✨ Jusqu’à
-70%
sur la 1ère année
Jours
Heures
Minutes
Secondes
Icône interrupteur gradé multicolore.
fr_FR FR
fr_FR FR en_US EN es_ES ES
Essayer 15 jours

WPMasterToolKit 2.20.0 : une mise à jour majeure pour la sécurité, les redirections et l’administration WordPress

Avec la version 2.20.0, WPMasterToolKit passe un vrai cap. Cette mise à jour ne se contente pas d’ajouter quelques options ou de corriger des détails isolés. Elle renforce en profondeur la sécurité du plugin, améliore la robustesse de plusieurs modules sensibles et introduit de nouveaux outils très utiles pour l’administration quotidienne d’un site WordPress.

Le fil conducteur de cette release est clair : réduire les surfaces d’attaque, mieux encadrer les actions critiques, sécuriser les flux sensibles et enrichir l’arsenal des administrateurs WordPress. Le résultat est une version plus cohérente, plus solide et plus adaptée aux sites qui veulent à la fois gagner en confort de gestion et en niveau de protection.

Lire aussi :
WPMasterToolKit passe en version 2.6.0 →

Les nouveautés majeures de WPMasterToolKit 2.20.0

La version 2.20.0 apporte quatre nouveaux modules qui répondent à des besoins concrets en matière de sécurité, de maintenance et de gestion SEO.

Block 404 PHP File Scanning

Le module Block 404 PHP File Scanning bloque les requêtes visant des fichiers PHP inexistants lorsque WordPress les résout en erreur 404. Au lieu de laisser passer ce type de trafic, le module renvoie un 403 Forbidden et ajoute une entrée dédiée dans les logs avec le marqueur PHP404.

C’est une protection simple, mais très efficace face aux scans automatisés qui cherchent des scripts vulnérables, des fichiers oubliés ou des points d’entrée exploitables sur un site WordPress. En pratique, cela permet de réduire le bruit dans les requêtes et de mieux repérer certaines tentatives de reconnaissance malveillante.

Custom COOKIEHASH

Le nouveau module Custom COOKIEHASH ajoute automatiquement une constante COOKIEHASH aléatoire dans le fichier wp-config.php lors de son activation. Son objectif est d’améliorer l’isolation des cookies du site en s’appuyant sur une valeur spécifique, générée de manière robuste.

Le module retire également cette constante proprement lors de sa désactivation. Cette nouveauté s’inscrit dans une logique de durcissement simple à activer, mais pertinente pour renforcer la gestion des cookies WordPress dans certains contextes.

Redirect Manager

Le module Redirect Manager fait partie des ajouts les plus visibles de cette version. Il apporte une interface complète pour créer, modifier, supprimer, importer et exporter des redirections.

Pensé pour les besoins réels des administrateurs et référenceurs, il permet de gérer proprement les changements d’URL, les pages supprimées, les migrations, les refontes et la reprise d’anciennes structures. En version Pro, il ajoute également une journalisation des hits, ce qui permet de suivre l’activité sur les redirections configurées.

Autre point important : le module prend en charge plusieurs modes d’exécution selon l’environnement, avec des redirections gérées côté WordPress, Apache ou Nginx. Cela en fait une vraie brique SEO et maintenance, capable de s’adapter à différents contextes d’hébergement.

Password Expiration

Le module Pro Password Expiration introduit une politique d’expiration des mots de passe par rôle utilisateur. Lorsqu’un mot de passe dépasse la durée autorisée, l’utilisateur est déconnecté, ses sessions actives sont invalidées et il est redirigé vers le processus de réinitialisation.

Cette nouveauté intéressera particulièrement les sites multi-utilisateurs, les back-offices sensibles et tous les environnements où l’hygiène des accès doit être mieux encadrée. C’est un ajout très utile pour renforcer les bonnes pratiques de sécurité sur WordPress sans dépendre d’un plugin séparé.

Lire aussi :
Comment configurer Mandrill comme SMTP sur WordPress avec WPMasterToolKit →

Une mise à jour orientée hardening global

L’un des points les plus importants de WPMasterToolKit 2.20.0 est qu’il ne s’agit pas d’une série de correctifs dispersés. Cette version applique une logique de hardening transversal sur l’ensemble du plugin.

Vérifications de capacités renforcées

De nombreux flux d’administration, d’AJAX et de soumission de formulaires ont été resserrés avec des contrôles de capacités plus stricts. En pratique, cela signifie que les actions sensibles exigent désormais explicitement les bonnes permissions selon le contexte.

Cette homogénéisation réduit le risque qu’une action critique soit exécutée par un compte qui ne devrait pas y avoir accès.

Protection CSRF améliorée

La gestion des nonces a été renforcée dans plusieurs formulaires de configuration, points d’entrée admin_init, handlers AJAX et flux de sauvegarde. L’objectif est clair : mieux protéger les actions d’administration contre les requêtes forgées.

Ce n’est pas une amélioration isolée sur un seul module, mais une montée en niveau plus générale sur l’ensemble du plugin.

Validation des entrées plus stricte

La version 2.20.0 durcit également la validation des entrées manipulées par plusieurs modules. Cela concerne notamment les identifiants dynamiques, les noms de fichiers, les chemins, les tables SQL, certaines colonnes et certains motifs regex.

Ce travail de fond est particulièrement visible sur les fonctionnalités qui touchent à des zones sensibles comme la base de données, les fichiers ou les exports.

Opérations fichiers et base de données plus sécurisées

Les opérations impliquant des chemins, des sélections multiples, des copies, des suppressions, des archives ou des tables dynamiques bénéficient désormais de garde-fous supplémentaires. Cela réduit les risques de traversée de répertoires, de traitements inattendus ou d’abus liés à des entrées manipulées.

Découvrir le module :
Gratuit
Téléchargement SVG

Les modules les plus impactés côté sécurité

Même si la philosophie générale de cette release repose sur un renforcement global, certains modules méritent une attention particulière.

Password Protection

Le module Password Protection abandonne un secret de cookie codé en dur au profit d’une valeur dérivée du mot de passe défini par l’administrateur, dans un esprit proche du comportement natif de WordPress pour certains contenus protégés.

Concrètement, les cookies deviennent liés au mot de passe configuré. Si ce mot de passe change, les anciens cookies deviennent invalides. La version améliore aussi la gestion du drapeau secure des cookies pour mieux respecter HTTPS et valide l’URL de redirection afin d’éviter les redirections ouvertes.

Temporary Login

Le module Temporary Login supprime le mot de passe en clair dans l’URL d’administration et le remplace par un mécanisme plus sain basé sur un token serveur de courte durée, accompagné d’un affichage one-shot du mot de passe.

En complément, un système de limitation des échecs de connexion par utilisateur et par IP a été ajouté pour limiter les abus sur les liens magiques. Le throttle est nettoyé après authentification réussie.

Two-Factor Authentication

Le module Two-Factor Authentication reçoit plusieurs améliorations importantes. Les endpoints publics wp_ajax_nopriv sont mieux protégés contre les abus, les réponses sont plus uniformes pour limiter l’énumération et le compteur de limitation est réinitialisé après validation réussie du code.

L’interface popup a également été améliorée pour mieux informer l’utilisateur en cas de rate limit. Enfin, un bug concret a été corrigé pour les connexions basées sur l’adresse e-mail, où la récupération de l’utilisateur dans certains handlers AJAX pouvait bloquer la récupération de la méthode 2FA et la génération du code.

Force SSL

Le module Force SSL renforce sa logique de redirection HTTPS en s’appuyant sur l’hôte canonique de home_url plutôt que sur un HTTP_HOST potentiellement manipulable. C’est un changement discret, mais important pour fiabiliser la construction des redirections sécurisées.

Maintenance Mode

Le module Maintenance Mode améliore l’entropie de son token de bypass en remplaçant une génération trop faible par random_bytes. Cela réduit les risques de prédiction du jeton permettant de contourner le mode maintenance.

Adminer

Le module Adminer bénéficie d’un chantier de sécurité conséquent. Les identifiants ne sont plus exposés dans le HTML ni dans les URL, l’authentification repose sur un mécanisme de session plus propre, l’auto-login reste compatible avec les usages attendus et le fichier peut s’auto-supprimer à expiration.

L’ensemble a également été réaligné avec Adminer v5+, ce qui améliore à la fois la sécurité et la cohérence du module.

Add Essentials Shortcodes Pro

Côté Pro, le module Add Essentials Shortcodes sécurise l’accès au shortcode de lecture des options WordPress avec une logique de whitelist. Les options sont bloquées par défaut et doivent être explicitement autorisées par un administrateur. Les sorties sont également échappées afin de réduire les risques XSS.

Lire aussi :
Version 2.5.1 – Correctif essentiel suite à un refactoring majeur →

Redirect Manager : une nouveauté à fort impact SEO

Parmi les nouveautés de cette version, Redirect Manager est sans doute celle qui aura l’impact le plus immédiat pour de nombreux utilisateurs.

Ce module apporte une gestion centralisée des redirections avec :

  • une interface d’administration dédiée ;
  • un stockage en base ;
  • la prise en charge des redirections exactes et regex ;
  • une gestion des paramètres de requête ;
  • plusieurs modes d’exécution selon l’infrastructure.

En mode WordPress, le module intercepte la requête via template_redirect, recherche d’abord une correspondance exacte puis teste les regex si nécessaire. Il sait comparer les paramètres dans n’importe quel ordre, les ignorer ou les transmettre à la cible selon le réglage choisi.

Cela en fait un outil très utile pour :

  • les migrations de site ;
  • les refontes de structure d’URL ;
  • la correction de backlinks cassés ;
  • la reprise d’anciens contenus ;
  • la gestion des pages supprimées ;
  • l’amélioration de l’expérience utilisateur et du SEO technique.

En environnement Apache ou Nginx, le module ouvre aussi la porte à des redirections plus proches de la couche serveur, ce qui peut être intéressant selon les contraintes de performance ou d’architecture.

Découvrir le module :
Gratuit
Verrouiller l'URL du site

Des modules sensibles encore mieux sécurisés

File Manager

Le module File Manager bénéficie d’un durcissement sur la validation des uploads, les noms de fichiers, les séparateurs Windows, les limites de répertoire, certaines opérations bas niveau et les copies récursives impliquant des symlinks.

L’objectif est d’empêcher plus fermement les sorties de périmètre et les manipulations non prévues sur le système de fichiers.

Search Replace in Database

Le module Search Replace in Database ajoute de la défense en profondeur avec une whitelist de tables en temps réel, des vérifications strictes de correspondance de table, une validation plus propre des identifiants SQL et des garde-fous sur les regex utilisées pour les remplacements.

SMTP Mailer

Le module SMTP Mailer voit plusieurs points d’entrée mieux protégés, notamment les tests d’envoi, la prévisualisation des contenus capturés et certains callbacks OAuth liés à l’authentification des fournisseurs.

Mail Catcher

Le module Mail Catcher renforce lui aussi les contrôles d’accès sur la consultation et la prévisualisation des messages capturés, afin d’éviter l’exposition de contenus sensibles à des comptes non autorisés.

Découvrir le module :
Pro
Désactiver les commentaires

Autres améliorations notables de WPMasterToolKit 2.20.0

En plus du gros bloc sécurité et des nouveaux modules, cette release apporte plusieurs améliorations utiles.

Disallow Access WP Sensible Files

Le module Disallow Access WP Sensible Files étend sa protection à davantage de fichiers comme readme et changelog en formats txt, md et html, en plus de license.txt. Il bloque aussi certains accès directs sensibles dans wp-admin et wp-includes.

Disallow Bad Requests

Le module Disallow Bad Requests corrige un faux positif sur les URLs de recherche contenant des caractères cyrilliques ou d’autres caractères non latins, qui pouvaient produire des URLs UTF encodées longues.

Blacklisted Usernames

Le module Blacklisted Usernames ajoute 24 nouveaux noms d’utilisateur interdits à partir de tendances et rapports de sécurité récents, ce qui améliore la protection contre certaines tentatives de connexion triviales.

Auto Regenerate Salt Keys

Le module Auto Regenerate Salt Keys modifie sa fréquence par défaut vers Never. Ce choix vise à éviter certains effets de bord avec des plugins qui s’appuient sur les clés de salt pour chiffrer ou protéger des données sensibles.

La régénération automatique devient donc un choix explicite, tandis que la régénération manuelle reste disponible.

Pourquoi cette version est importante

WPMasterToolKit 2.20.0 est une mise à jour importante parce qu’elle ne cherche pas seulement à accumuler des nouveautés. Elle consolide l’existant, homogénéise les pratiques de sécurité, ajoute des modules réellement utiles et améliore la maîtrise opérationnelle du plugin sur des contextes très variés.

Pour les administrateurs WordPress, cela signifie :

  • plus de contrôle ;
  • moins d’exposition inutile ;
  • une meilleure maîtrise des accès ;
  • des outils plus complets pour gérer les redirections ;
  • une meilleure résistance face aux scans, aux abus et aux flux sensibles.

Pour les sites en production, cette version va clairement dans le bon sens en matière de stabilité, de sécurité, de lisibilité des logs et de réduction du risque.

Icônes d'applications près d'une corbeille numérique.
Starter
3.50$
/Month
Business
6.70$
/Month
Freelance
11.00$
/Month
Agency
28.00$
/Month

Conclusion

Avec cette release, WPMasterToolKit 2.20.0 confirme sa philosophie : proposer un plugin WordPress tout-en-un capable de remplacer plusieurs extensions spécialisées, tout en gardant une logique modulaire et un chargement optimisé.

Cette version se distingue par un équilibre très réussi entre nouveautés fonctionnelles, améliorations SEO et durcissement sécurité. Entre Redirect Manager, Password Expiration, Custom COOKIEHASH et Block 404 PHP File Scanning, les ajouts sont concrets. Et avec le renforcement global de nombreux modules existants, cette mise à jour apporte aussi un gain immédiat en robustesse.

Pour les utilisateurs de WPMasterToolKit, la 2.20.0 n’est donc pas une simple release de maintenance. C’est une version structurante, pensée pour rendre WordPress plus sûr, plus propre à administrer et mieux équipé pour les besoins réels du terrain.