Comment sécuriser un site WordPress : guide complet 2025
Soyons directs : la plupart des guides sur ce sujet sont trop théoriques pour être utiles. Vous n'avez pas besoin d'un cours magistral, vous avez besoin d'actions concrètes à mettre en place dès aujourd'hui.
C'est exactement ce que contient cet article. Pas de jargon inutile, que du pratique.
Sophie Mercier
Analyste SOC, CEH
Sommaire
Pourquoi WordPress est-il une cible privilégiée ?
WordPress propulse plus de 43% des sites web dans le monde. Cette popularité en fait la cible numéro un des cybercriminels. Les attaques automatisées scannent en permanence les sites WordPress à la recherche de failles connues.
Les vecteurs d'attaque les plus courants sont les plugins obsolètes (52% des vulnérabilités), les thèmes non maintenus, les identifiants faibles et les versions de PHP/WordPress non mises à jour.
Vous vous demandez si votre site est concerné ? Si vous utilisez WordPress, la réponse est oui. Même un blog personnel peut servir de relais pour des attaques plus larges.
Étape 1 : Mettre à jour WordPress, thèmes et plugins
La première règle de sécurité WordPress est simple mais souvent négligée : tout maintenir à jour. 86% des sites piratés utilisaient des composants obsolètes au moment de l'attaque.
wp core update
wp plugin update --all
wp theme update --allActivez les mises à jour automatiques pour les correctifs de sécurité mineurs. Pour les mises à jour majeures, testez d'abord sur un environnement de staging.
Attention : Faites toujours une sauvegarde complète avant chaque mise à jour majeure. Un plugin incompatible peut casser votre site.
Étape 2 : Renforcer l'authentification
Les attaques par force brute représentent 16% des compromissions WordPress. Voici comment vous en protéger efficacement.
Commencez par changer l'URL de connexion par défaut (/wp-admin) avec le plugin WPS Hide Login. Imposez des mots de passe d'au moins 16 caractères et déployez le 2FA avec l'extension Wordfence ou WP 2FA.
# Dans wp-config.php - limiter les tentatives de connexion
define('WP_LOGIN_TRIES', 3);
define('WP_LOGIN_TIMEOUT', 900); // 15 minutesSupprimez le compte « admin » par défaut et créez un nouveau compte administrateur avec un nom d'utilisateur unique.
Étape 3 : Configurer les headers de sécurité et le fichier .htaccess
Les headers HTTP de sécurité sont votre première ligne de défense contre les attaques XSS, le clickjacking et le MIME sniffing.
# .htaccess - Headers de sécurité essentiels
Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"
Header set Referrer-Policy "strict-origin-when-cross-origin"
Header set Content-Security-Policy "default-src 'self';"
Header set Permissions-Policy "camera=(), microphone=()"Protégez également votre fichier wp-config.php en le déplaçant un niveau au-dessus de la racine web ou en bloquant l'accès via .htaccess.
Étape 4 : Installer et configurer un plugin de sécurité
Un bon plugin de sécurité combine firewall applicatif (WAF), scanner de malware et monitoring en temps réel. Voici notre comparatif des trois leaders du marché :
| Plugin | WAF | Scanner | Prix/an |
|---|---|---|---|
| Wordfence | Oui (endpoint) | Complet | 119 $ |
| Sucuri | Oui (cloud) | À distance | 199 $ |
| iThemes Security | Basique | Via Sucuri | 80 $ |
Étape 5 : Sauvegardes et plan de reprise
Même avec toutes les protections du monde, le risque zéro n'existe pas. Une stratégie de sauvegarde solide est votre filet de sécurité ultime.
Appliquez la règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site. Utilisez UpdraftPlus ou BlogVault pour automatiser vos sauvegardes quotidiennes.
Conseil pro : Testez vos restaurations au moins une fois par trimestre. Une sauvegarde non testée est une sauvegarde qui ne fonctionne peut-être pas.
Besoin d'aide ? Demandez un audit gratuit
Nos experts certifiés analysent votre situation et vous proposent un plan d'action personnalisé.
Outils recommandés
Wordfence
Firewall applicatif et scanner de malware pour WordPress
UpdraftPlus
Solution de sauvegarde automatique avec stockage cloud
WP 2FA
Plugin d'authentification à deux facteurs
WPScan
Scanner de vulnérabilités WordPress en ligne de commande
Sucuri SiteCheck
Analyse gratuite de sécurité en ligne
Erreurs courantes à éviter
Utiliser « admin » comme nom d'utilisateur
Négliger les mises à jour de plugins « mineurs »
Installer des thèmes ou plugins de sources non vérifiées (nulled)
Ne pas tester les sauvegardes de restauration
Oublier de supprimer les plugins désactivés
Checklist récapitulative
- Mettre à jour WordPress core, plugins et thèmes
- Activer l'authentification à deux facteurs
- Installer un plugin de sécurité (Wordfence, Sucuri)
- Configurer les headers de sécurité
- Déplacer ou protéger wp-config.php
- Changer l'URL de connexion /wp-admin
- Automatiser les sauvegardes (règle 3-2-1)
- Désactiver l'édition de fichiers depuis le dashboard
- Supprimer les thèmes et plugins inutilisés
- Scanner régulièrement les malwares
Sophie Mercier
Analyste SOC, CEH chez WebGuard Agency
Analyste SOC Level 3 et Certified Ethical Hacker. Sophie supervise la détection de menaces pour un portefeuille de 80 entreprises.
Besoin d’un audit de sécurité ?
Nos experts identifient vos vulnérabilités avant qu’elles ne soient exploitées.
Ce que disent nos clients
Découvrez pourquoi plus de 200 entreprises font confiance à WebGuard Agency pour leur cybersécurité.
« En tant que PME, nous pensions la cybersécurité hors de portée. WebGuard nous a prouvé le contraire avec des solutions adaptées à notre budget. »
« L'accompagnement de WebGuard Agency a été déterminant pour sécuriser notre infrastructure. Leur expertise technique est remarquable. »
Demandez votre devis gratuit
Recevez une proposition personnalisée sous 24h. Sans engagement.
En soumettant ce formulaire, vous acceptez d’être contacté par WebGuard Agency. Vos données restent confidentielles.
Questions fréquentes
Vous ne trouvez pas la réponse à votre question ?
Articles associés
Comment configurer HTTPS correctement
Configuration HTTPS optimale : certificat TLS, HSTS, redirection, cipher suites et vérification avec SSL Labs pour obtenir un A+.
Comment sécuriser une base de données
Sécurisation des bases de données MySQL, PostgreSQL, MongoDB : chiffrement, accès, audit, sauvegardes et hardening pour protéger vos données.
Comment mettre en place un SIEM
Déployer un SIEM en entreprise : choix de la solution, sources de logs, règles de détection, alerting et intégration SOC pour une surveillance efficace.
Veille cybersécurité
Recevez chaque semaine les dernières menaces, vulnérabilités et bonnes pratiques directement dans votre boîte mail.
Pas de spam. Désinscription en un clic. Environ 1 email par semaine.
Prêt à renforcer votre cybersécurité ?
Rejoignez les entreprises qui font confiance à WebGuard Agency pour protéger leurs actifs numériques. Premier audit offert.