Comment sécuriser un site WordPress ? Guide complet pour protéger votre site efficacement
Apprenez à sécuriser efficacement votre site WordPress. Ce guide vous dévoile les meilleures pratiques pour protéger vos données et maintenir la confiance de vos utilisateurs.
Sommaire
- 1Pourquoi la sécurité WordPress est devenue indispensable
- 2Les principales failles de sécurité sur WordPress
- aLes extensions vulnérables
- bLes thèmes mal maintenus
- cLes mots de passe faibles
- dL’absence de double authentification
- eLes sites non mis à jour
- fLes mauvais hébergements
- gLes permissions de fichiers trop ouvertes
- 3Schéma global de sécurité WordPress
- 4Tableau récapitulatif des actions prioritaires
- 5Choisir un hébergement WordPress sécurisé
- aLes critères d’un bon hébergement sécurisé
- bMutualisé, VPS ou hébergement managé ?
- 6Garder WordPress, les thèmes et les plugins à jour
- aPourquoi les mises à jour sont essentielles
- bBonnes pratiques de mise à jour
- cFaut-il activer les mises à jour automatiques ?
- 7Supprimer les plugins et thèmes inutiles
- 8Utiliser des mots de passe forts et uniques
- aComptes à protéger en priorité
- 9Activer la double authentification
- 10Limiter les tentatives de connexion
- 11Changer l’identifiant “admin”
- 12Sécuriser la page de connexion WordPress
- 13Installer un pare-feu applicatif
- aLe WAF côté serveur ou plugin
- bLe WAF cloud
- 14Mettre en place des sauvegardes automatiques
- aFréquence recommandée des sauvegardes
- bRègle 3-2-1 des sauvegardes
- 15Utiliser un certificat SSL
- 16Sécuriser le fichier wp-config.php
- 17Désactiver l’édition des fichiers depuis l’administration
- 18Sécuriser les permissions des fichiers
- 19Protéger la base de données WordPress
- 20Désactiver XML-RPC si vous ne l’utilisez pas
- 21Sécuriser l’API REST WordPress
- 22Sécuriser les formulaires WordPress
- 23Sécuriser WooCommerce
- 24Contrôler les rôles utilisateurs
- 25Graphique : niveau de risque selon les négligences
- 26Ajouter des en-têtes HTTP de sécurité
- 27Surveiller les fichiers modifiés
- 28Scanner les malwares
- 29Protéger le fichier .htaccess
- 30Bloquer l’exécution PHP dans uploads
- 31Sécuriser les tâches cron WordPress
- 32Protéger les emails sortants
- 33Mettre en place Cloudflare ou un CDN sécurisé
- 34Faire un audit de sécurité WordPress
- 35Checklist complète pour sécuriser WordPress
- 36Plan d’urgence en cas de piratage WordPress
- aÉtape 1 : mettre le site en sécurité
- bÉtape 2 : changer tous les accès
- cÉtape 3 : identifier la source
- dÉtape 4 : nettoyer le site
- eÉtape 5 : restaurer si nécessaire
- fÉtape 6 : demander un réexamen Google
- 37Sécurité WordPress et SEO : pourquoi c’est lié
- 38Sécuriser WordPress quand on utilise Elementor
- 39Sécuriser WordPress quand on utilise des plugins SEO
- 40Sécuriser WordPress pour un site multilingue
- 41Sécuriser WordPress côté développeur
- 42Exemple de routine mensuelle de sécurité
- 43Graphique : stratégie de sécurité idéale
- 44Les erreurs fréquentes à éviter
- 45Quels plugins utiliser pour sécuriser WordPress ?
- 46Combien coûte la sécurisation d’un site WordPress ?
- 47Ce qu'il faut retenir
- 48FAQ : Comment sécuriser un site WordPress ?
Sécuriser un site WordPress n’est plus une option. C’est une nécessité pour toute entreprise, boutique en ligne, blog professionnel, site vitrine, média ou plateforme de formation qui souhaite protéger ses données, préserver sa réputation et éviter les pertes financières liées à un piratage.
WordPress est le CMS le plus utilisé au monde. Cette popularité est une force, car elle offre un immense écosystème de thèmes, d’extensions, de développeurs et de ressources. Mais c’est aussi une cible privilégiée pour les cyberattaques. Les pirates ne s’attaquent pas uniquement aux grands sites. Ils visent aussi les petits sites vitrines, les blogs peu actifs, les boutiques WooCommerce récentes, les sites d’associations et les pages professionnelles locales. Pourquoi ? Parce qu’un site mal protégé peut servir à envoyer du spam, héberger du contenu frauduleux, voler des données, rediriger les visiteurs vers des pages malveillantes ou injecter des liens SEO toxiques.
La bonne nouvelle, c’est qu’il est possible de protéger un site WordPress de manière très efficace sans être expert en cybersécurité. Il faut simplement appliquer les bonnes pratiques, choisir les bons outils, garder une discipline de maintenance et comprendre où se situent les principaux risques.
Dans ce guide complet, vous allez découvrir comment sécuriser un site WordPress étape par étape : hébergement, mises à jour, extensions, mots de passe, sauvegardes, pare-feu, anti-malware, certificat SSL, base de données, fichiers sensibles, rôles utilisateurs, WooCommerce, formulaires, serveur, en-têtes HTTP, surveillance et plan d’urgence.
L’objectif n’est pas de vous donner une liste théorique. L’objectif est de vous aider à construire une vraie stratégie de sécurité WordPress, adaptée à un site professionnel moderne.
Pourquoi la sécurité WordPress est devenue indispensable
Un site WordPress peut être piraté pour plusieurs raisons : plugin vulnérable, thème abandonné, mot de passe faible, hébergement mal configuré, absence de sauvegarde, compte administrateur compromis, fichier infecté, formulaire mal protégé ou permissions serveur trop ouvertes.
Beaucoup de propriétaires de sites pensent encore : “Mon site est petit, personne ne va m’attaquer.” C’est une erreur. La majorité des attaques sont automatisées. Les robots scannent le web à la recherche de failles connues. Ils ne se demandent pas si votre marque est connue. Ils cherchent simplement une porte ouverte.
Un site WordPress piraté peut provoquer :
Une perte de trafic SEO
Une désindexation partielle ou totale sur Google
Des alertes “site dangereux” dans le navigateur
Une baisse de confiance des visiteurs
Une fuite de données clients
Des commandes frauduleuses sur WooCommerce
Des redirections vers des sites suspects
L’envoi massif de spam depuis votre domaine
Une perte de chiffre d’affaires
Des coûts élevés de nettoyage et de restauration
Google peut aussi afficher un avertissement de sécurité si votre site contient du malware, du phishing ou des scripts malveillants. Pour un site professionnel, cela peut ruiner des mois de travail SEO.
La sécurité WordPress doit donc être intégrée dès la création du site, pas seulement après une attaque.
Les principales failles de sécurité sur WordPress
Avant de protéger votre site, il faut comprendre les principales sources de risques.
Les extensions vulnérables
Les plugins WordPress sont l’une des premières causes de vulnérabilités. Un plugin mal codé, abandonné ou non mis à jour peut permettre à un attaquant d’injecter du code, de créer un compte administrateur, d’accéder à des fichiers sensibles ou de modifier la base de données.
Les extensions de formulaires, de réservation, de paiement, de membres, de SEO, de cache, de constructeurs de pages ou d’import/export sont particulièrement sensibles, car elles manipulent souvent des données utilisateurs.
Avant d’installer une extension, vérifiez toujours :
La date de dernière mise à jour
Le nombre d’installations actives
Les avis récents
La compatibilité avec votre version de WordPress
La réputation de l’éditeur
La qualité du support
La présence de failles connues dans des bases comme WPScan ou Patchstack
Les thèmes mal maintenus
Un thème WordPress ne sert pas seulement à gérer l’apparence. Il peut contenir du PHP, des scripts JavaScript, des fonctions personnalisées et des intégrations complexes. Un thème mal sécurisé peut ouvrir des failles.
Évitez les thèmes piratés, aussi appelés thèmes “nulled”. Ils sont souvent modifiés pour contenir des portes dérobées, du spam SEO ou du malware. Même si le thème semble fonctionner, il peut compromettre tout votre site.
Les mots de passe faibles
Un mot de passe comme “admin123”, “password”, “wordpress2026” ou le nom de votre entreprise est une invitation au piratage. Les attaques par force brute testent automatiquement des milliers de combinaisons.
Un bon mot de passe doit être long, unique, complexe et impossible à deviner. Il doit idéalement être généré par un gestionnaire de mots de passe.
L’absence de double authentification
La double authentification WordPress, aussi appelée 2FA, ajoute une couche de protection. Même si un pirate vole votre mot de passe, il ne pourra pas se connecter sans le second facteur : application d’authentification, code temporaire ou clé de sécurité.
C’est l’une des mesures les plus simples et les plus efficaces pour protéger l’administration WordPress.
Les sites non mis à jour
Un site WordPress non mis à jour est vulnérable. Les mises à jour ne servent pas uniquement à ajouter des fonctionnalités. Elles corrigent aussi des failles de sécurité.
Cela concerne :
Le cœur WordPress
Les plugins
Les thèmes
Les traductions
La version PHP
Le serveur
Les bibliothèques JavaScript
Les dépendances utilisées par certains plugins
Les mauvais hébergements
Tous les hébergements ne se valent pas. Un hébergement lent, mal isolé ou mal maintenu peut exposer votre site à des risques. Un serveur mutualisé mal sécurisé peut aussi favoriser les contaminations croisées entre plusieurs sites.
Un bon hébergeur WordPress doit proposer :
Un certificat SSL
Des sauvegardes automatiques
Une isolation des comptes
Un pare-feu serveur
Une protection anti-DDoS
Une version PHP récente
Un support technique réactif
Des outils de restauration
Une surveillance de base
Les permissions de fichiers trop ouvertes
Les permissions de fichiers déterminent qui peut lire, écrire ou exécuter un fichier. Si vos permissions sont trop permissives, un attaquant peut modifier des fichiers critiques.
En général, les dossiers WordPress doivent être en 755 et les fichiers en 644. Le fichier wp-config.php doit être encore plus protégé lorsque l’hébergement le permet.
Schéma global de sécurité WordPress
Voici une vision simple de la sécurité d’un site WordPress professionnel :
Visiteur
|
v
CDN / Pare-feu applicatif
|
v
Serveur sécurisé
|
v
WordPress à jour
|
v
Plugins et thèmes contrôlés
|
v
Comptes utilisateurs protégés
|
v
Base de données sauvegardée
|
v
Surveillance, logs et alertes
La sécurité ne repose jamais sur une seule action. Installer un plugin de sécurité ne suffit pas. Il faut créer plusieurs couches de protection.
Tableau récapitulatif des actions prioritaires
Niveau de priorité | Action de sécurité | Impact | Difficulté |
|---|---|---|---|
Très élevé | Mettre à jour WordPress, thèmes et plugins | Très fort | Facile |
Très élevé | Activer la double authentification | Très fort | Facile |
Très élevé | Installer un pare-feu applicatif | Très fort | Moyen |
Très élevé | Mettre en place des sauvegardes automatiques | Très fort | Facile |
Élevé | Supprimer les plugins inutiles | Fort | Facile |
Élevé | Renforcer les mots de passe | Fort | Facile |
Élevé | Limiter les tentatives de connexion | Fort | Facile |
Élevé | Sécuriser wp-config.php | Fort | Moyen |
Moyen | Désactiver l’édition de fichiers dans le tableau de bord | Moyen | Facile |
Moyen | Modifier les permissions fichiers | Moyen | Moyen |
Moyen | Ajouter des en-têtes HTTP de sécurité | Moyen | Moyen |
Moyen | Surveiller les logs | Fort | Moyen |
Avancé | Mettre en place un environnement de staging | Fort | Moyen |
Avancé | Audit régulier de vulnérabilités | Très fort | Avancé |
Choisir un hébergement WordPress sécurisé
La première couche de protection WordPress commence par l’hébergement. Même le meilleur plugin de sécurité ne compensera pas un serveur obsolète, mal configuré ou sans sauvegarde.
Un bon hébergement doit proposer une infrastructure à jour, une protection réseau, un système de sauvegarde fiable et des versions récentes de PHP et MySQL ou MariaDB.
Les critères d’un bon hébergement sécurisé
Pour sécuriser WordPress, privilégiez un hébergeur qui propose :
PHP récent et maintenu
Certificat SSL gratuit via Let’s Encrypt
Sauvegardes automatiques quotidiennes
Protection anti-DDoS
Pare-feu serveur
Isolation entre les comptes
Accès SFTP plutôt que FTP simple
Possibilité de staging
Support technique compétent
Journaux d’accès et d’erreurs
Scanner de fichiers malveillants
Restauration rapide
Si votre site génère du chiffre d’affaires, évitez les hébergements bas de gamme. Une boutique WooCommerce, un site à fort trafic ou un site avec espace membre mérite une infrastructure plus robuste.
Mutualisé, VPS ou hébergement managé ?
Le choix dépend du niveau de criticité du site.
Type d’hébergement | Avantages | Limites | Recommandé pour |
|---|---|---|---|
Mutualisé | Prix bas, simple à gérer | Moins de contrôle, performances variables | Petit site vitrine |
VPS | Contrôle élevé, bonne performance | Nécessite des compétences serveur | Site pro, agence, WooCommerce |
WordPress managé | Maintenance simplifiée, sécurité renforcée | Prix plus élevé, restrictions possibles | Site business, média, e-commerce |
Serveur dédié | Puissance maximale | Administration complexe | Gros trafic, plateforme critique |
Pour un site professionnel, un hébergement WordPress managé ou un VPS bien administré est souvent un meilleur choix qu’un mutualisé très bon marché.
Garder WordPress, les thèmes et les plugins à jour
Les mises à jour WordPress sont l’une des bases de la sécurité. Pourtant, beaucoup de sites sont piratés simplement parce qu’une extension vulnérable n’a pas été mise à jour.
Pourquoi les mises à jour sont essentielles
Les développeurs publient régulièrement des correctifs pour :
Corriger des failles XSS
Corriger des failles SQL injection
Corriger des problèmes de contrôle d’accès
Améliorer la compatibilité PHP
Corriger des bugs critiques
Renforcer la sécurité des formulaires
Améliorer les performances
Le problème, c’est qu’une fois qu’une faille est rendue publique, les attaquants peuvent automatiser son exploitation. Plus vous tardez à mettre à jour, plus le risque augmente.
Bonnes pratiques de mise à jour
Pour mettre à jour WordPress sans risque, suivez cette méthode :
Faites une sauvegarde complète
Mettez à jour d’abord sur un environnement de test si le site est critique
Mettez à jour le cœur WordPress
Mettez à jour les extensions
Mettez à jour le thème
Vérifiez les pages clés
Testez les formulaires
Testez le tunnel de commande si vous utilisez WooCommerce
Vérifiez les erreurs dans les logs
Gardez une possibilité de rollback
Faut-il activer les mises à jour automatiques ?
Oui, mais avec prudence. Pour les petits sites vitrines, les mises à jour automatiques des extensions fiables peuvent être utiles. Pour un site WooCommerce, une marketplace, un espace membre ou une plateforme de réservation, il est préférable de tester avant d’appliquer certaines mises à jour majeures.
Vous pouvez activer les mises à jour automatiques pour :
Les correctifs mineurs WordPress
Les plugins simples et fiables
Les extensions de sécurité
Les extensions peu critiques
Mais restez prudent avec :
WooCommerce
Les constructeurs de pages
Les plugins de paiement
Les plugins de réservation
Les plugins multilingues
Les extensions de membres
Les plugins personnalisés
Supprimer les plugins et thèmes inutiles
Chaque extension installée augmente la surface d’attaque. Même une extension désactivée peut parfois représenter un risque si ses fichiers restent présents sur le serveur.
Pour renforcer la sécurité WordPress, appliquez cette règle : si vous n’utilisez pas un plugin, supprimez-le.
Ne gardez pas :
Les anciens constructeurs de pages non utilisés
Les plugins de test
Les extensions installées pour une tâche ponctuelle
Les plugins abandonnés
Les thèmes inutilisés
Les thèmes “nulled”
Les plugins provenant de sources douteuses
Gardez seulement :
Votre thème actif
Un thème officiel de secours si nécessaire
Les extensions indispensables
Les plugins maintenus
Les outils réellement utilisés
Un site WordPress sécurisé est souvent un site plus léger.
Utiliser des mots de passe forts et uniques
Un mot de passe WordPress sécurisé doit être unique, long et impossible à deviner.
Un bon mot de passe doit contenir :
Au moins 14 à 20 caractères
Des lettres minuscules
Des lettres majuscules
Des chiffres
Des caractères spéciaux
Aucune information personnelle
Aucun mot du dictionnaire
Aucune réutilisation sur un autre service
Le mieux est d’utiliser un gestionnaire de mots de passe comme Bitwarden, 1Password ou Dashlane. Cela permet de générer et stocker des mots de passe solides sans devoir les mémoriser.
Comptes à protéger en priorité
Ne protégez pas seulement le compte administrateur WordPress. Protégez aussi :
L’espace client de l’hébergeur
Le compte FTP ou SFTP
Le compte base de données
Le compte Cloudflare ou CDN
Le compte Google Search Console
Le compte Google Analytics
Le compte SMTP
Les comptes administrateurs WooCommerce
Les comptes des développeurs externes
Un pirate n’a pas toujours besoin de votre mot de passe WordPress. Il peut passer par votre hébergement, votre email, votre FTP ou un compte administrateur oublié.
Activer la double authentification
La double authentification WordPress est l’une des meilleures protections contre le piratage de compte.
Même si un attaquant obtient votre mot de passe, il devra fournir un code temporaire généré par une application comme Google Authenticator, Microsoft Authenticator, Authy ou 1Password.
Activez la 2FA pour :
Les administrateurs
Les éditeurs
Les gestionnaires WooCommerce
Les développeurs
Les comptes ayant accès aux données clients
Les comptes ayant accès aux réglages sensibles
Pour un site e-commerce, la 2FA devrait être obligatoire pour tous les comptes à privilèges.
Limiter les tentatives de connexion
Les attaques par force brute consistent à tester massivement des identifiants et mots de passe. Pour les réduire, il faut limiter les tentatives de connexion WordPress.
Vous pouvez configurer :
Blocage temporaire après plusieurs échecs
Captcha sur la page de connexion
Blocage des IP suspectes
Journalisation des tentatives
Notification en cas de connexion suspecte
Protection XML-RPC
2FA obligatoire
Un plugin de sécurité comme Wordfence, Solid Security, Patchstack, Sucuri Security ou All-In-One Security peut aider à mettre en place ces protections.
Changer l’identifiant “admin”
L’identifiant “admin” est encore trop souvent utilisé. C’est dangereux, car les pirates n’ont plus qu’à deviner le mot de passe.
Créez un nouveau compte administrateur avec un identifiant unique, puis supprimez l’ancien compte “admin” après avoir transféré ses contenus vers le nouveau compte.
Évitez aussi les identifiants trop évidents :
admin
administrator
webmaster
contact
support
nomdusite
prénom seul
nom de marque
Un bon identifiant n’a pas besoin d’être public ni facile à deviner.
Sécuriser la page de connexion WordPress
La page de connexion WordPress se trouve généralement sur /wp-admin ou /wp-login.php. C’est normal, mais cela facilite les attaques automatisées.
Pour la protéger :
Activez la 2FA
Limitez les tentatives de connexion
Ajoutez un captcha
Bloquez XML-RPC si inutile
Utilisez un pare-feu applicatif
Surveillez les connexions inhabituelles
Évitez les comptes administrateurs partagés
Changer l’URL de connexion peut réduire certains robots basiques, mais ce n’est pas une sécurité suffisante à elle seule. Ce n’est qu’une couche supplémentaire.
Installer un pare-feu applicatif
Un pare-feu WordPress, aussi appelé WAF, filtre le trafic avant qu’il n’atteigne votre site. Il peut bloquer les requêtes malveillantes, les attaques connues, les tentatives d’injection SQL, les scripts suspects et certains robots agressifs.
Il existe deux grands types de WAF :
Le WAF côté serveur ou plugin
Il fonctionne directement dans WordPress ou au niveau de l’hébergement. Il peut analyser les requêtes, bloquer certaines IP et protéger les fichiers sensibles.
Le WAF cloud
Il filtre le trafic avant qu’il arrive sur votre serveur. Des solutions comme Cloudflare, Sucuri Firewall ou certains hébergeurs managés proposent ce type de protection.
Le WAF cloud est très utile contre :
Les attaques DDoS
Les bots agressifs
Les scans automatisés
Les attaques sur plugins connus
Les pays ou réseaux suspects
Les pics de trafic malveillant
Pour un site professionnel, un WAF est fortement recommandé.
Mettre en place des sauvegardes automatiques
Une sauvegarde WordPress est votre assurance vie. Même avec toutes les protections du monde, le risque zéro n’existe pas. Si votre site est piraté, cassé ou supprimé, une bonne sauvegarde permet de restaurer rapidement.
Une bonne stratégie de sauvegarde doit inclure :
Les fichiers WordPress
La base de données
Le dossier uploads
Les thèmes
Les plugins
Le fichier wp-config.php
Les réglages critiques
Fréquence recommandée des sauvegardes
Type de site | Fréquence fichiers | Fréquence base de données |
|---|---|---|
Site vitrine peu modifié | Hebdomadaire | Hebdomadaire |
Blog actif | Hebdomadaire | Quotidienne |
Site WooCommerce | Quotidienne | Plusieurs fois par jour |
Site média | Quotidienne | Quotidienne |
Plateforme membre | Quotidienne | Plusieurs fois par jour |
Site à fort trafic | Quotidienne | Temps réel ou quasi temps réel |
Règle 3-2-1 des sauvegardes
3 copies de vos données
2 supports différents
1 copie hors serveur
Ne stockez jamais vos seules sauvegardes sur le même serveur que votre site. Si le serveur est compromis, vos sauvegardes peuvent l’être aussi.
Utilisez un stockage externe : Google Drive, Dropbox, Amazon S3, pCloud, serveur distant ou stockage fourni par un hébergeur fiable.
Utiliser un certificat SSL
Un certificat SSL WordPress permet d’activer HTTPS. Il chiffre les échanges entre le navigateur du visiteur et le serveur.
HTTPS est indispensable pour :
Les formulaires de contact
Les connexions utilisateurs
Les paiements
WooCommerce
Les espaces membres
Le SEO
La confiance des visiteurs
Aujourd’hui, un site professionnel sans HTTPS inspire peu confiance. Les navigateurs signalent les pages non sécurisées, surtout lorsqu’elles contiennent des champs de formulaire.
Après l’installation du certificat SSL, vérifiez :
Que toutes les pages chargent en HTTPS
Qu’il n’y a pas de contenu mixte
Que les redirections HTTP vers HTTPS fonctionnent
Que l’URL du site est bien configurée dans WordPress
Que Google Search Console utilise la version HTTPS
Sécuriser le fichier wp-config.php
Le fichier wp-config.php est l’un des fichiers les plus sensibles de WordPress. Il contient les informations de connexion à la base de données et les clés de sécurité.
Pour le protéger :
Limitez ses permissions
Empêchez son accès direct
Ne l’éditez pas depuis un réseau non sécurisé
Ne le partagez jamais par email
Ne le laissez pas dans une archive publique
Régénérez les clés de sécurité si le site a été compromis
Vous pouvez générer de nouvelles clés via le générateur officiel de clés WordPress : WordPress Secret Key Service
Désactiver l’édition des fichiers depuis l’administration
Par défaut, WordPress peut permettre d’éditer les fichiers de thème ou de plugin depuis le tableau de bord. C’est pratique, mais dangereux.
Si un pirate accède à un compte administrateur, il peut injecter du code directement depuis l’interface.
Ajoutez cette ligne dans wp-config.php :
define('DISALLOW_FILE_EDIT', true);
Cela désactive l’éditeur de fichiers dans l’administration WordPress.
Sécuriser les permissions des fichiers
Les permissions doivent être configurées correctement pour éviter les modifications non autorisées.
Configuration généralement recommandée :
Dossiers : 755
Fichiers : 644
wp-config.php : 600 ou 640 selon l’hébergement
Évitez absolument les permissions 777, sauf cas très exceptionnel et temporaire. Une permission 777 signifie que tout le monde peut lire, écrire et exécuter. C’est une faille majeure.
Protéger la base de données WordPress
La base de données contient vos articles, pages, utilisateurs, commandes WooCommerce, réglages, commentaires et parfois des données sensibles.
Pour renforcer la sécurité de la base de données WordPress :
Utilisez un mot de passe fort pour la base
Limitez les accès distants
Supprimez les anciens utilisateurs MySQL inutiles
Sauvegardez régulièrement
Évitez les plugins douteux qui manipulent la base
Nettoyez les tables abandonnées
Surveillez les injections SQL
Utilisez un préfixe de table personnalisé sur les nouvelles installations
Changer le préfixe wp_ peut réduire certains scripts automatisés, mais ce n’est pas une solution miracle. La vraie protection repose surtout sur les mises à jour, la validation des données, les permissions et le pare-feu.
Désactiver XML-RPC si vous ne l’utilisez pas
XML-RPC est une fonctionnalité WordPress qui permet des connexions à distance. Elle peut être utilisée par certaines applications, Jetpack ou des outils externes. Mais elle est aussi exploitée dans certaines attaques par force brute ou amplification.
Si vous ne l’utilisez pas, vous pouvez la désactiver via un plugin de sécurité, une règle serveur ou un WAF.
Avant de désactiver XML-RPC, vérifiez si votre site dépend de :
Jetpack
Application mobile WordPress
Outils de publication distante
Certaines intégrations externes
Si vous n’en avez pas besoin, désactivez-la.
Sécuriser l’API REST WordPress
L’API REST WordPress est utile pour les applications, les constructeurs, les intégrations et les sites headless. Mais elle peut aussi exposer certaines informations si elle est mal utilisée.
Il ne faut pas forcément la désactiver complètement. Il faut surtout contrôler ce qu’elle expose.
Bonnes pratiques :
Garder WordPress et les plugins à jour
Éviter les plugins qui exposent trop de données
Restreindre certains endpoints sensibles
Vérifier les permissions utilisateur
Protéger les routes personnalisées
Utiliser les nonces WordPress pour les actions sensibles
Valider et nettoyer les données reçues
Les développeurs doivent suivre les bonnes pratiques officielles de sécurité WordPress, notamment la validation, la sanitization, l’escaping et le contrôle des capacités utilisateurs.
Sécuriser les formulaires WordPress
Les formulaires sont des points d’entrée importants : contact, devis, inscription, commentaire, newsletter, réservation, paiement, téléchargement.
Pour sécuriser vos formulaires :
Ajoutez un anti-spam
Utilisez un captcha ou une solution invisible
Limitez les fichiers autorisés en upload
Bloquez les extensions dangereuses
Validez les champs côté serveur
Nettoyez les données entrantes
Évitez d’afficher les données sans échappement
Limitez le nombre de soumissions
Protégez les formulaires sensibles avec un nonce
Mettez à jour votre plugin de formulaire
Ne laissez jamais un formulaire accepter n’importe quel type de fichier. Les uploads mal contrôlés peuvent permettre l’envoi de fichiers PHP malveillants.
Sécuriser WooCommerce
Une boutique WooCommerce demande un niveau de sécurité plus élevé qu’un simple site vitrine, car elle traite des commandes, des comptes clients, des paiements, des adresses et parfois des factures.
Pour sécuriser WooCommerce :
Utilisez HTTPS partout
Gardez WooCommerce à jour
Utilisez uniquement des passerelles de paiement fiables
Activez la 2FA pour les administrateurs
Limitez les rôles des gestionnaires de boutique
Protégez les comptes clients
Surveillez les commandes suspectes
Installez un WAF
Sauvegardez la base plusieurs fois par jour
Testez les mises à jour sur staging
Évitez les plugins WooCommerce abandonnés
Surveillez les emails transactionnels
Protégez l’accès au back-office
Un site e-commerce doit aussi prévoir un plan de reprise rapide. Chaque heure d’indisponibilité peut coûter de l’argent.
Contrôler les rôles utilisateurs
Tous les utilisateurs ne doivent pas être administrateurs. WordPress propose plusieurs rôles :
Administrateur
Éditeur
Auteur
Contributeur
Abonné
Gestionnaire de boutique avec WooCommerce
Appliquez le principe du moindre privilège : chaque utilisateur doit avoir uniquement les droits nécessaires à sa mission.
Exemples :
Un rédacteur n’a pas besoin d’être administrateur
Un community manager n’a pas besoin d’accéder aux plugins
Un prestataire SEO n’a pas toujours besoin d’accéder au serveur
Un développeur temporaire doit être supprimé après intervention
Un compte de test ne doit pas rester actif
Faites régulièrement un audit des utilisateurs.
Graphique : niveau de risque selon les négligences
Risque de piratage WordPress
Plugins non mis à jour ██████████ Très élevé
Mot de passe faible █████████ Très élevé
Aucune sauvegarde █████████ Très élevé
Pas de pare-feu ████████ Élevé
Thème abandonné ████████ Élevé
Permissions incorrectes ███████ Moyen à élevé
Pas de 2FA ████████ Élevé
Hébergement bas de gamme ███████ Moyen à élevé
Aucun monitoring ██████ Moyen
Ce graphique montre une réalité simple : la plupart des piratages ne viennent pas d’une attaque ultra sophistiquée. Ils viennent souvent d’un manque de maintenance.
Ajouter des en-têtes HTTP de sécurité
Les en-têtes HTTP de sécurité aident le navigateur à mieux protéger les visiteurs.
Les plus importants sont :
Content-Security-Policy
Strict-Transport-Security
X-Frame-Options
X-Content-Type-Options
Referrer-Policy
Permissions-Policy
Exemple simplifié :
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Attention : Content-Security-Policy peut casser certains scripts si elle est mal configurée. Testez avant de l’appliquer en production.
Ces en-têtes peuvent être configurés via le serveur, Cloudflare, certains plugins de sécurité ou l’hébergement.
Surveiller les fichiers modifiés
Un bon système de sécurité doit vous alerter lorsqu’un fichier important change.
Surveillez notamment :
Fichiers PHP modifiés
Nouveaux fichiers suspects
Fichiers dans wp-content/uploads
Fichiers .htaccess
Fichiers index.php inhabituels
Nouveaux comptes administrateurs
Modifications de plugins
Changements dans wp-config.php
Un scanner d’intégrité peut comparer les fichiers WordPress avec les versions officielles et détecter les modifications suspectes.
Scanner les malwares
Un scanner malware WordPress permet de détecter :
Backdoors
Scripts obfusqués
Redirections malveillantes
Fichiers PHP suspects
Spam SEO
Injections JavaScript
Faux plugins
Fichiers cachés
Modifications non autorisées
Des outils comme Sucuri SiteCheck, Wordfence, Patchstack ou certains scanners hébergeurs peuvent vous aider à repérer les infections.
Mais attention : un scanner ne remplace pas une vraie analyse technique. Certains malwares sophistiqués peuvent se cacher dans la base de données, les tâches cron, les fichiers système ou les plugins falsifiés.
Protéger le fichier .htaccess
Sur les serveurs Apache, le fichier .htaccess contrôle certaines règles importantes : redirections, permissions, accès aux fichiers, réécriture d’URL.
Un attaquant peut le modifier pour :
Rediriger les visiteurs
Injecter du spam
Bloquer certains utilisateurs
Cacher une infection
Modifier le comportement du site
Surveillez ce fichier régulièrement. Si vous voyez du code étrange, des redirections inconnues ou des règles obfusquées, faites un audit.
Bloquer l’exécution PHP dans uploads
Le dossier wp-content/uploads doit contenir des images, PDF, vidéos ou fichiers médias. Il ne devrait pas exécuter de fichiers PHP.
Une bonne pratique consiste à empêcher l’exécution PHP dans ce dossier. Cela réduit les risques liés aux uploads malveillants.
Exemple de logique :
/wp-content/uploads/
images OK
pdf OK
php interdit
Cette mesure est très utile pour les sites qui acceptent des fichiers via formulaires, espace membre, WooCommerce ou marketplace.
Sécuriser les tâches cron WordPress
WordPress utilise un système appelé WP-Cron pour exécuter certaines tâches : publication planifiée, nettoyage, emails, synchronisations, sauvegardes, actions WooCommerce.
Sur les sites à trafic élevé, il peut être préférable de désactiver WP-Cron natif et d’utiliser une vraie tâche cron serveur.
Cela permet :
Une meilleure performance
Une exécution plus fiable
Moins de surcharge
Plus de contrôle
Pour un site professionnel, configurez les tâches planifiées proprement et surveillez les actions anormales.
Protéger les emails sortants
Un site WordPress compromis peut être utilisé pour envoyer du spam. Cela peut dégrader la réputation de votre domaine et empêcher vos vrais emails d’arriver en boîte de réception.
Pour sécuriser les emails :
Utilisez un SMTP fiable
Configurez SPF, DKIM et DMARC
Surveillez les envois inhabituels
Évitez les plugins d’emailing douteux
Protégez les formulaires de contact
Limitez les notifications inutiles
Vérifiez les logs SMTP
Un site WooCommerce doit particulièrement protéger les emails transactionnels : confirmations de commande, réinitialisation de mot de passe, factures, remboursements.
Mettre en place Cloudflare ou un CDN sécurisé
Un CDN comme Cloudflare peut améliorer la performance et ajouter une couche de protection.
Il peut aider à :
Bloquer certains bots
Filtrer le trafic suspect
Masquer l’adresse IP du serveur
Réduire les attaques DDoS
Ajouter des règles de pare-feu
Gérer HTTPS
Activer des protections automatiques
Mettre en cache les ressources statiques
Mais un CDN mal configuré ne suffit pas. Il doit être combiné à une bonne sécurité WordPress, un hébergement fiable et des sauvegardes.
Faire un audit de sécurité WordPress
Un audit de sécurité WordPress consiste à examiner le site pour identifier les faiblesses.
Un audit sérieux doit vérifier :
Version de WordPress
Liste des plugins
Thèmes installés
Comptes utilisateurs
Permissions fichiers
Configuration serveur
Certificat SSL
En-têtes HTTP
Logs de connexion
Présence de malware
Sauvegardes
Base de données
WAF
Formulaires
WooCommerce
API REST
XML-RPC
Tâches cron
Rôles utilisateurs
Pour un site professionnel, un audit trimestriel est recommandé. Pour une boutique WooCommerce active, un audit mensuel peut être pertinent.
Checklist complète pour sécuriser WordPress
[ ] WordPress est à jour
[ ] Tous les plugins sont à jour
[ ] Tous les thèmes sont à jour
[ ] Les plugins inutiles sont supprimés
[ ] Les thèmes inutiles sont supprimés
[ ] Aucun thème ou plugin nulled n’est installé
[ ] Les mots de passe sont forts
[ ] La double authentification est activée
[ ] Les tentatives de connexion sont limitées
[ ] Les comptes administrateurs sont contrôlés
[ ] Les anciens comptes sont supprimés
[ ] Le certificat SSL est actif
[ ] Les redirections HTTPS fonctionnent
[ ] Les sauvegardes automatiques sont activées
[ ] Les sauvegardes sont stockées hors serveur
[ ] Une restauration a été testée
[ ] Un pare-feu applicatif est actif
[ ] XML-RPC est désactivé si inutile
[ ] L’édition de fichiers est désactivée
[ ] Les permissions fichiers sont correctes
[ ] wp-config.php est protégé
[ ] Les formulaires sont protégés
[ ] Les uploads sont contrôlés
[ ] Les logs sont surveillés
[ ] Les en-têtes HTTP sont configurés
[ ] Le site est scanné régulièrement
[ ] Un plan d’urgence existe
Plan d’urgence en cas de piratage WordPress
Si votre site est piraté, ne paniquez pas. Mais n’attendez pas.
Étape 1 : mettre le site en sécurité
Si le site diffuse du malware, redirige les visiteurs ou expose des données, mettez-le temporairement en maintenance. Le but est de limiter les dégâts.
Étape 2 : changer tous les accès
Changez immédiatement :
Mot de passe WordPress
Mot de passe hébergeur
Mot de passe SFTP
Mot de passe base de données
Mot de passe SMTP
Mot de passe Cloudflare
Clés de sécurité WordPress
Accès des prestataires
Étape 3 : identifier la source
Cherchez :
Plugin vulnérable
Thème infecté
Fichier modifié
Compte administrateur inconnu
Upload suspect
Redirection dans .htaccess
Injection dans la base
Tâche cron suspecte
Fausse extension
Étape 4 : nettoyer le site
Supprimez les fichiers malveillants, remplacez les fichiers WordPress core par des versions propres, mettez à jour tous les éléments, retirez les plugins douteux et vérifiez la base de données.
Étape 5 : restaurer si nécessaire
Si vous avez une sauvegarde propre, restaurez-la. Mais attention : restaurer une sauvegarde infectée ne sert à rien. Il faut identifier une date saine.
Étape 6 : demander un réexamen Google
Si Google a signalé votre site comme dangereux, utilisez Google Search Console pour demander un réexamen après nettoyage.
Sécurité WordPress et SEO : pourquoi c’est lié
La sécurité WordPress a un impact direct sur le SEO. Un site piraté peut perdre ses positions rapidement.
Les attaques SEO les plus fréquentes sont :
Injection de liens spam
Pages japonaises ou chinoises générées automatiquement
Redirections cloaking
Création de pages invisibles
Modification du sitemap
Injection dans les balises title
Spam dans les commentaires
Faux fichiers indexés
Redirection mobile uniquement
Google peut détecter ces signaux et réduire la visibilité du site. Même après nettoyage, la récupération SEO peut prendre du temps.
Pour protéger votre référencement :
Surveillez Google Search Console
Vérifiez les pages indexées
Analysez les requêtes SEO étranges
Contrôlez le sitemap
Surveillez les liens sortants
Scannez les fichiers
Mettez à jour régulièrement
Bloquez les injections de contenu
Nettoyez les commentaires spam
Un site sécurisé est aussi un site plus fiable pour Google et pour les utilisateurs.
Sécuriser WordPress quand on utilise Elementor
Elementor est très populaire. Mais comme tout constructeur puissant, il dépend d’un écosystème d’addons, de widgets et d’intégrations. Le risque vient souvent des extensions complémentaires mal maintenues.
Bonnes pratiques :
Gardez Elementor à jour
Gardez Elementor Pro à jour
Limitez le nombre d’addons
Supprimez les widgets inutilisés
Évitez les packs d’addons inconnus
Contrôlez les formulaires Elementor
Protégez les uploads
Testez les mises à jour sur staging
Surveillez les vulnérabilités connues
Plus vous ajoutez d’addons, plus vous augmentez la surface d’attaque. La sobriété est une bonne pratique de sécurité.
Sécuriser WordPress quand on utilise des plugins SEO
Les plugins SEO comme Yoast SEO, Rank Math ou SEOPress sont essentiels pour beaucoup de sites. Ils modifient les métadonnées, les sitemaps, les redirections et parfois les schémas de données structurées.
Pour les sécuriser :
Utilisez une extension SEO fiable
Évitez d’installer plusieurs plugins SEO en même temps
Mettez-les à jour régulièrement
Contrôlez les redirections
Vérifiez le sitemap XML
Limitez l’accès aux réglages SEO
Surveillez les modifications de title et meta description
Un compte éditeur compromis peut parfois modifier des contenus SEO stratégiques. Ne donnez pas trop de droits à n’importe qui.
Sécuriser WordPress pour un site multilingue
Les sites multilingues utilisent souvent WPML, Polylang, TranslatePress ou Weglot. Ces extensions ajoutent des tables, des routes, des paramètres d’URL et parfois des intégrations externes.
Pour un site multilingue sécurisé :
Gardez le plugin de traduction à jour
Évitez les modules complémentaires inutiles
Contrôlez les rôles traducteurs
Vérifiez les URLs générées
Surveillez les redirections
Sauvegardez avant toute synchronisation
Testez après chaque mise à jour majeure
Un bug sur un site multilingue peut affecter plusieurs versions linguistiques à la fois. D’où l’importance du staging.
Sécuriser WordPress côté développeur
Si vous développez un thème ou un plugin sur mesure, la sécurité doit être intégrée dans le code.
Les développeurs WordPress doivent appliquer :
Validation des données
Sanitization des entrées
Escaping des sorties
Vérification des nonces
Contrôle des capacités utilisateurs
Requêtes SQL préparées
Protection contre XSS
Protection contre CSRF
Protection contre injections SQL
Gestion propre des uploads
Pas de données sensibles en clair
Pas de clés API exposées dans le thème
Ressources utiles :
Exemple de routine mensuelle de sécurité
Voici une routine simple pour maintenir un site WordPress sécurisé.
Chaque semaine :
- Vérifier les mises à jour
- Contrôler les sauvegardes
- Vérifier les alertes de sécurité
- Tester les formulaires
- Surveiller les connexions suspectes
Chaque mois :
- Supprimer les plugins inutiles
- Auditer les comptes utilisateurs
- Vérifier Google Search Console
- Scanner les fichiers
- Contrôler les performances
- Tester une restauration
Chaque trimestre :
- Audit complet de sécurité
- Vérification des permissions
- Contrôle des en-têtes HTTP
- Revue des plugins critiques
- Mise à jour de la documentation interne
La sécurité WordPress est une routine, pas une action ponctuelle.
Graphique : stratégie de sécurité idéale
Protection idéale d’un site WordPress
Prévention ██████████ 40 %
Sauvegarde ████████ 25 %
Surveillance ███████ 20 %
Réaction rapide █████ 15 %
La prévention réduit les risques. Les sauvegardes permettent de récupérer. La surveillance détecte les problèmes. La réaction rapide limite les dégâts.
Les erreurs fréquentes à éviter
Voici les erreurs que l’on retrouve souvent sur les sites WordPress piratés :
Installer trop de plugins
Ne jamais mettre à jour
Utiliser un thème nulled
Garder le compte admin
Réutiliser le même mot de passe partout
Ne pas activer la 2FA
Stocker les sauvegardes sur le même serveur
Donner un accès administrateur à tout le monde
Ignorer les alertes Google Search Console
Ne pas tester les sauvegardes
Installer des plugins inconnus pour “tester”
Utiliser FTP au lieu de SFTP
Laisser des comptes prestataires actifs
Ne pas surveiller les fichiers modifiés
Croire qu’un plugin de sécurité suffit
La sécurité repose surtout sur la discipline.
Quels plugins utiliser pour sécuriser WordPress ?
Il existe plusieurs bons plugins de sécurité WordPress. Le choix dépend de votre besoin, de votre niveau technique et de votre budget.
Plugin / solution | Points forts | Idéal pour |
|---|---|---|
Wordfence | Pare-feu, scan, login security | Sites généralistes |
Patchstack | Détection de vulnérabilités plugins | Sites avec nombreux plugins |
Sucuri Security | Monitoring, scan, WAF externe | Sites professionnels |
Solid Security | Durcissement, 2FA, login protection | PME, sites vitrines |
WP Activity Log | Journal d’activité détaillé | Sites multi-utilisateurs |
UpdraftPlus | Sauvegardes automatiques | Sites vitrines et blogs |
BlogVault | Sauvegardes et staging | Sites critiques |
Cloudflare | WAF cloud, CDN, anti-DDoS | Tous les sites pros |
N’installez pas plusieurs plugins qui font exactement la même chose. Deux pare-feux ou deux systèmes de login security peuvent entrer en conflit.
Combien coûte la sécurisation d’un site WordPress ?
Le coût dépend du niveau de protection attendu.
Besoin | Budget possible | Description |
|---|---|---|
Sécurité basique | 0 à 100 € / an | Plugins gratuits, sauvegardes simples, bonnes pratiques |
Sécurité professionnelle | 100 à 500 € / an | WAF, sauvegardes externes, monitoring, outils premium |
Sécurité e-commerce | 300 à 1 500 € / an | Staging, sauvegardes fréquentes, WAF avancé, audit |
Sécurité critique | 1 500 € et plus / an | Infogérance, monitoring avancé, audits réguliers |
Ne voyez pas la sécurité comme une dépense. Voyez-la comme une assurance. Nettoyer un site piraté coûte souvent plus cher que le protéger correctement dès le départ.
Ce qu'il faut retenir
Sécuriser un site WordPress demande une approche complète. Il ne suffit pas d’installer un plugin de sécurité et d’espérer que tout ira bien. La vraie sécurité repose sur plusieurs couches : hébergement fiable, mises à jour régulières, plugins contrôlés, mots de passe forts, double authentification, sauvegardes externes, pare-feu, surveillance, permissions correctes et plan d’urgence.
WordPress reste une excellente solution pour créer un site professionnel, une boutique en ligne, un blog, un média ou une plateforme de services. Mais comme tout outil puissant, il doit être entretenu sérieusement.
La meilleure stratégie est simple : prévenir, sauvegarder, surveiller et réagir vite. Un site bien sécurisé inspire confiance, protège vos visiteurs, préserve votre SEO et réduit fortement les risques de pertes financières.
Si votre site WordPress est important pour votre activité, ne remettez pas la sécurité à plus tard. Commencez par les actions prioritaires : mises à jour, sauvegardes, 2FA, pare-feu, suppression des plugins inutiles et audit des accès. Ce sont souvent les mesures les plus simples qui évitent les plus gros problèmes.
FAQ : Comment sécuriser un site WordPress ?
Comment sécuriser rapidement un site WordPress ?
Pour sécuriser rapidement un site WordPress, commencez par mettre à jour WordPress, les plugins et les thèmes. Ensuite, supprimez les extensions inutiles, activez la double authentification, installez un plugin de sécurité fiable, configurez des sauvegardes automatiques hors serveur et vérifiez que le site fonctionne en HTTPS. Ces actions simples réduisent déjà une grande partie des risques.
Quel est le meilleur plugin de sécurité WordPress ?
Il n’existe pas un seul meilleur plugin pour tous les sites. Wordfence est populaire pour son pare-feu et son scanner. Patchstack est très utile pour surveiller les vulnérabilités des extensions. Sucuri est intéressant pour le monitoring et le pare-feu cloud. Solid Security convient bien aux sites vitrines et PME. Le meilleur choix dépend de votre site, de votre budget et de votre niveau technique.
WordPress est-il sécurisé ?
Oui, WordPress peut être sécurisé lorsqu’il est bien maintenu. Le problème vient souvent des plugins vulnérables, des thèmes abandonnés, des mots de passe faibles, des hébergements mal configurés ou de l’absence de maintenance. Un WordPress à jour, bien hébergé, avec peu d’extensions fiables et une bonne configuration de sécurité peut être très robuste.
Faut-il changer l’URL de connexion WordPress ?
Changer l’URL de connexion peut réduire les attaques automatisées basiques, mais ce n’est pas une protection suffisante. Il faut surtout activer la double authentification, limiter les tentatives de connexion, utiliser des mots de passe solides et installer un pare-feu. Changer l’URL de connexion est une couche complémentaire, pas une solution principale.
Comment savoir si mon site WordPress est piraté ?
Les signes fréquents sont : redirections inconnues, ralentissements soudains, pages étranges indexées sur Google, alertes de navigateur, nouveaux comptes administrateurs, fichiers suspects, emails spam envoyés depuis le domaine, baisse brutale du trafic SEO ou messages dans Google Search Console. Un scan malware et une analyse des fichiers peuvent confirmer l’infection.
Les sauvegardes suffisent-elles pour protéger WordPress ?
Non. Les sauvegardes sont indispensables, mais elles ne bloquent pas les attaques. Elles permettent de restaurer le site après un problème. Pour une bonne sécurité, il faut combiner sauvegardes, mises à jour, pare-feu, 2FA, surveillance, hébergement fiable et bonnes pratiques de gestion des accès.
Comment sécuriser WooCommerce ?
Pour sécuriser WooCommerce, utilisez HTTPS, mettez WooCommerce et ses extensions à jour, choisissez des passerelles de paiement fiables, activez la 2FA pour les administrateurs, limitez les rôles utilisateurs, configurez des sauvegardes fréquentes, surveillez les commandes suspectes et testez les mises à jour sur un environnement de staging.
Dois-je désactiver XML-RPC ?
Si vous n’utilisez pas XML-RPC, vous pouvez le désactiver. Cela peut réduire certaines attaques par force brute ou abus automatisés. Mais si vous utilisez Jetpack, l’application mobile WordPress ou certains outils de publication distante, vérifiez d’abord que la désactivation ne casse pas une fonctionnalité importante.
À quelle fréquence faut-il faire un audit de sécurité WordPress ?
Pour un site vitrine, un audit tous les trois à six mois peut suffire. Pour une boutique WooCommerce, un espace membre ou un site générant du chiffre d’affaires, un audit mensuel ou trimestriel est recommandé. Après chaque incident, migration, refonte ou grosse mise à jour, un audit est également conseillé.
Que faire si mon site WordPress est piraté ?
Mettez le site en sécurité, changez tous les mots de passe, identifiez la faille, scannez les fichiers, supprimez les malwares, mettez tout à jour, restaurez une sauvegarde saine si nécessaire, régénérez les clés WordPress et demandez un réexamen Google si le site a été signalé comme dangereux. Si vous n’êtes pas sûr de la cause, faites appel à un spécialiste.

