveau de risque (normal, suspect, attaque). Sur ces données, il applique un système intelligent de limitation de débit par IP et par utilisateur :
- Après plusieurs tentatives échouées depuis la même IP, cela est marqué comme un comportement suspect.
- Si un seuil de tentatives est dépassé, l’IP entre dans un blocage temporaire (minutes ou heures).
- Si le schéma est très agressif, il est enregistré comme une attaque et l’IP est bloquée de manière persistante pendant plusieurs jours.
Tous ces blocages sont stockés dans leur propre table de pare-feu et synchronisés avec un système de transients personnalisés, avec un nettoyage automatique via cron pour supprimer les enregistrements expirés.
Pare-feu gérable depuis votre téléphone mobile
L’application TSEO Security ne sert pas seulement à scanner le QR. Depuis votre téléphone mobile, vous pouvez consulter les tentatives d’accès enregistrées, voir des statistiques agrégées par jours, méthodes et niveaux d’attaque, et gérer le pare-feu : lister les IP bloquées, en ajouter de nouvelles manuellement, prolonger la durée d’un blocage ou le supprimer s’il s’agit d’un faux positif. Tout cela est effectué via des endpoints REST spécifiques, protégés par les permissions d’administrateur WordPress.
Gestion des utilisateurs et détection des comptes suspects
Une autre fonctionnalité clé est l’audit des utilisateurs. Le système collecte tous les utilisateurs ayant des rôles critiques (administrateurs, éditeurs, auteurs, contributeurs et, si WooCommerce est présent, gestionnaires de boutique) et les affiche comme « utilisateurs sensibles ».
De plus, il analyse l’ensemble de la liste des utilisateurs pour détecter des schémas suspects : comptes sans email valide, sans rôles assignés, avec des noms d’utilisateur générés massivement ou peu clairs, etc. Ces comptes sont marqués comme « suspects », ce qui vous permet de les localiser rapidement et d’agir depuis l’application : afficher les détails, désactiver le compte (sans le supprimer), fermer toutes ses sessions actives ou le supprimer du site ou du réseau dans les installations Multisite.
Protection supplémentaire contre XML-RPC et l’énumération des utilisateurs
TSEO Security contrôle également des points d’entrée courants dans les attaques contre WordPress :
- XML-RPC : le système détecte les méthodes typiques de force brute (wp.getUsersBlogs, system.multicall) et les enregistre directement comme des attaques. De plus, il expose un endpoint pour activer ou désactiver complètement XML-RPC depuis l’application, sans avoir à modifier du code ou des fichiers.
- REST API : les endpoints publics des utilisateurs (/wp/v2/users) sont supprimés pour les visiteurs non authentifiés, réduisant l’exposition des noms d’utilisateur aux bots qui tentent de les collecter pour lancer de futures attaques.
Nettoyages automatiques et compatibilité Multisite
Pour empêcher les tables de sécurité de croître indéfiniment, TSEO PRO programme des tâches automatiques qui nettoient les transients expirés et maintiennent la base de données de sécurité sous contrôle.
Dans les environnements Multisite, le système est préparé pour afficher les informations de chaque site séparément (utilisateurs avec permissions, utilisateurs suspects, abonnés et clients), avec prise en charge des super-administrateurs et changement temporaire entre blogs lors de la gestion des utilisateurs ou de la révision des données.
Pris dans leur ensemble, TSEO Security transforme TSEO PRO en bien plus qu’un simple thème : il en fait une couche de sécurité avancée pour WordPress, avec une authentification réelle à deux facteurs basée sur QR et mobile, un pare-feu IP intégré, une journalisation détaillée des tentatives, une protection contre les attaques XML-RPC et des outils d’audit des utilisateurs, le tout gérable depuis le panneau d’administration et depuis l’application officielle sur votre téléphone.
Installez TSEO Security depuis Google Play
Faq – TSEO Security
Qu’est-ce que TSEO Security au sein de TSEO PRO ?
TSEO Security est le module de sécurité avancé intégré au thème TSEO PRO qui contrôle l’accès au panneau d’administration WordPress et enregistre tout ce qui se passe autour de la connexion.
Il est chargé d’ajouter une couche supplémentaire avec un mot de sécurité dans l’URL, un système à double facteur basé sur un QR et une application mobile, ainsi qu’un journal détaillé des tentatives, des IP et des raisons d’échec.
Son objectif n’est pas de remplacer un pare-feu serveur, mais de couvrir la partie critique : qui entre dans le back-office, d’où et avec quel comportement. Cela réduit le risque que quelqu’un prenne le contrôle du site et le transforme en source de spam, de malware ou de contenu piraté.
Quel rôle l’application mobile TSEO Security joue-t-elle dans tout cela ?
L’application TSEO Security fonctionne comme la clé maîtresse pour les administrateurs. Elle est associée au site web à l’aide d’une clé sécurisée affichée dans le panneau TSEO PRO et scannée une seule fois.
À partir de ce moment, chaque fois que l’administrateur se connecte à WordPress avec son nom d’utilisateur et son mot de passe, l’application valide le QR du second facteur et confirme au serveur que la tentative est légitime.
Elle permet également de consulter les journaux d’accès, de vérifier ce qui se passe avec les tentatives de connexion et de gérer le pare-feu ainsi que certains réglages sans devoir entrer dans le tableau de bord WordPress. De cette manière, un attaquant disposant du mot de passe ne peut pas accéder au site s’il ne possède pas aussi l’appareil mobile.
Comment TSEO Security aide-t-il à éviter les problèmes de sites piratés dans Google Search Console ?
Le problème ne commence pas dans Search Console, mais lorsque quelqu’un accède au tableau de bord et commence à créer des URLs indésirables, à injecter des liens ou à modifier du contenu qui était déjà positionné. C’est ce que Google détecte ensuite et signale comme contenu piraté ou problème de sécurité.
TSEO Security agit à la source en renforçant l’accès et en enregistrant toutes les tentatives anormales, rendant beaucoup plus difficile la modification du contenu depuis l’intérieur. En réduisant la probabilité d’intrusion et en bloquant les schémas d’attaque avant qu’ils ne réussissent, il limite les risques de voir apparaître des pages étranges dans l’index de Google.
En pratique, il minimise l’apparition d’avertissements de site piraté ou de contenu suspect dans Search Console, car le problème est stoppé avant que quelqu’un puisse altérer le contenu du site.
De quoi ai-je besoin pour que le système de sécurité complet fonctionne ?
Pour utiliser la partie de base, il suffit d’avoir TSEO PRO activé et de configurer le mot de sécurité dans la section Sécurité du thème.
Si vous souhaitez profiter de l’authentification à deux facteurs avec QR, vous devez également générer la clé sécurisée depuis le panneau et la scanner avec l’application TSEO Security installée sur votre mobile.
À partir de ce moment, chaque connexion d’administrateur passera par le mobile sans que vous ayez à changer quoi que ce soit dans votre manière de travailler au quotidien. Tout est contrôlé depuis les options du thème, sans avoir besoin d’installer des plugins supplémentaires ni de toucher au code.
Que se passe-t-il si je perds mon téléphone ?
Si vous perdez votre téléphone ou si vous devez désactiver temporairement l’authentification à deux facteurs pour une raison quelconque, le système inclut un mécanisme d’urgence. Un administrateur ayant accès au tableau de bord peut désactiver temporairement la validation du QR depuis les options de sécurité ou via l’endpoint correspondant, afin que la connexion fonctionne à nouveau uniquement avec le nom d’utilisateur et le mot de passe le temps de résoudre le problème.
Lorsque vous disposez d’un nouvel appareil ou que vous réinstallez l’application, vous pouvez réactiver le QR et, si vous le jugez nécessaire, régénérer la clé sécurisée pour invalider l’association précédente. L’idée est que le 2FA apporte une protection sans vous laisser bloqué dans une situation extrême.
Puis-je utiliser uniquement le mot de sécurité sans activer le 2FA par QR ?
Oui, les deux couches sont indépendantes. Le mot de sécurité dans l’URL fonctionne comme un filtre préliminaire qui bloque de nombreux bots et scanners automatiques, même si vous n’utilisez pas le QR.
Si vous préférez ne pas utiliser l’application ou si vous avez des projets où l’accès mobile n’est pas adapté, vous pouvez vous limiter à cette couche et profiter du système de journalisation et de limitation des tentatives. Pour les projets plus sensibles, la combinaison mot de sécurité + 2FA par QR rend le tableau de bord beaucoup plus difficile à compromettre.
Comment gère-t-il les tentatives suspectes et les IP bloquées ?
Chaque tentative d’accès est enregistrée avec toutes les données pertinentes, et le système détermine si le comportement est normal, suspect ou clairement une attaque. Lorsqu’il détecte trop d’échecs provenant de la même IP ou des schémas agressifs, il augmente le niveau de réponse : d’abord des délais, puis des blocages temporaires et, si nécessaire, des blocages persistants enregistrés dans le pare-feu.
Il analyse également les utilisateurs du site pour détecter des comptes incohérents ou potentiellement dangereux, comme des profils sans email valide, sans rôle défini ou avec des noms générés en masse. Depuis le panneau ou l’application, vous pouvez consulter ces informations et prendre des décisions, comme désactiver des utilisateurs, expulser des sessions actives ou nettoyer des IP qui ne devraient plus pouvoir revenir.
Est-il compatible avec les installations Multisite et avec les sites utilisant WooCommerce ?
Oui, le système est conçu pour fonctionner aussi bien sur des sites simples que sur des réseaux Multisite. Sur les réseaux, il peut identifier quels utilisateurs disposent de permissions élevées sur chaque site, combien il y a d’abonnés et de clients, et quels comptes sont suspects au sein de chaque blog.
Il respecte également le concept de super administrateur lorsqu’il s’agit de supprimer des utilisateurs au niveau du réseau ou d’un site unique. Si vous utilisez WooCommerce, des rôles supplémentaires comme gestionnaire de boutique sont ajoutés à la liste des profils à surveiller de près.
L’objectif est que la sécurité s’adapte à la structure réelle du projet, et non l’inverse.
Languages
