Douze capteurs de menaces, une authentification à deux facteurs (2FA) à quatre méthodes et un réseau communautaire de détection des menaces en temps réel. Protégez trois sites pour 14,90 € par mois — soit seulement 4,97 € par domaine, et le coût par site diminue à mesure que vous en ajoutez. Noyau open source, relais hébergé dans l'UE, aucune restriction d'accès à la protection elle-même.
Vous préférez héberger vous-même la version gratuite ? Téléchargez Hive sur GitHub: protection locale complète, sans inscription.
Chaque vecteur d'attaque visant un site WordPress dispose d'un capteur dédié avec des seuils réglables. Aucun d'entre eux ne nécessite le réseau communautaire : ils fonctionnent tous en mode Local Shield.
| Capteur | Seuil par défaut | Ce qu'il capture |
|---|---|---|
| Connexions infructueuses | 5 à 15 min | Protection contre les attaques par force brute sur wp-login, REST et XML-RPC. |
| Attaque par force brute | 5 noms d'utilisateur différents / 10 min | Détection, à l'aide de hachages, des attaquants qui testent différentes combinaisons de noms d'utilisateur. |
| Spam dans les commentaires | 5 / 60 min | Détection automatique des spams dans les formulaires de commentaires. |
| Abus via XML-RPC | 10 / 60 min | amplification par système multicall + suivi séparé des appels répétés via wp.getUsers. |
| Utilisation abusive des mots de passe des applications | 5 à 15 min | Tentatives de contournement via REST/XML-RPC visant les mots de passe des applications. |
| Limitation du débit de l'API REST | 240 en mode global / 20 en mode sensible / 5 min | Exposition publique de l'API REST avec contournement de l'authentification utilisateur. |
| Énumération des utilisateurs | Premiers blocs de sonde | ?author=, /wp-json/wp/v2/users, mentions légales oEmbed. |
| Scanner / 404 | 12 / 2 min + démarrage instantané sur les fichiers connus pour être corrompus | .env, wp-config.bak, /.git/, les chemins d'accès aux plugins. |
| Anomalie géographique | Première occurrence | Le fait de changer de pays ou de continent déclenche une nouvelle demande d'authentification à deux facteurs. |
| Politique en matière de mots de passe | Configurable | Longueur, classes de caractères, vérification facultative de l'anonymat k selon HIBP. |
| Connexion à WooCommerce | 5 à 15 min (séparément) | Les pages « Mon compte » et « Paiement » sont suivies séparément. |
| Points de fin de consentement | Toujours ignoré | Real Cookie Banner, Complianz, Borlabs, CookieYes — intégrés. |
Ces quatre méthodes sont intégrées au cœur du système. Les méthodes TOTP, e-mail et WebAuthn fonctionnent avec tous les forfaits, y compris la version gratuite ; l'envoi par SMS s'effectue via notre relais géré au sein de l'UE (inclus à partir du forfait Professionnel). À cela s'ajoutent 10 codes de récupération à usage unique, la prise en charge des appareils de confiance (révocation automatique en cas d'anomalie géographique) et une procédure de réinitialisation du mot de passe qui exige une authentification à deux facteurs (2FA) hors e-mail avant qu'un nouveau mot de passe ne soit accepté.
Application d'authentification
Codes à durée limitée fonctionnant hors ligne. Compatible avec Google Authenticator, Authy, 1Password et Microsoft Authenticator. Clés cryptées au repos. RFC 6238.
Code à 6 chiffres
Revenir à la configuration locale wp_mail() Dans Local Shield, bascule vers un relais géré sur Pro+ pour garantir la livraison. Stockage haché à débit limité.
Relais géré par l'UE
Relais reportedIP (formule Professionnelle et supérieures) — Uniquement dans l'UE, dans le cadre d'un accord de traitement des données (DPA) signé. Liste blanche avec restriction géographique (29 pays). Numéros de téléphone cryptés.
Clé d'accès / Clé matérielle
Résistant au phishing. Face ID, Touch ID, Windows Hello, YubiKey. RS256 + ES256, attestation intégrée/aucune attestation. Aucune dépendance externe.
Une boîte aux lettres volée ne devrait pas servir de passe-partout pour accéder à votre site WordPress. Hive intègre le processus de récupération de mot de passe perdu au même système d'authentification à deux facteurs (2FA) que la connexion — et le canal de récupération (e-mail) est exclu des méthodes autorisées, car le lien de réinitialisation est lui-même envoyé par e-mail.
Adresse e-mail exclue de la réinitialisation de l'authentification à deux facteurs
Une boîte mail compromise ne peut pas servir de deuxième facteur d'authentification. Le lien de réinitialisation et la confirmation de l'authentification à deux facteurs doivent être envoyés par des canaux différents : TOTP, clé d'accès, SMS ou code de récupération à usage unique.
Hook WordPress en deux étapes
Exécuté deux fois : une fois au chargement du formulaire de réinitialisation, et une fois à password_reset. Une requête POST directe vers le formulaire de réinitialisation sans jeton de vérification renvoie WP_Error immédiatement.
Lié à l'utilisateur + clé + adresse IP
La session de réinitialisation vérifiée est limitée à l'identifiant utilisateur, à la clé de réinitialisation hachée et à l'adresse IP du client hachée. Elle est consommée lors de la première utilisation et expire au bout de 10 minutes.
Pas de surface distincte pour l'attaque par force brute
Les tentatives infructueuses de réinitialisation du code de sécurité déclenchent la même limitation de bande passante par adresse IP qui protège déjà wp-login.php. Blocage définitif facultatif pour les comptes disposant uniquement de l'authentification à deux facteurs par e-mail — notification à l'administrateur incluse.
Par défaut, le réseau est entièrement hors ligne. L'adhésion au réseau communautaire est facultative et n'est jamais obligatoire.
Les 12 capteurs et l'ensemble de la suite d'authentification à deux facteurs fonctionnent localement sur votre propre serveur. Pas d'appels externes, pas de télémétrie, pas de clé API.
Réglage par défaut après l'installation. Modifiable à tout moment.
Consultation de la réputation des adresses IP avant l'authentification via la base de données publique. Détection des attaques coordonnées sur des milliers de sites. Des rapports anonymisés sont renvoyés, ce qui permet au réseau de s'améliorer à chaque attaque.
Un compte gratuit sur reportedip.de est nécessaire. Gratuit à vie.
Nous nous occupons des détails pour que vous n'ayez pas à justifier votre choix devant un délégué à la protection des données.
Simplement l'adresse IP de l'attaquant, une balise de catégorie de menace (failed_login, comment_spam, etc.), ainsi qu'un horodatage. Pas de noms d'utilisateur, pas de contenu de commentaires, pas de données de requête, pas d'agents utilisateur. Le réseau doit savoir que une adresse IP attaquée, et non comment ou qui. Le relais de courrier électronique et de SMS fait appel à des sous-traitants situés exclusivement dans l'UE, dans le cadre d'un accord de traitement des données (DPA) signé.
Trois niveaux de protection, chacun correspondant au niveau de souscription correspondant : suivi des défaillances pour la formule Free, authentification à deux facteurs (2FA) personnalisée pour la formule Professional, et intégration complète en marque blanche pour Business.
Échecs de connexion des clients sur /my-account/ et les tentatives abusives sur le formulaire de paiement alimentent le même compteur de tentatives de force brute que les tentatives sur wp-login — pour toutes les formules, y compris la version gratuite. Hooks : woocommerce_login_failed et woocommerce_checkout_login_form_failed_login.
Le deuxième facteur s'applique au sein de votre thème actif. Pas de redirection vers la page wp-login, pas de détournement vers « Connectez-vous à wp-admin pour vérifier ». Libre-service client sur une URL de configuration personnalisable (par défaut reportedip-hive-2fa-setup) — jamais à l'intérieur /wp-admin/. L'état du panier et du processus de paiement est conservé après la redirection ; le cookie d'appareil de confiance est partagé avec le flux wp-login.
Assistant d'intégration en marque blanche, modèles d'e-mails thématiques et audit des abonnements et adhésions. Les agences proposent Hive sous leur propre marque : les clients ne voient jamais apparaîtreReportedIPavant d'accéder à la page d'escalade du support.
La plupart des plugins de sécurité sont vendus sous licence par site. Hive est vendu sous licence par forfait : ainsi, plus vous gérez de sites, moins le coût unitaire est élevé. Tous les prix s'entendent TVA de 19 % comprise.
| Plan | Prix | Sites | € / domaine | Points forts |
|---|---|---|---|---|
| Gratuit | 0 € | 1 | 0 € | Les 12 capteurs + l'authentification à deux facteurs (2FA), Local Shield |
| Professionnel | 14,90 € par mois | 3 | 4,97 € | Relais de messagerie et SMS géré, mode de renforcement de la sécurité |
| Business | 39 € par mois | 15 | 2,60 € | Marque blanche, prise en charge complète de WP-CLI, exportation conforme au RGPD |
| Entreprise | à partir de 99 € par mois | illimité | — | AVV personnalisé, intégration dédiée |
Chaque capteur et chaque méthode d'authentification à deux facteurs (2FA) sont intégrés au cœur du système open source et restent gratuits. Les formules payantes incluent la gestion de l'envoi d'e-mails et de SMS, des licences multi-sites et des quotas API plus élevés — mais en aucun cas la sécurité elle-même. Le relais fonctionne avec des sous-traitants situés exclusivement dans l'UE, dans le cadre d'un accord de traitement des données (DPA) signé. La facturation annuelle permet d'économiser 17 % (149 €/an pour la formule Professionnelle, 389 €/an pour Business).
La protection est identique pour toutes les formules. Les formules payantes incluent la gestion du relais de courriels et de SMS, des licences multi-sites et des quotas API plus élevés — mais en aucun cas la sécurité elle-même. Tous les prix s'entendent TVA de 19 % comprise.
Le plugin Hive est gratuit et open source pour toujours. Les formules payantes incluent un service géré d'authentification à deux facteurs (2FA) par e-mail et SMS, la gestion multisite et des quotas API plus élevés.
Protection locale, gratuite à vie
Développeurs indépendants et petits sites
Garantie de remboursement de 14 jours. Vous pouvez résilier à tout moment.
Agences, WooCommerce, marque blanche
Garantie de remboursement de 14 jours. Vous pouvez résilier à tout moment.
Comprend les niveaux Contributor et Enterprise, ainsi que le tableau comparatif complet des fonctionnalités.
Conçu pour les indépendants et les agences qui gèrent plusieurs sites WordPress.
Pas besoin de Composer, pas d'étape de compilation, pas de dépendances externes. L'assistant d'installation vous guide tout au long du processus.
Téléchargez le fichier ZIP de la dernière version sur la page « Releases » de GitHub. La même version est utilisée pour toutes les formules, de la version gratuite à Business.
Dans l'interface d'administration de WordPress : Plugins → Ajouter → Télécharger un plugin. Sélectionnez le fichier ZIP, puis activez-le. L'assistant de configuration en 9 étapes se lance automatiquement.
Sélectionnez « Local Shield » ou « Community Network ». Activez les rôles 2FA. C'est terminé. Mises à jour automatiques via le plugin GitHub Update Checker (PUC v5.6+).
Informations spécifiques au plugin WordPress. Pour toute question concernant l'ensemble de la plateforme, consultez la FAQ générale.
Oui. Hive s'active à l'échelle du réseau et suit les attaques site par site, avec un partage optionnel de la liste noire globale sur l'ensemble du réseau. La licence multisite (Hive Pro = 3 sites, Business 15 sites) détermine le nombre de sites indépendants pouvant utiliser le relais de messagerie et de SMS géré.
Hive est fourni avec le Plugin Update Checker (PUC v5.6+). Ce plugin vérifie les versions publiées sur GitHub toutes les 12 heures. Lorsque vous publiez une nouvelle vX.Y.Z Une fois le tag ajouté, une action GitHub génère le fichier ZIP et le tableau de bord WordPress affiche la mise à jour comme n'importe quel plugin provenant de WordPress.org.
Non. Les compteurs de capteurs utilisent un cache d'objets (Redis si disponible) avec des recherches en quelques millisecondes. Les réponses de l'API de réputation sont mises en cache localement avec prise en charge des ETag afin d'économiser des crédits. Le tableau de bord d'administration se charge à la demande, jamais côté client.
Oui. Toutes les pages d'administration et de connexion des plugins sont automatiquement exclues de la mise en cache. Les vérifications de réputation s'effectuent côté serveur avant le rendu par WordPress ; les pages mises en cache sont donc servies telles quelles. Nous effectuons des tests avec WP Rocket à chaque nouvelle version.
Oui. Chaque tableau de liste (IP bloquées, liste blanche, journaux, file d'attente API, grille 2FA) prend en charge l'exportation au format CSV et JSON depuis l'interface d'administration. Les commandes WP-CLI permettent d'effectuer les mêmes opérations à des fins d'automatisation (WP-CLI complet sur Business).
L'édition complète présentée sur cette page est disponible via GitHub Releases et constitue la suite de sécurité complète : douze capteurs, une authentification à deux facteurs (2FA) à quatre méthodes, la prise en charge multisite, l'intégration WooCommerce, une tarification par niveaux et un service de relais e-mail/SMS géré. Hive Light est la solution de protection contre les tentatives de connexion par force brute proposée sur WordPress.org: pas de 2FA, pas de niveaux tarifaires, pas de vente incitative. Choisissez l'une ou l'autre — ne les installez jamais simultanément. La documentation de l'édition Light se trouve à l'adresse /docs/wordpress-plugin-light/.
Les directives relatives aux plugins de WordPress.org interdisent les ventes incitatives, les relais gérés payants et les licences multisites à plusieurs niveaux — autant de fonctionnalités sur lesquelles repose l'édition complète. Plutôt que de tronquer l'édition complète pour la faire respecter ces règles, nous publions une édition allégée sur wp.org afin que les utilisateurs occasionnels puissent installer Hive en un clic depuis la section Plugins → Ajouter. Les deux plugins partagent la même équipe de développement, le même modèle de sécurité et l'API Community Network sous-jacente.
Oui. Désactivez Hive Light, installez le fichier ZIP de l'édition complète depuis GitHub, puis activez-la. Les deux éditions utilisent le même wp_reportedip_hive_* préfixe de table ; l'édition complète étend le schéma de manière idempotente et conserve vos tentatives existantes, vos adresses IP bloquées, votre liste blanche et votre file d'attente. Les paramètres sont pour la plupart compatibles : l'édition complète ajoute de nombreuses nouvelles options dont les valeurs par défaut sont identiques à celles de l'édition standard.
La protection n'est jamais soumise à un accès payant : les douze capteurs et les quatre méthodes d'authentification à deux facteurs (2FA) font partie intégrante du cœur open source et restent gratuits à vie, quel que soit le forfait choisi. Les formules payantes (Professional 14,90 €/mois, Business €/mois) ajoutent une couche de commodité : gestion de l'envoi des e-mails et SMS d'authentification à deux facteurs, licences multi-sites (3 ou 15 domaines par licence), quotas API plus élevés, mode de renforcement de la sécurité, marque blanche et WP-CLI complet. Tous les prix s'entendent TVA de 19 % comprise.
Vous pouvez utiliser la version gratuite aussi longtemps que vous le souhaitez. Les formules payantes s'accompagnent d'une garantie de remboursement de 14 jours (conformément à l'article 12 de nos Conditions générales, à l'exclusion des crédits de SMS ou d'e-mails déjà utilisés) et vous pouvez résilier votre abonnement à tout moment depuis le tableau de bord.
Trois sites pour 14,90 € par mois — 4,97 € par domaine. Gestion de l'authentification à deux facteurs (2FA), licences multi-sites et mode de renforcement de la sécurité. Garantie de remboursement de 14 jours, résiliation possible à tout moment.
