WordPress fait tourner une part immense du web, ce qui en fait une cible permanente. La bonne nouvelle : l’écrasante majorité des compromissions WordPress exploitent un petit ensemble prévisible de faiblesses, et presque toutes sont évitables. Cette check-list pour renforcer la sécurité WordPress parcourt les étapes qui font vraiment la différence en 2026, à peu près par ordre de priorité.

En bref

  • Les plugins et thèmes vulnérables et obsolètes sont de loin le principal vecteur d’attaque de WordPress ; des mises à jour rigoureuses et la suppression du code inutilisé comptent plus que tout le reste
  • Une authentification forte (noms d’administrateur uniques, mots de passe robustes, double authentification, limitation du débit de connexion) ferme la deuxième porte la plus fréquente
  • Renforcez wp-config.php, les permissions de fichiers et la surface de la REST API / XML-RPC, et placez un WAF devant le site
  • Sauvegardez régulièrement et testez les restaurations ; une bonne sauvegarde transforme une intrusion en simple désagrément plutôt qu’en catastrophe

1. Maintenir le cœur, les plugins et les thèmes à jour

Les plugins et thèmes obsolètes sont la première cause de piratage des sites WordPress. Chaque plugin est du code tiers qui s’exécute avec accès à votre site.

  • Activez les mises à jour automatiques du cœur de WordPress (versions mineures au minimum).
  • Mettez à jour les plugins et thèmes rapidement, idéalement selon un calendrier avec un test en préproduction.
  • Supprimez les plugins et thèmes que vous n’utilisez pas. Désactivé ne suffit pas ; supprimé est sûr.
  • N’installez que des plugins de sources réputées avec un historique de maintenance actif.
  • Surveillez les plugins abandonnés ; du code non maintenu est un risque même s’il fonctionne encore.

2. Verrouiller l’authentification

Les attaques par force brute et par identifiants contre wp-login.php sont incessantes.

  • N’utilisez jamais admin comme nom d’utilisateur. Choisissez un nom d’administrateur unique.
  • Imposez des mots de passe robustes et uniques pour chaque compte.
  • Activez la double authentification (2FA) pour tous les comptes administrateur et éditeur.
  • Limitez les tentatives de connexion et ajoutez une limitation de débit pour bloquer les attaques par force brute.
  • Envisagez de changer ou de protéger l’URL de connexion et d’ajouter un défi CAPTCHA.

3. Appliquer le principe du moindre privilège aux rôles

  • Attribuez à chaque utilisateur le rôle le plus bas qui lui permet de faire son travail. Tout le monde n’a pas besoin d’être administrateur.
  • Auditez régulièrement les comptes utilisateurs et supprimez les ex-employés et les connexions inutilisées.
  • Revoyez les rôles après l’installation de plugins qui ajoutent des capacités personnalisées.

4. Renforcer wp-config.php

wp-config.php contient vos identifiants de base de données et vos clés secrètes, il mérite donc une attention particulière.

  • Définissez des clés d’authentification et des salts uniques.
  • Désactivez l’éditeur de fichiers intégré : define('DISALLOW_FILE_EDIT', true); afin qu’un attaquant obtenant un accès admin ne puisse pas modifier le code des thèmes et plugins depuis le tableau de bord.
  • Déplacez wp-config.php d’un niveau au-dessus de la racine web lorsque l’hébergement le permet, et restreignez ses permissions de fichier.
  • Gardez WP_DEBUG désactivé en production pour que les erreurs ne divulguent pas d’informations.

5. Définir des permissions de fichiers et de répertoires correctes

  • Répertoires 755, fichiers 644 comme base standard ; n’utilisez jamais 777.
  • Assurez-vous que l’utilisateur du serveur web possède les fichiers mais ne peut pas écrire là où ce n’est pas nécessaire.
  • Protégez les fichiers sensibles et désactivez la navigation dans les répertoires.

6. Réduire la surface d’attaque : XML-RPC et REST API

  • Désactivez XML-RPC si vous ne l’utilisez pas ; c’est un vecteur fréquent de force brute et d’amplification DDoS.
  • Restreignez ou authentifiez la REST API là où elle expose des données que vous ne voulez pas rendre publiques.
  • Supprimez le numéro de version de WordPress et toute autre divulgation d’informations inutile dans la sortie des pages.

7. Placer un WAF et HTTPS en amont

  • Servez l’intégralité du site en HTTPS et redirigez tout le trafic HTTP.
  • Ajoutez des en-têtes de sécurité (HSTS, X-Content-Type-Options, X-Frame-Options ou une Content-Security-Policy frame-ancestors, et une CSP lorsque c’est réalisable).
  • Utilisez un pare-feu applicatif web. Un WAF au niveau du CDN comme Cloudflare filtre le trafic malveillant avant qu’il n’atteigne WordPress et absorbe la pression des bots et des DDoS.

8. Renforcement de la base de données et de l’hébergement

  • Utilisez un préfixe de table de base de données non par défaut sur les nouvelles installations.
  • Utilisez un utilisateur de base de données dédié avec uniquement les privilèges dont WordPress a besoin.
  • Gardez PHP sur une version prise en charge et récente ; un PHP en fin de vie est un risque silencieux.
  • Choisissez un hébergement qui isole les sites et corrige la pile serveur.

9. Surveillance, sauvegardes et restauration

  • Effectuez une analyse des malwares et de l’intégrité des fichiers pour détecter rapidement les changements inattendus.
  • Activez la journalisation de sécurité pour voir les tentatives de connexion et les modifications.
  • Effectuez des sauvegardes automatiques régulières stockées hors du serveur, et testez leur restauration. Une sauvegarde non testée est un espoir, pas un plan.

Points clés à retenir

  • Les plus grands gains sont peu glamour : tout mettre à jour, supprimer les plugins et thèmes inutilisés, et imposer une authentification forte avec la 2FA.
  • Renforcez wp-config.php, les permissions de fichiers et la surface XML-RPC / REST API pour réduire la surface d’attaque.
  • Placez HTTPS, des en-têtes de sécurité et un WAF devant le site.
  • Sauvegardez régulièrement et testez les restaurations pour qu’une intrusion soit récupérable.

Renforcement professionnel de la sécurité WordPress

Une check-list vous mène loin, mais renforcer la sécurité WordPress bénéficie tout de même d’un regard expert. Un audit de sécurité WordPress passe en revue chaque plugin et thème, teste l’authentification et les accès, et vérifie wp-config.php, la base de données ainsi que la surface de la REST API et de XML-RPC, produisant un plan de durcissement priorisé. Pour une vue d’ensemble sur tout votre site et votre infrastructure, consultez le guide d’audit de sécurité de site web pour les entreprises britanniques . Si votre site a besoin de développement et de maintenance continus en parallèle du durcissement, un développeur WordPress à embaucher peut le garder sécurisé dans la durée.

Foire aux questions (FAQ)

Quelle est la manière la plus courante de pirater un site WordPress ? Les plugins et thèmes vulnérables et obsolètes. Le code de plugin tiers est de loin le principal vecteur d’attaque, c’est pourquoi des mises à jour rapides et la suppression des plugins inutilisés comptent plus que presque tout le reste.

Ai-je vraiment besoin d’un plugin de sécurité ? Un plugin de sécurité réputé aide à l’analyse des malwares, à la limitation des connexions et à la surveillance, mais il ne remplace pas les fondamentaux : mises à jour, authentification forte, rôles à moindre privilège et un WAF. Ajoutez-le par-dessus une bonne hygiène, pas à sa place.

Dois-je désactiver XML-RPC ? Si vous ne l’utilisez pas (par exemple pour l’application mobile ou certaines intégrations), oui. XML-RPC est fréquemment détourné pour la force brute et l’amplification DDoS, donc le désactiver supprime une surface d’attaque courante.

À quelle fréquence dois-je sauvegarder mon site WordPress ? Assez souvent pour ne pas perdre de données significatives, généralement quotidiennement pour les sites actifs, stockées hors du serveur. Point crucial : testez vos restaurations ; une sauvegarde jamais restaurée n’est pas prouvée.

Cloudflare suffit-il à sécuriser WordPress ? Un WAF au niveau du CDN comme Cloudflare filtre beaucoup de trafic malveillant et absorbe la pression des bots et des DDoS, mais il ne corrige pas les plugins vulnérables, les mots de passe faibles ou les mauvaises configurations. Utilisez-le comme une couche parmi le durcissement sur site.