Aller au contenu principal
Ben DAVAKAN

Comment sécuriser un site WordPress ? Guide complet pour protéger votre site efficacement

18 novembre 202434 min de lecture43 vuesDéveloppement webSite web

Apprenez à sécuriser efficacement votre site WordPress. Ce guide vous dévoile les meilleures pratiques pour protéger vos données et maintenir la confiance de vos utilisateurs.

Sommaire
  1. 1Pourquoi la sécurité WordPress est devenue indispensable
  2. 2Les principales failles de sécurité sur WordPress
  3. aLes extensions vulnérables
  4. bLes thèmes mal maintenus
  5. cLes mots de passe faibles
  6. dL’absence de double authentification
  7. eLes sites non mis à jour
  8. fLes mauvais hébergements
  9. gLes permissions de fichiers trop ouvertes
  10. 3Schéma global de sécurité WordPress
  11. 4Tableau récapitulatif des actions prioritaires
  12. 5Choisir un hébergement WordPress sécurisé
  13. aLes critères d’un bon hébergement sécurisé
  14. bMutualisé, VPS ou hébergement managé ?
  15. 6Garder WordPress, les thèmes et les plugins à jour
  16. aPourquoi les mises à jour sont essentielles
  17. bBonnes pratiques de mise à jour
  18. cFaut-il activer les mises à jour automatiques ?
  19. 7Supprimer les plugins et thèmes inutiles
  20. 8Utiliser des mots de passe forts et uniques
  21. aComptes à protéger en priorité
  22. 9Activer la double authentification
  23. 10Limiter les tentatives de connexion
  24. 11Changer l’identifiant “admin”
  25. 12Sécuriser la page de connexion WordPress
  26. 13Installer un pare-feu applicatif
  27. aLe WAF côté serveur ou plugin
  28. bLe WAF cloud
  29. 14Mettre en place des sauvegardes automatiques
  30. aFréquence recommandée des sauvegardes
  31. bRègle 3-2-1 des sauvegardes
  32. 15Utiliser un certificat SSL
  33. 16Sécuriser le fichier wp-config.php
  34. 17Désactiver l’édition des fichiers depuis l’administration
  35. 18Sécuriser les permissions des fichiers
  36. 19Protéger la base de données WordPress
  37. 20Désactiver XML-RPC si vous ne l’utilisez pas
  38. 21Sécuriser l’API REST WordPress
  39. 22Sécuriser les formulaires WordPress
  40. 23Sécuriser WooCommerce
  41. 24Contrôler les rôles utilisateurs
  42. 25Graphique : niveau de risque selon les négligences
  43. 26Ajouter des en-têtes HTTP de sécurité
  44. 27Surveiller les fichiers modifiés
  45. 28Scanner les malwares
  46. 29Protéger le fichier .htaccess
  47. 30Bloquer l’exécution PHP dans uploads
  48. 31Sécuriser les tâches cron WordPress
  49. 32Protéger les emails sortants
  50. 33Mettre en place Cloudflare ou un CDN sécurisé
  51. 34Faire un audit de sécurité WordPress
  52. 35Checklist complète pour sécuriser WordPress
  53. 36Plan d’urgence en cas de piratage WordPress
  54. aÉtape 1 : mettre le site en sécurité
  55. bÉtape 2 : changer tous les accès
  56. cÉtape 3 : identifier la source
  57. dÉtape 4 : nettoyer le site
  58. eÉtape 5 : restaurer si nécessaire
  59. fÉtape 6 : demander un réexamen Google
  60. 37Sécurité WordPress et SEO : pourquoi c’est lié
  61. 38Sécuriser WordPress quand on utilise Elementor
  62. 39Sécuriser WordPress quand on utilise des plugins SEO
  63. 40Sécuriser WordPress pour un site multilingue
  64. 41Sécuriser WordPress côté développeur
  65. 42Exemple de routine mensuelle de sécurité
  66. 43Graphique : stratégie de sécurité idéale
  67. 44Les erreurs fréquentes à éviter
  68. 45Quels plugins utiliser pour sécuriser WordPress ?
  69. 46Combien coûte la sécurisation d’un site WordPress ?
  70. 47Ce qu'il faut retenir
  71. 48FAQ : Comment sécuriser un site WordPress ?

Sécuriser un site WordPress n’est plus une option. C’est une nécessité pour toute entreprise, boutique en ligne, blog professionnel, site vitrine, média ou plateforme de formation qui souhaite protéger ses données, préserver sa réputation et éviter les pertes financières liées à un piratage.

WordPress est le CMS le plus utilisé au monde. Cette popularité est une force, car elle offre un immense écosystème de thèmes, d’extensions, de développeurs et de ressources. Mais c’est aussi une cible privilégiée pour les cyberattaques. Les pirates ne s’attaquent pas uniquement aux grands sites. Ils visent aussi les petits sites vitrines, les blogs peu actifs, les boutiques WooCommerce récentes, les sites d’associations et les pages professionnelles locales. Pourquoi ? Parce qu’un site mal protégé peut servir à envoyer du spam, héberger du contenu frauduleux, voler des données, rediriger les visiteurs vers des pages malveillantes ou injecter des liens SEO toxiques.

La bonne nouvelle, c’est qu’il est possible de protéger un site WordPress de manière très efficace sans être expert en cybersécurité. Il faut simplement appliquer les bonnes pratiques, choisir les bons outils, garder une discipline de maintenance et comprendre où se situent les principaux risques.

Dans ce guide complet, vous allez découvrir comment sécuriser un site WordPress étape par étape : hébergement, mises à jour, extensions, mots de passe, sauvegardes, pare-feu, anti-malware, certificat SSL, base de données, fichiers sensibles, rôles utilisateurs, WooCommerce, formulaires, serveur, en-têtes HTTP, surveillance et plan d’urgence.

L’objectif n’est pas de vous donner une liste théorique. L’objectif est de vous aider à construire une vraie stratégie de sécurité WordPress, adaptée à un site professionnel moderne.

Pourquoi la sécurité WordPress est devenue indispensable

Un site WordPress peut être piraté pour plusieurs raisons : plugin vulnérable, thème abandonné, mot de passe faible, hébergement mal configuré, absence de sauvegarde, compte administrateur compromis, fichier infecté, formulaire mal protégé ou permissions serveur trop ouvertes.

Beaucoup de propriétaires de sites pensent encore : “Mon site est petit, personne ne va m’attaquer.” C’est une erreur. La majorité des attaques sont automatisées. Les robots scannent le web à la recherche de failles connues. Ils ne se demandent pas si votre marque est connue. Ils cherchent simplement une porte ouverte.

Un site WordPress piraté peut provoquer :

  • Une perte de trafic SEO

  • Une désindexation partielle ou totale sur Google

  • Des alertes “site dangereux” dans le navigateur

  • Une baisse de confiance des visiteurs

  • Une fuite de données clients

  • Des commandes frauduleuses sur WooCommerce

  • Des redirections vers des sites suspects

  • L’envoi massif de spam depuis votre domaine

  • Une perte de chiffre d’affaires

  • Des coûts élevés de nettoyage et de restauration

Google peut aussi afficher un avertissement de sécurité si votre site contient du malware, du phishing ou des scripts malveillants. Pour un site professionnel, cela peut ruiner des mois de travail SEO.

La sécurité WordPress doit donc être intégrée dès la création du site, pas seulement après une attaque.

Les principales failles de sécurité sur WordPress

Avant de protéger votre site, il faut comprendre les principales sources de risques.

Les extensions vulnérables

Les plugins WordPress sont l’une des premières causes de vulnérabilités. Un plugin mal codé, abandonné ou non mis à jour peut permettre à un attaquant d’injecter du code, de créer un compte administrateur, d’accéder à des fichiers sensibles ou de modifier la base de données.

Les extensions de formulaires, de réservation, de paiement, de membres, de SEO, de cache, de constructeurs de pages ou d’import/export sont particulièrement sensibles, car elles manipulent souvent des données utilisateurs.

Avant d’installer une extension, vérifiez toujours :

  • La date de dernière mise à jour

  • Le nombre d’installations actives

  • Les avis récents

  • La compatibilité avec votre version de WordPress

  • La réputation de l’éditeur

  • La qualité du support

  • La présence de failles connues dans des bases comme WPScan ou Patchstack

Les thèmes mal maintenus

Un thème WordPress ne sert pas seulement à gérer l’apparence. Il peut contenir du PHP, des scripts JavaScript, des fonctions personnalisées et des intégrations complexes. Un thème mal sécurisé peut ouvrir des failles.

Évitez les thèmes piratés, aussi appelés thèmes “nulled”. Ils sont souvent modifiés pour contenir des portes dérobées, du spam SEO ou du malware. Même si le thème semble fonctionner, il peut compromettre tout votre site.

Les mots de passe faibles

Un mot de passe comme “admin123”, “password”, “wordpress2026” ou le nom de votre entreprise est une invitation au piratage. Les attaques par force brute testent automatiquement des milliers de combinaisons.

Un bon mot de passe doit être long, unique, complexe et impossible à deviner. Il doit idéalement être généré par un gestionnaire de mots de passe.

L’absence de double authentification

La double authentification WordPress, aussi appelée 2FA, ajoute une couche de protection. Même si un pirate vole votre mot de passe, il ne pourra pas se connecter sans le second facteur : application d’authentification, code temporaire ou clé de sécurité.

C’est l’une des mesures les plus simples et les plus efficaces pour protéger l’administration WordPress.

Les sites non mis à jour

Un site WordPress non mis à jour est vulnérable. Les mises à jour ne servent pas uniquement à ajouter des fonctionnalités. Elles corrigent aussi des failles de sécurité.

Cela concerne :

  • Le cœur WordPress

  • Les plugins

  • Les thèmes

  • Les traductions

  • La version PHP

  • Le serveur

  • Les bibliothèques JavaScript

  • Les dépendances utilisées par certains plugins

Les mauvais hébergements

Tous les hébergements ne se valent pas. Un hébergement lent, mal isolé ou mal maintenu peut exposer votre site à des risques. Un serveur mutualisé mal sécurisé peut aussi favoriser les contaminations croisées entre plusieurs sites.

Un bon hébergeur WordPress doit proposer :

  • Un certificat SSL

  • Des sauvegardes automatiques

  • Une isolation des comptes

  • Un pare-feu serveur

  • Une protection anti-DDoS

  • Une version PHP récente

  • Un support technique réactif

  • Des outils de restauration

  • Une surveillance de base

Les permissions de fichiers trop ouvertes

Les permissions de fichiers déterminent qui peut lire, écrire ou exécuter un fichier. Si vos permissions sont trop permissives, un attaquant peut modifier des fichiers critiques.

En général, les dossiers WordPress doivent être en 755 et les fichiers en 644. Le fichier wp-config.php doit être encore plus protégé lorsque l’hébergement le permet.

Schéma global de sécurité WordPress

Voici une vision simple de la sécurité d’un site WordPress professionnel :

Visiteur
   |
   v
CDN / Pare-feu applicatif
   |
   v
Serveur sécurisé
   |
   v
WordPress à jour
   |
   v
Plugins et thèmes contrôlés
   |
   v
Comptes utilisateurs protégés
   |
   v
Base de données sauvegardée
   |
   v
Surveillance, logs et alertes

La sécurité ne repose jamais sur une seule action. Installer un plugin de sécurité ne suffit pas. Il faut créer plusieurs couches de protection.

Tableau récapitulatif des actions prioritaires

Niveau de priorité

Action de sécurité

Impact

Difficulté

Très élevé

Mettre à jour WordPress, thèmes et plugins

Très fort

Facile

Très élevé

Activer la double authentification

Très fort

Facile

Très élevé

Installer un pare-feu applicatif

Très fort

Moyen

Très élevé

Mettre en place des sauvegardes automatiques

Très fort

Facile

Élevé

Supprimer les plugins inutiles

Fort

Facile

Élevé

Renforcer les mots de passe

Fort

Facile

Élevé

Limiter les tentatives de connexion

Fort

Facile

Élevé

Sécuriser wp-config.php

Fort

Moyen

Moyen

Désactiver l’édition de fichiers dans le tableau de bord

Moyen

Facile

Moyen

Modifier les permissions fichiers

Moyen

Moyen

Moyen

Ajouter des en-têtes HTTP de sécurité

Moyen

Moyen

Moyen

Surveiller les logs

Fort

Moyen

Avancé

Mettre en place un environnement de staging

Fort

Moyen

Avancé

Audit régulier de vulnérabilités

Très fort

Avancé

Choisir un hébergement WordPress sécurisé

La première couche de protection WordPress commence par l’hébergement. Même le meilleur plugin de sécurité ne compensera pas un serveur obsolète, mal configuré ou sans sauvegarde.

Un bon hébergement doit proposer une infrastructure à jour, une protection réseau, un système de sauvegarde fiable et des versions récentes de PHP et MySQL ou MariaDB.

Les critères d’un bon hébergement sécurisé

Pour sécuriser WordPress, privilégiez un hébergeur qui propose :

  • PHP récent et maintenu

  • Certificat SSL gratuit via Let’s Encrypt

  • Sauvegardes automatiques quotidiennes

  • Protection anti-DDoS

  • Pare-feu serveur

  • Isolation entre les comptes

  • Accès SFTP plutôt que FTP simple

  • Possibilité de staging

  • Support technique compétent

  • Journaux d’accès et d’erreurs

  • Scanner de fichiers malveillants

  • Restauration rapide

Si votre site génère du chiffre d’affaires, évitez les hébergements bas de gamme. Une boutique WooCommerce, un site à fort trafic ou un site avec espace membre mérite une infrastructure plus robuste.

Mutualisé, VPS ou hébergement managé ?

Le choix dépend du niveau de criticité du site.

Type d’hébergement

Avantages

Limites

Recommandé pour

Mutualisé

Prix bas, simple à gérer

Moins de contrôle, performances variables

Petit site vitrine

VPS

Contrôle élevé, bonne performance

Nécessite des compétences serveur

Site pro, agence, WooCommerce

WordPress managé

Maintenance simplifiée, sécurité renforcée

Prix plus élevé, restrictions possibles

Site business, média, e-commerce

Serveur dédié

Puissance maximale

Administration complexe

Gros trafic, plateforme critique

Pour un site professionnel, un hébergement WordPress managé ou un VPS bien administré est souvent un meilleur choix qu’un mutualisé très bon marché.

Garder WordPress, les thèmes et les plugins à jour

Les mises à jour WordPress sont l’une des bases de la sécurité. Pourtant, beaucoup de sites sont piratés simplement parce qu’une extension vulnérable n’a pas été mise à jour.

Pourquoi les mises à jour sont essentielles

Les développeurs publient régulièrement des correctifs pour :

  • Corriger des failles XSS

  • Corriger des failles SQL injection

  • Corriger des problèmes de contrôle d’accès

  • Améliorer la compatibilité PHP

  • Corriger des bugs critiques

  • Renforcer la sécurité des formulaires

  • Améliorer les performances

Le problème, c’est qu’une fois qu’une faille est rendue publique, les attaquants peuvent automatiser son exploitation. Plus vous tardez à mettre à jour, plus le risque augmente.

Bonnes pratiques de mise à jour

Pour mettre à jour WordPress sans risque, suivez cette méthode :

  1. Faites une sauvegarde complète

  2. Mettez à jour d’abord sur un environnement de test si le site est critique

  3. Mettez à jour le cœur WordPress

  4. Mettez à jour les extensions

  5. Mettez à jour le thème

  6. Vérifiez les pages clés

  7. Testez les formulaires

  8. Testez le tunnel de commande si vous utilisez WooCommerce

  9. Vérifiez les erreurs dans les logs

  10. Gardez une possibilité de rollback

Faut-il activer les mises à jour automatiques ?

Oui, mais avec prudence. Pour les petits sites vitrines, les mises à jour automatiques des extensions fiables peuvent être utiles. Pour un site WooCommerce, une marketplace, un espace membre ou une plateforme de réservation, il est préférable de tester avant d’appliquer certaines mises à jour majeures.

Vous pouvez activer les mises à jour automatiques pour :

  • Les correctifs mineurs WordPress

  • Les plugins simples et fiables

  • Les extensions de sécurité

  • Les extensions peu critiques

Mais restez prudent avec :

  • WooCommerce

  • Les constructeurs de pages

  • Les plugins de paiement

  • Les plugins de réservation

  • Les plugins multilingues

  • Les extensions de membres

  • Les plugins personnalisés

Supprimer les plugins et thèmes inutiles

Chaque extension installée augmente la surface d’attaque. Même une extension désactivée peut parfois représenter un risque si ses fichiers restent présents sur le serveur.

Pour renforcer la sécurité WordPress, appliquez cette règle : si vous n’utilisez pas un plugin, supprimez-le.

Ne gardez pas :

  • Les anciens constructeurs de pages non utilisés

  • Les plugins de test

  • Les extensions installées pour une tâche ponctuelle

  • Les plugins abandonnés

  • Les thèmes inutilisés

  • Les thèmes “nulled”

  • Les plugins provenant de sources douteuses

Gardez seulement :

  • Votre thème actif

  • Un thème officiel de secours si nécessaire

  • Les extensions indispensables

  • Les plugins maintenus

  • Les outils réellement utilisés

Un site WordPress sécurisé est souvent un site plus léger.

Utiliser des mots de passe forts et uniques

Un mot de passe WordPress sécurisé doit être unique, long et impossible à deviner.

Un bon mot de passe doit contenir :

  • Au moins 14 à 20 caractères

  • Des lettres minuscules

  • Des lettres majuscules

  • Des chiffres

  • Des caractères spéciaux

  • Aucune information personnelle

  • Aucun mot du dictionnaire

  • Aucune réutilisation sur un autre service

Le mieux est d’utiliser un gestionnaire de mots de passe comme Bitwarden, 1Password ou Dashlane. Cela permet de générer et stocker des mots de passe solides sans devoir les mémoriser.

Comptes à protéger en priorité

Ne protégez pas seulement le compte administrateur WordPress. Protégez aussi :

  • L’espace client de l’hébergeur

  • Le compte FTP ou SFTP

  • Le compte base de données

  • Le compte Cloudflare ou CDN

  • Le compte Google Search Console

  • Le compte Google Analytics

  • Le compte SMTP

  • Les comptes administrateurs WooCommerce

  • Les comptes des développeurs externes

Un pirate n’a pas toujours besoin de votre mot de passe WordPress. Il peut passer par votre hébergement, votre email, votre FTP ou un compte administrateur oublié.

Activer la double authentification

La double authentification WordPress est l’une des meilleures protections contre le piratage de compte.

Même si un attaquant obtient votre mot de passe, il devra fournir un code temporaire généré par une application comme Google Authenticator, Microsoft Authenticator, Authy ou 1Password.

Activez la 2FA pour :

  • Les administrateurs

  • Les éditeurs

  • Les gestionnaires WooCommerce

  • Les développeurs

  • Les comptes ayant accès aux données clients

  • Les comptes ayant accès aux réglages sensibles

Pour un site e-commerce, la 2FA devrait être obligatoire pour tous les comptes à privilèges.

Limiter les tentatives de connexion

Les attaques par force brute consistent à tester massivement des identifiants et mots de passe. Pour les réduire, il faut limiter les tentatives de connexion WordPress.

Vous pouvez configurer :

  • Blocage temporaire après plusieurs échecs

  • Captcha sur la page de connexion

  • Blocage des IP suspectes

  • Journalisation des tentatives

  • Notification en cas de connexion suspecte

  • Protection XML-RPC

  • 2FA obligatoire

Un plugin de sécurité comme Wordfence, Solid Security, Patchstack, Sucuri Security ou All-In-One Security peut aider à mettre en place ces protections.

Changer l’identifiant “admin”

L’identifiant “admin” est encore trop souvent utilisé. C’est dangereux, car les pirates n’ont plus qu’à deviner le mot de passe.

Créez un nouveau compte administrateur avec un identifiant unique, puis supprimez l’ancien compte “admin” après avoir transféré ses contenus vers le nouveau compte.

Évitez aussi les identifiants trop évidents :

  • admin

  • administrator

  • webmaster

  • contact

  • support

  • nomdusite

  • prénom seul

  • nom de marque

Un bon identifiant n’a pas besoin d’être public ni facile à deviner.

Sécuriser la page de connexion WordPress

La page de connexion WordPress se trouve généralement sur /wp-admin ou /wp-login.php. C’est normal, mais cela facilite les attaques automatisées.

Pour la protéger :

  • Activez la 2FA

  • Limitez les tentatives de connexion

  • Ajoutez un captcha

  • Bloquez XML-RPC si inutile

  • Utilisez un pare-feu applicatif

  • Surveillez les connexions inhabituelles

  • Évitez les comptes administrateurs partagés

Changer l’URL de connexion peut réduire certains robots basiques, mais ce n’est pas une sécurité suffisante à elle seule. Ce n’est qu’une couche supplémentaire.

Installer un pare-feu applicatif

Un pare-feu WordPress, aussi appelé WAF, filtre le trafic avant qu’il n’atteigne votre site. Il peut bloquer les requêtes malveillantes, les attaques connues, les tentatives d’injection SQL, les scripts suspects et certains robots agressifs.

Il existe deux grands types de WAF :

Le WAF côté serveur ou plugin

Il fonctionne directement dans WordPress ou au niveau de l’hébergement. Il peut analyser les requêtes, bloquer certaines IP et protéger les fichiers sensibles.

Le WAF cloud

Il filtre le trafic avant qu’il arrive sur votre serveur. Des solutions comme Cloudflare, Sucuri Firewall ou certains hébergeurs managés proposent ce type de protection.

Le WAF cloud est très utile contre :

  • Les attaques DDoS

  • Les bots agressifs

  • Les scans automatisés

  • Les attaques sur plugins connus

  • Les pays ou réseaux suspects

  • Les pics de trafic malveillant

Pour un site professionnel, un WAF est fortement recommandé.

Mettre en place des sauvegardes automatiques

Une sauvegarde WordPress est votre assurance vie. Même avec toutes les protections du monde, le risque zéro n’existe pas. Si votre site est piraté, cassé ou supprimé, une bonne sauvegarde permet de restaurer rapidement.

Une bonne stratégie de sauvegarde doit inclure :

  • Les fichiers WordPress

  • La base de données

  • Le dossier uploads

  • Les thèmes

  • Les plugins

  • Le fichier wp-config.php

  • Les réglages critiques

Fréquence recommandée des sauvegardes

Type de site

Fréquence fichiers

Fréquence base de données

Site vitrine peu modifié

Hebdomadaire

Hebdomadaire

Blog actif

Hebdomadaire

Quotidienne

Site WooCommerce

Quotidienne

Plusieurs fois par jour

Site média

Quotidienne

Quotidienne

Plateforme membre

Quotidienne

Plusieurs fois par jour

Site à fort trafic

Quotidienne

Temps réel ou quasi temps réel

Règle 3-2-1 des sauvegardes

3 copies de vos données
2 supports différents
1 copie hors serveur

Ne stockez jamais vos seules sauvegardes sur le même serveur que votre site. Si le serveur est compromis, vos sauvegardes peuvent l’être aussi.

Utilisez un stockage externe : Google Drive, Dropbox, Amazon S3, pCloud, serveur distant ou stockage fourni par un hébergeur fiable.

Utiliser un certificat SSL

Un certificat SSL WordPress permet d’activer HTTPS. Il chiffre les échanges entre le navigateur du visiteur et le serveur.

HTTPS est indispensable pour :

  • Les formulaires de contact

  • Les connexions utilisateurs

  • Les paiements

  • WooCommerce

  • Les espaces membres

  • Le SEO

  • La confiance des visiteurs

Aujourd’hui, un site professionnel sans HTTPS inspire peu confiance. Les navigateurs signalent les pages non sécurisées, surtout lorsqu’elles contiennent des champs de formulaire.

Après l’installation du certificat SSL, vérifiez :

  • Que toutes les pages chargent en HTTPS

  • Qu’il n’y a pas de contenu mixte

  • Que les redirections HTTP vers HTTPS fonctionnent

  • Que l’URL du site est bien configurée dans WordPress

  • Que Google Search Console utilise la version HTTPS

Sécuriser le fichier wp-config.php

Le fichier wp-config.php est l’un des fichiers les plus sensibles de WordPress. Il contient les informations de connexion à la base de données et les clés de sécurité.

Pour le protéger :

  • Limitez ses permissions

  • Empêchez son accès direct

  • Ne l’éditez pas depuis un réseau non sécurisé

  • Ne le partagez jamais par email

  • Ne le laissez pas dans une archive publique

  • Régénérez les clés de sécurité si le site a été compromis

Vous pouvez générer de nouvelles clés via le générateur officiel de clés WordPress : WordPress Secret Key Service

Désactiver l’édition des fichiers depuis l’administration

Par défaut, WordPress peut permettre d’éditer les fichiers de thème ou de plugin depuis le tableau de bord. C’est pratique, mais dangereux.

Si un pirate accède à un compte administrateur, il peut injecter du code directement depuis l’interface.

Ajoutez cette ligne dans wp-config.php :

define('DISALLOW_FILE_EDIT', true);

Cela désactive l’éditeur de fichiers dans l’administration WordPress.

Sécuriser les permissions des fichiers

Les permissions doivent être configurées correctement pour éviter les modifications non autorisées.

Configuration généralement recommandée :

Dossiers : 755
Fichiers : 644
wp-config.php : 600 ou 640 selon l’hébergement

Évitez absolument les permissions 777, sauf cas très exceptionnel et temporaire. Une permission 777 signifie que tout le monde peut lire, écrire et exécuter. C’est une faille majeure.

Protéger la base de données WordPress

La base de données contient vos articles, pages, utilisateurs, commandes WooCommerce, réglages, commentaires et parfois des données sensibles.

Pour renforcer la sécurité de la base de données WordPress :

  • Utilisez un mot de passe fort pour la base

  • Limitez les accès distants

  • Supprimez les anciens utilisateurs MySQL inutiles

  • Sauvegardez régulièrement

  • Évitez les plugins douteux qui manipulent la base

  • Nettoyez les tables abandonnées

  • Surveillez les injections SQL

  • Utilisez un préfixe de table personnalisé sur les nouvelles installations

Changer le préfixe wp_ peut réduire certains scripts automatisés, mais ce n’est pas une solution miracle. La vraie protection repose surtout sur les mises à jour, la validation des données, les permissions et le pare-feu.

Désactiver XML-RPC si vous ne l’utilisez pas

XML-RPC est une fonctionnalité WordPress qui permet des connexions à distance. Elle peut être utilisée par certaines applications, Jetpack ou des outils externes. Mais elle est aussi exploitée dans certaines attaques par force brute ou amplification.

Si vous ne l’utilisez pas, vous pouvez la désactiver via un plugin de sécurité, une règle serveur ou un WAF.

Avant de désactiver XML-RPC, vérifiez si votre site dépend de :

  • Jetpack

  • Application mobile WordPress

  • Outils de publication distante

  • Certaines intégrations externes

Si vous n’en avez pas besoin, désactivez-la.

Sécuriser l’API REST WordPress

L’API REST WordPress est utile pour les applications, les constructeurs, les intégrations et les sites headless. Mais elle peut aussi exposer certaines informations si elle est mal utilisée.

Il ne faut pas forcément la désactiver complètement. Il faut surtout contrôler ce qu’elle expose.

Bonnes pratiques :

  • Garder WordPress et les plugins à jour

  • Éviter les plugins qui exposent trop de données

  • Restreindre certains endpoints sensibles

  • Vérifier les permissions utilisateur

  • Protéger les routes personnalisées

  • Utiliser les nonces WordPress pour les actions sensibles

  • Valider et nettoyer les données reçues

Les développeurs doivent suivre les bonnes pratiques officielles de sécurité WordPress, notamment la validation, la sanitization, l’escaping et le contrôle des capacités utilisateurs.

Sécuriser les formulaires WordPress

Les formulaires sont des points d’entrée importants : contact, devis, inscription, commentaire, newsletter, réservation, paiement, téléchargement.

Pour sécuriser vos formulaires :

  • Ajoutez un anti-spam

  • Utilisez un captcha ou une solution invisible

  • Limitez les fichiers autorisés en upload

  • Bloquez les extensions dangereuses

  • Validez les champs côté serveur

  • Nettoyez les données entrantes

  • Évitez d’afficher les données sans échappement

  • Limitez le nombre de soumissions

  • Protégez les formulaires sensibles avec un nonce

  • Mettez à jour votre plugin de formulaire

Ne laissez jamais un formulaire accepter n’importe quel type de fichier. Les uploads mal contrôlés peuvent permettre l’envoi de fichiers PHP malveillants.

Sécuriser WooCommerce

Une boutique WooCommerce demande un niveau de sécurité plus élevé qu’un simple site vitrine, car elle traite des commandes, des comptes clients, des paiements, des adresses et parfois des factures.

Pour sécuriser WooCommerce :

  • Utilisez HTTPS partout

  • Gardez WooCommerce à jour

  • Utilisez uniquement des passerelles de paiement fiables

  • Activez la 2FA pour les administrateurs

  • Limitez les rôles des gestionnaires de boutique

  • Protégez les comptes clients

  • Surveillez les commandes suspectes

  • Installez un WAF

  • Sauvegardez la base plusieurs fois par jour

  • Testez les mises à jour sur staging

  • Évitez les plugins WooCommerce abandonnés

  • Surveillez les emails transactionnels

  • Protégez l’accès au back-office

Un site e-commerce doit aussi prévoir un plan de reprise rapide. Chaque heure d’indisponibilité peut coûter de l’argent.

Contrôler les rôles utilisateurs

Tous les utilisateurs ne doivent pas être administrateurs. WordPress propose plusieurs rôles :

  • Administrateur

  • Éditeur

  • Auteur

  • Contributeur

  • Abonné

  • Gestionnaire de boutique avec WooCommerce

Appliquez le principe du moindre privilège : chaque utilisateur doit avoir uniquement les droits nécessaires à sa mission.

Exemples :

  • Un rédacteur n’a pas besoin d’être administrateur

  • Un community manager n’a pas besoin d’accéder aux plugins

  • Un prestataire SEO n’a pas toujours besoin d’accéder au serveur

  • Un développeur temporaire doit être supprimé après intervention

  • Un compte de test ne doit pas rester actif

Faites régulièrement un audit des utilisateurs.

Graphique : niveau de risque selon les négligences

Risque de piratage WordPress

Plugins non mis à jour        ██████████  Très élevé
Mot de passe faible           █████████   Très élevé
Aucune sauvegarde             █████████   Très élevé
Pas de pare-feu               ████████    Élevé
Thème abandonné               ████████    Élevé
Permissions incorrectes       ███████     Moyen à élevé
Pas de 2FA                    ████████    Élevé
Hébergement bas de gamme      ███████     Moyen à élevé
Aucun monitoring              ██████      Moyen

Ce graphique montre une réalité simple : la plupart des piratages ne viennent pas d’une attaque ultra sophistiquée. Ils viennent souvent d’un manque de maintenance.

Ajouter des en-têtes HTTP de sécurité

Les en-têtes HTTP de sécurité aident le navigateur à mieux protéger les visiteurs.

Les plus importants sont :

  • Content-Security-Policy

  • Strict-Transport-Security

  • X-Frame-Options

  • X-Content-Type-Options

  • Referrer-Policy

  • Permissions-Policy

Exemple simplifié :

Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin

Attention : Content-Security-Policy peut casser certains scripts si elle est mal configurée. Testez avant de l’appliquer en production.

Ces en-têtes peuvent être configurés via le serveur, Cloudflare, certains plugins de sécurité ou l’hébergement.

Surveiller les fichiers modifiés

Un bon système de sécurité doit vous alerter lorsqu’un fichier important change.

Surveillez notamment :

  • Fichiers PHP modifiés

  • Nouveaux fichiers suspects

  • Fichiers dans wp-content/uploads

  • Fichiers .htaccess

  • Fichiers index.php inhabituels

  • Nouveaux comptes administrateurs

  • Modifications de plugins

  • Changements dans wp-config.php

Un scanner d’intégrité peut comparer les fichiers WordPress avec les versions officielles et détecter les modifications suspectes.

Scanner les malwares

Un scanner malware WordPress permet de détecter :

  • Backdoors

  • Scripts obfusqués

  • Redirections malveillantes

  • Fichiers PHP suspects

  • Spam SEO

  • Injections JavaScript

  • Faux plugins

  • Fichiers cachés

  • Modifications non autorisées

Des outils comme Sucuri SiteCheck, Wordfence, Patchstack ou certains scanners hébergeurs peuvent vous aider à repérer les infections.

Mais attention : un scanner ne remplace pas une vraie analyse technique. Certains malwares sophistiqués peuvent se cacher dans la base de données, les tâches cron, les fichiers système ou les plugins falsifiés.

Protéger le fichier .htaccess

Sur les serveurs Apache, le fichier .htaccess contrôle certaines règles importantes : redirections, permissions, accès aux fichiers, réécriture d’URL.

Un attaquant peut le modifier pour :

  • Rediriger les visiteurs

  • Injecter du spam

  • Bloquer certains utilisateurs

  • Cacher une infection

  • Modifier le comportement du site

Surveillez ce fichier régulièrement. Si vous voyez du code étrange, des redirections inconnues ou des règles obfusquées, faites un audit.

Bloquer l’exécution PHP dans uploads

Le dossier wp-content/uploads doit contenir des images, PDF, vidéos ou fichiers médias. Il ne devrait pas exécuter de fichiers PHP.

Une bonne pratique consiste à empêcher l’exécution PHP dans ce dossier. Cela réduit les risques liés aux uploads malveillants.

Exemple de logique :

/wp-content/uploads/
   images OK
   pdf OK
   php interdit

Cette mesure est très utile pour les sites qui acceptent des fichiers via formulaires, espace membre, WooCommerce ou marketplace.

Sécuriser les tâches cron WordPress

WordPress utilise un système appelé WP-Cron pour exécuter certaines tâches : publication planifiée, nettoyage, emails, synchronisations, sauvegardes, actions WooCommerce.

Sur les sites à trafic élevé, il peut être préférable de désactiver WP-Cron natif et d’utiliser une vraie tâche cron serveur.

Cela permet :

  • Une meilleure performance

  • Une exécution plus fiable

  • Moins de surcharge

  • Plus de contrôle

Pour un site professionnel, configurez les tâches planifiées proprement et surveillez les actions anormales.

Protéger les emails sortants

Un site WordPress compromis peut être utilisé pour envoyer du spam. Cela peut dégrader la réputation de votre domaine et empêcher vos vrais emails d’arriver en boîte de réception.

Pour sécuriser les emails :

  • Utilisez un SMTP fiable

  • Configurez SPF, DKIM et DMARC

  • Surveillez les envois inhabituels

  • Évitez les plugins d’emailing douteux

  • Protégez les formulaires de contact

  • Limitez les notifications inutiles

  • Vérifiez les logs SMTP

Un site WooCommerce doit particulièrement protéger les emails transactionnels : confirmations de commande, réinitialisation de mot de passe, factures, remboursements.

Mettre en place Cloudflare ou un CDN sécurisé

Un CDN comme Cloudflare peut améliorer la performance et ajouter une couche de protection.

Il peut aider à :

  • Bloquer certains bots

  • Filtrer le trafic suspect

  • Masquer l’adresse IP du serveur

  • Réduire les attaques DDoS

  • Ajouter des règles de pare-feu

  • Gérer HTTPS

  • Activer des protections automatiques

  • Mettre en cache les ressources statiques

Mais un CDN mal configuré ne suffit pas. Il doit être combiné à une bonne sécurité WordPress, un hébergement fiable et des sauvegardes.

Faire un audit de sécurité WordPress

Un audit de sécurité WordPress consiste à examiner le site pour identifier les faiblesses.

Un audit sérieux doit vérifier :

  • Version de WordPress

  • Liste des plugins

  • Thèmes installés

  • Comptes utilisateurs

  • Permissions fichiers

  • Configuration serveur

  • Certificat SSL

  • En-têtes HTTP

  • Logs de connexion

  • Présence de malware

  • Sauvegardes

  • Base de données

  • WAF

  • Formulaires

  • WooCommerce

  • API REST

  • XML-RPC

  • Tâches cron

  • Rôles utilisateurs

Pour un site professionnel, un audit trimestriel est recommandé. Pour une boutique WooCommerce active, un audit mensuel peut être pertinent.

Checklist complète pour sécuriser WordPress

[ ] WordPress est à jour
[ ] Tous les plugins sont à jour
[ ] Tous les thèmes sont à jour
[ ] Les plugins inutiles sont supprimés
[ ] Les thèmes inutiles sont supprimés
[ ] Aucun thème ou plugin nulled n’est installé
[ ] Les mots de passe sont forts
[ ] La double authentification est activée
[ ] Les tentatives de connexion sont limitées
[ ] Les comptes administrateurs sont contrôlés
[ ] Les anciens comptes sont supprimés
[ ] Le certificat SSL est actif
[ ] Les redirections HTTPS fonctionnent
[ ] Les sauvegardes automatiques sont activées
[ ] Les sauvegardes sont stockées hors serveur
[ ] Une restauration a été testée
[ ] Un pare-feu applicatif est actif
[ ] XML-RPC est désactivé si inutile
[ ] L’édition de fichiers est désactivée
[ ] Les permissions fichiers sont correctes
[ ] wp-config.php est protégé
[ ] Les formulaires sont protégés
[ ] Les uploads sont contrôlés
[ ] Les logs sont surveillés
[ ] Les en-têtes HTTP sont configurés
[ ] Le site est scanné régulièrement
[ ] Un plan d’urgence existe

Plan d’urgence en cas de piratage WordPress

Si votre site est piraté, ne paniquez pas. Mais n’attendez pas.

Étape 1 : mettre le site en sécurité

Si le site diffuse du malware, redirige les visiteurs ou expose des données, mettez-le temporairement en maintenance. Le but est de limiter les dégâts.

Étape 2 : changer tous les accès

Changez immédiatement :

  • Mot de passe WordPress

  • Mot de passe hébergeur

  • Mot de passe SFTP

  • Mot de passe base de données

  • Mot de passe SMTP

  • Mot de passe Cloudflare

  • Clés de sécurité WordPress

  • Accès des prestataires

Étape 3 : identifier la source

Cherchez :

  • Plugin vulnérable

  • Thème infecté

  • Fichier modifié

  • Compte administrateur inconnu

  • Upload suspect

  • Redirection dans .htaccess

  • Injection dans la base

  • Tâche cron suspecte

  • Fausse extension

Étape 4 : nettoyer le site

Supprimez les fichiers malveillants, remplacez les fichiers WordPress core par des versions propres, mettez à jour tous les éléments, retirez les plugins douteux et vérifiez la base de données.

Étape 5 : restaurer si nécessaire

Si vous avez une sauvegarde propre, restaurez-la. Mais attention : restaurer une sauvegarde infectée ne sert à rien. Il faut identifier une date saine.

Étape 6 : demander un réexamen Google

Si Google a signalé votre site comme dangereux, utilisez Google Search Console pour demander un réexamen après nettoyage.

Sécurité WordPress et SEO : pourquoi c’est lié

La sécurité WordPress a un impact direct sur le SEO. Un site piraté peut perdre ses positions rapidement.

Les attaques SEO les plus fréquentes sont :

  • Injection de liens spam

  • Pages japonaises ou chinoises générées automatiquement

  • Redirections cloaking

  • Création de pages invisibles

  • Modification du sitemap

  • Injection dans les balises title

  • Spam dans les commentaires

  • Faux fichiers indexés

  • Redirection mobile uniquement

Google peut détecter ces signaux et réduire la visibilité du site. Même après nettoyage, la récupération SEO peut prendre du temps.

Pour protéger votre référencement :

  • Surveillez Google Search Console

  • Vérifiez les pages indexées

  • Analysez les requêtes SEO étranges

  • Contrôlez le sitemap

  • Surveillez les liens sortants

  • Scannez les fichiers

  • Mettez à jour régulièrement

  • Bloquez les injections de contenu

  • Nettoyez les commentaires spam

Un site sécurisé est aussi un site plus fiable pour Google et pour les utilisateurs.

Sécuriser WordPress quand on utilise Elementor

Elementor est très populaire. Mais comme tout constructeur puissant, il dépend d’un écosystème d’addons, de widgets et d’intégrations. Le risque vient souvent des extensions complémentaires mal maintenues.

Bonnes pratiques :

  • Gardez Elementor à jour

  • Gardez Elementor Pro à jour

  • Limitez le nombre d’addons

  • Supprimez les widgets inutilisés

  • Évitez les packs d’addons inconnus

  • Contrôlez les formulaires Elementor

  • Protégez les uploads

  • Testez les mises à jour sur staging

  • Surveillez les vulnérabilités connues

Plus vous ajoutez d’addons, plus vous augmentez la surface d’attaque. La sobriété est une bonne pratique de sécurité.

Sécuriser WordPress quand on utilise des plugins SEO

Les plugins SEO comme Yoast SEO, Rank Math ou SEOPress sont essentiels pour beaucoup de sites. Ils modifient les métadonnées, les sitemaps, les redirections et parfois les schémas de données structurées.

Pour les sécuriser :

  • Utilisez une extension SEO fiable

  • Évitez d’installer plusieurs plugins SEO en même temps

  • Mettez-les à jour régulièrement

  • Contrôlez les redirections

  • Vérifiez le sitemap XML

  • Limitez l’accès aux réglages SEO

  • Surveillez les modifications de title et meta description

Un compte éditeur compromis peut parfois modifier des contenus SEO stratégiques. Ne donnez pas trop de droits à n’importe qui.

Sécuriser WordPress pour un site multilingue

Les sites multilingues utilisent souvent WPML, Polylang, TranslatePress ou Weglot. Ces extensions ajoutent des tables, des routes, des paramètres d’URL et parfois des intégrations externes.

Pour un site multilingue sécurisé :

  • Gardez le plugin de traduction à jour

  • Évitez les modules complémentaires inutiles

  • Contrôlez les rôles traducteurs

  • Vérifiez les URLs générées

  • Surveillez les redirections

  • Sauvegardez avant toute synchronisation

  • Testez après chaque mise à jour majeure

Un bug sur un site multilingue peut affecter plusieurs versions linguistiques à la fois. D’où l’importance du staging.

Sécuriser WordPress côté développeur

Si vous développez un thème ou un plugin sur mesure, la sécurité doit être intégrée dans le code.

Les développeurs WordPress doivent appliquer :

  • Validation des données

  • Sanitization des entrées

  • Escaping des sorties

  • Vérification des nonces

  • Contrôle des capacités utilisateurs

  • Requêtes SQL préparées

  • Protection contre XSS

  • Protection contre CSRF

  • Protection contre injections SQL

  • Gestion propre des uploads

  • Pas de données sensibles en clair

  • Pas de clés API exposées dans le thème

Ressources utiles :

Exemple de routine mensuelle de sécurité

Voici une routine simple pour maintenir un site WordPress sécurisé.

Chaque semaine :
- Vérifier les mises à jour
- Contrôler les sauvegardes
- Vérifier les alertes de sécurité
- Tester les formulaires
- Surveiller les connexions suspectes

Chaque mois :
- Supprimer les plugins inutiles
- Auditer les comptes utilisateurs
- Vérifier Google Search Console
- Scanner les fichiers
- Contrôler les performances
- Tester une restauration

Chaque trimestre :
- Audit complet de sécurité
- Vérification des permissions
- Contrôle des en-têtes HTTP
- Revue des plugins critiques
- Mise à jour de la documentation interne

La sécurité WordPress est une routine, pas une action ponctuelle.

Graphique : stratégie de sécurité idéale

Protection idéale d’un site WordPress

Prévention        ██████████  40 %
Sauvegarde        ████████    25 %
Surveillance      ███████     20 %
Réaction rapide   █████       15 %

La prévention réduit les risques. Les sauvegardes permettent de récupérer. La surveillance détecte les problèmes. La réaction rapide limite les dégâts.

Les erreurs fréquentes à éviter

Voici les erreurs que l’on retrouve souvent sur les sites WordPress piratés :

  • Installer trop de plugins

  • Ne jamais mettre à jour

  • Utiliser un thème nulled

  • Garder le compte admin

  • Réutiliser le même mot de passe partout

  • Ne pas activer la 2FA

  • Stocker les sauvegardes sur le même serveur

  • Donner un accès administrateur à tout le monde

  • Ignorer les alertes Google Search Console

  • Ne pas tester les sauvegardes

  • Installer des plugins inconnus pour “tester”

  • Utiliser FTP au lieu de SFTP

  • Laisser des comptes prestataires actifs

  • Ne pas surveiller les fichiers modifiés

  • Croire qu’un plugin de sécurité suffit

La sécurité repose surtout sur la discipline.

Quels plugins utiliser pour sécuriser WordPress ?

Il existe plusieurs bons plugins de sécurité WordPress. Le choix dépend de votre besoin, de votre niveau technique et de votre budget.

Plugin / solution

Points forts

Idéal pour

Wordfence

Pare-feu, scan, login security

Sites généralistes

Patchstack

Détection de vulnérabilités plugins

Sites avec nombreux plugins

Sucuri Security

Monitoring, scan, WAF externe

Sites professionnels

Solid Security

Durcissement, 2FA, login protection

PME, sites vitrines

WP Activity Log

Journal d’activité détaillé

Sites multi-utilisateurs

UpdraftPlus

Sauvegardes automatiques

Sites vitrines et blogs

BlogVault

Sauvegardes et staging

Sites critiques

Cloudflare

WAF cloud, CDN, anti-DDoS

Tous les sites pros

N’installez pas plusieurs plugins qui font exactement la même chose. Deux pare-feux ou deux systèmes de login security peuvent entrer en conflit.

Combien coûte la sécurisation d’un site WordPress ?

Le coût dépend du niveau de protection attendu.

Besoin

Budget possible

Description

Sécurité basique

0 à 100 € / an

Plugins gratuits, sauvegardes simples, bonnes pratiques

Sécurité professionnelle

100 à 500 € / an

WAF, sauvegardes externes, monitoring, outils premium

Sécurité e-commerce

300 à 1 500 € / an

Staging, sauvegardes fréquentes, WAF avancé, audit

Sécurité critique

1 500 € et plus / an

Infogérance, monitoring avancé, audits réguliers

Ne voyez pas la sécurité comme une dépense. Voyez-la comme une assurance. Nettoyer un site piraté coûte souvent plus cher que le protéger correctement dès le départ.

Ce qu'il faut retenir

Sécuriser un site WordPress demande une approche complète. Il ne suffit pas d’installer un plugin de sécurité et d’espérer que tout ira bien. La vraie sécurité repose sur plusieurs couches : hébergement fiable, mises à jour régulières, plugins contrôlés, mots de passe forts, double authentification, sauvegardes externes, pare-feu, surveillance, permissions correctes et plan d’urgence.

WordPress reste une excellente solution pour créer un site professionnel, une boutique en ligne, un blog, un média ou une plateforme de services. Mais comme tout outil puissant, il doit être entretenu sérieusement.

La meilleure stratégie est simple : prévenir, sauvegarder, surveiller et réagir vite. Un site bien sécurisé inspire confiance, protège vos visiteurs, préserve votre SEO et réduit fortement les risques de pertes financières.

Si votre site WordPress est important pour votre activité, ne remettez pas la sécurité à plus tard. Commencez par les actions prioritaires : mises à jour, sauvegardes, 2FA, pare-feu, suppression des plugins inutiles et audit des accès. Ce sont souvent les mesures les plus simples qui évitent les plus gros problèmes.

FAQ : Comment sécuriser un site WordPress ?

Comment sécuriser rapidement un site WordPress ?

Pour sécuriser rapidement un site WordPress, commencez par mettre à jour WordPress, les plugins et les thèmes. Ensuite, supprimez les extensions inutiles, activez la double authentification, installez un plugin de sécurité fiable, configurez des sauvegardes automatiques hors serveur et vérifiez que le site fonctionne en HTTPS. Ces actions simples réduisent déjà une grande partie des risques.

Quel est le meilleur plugin de sécurité WordPress ?

Il n’existe pas un seul meilleur plugin pour tous les sites. Wordfence est populaire pour son pare-feu et son scanner. Patchstack est très utile pour surveiller les vulnérabilités des extensions. Sucuri est intéressant pour le monitoring et le pare-feu cloud. Solid Security convient bien aux sites vitrines et PME. Le meilleur choix dépend de votre site, de votre budget et de votre niveau technique.

WordPress est-il sécurisé ?

Oui, WordPress peut être sécurisé lorsqu’il est bien maintenu. Le problème vient souvent des plugins vulnérables, des thèmes abandonnés, des mots de passe faibles, des hébergements mal configurés ou de l’absence de maintenance. Un WordPress à jour, bien hébergé, avec peu d’extensions fiables et une bonne configuration de sécurité peut être très robuste.

Faut-il changer l’URL de connexion WordPress ?

Changer l’URL de connexion peut réduire les attaques automatisées basiques, mais ce n’est pas une protection suffisante. Il faut surtout activer la double authentification, limiter les tentatives de connexion, utiliser des mots de passe solides et installer un pare-feu. Changer l’URL de connexion est une couche complémentaire, pas une solution principale.

Comment savoir si mon site WordPress est piraté ?

Les signes fréquents sont : redirections inconnues, ralentissements soudains, pages étranges indexées sur Google, alertes de navigateur, nouveaux comptes administrateurs, fichiers suspects, emails spam envoyés depuis le domaine, baisse brutale du trafic SEO ou messages dans Google Search Console. Un scan malware et une analyse des fichiers peuvent confirmer l’infection.

Les sauvegardes suffisent-elles pour protéger WordPress ?

Non. Les sauvegardes sont indispensables, mais elles ne bloquent pas les attaques. Elles permettent de restaurer le site après un problème. Pour une bonne sécurité, il faut combiner sauvegardes, mises à jour, pare-feu, 2FA, surveillance, hébergement fiable et bonnes pratiques de gestion des accès.

Comment sécuriser WooCommerce ?

Pour sécuriser WooCommerce, utilisez HTTPS, mettez WooCommerce et ses extensions à jour, choisissez des passerelles de paiement fiables, activez la 2FA pour les administrateurs, limitez les rôles utilisateurs, configurez des sauvegardes fréquentes, surveillez les commandes suspectes et testez les mises à jour sur un environnement de staging.

Dois-je désactiver XML-RPC ?

Si vous n’utilisez pas XML-RPC, vous pouvez le désactiver. Cela peut réduire certaines attaques par force brute ou abus automatisés. Mais si vous utilisez Jetpack, l’application mobile WordPress ou certains outils de publication distante, vérifiez d’abord que la désactivation ne casse pas une fonctionnalité importante.

À quelle fréquence faut-il faire un audit de sécurité WordPress ?

Pour un site vitrine, un audit tous les trois à six mois peut suffire. Pour une boutique WooCommerce, un espace membre ou un site générant du chiffre d’affaires, un audit mensuel ou trimestriel est recommandé. Après chaque incident, migration, refonte ou grosse mise à jour, un audit est également conseillé.

Que faire si mon site WordPress est piraté ?

Mettez le site en sécurité, changez tous les mots de passe, identifiez la faille, scannez les fichiers, supprimez les malwares, mettez tout à jour, restaurez une sauvegarde saine si nécessaire, régénérez les clés WordPress et demandez un réexamen Google si le site a été signalé comme dangereux. Si vous n’êtes pas sûr de la cause, faites appel à un spécialiste.

Cet article vous a été utile ? Partagez-le !