arrow_back Retour au blog
WordPress 5 avril 2026 11 min de lecture

Sécurité WordPress : 12 actions concrètes pour protéger votre site

97% des sites WordPress piratés utilisaient des plugins non mis à jour. Voici 12 actions concrètes, classées par priorité, pour sécuriser votre site WordPress dès aujourd'hui.

"Mon site WordPress avait été piraté depuis 6 semaines sans que je le sache. Les hackers avaient injecté des liens frauduleux dans mes pages. Google m'a déréférencé. J'ai perdu 40 % de mon trafic organique en un weekend."Arnaud P., gérant d'un site e-commerce artisanal, Bretagne

WordPress : la cible n°1 des cyberattaques

WordPress propulse 43,2 % de l'ensemble des sites web mondiaux (source : W3Techs). C'est sa force — et sa faiblesse.

Cette part de marché massive en fait une cible de choix. Selon Sucuri, 97 % des sites WordPress compromis utilisaient des plugins, thèmes ou versions du core non mis à jour au moment de l'attaque.

La bonne nouvelle : une bonne hygiène de sécurité vous protège contre 90 % des attaques.

Comprendre les 4 vecteurs d'attaque principaux

  1. Les plugins vulnérables (52 % des cas) — Un plugin non mis à jour avec une CVE publiée est une porte ouverte
  2. Le brute force sur wp-admin — Des scripts testent des millions de combinaisons identifiant/mot de passe 24h/24
  3. Les thèmes "nulled" — Des thèmes premium piratés distribués gratuitement contiennent systématiquement des backdoors
  4. L'hébergement partagé compromis — Un voisin mal sécurisé sur le même serveur peut vous affecter

Les 12 actions de sécurisation

CRITIQUE — À faire immédiatement

Action 1 : Mettez tout à jour

Core WordPress, plugins, thèmes — tout, maintenant. Activez les mises à jour automatiques pour le core. Vérifiez que vos plugins sont activement maintenus sur wordpress.org/plugins (date de dernière mise à jour, compatibilité avec la version actuelle).

Action 2 : Supprimez les plugins et thèmes inutilisés

Un plugin désactivé mais présent sur le serveur peut toujours être exploité. Règle d'or : si vous ne l'utilisez pas, supprimez-le.

Action 3 : Changez l'URL de connexion /wp-admin

L'URL par défaut est connue de tous les scripts d'attaque. Le plugin gratuit WPS Hide Login la remplace par une URL personnalisée en 2 minutes. Résultat : les tentatives de brute force chutent de 99 %.

IMPORTANT — À faire cette semaine

Action 4 : Activez l'authentification à deux facteurs (2FA)

Même si votre mot de passe est compromis, l'attaquant ne peut pas se connecter sans le second facteur. Plugins recommandés : WP 2FA ou Google Authenticator.

Action 5 : Installez un plugin de sécurité / pare-feu

"J'ai installé Wordfence après mon incident. En 30 jours, il a bloqué plus de 8 000 tentatives d'accès à mon site. Je ne savais pas que c'était à ce point automatisé."Sophie D., propriétaire d'un blog monétisé, Nice

Action 6 : Sauvegardes automatiques délocalisées

Une sauvegarde sur le même serveur est inutile si le serveur est compromis. Utilisez UpdraftPlus (gratuit) pour des sauvegardes quotidiennes vers Google Drive ou Amazon S3.

Règle du 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site.

BONNE PRATIQUE — À mettre en place ce mois-ci

Action 7 : Vérifiez les permissions de fichiers

  • Dossiers : 755
  • Fichiers : 644
  • wp-config.php : 600 (ou 400)

Des permissions 777 sont une invitation aux attaquants.

Action 8 : Désactivez l'édition de fichiers depuis l'admin

Ajoutez cette ligne à votre wp-config.php :

define('DISALLOW_FILE_EDIT', true);

Action 9 : Protégez wp-config.php via .htaccess

<files wp-config.php>
order allow,deny
deny from all
</files>

Action 10 : Limitez les tentatives de connexion

Le plugin Limit Login Attempts Reloaded bloque automatiquement les IPs après N échecs.

Action 11 : Activez les headers de sécurité HTTP

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"
Header always set Referrer-Policy "strict-origin-when-cross-origin"

Vérifiez vos headers sur SecurityHeaders.com.

Action 12 : Réalisez un audit de sécurité régulier

Même avec toutes ces protections, les failles évoluent. Un audit régulier reste indispensable.

MonAuditCyber.fr scanne automatiquement les principales vulnérabilités de votre site WordPress — SSL, headers, ports exposés, configuration — et génère un rapport PDF avec plan de correction. À faire au minimum une fois par an, ou après toute intervention majeure.

Le cas particulier des sites WooCommerce

Si votre WordPress intègre WooCommerce, les enjeux sont encore plus critiques. Obligations supplémentaires :

  • Conformité PCI DSS pour le traitement des paiements
  • Chiffrement de bout en bout des données de transaction
  • Audit de sécurité annuel documenté
  • Notification CNIL obligatoire en cas de fuite de données clients

Voir : Fuite de données — que risque vraiment un dirigeant ?

Outils de scan recommandés

Outil Points forts Lien
MonAuditCyber.fr Rapport PDF dirigeant, plan d'action monauditcyber.fr
WPScan Spécifique WordPress, CVE wpscan.com
Sucuri SiteCheck Malware + blacklist Google sitecheck.sucuri.net
Qualys SSL Labs Configuration SSL/TLS ssllabs.com
SecurityHeaders.com Headers HTTP securityheaders.com

Sources : Sucuri — Rapport sécurité CMS · WordPress.org — Guide de durcissement · WPScan Vulnerability Database · ANSSI — Recommandations sécurité web · W3Techs

← Tous les articles
verified_user

Passez à l'action

Ne laissez pas une faille connue mettre votre entreprise en danger.

Analyser mon site maintenant — C'est gratuit →