En 2025, 90.000 attaques par minute ciblent les sites WordPress, selon les données de Hostinger. Face à cette menace croissante, sécuriser son site WordPress devient un impératif technique et stratégique.
Car oui, votre site contient des données sensibles qu’il faut protéger. Les failles de sécurité peuvent engendrer des pertes de données, des fichiers corrompus ou le contrôle de votre site par des hackers. Un site piraté peut également avoir des conséquences dramatiques sur votre SEO.
Heureusement, en appliquant les bonnes pratiques et en utilisant les bons outils, il est possible de renforcer efficacement la sécurité de votre site. Dans cet article, je vous livre toutes les bonnes pratiques pour sécuriser WordPress.
Dès l’installation de WordPress, certaines configurations sont essentielles pour renforcer la sécurité de votre site.
Lors de l’initialisation d’un site WordPress, le CMS nous demande quelques informations. Et notamment le pseudo et le mot de passe du compte administrateur. Voici 2 recommandations basiques, mais indispensables :
Je vous explique un peu plus loin comment sécuriser les connexions à votre site.
Par défaut, WordPress utilise le préfixe « wp_ » pour nommer ses tables de base de données. Pensez à le renommer lorsque vous créez votre site WordPress.
Une autre des premières étapes pour sécuriser un site WordPress consiste à activer le protocole HTTPS en installant un certificat SSL.
Si cette configuration ne sécurise pas votre site en tant que tel, elle garantit toutefois que les données échangées entre le serveur et les visiteurs sont cryptées. Elle protège ainsi les informations sensibles, telles que les données personnelles et bancaires.
Le choix des plugins joue un rôle clé dans la sécurité de votre site. Il est primordial de sélectionner des extensions provenant de sources fiables et bien notées.
Evitez de multiplier les plugins, contentez-vous du strict minimum. De nombreux plugins peuvent d’ailleurs facilement être remplacés par quelques lignes de codes (hooks), pensez-y ! Il est également possible pour un développeur WordPress de développer des plugins et shortcodes sur-mesure.
Et surtout, mettez à jour vos plugins dès qu’une nouvelle version est disponible. Les patches corrigent souvent des failles de sécurité.
On y pense moins, et pourtant ! Les thèmes peuvent également être victimes de failles de sécurité ou de code malveillant. Là encore, sélectionnez le vôtre avec soin et ne négligez pas les mises à jour. Évitez autant que possible les thèmes gratuits.
C’est d’ailleurs une des raisons pour lesquelles je n’utilise jamais de thème prêt à l’emploi, et préfère coder moi-même les thèmes utilisés sur les sites de mes clients.
À lire aussi : les limites des thèmes WordPress premiums, et pourquoi je préfère le sur-mesure.
On y pense moins, et pourtant, lorsque l’on crée un site Internet, le choix de l’hébergeur est une étape importante pour sécuriser WordPress.
Un hébergement web sécurisé offre de nombreux avantages essentiels. Assurez-vous que votre fournisseur propose des mesures de sécurité robustes, telles que la surveillance 24h/24 et 7j/7, des pare-feu pour bloquer le trafic malveillant, ainsi qu’une protection contre les attaques DDoS.
Les sauvegardes automatiques sont également indispensables pour prévenir la perte de données en cas d’attaque ou de faille de sécurité. Un service d’hébergement fiable doit régulièrement mettre à jour le logiciel et le matériel du serveur afin de réduire les vulnérabilités potentielles.
En outre, une équipe d’assistance technique compétente est essentielle pour résoudre rapidement tout problème de sécurité.
Pour ma part, je vous recommande Infomaniak, mais il existe d’autres hébergeurs réputés, comme OVH (que j’ai longtemps utilisé et que j’utilise encore ponctuellement) ou encore O2Switch.
On ne le dira jamais assez : beaucoup trop de vols ont lieu à cause d’identifiants trop faibles. Sensibilisez vos propres visiteurs à ce niveau, et invitez-les à choisir un mot de passe fort et unique.
❌ On oublie le prénom de notre premier animal, la date d’anniversaire de nos enfants ou le nom de notre grand-père.
✅ On privilégie des mots de passe d’une douzaine de caractères, composés de chiffres, de lettres et de caractères spéciaux.
Ce tips est lié au précédent : si vous laissez un nombre de tentatives de connexions illimitées (ce qui est le cas par défaut sur un site WP), vous avez plus de risques de vous faire pirater.
Aussi, je vous invite à limiter le nombre de tentatives échouées, par exemple à 3. La plupart des plugins de sécurité WordPress incluent cette fonctionnalité. Vous pouvez également regarder du côté de Limit Login Attempts Reloaded.
L’authentification à deux facteurs (2FA) est une mesure de sécurité efficace qui empêche les pirates d’accéder à votre site, même s’ils disposent de votre mot de passe. Cette méthode nécessite à la fois votre mot de passe et un code de vérification généré par une application d’authentification sur votre téléphone ou envoyé par e-mail ou SMS.
Cette mesure ajoute une couche supplémentaire de sécurité à votre processus de connexion, rendant les attaques par force brute beaucoup plus difficiles.
Pour activer la 2FA, vous pouvez installer des plugins tels que WP 2FA ou bien un plugin plus complet dédié à la sécurité (SecuPress, SolidWP ou encore Wordfence Security).
Vous l’aurez compris, chaque compte utilisateur est une potentielle porte d’entrée pour les hackeurs. Selon les cas, il peut donc être intéressant de supprimer les utilisateurs inactifs pour sécuriser WordPress. La durée d’inactivité dépendra bien sûr de votre activité : 3 mois, 6 mois, 1 an… Trouvez le bon compromis entre sécurité et rentabilité.
💡 Astuce : avant de supprimer un compte, pensez à envoyer au moins 2 mails de relance. Qui sait, cela vous permettra peut-être de faire revenir d’anciens clients ?!
Par défaut, il existe plusieurs rôles d’utilisateur sur WordPress :
Ponctuellement, faites un tour de vos utilisateurs et assurez-vous qu’ils ont tous bien le plus bas niveau d’accès possible. N’hésitez pas à rétrograder les comptes si nécessaire. Soyez particulièrement vigilants avec les administrateurs : dans la plupart des cas, seuls le propriétaire du site et la personne en charge de la maintenance devraient avoir ce niveau de permissions.
Vous recherchez une personne de confiance pour gérer la création ou la refonte de votre site Internet ?
Je suis peut-être la personne qu’il vous faut. Discutons-en ensemble lors d’une visio ou demandez-moi un devis. C’est gratuit, et sans engagement.
Par défaut, l’url de la page de connexion est « wp-login ». Une bonne pratique pour la sécurité de votre site WordPress consiste à déplacer cette page vers une autre url. Evitez bien sûr de le remplacer par quelque chose de similaire comme « admin », « connexion », « backoffice »… Privilégiez un mot clé dont vous vous souviendrez facilement, mais qui n’est pas évident à deviner.
Pour déplacer votre page de connexion, vous pouvez par exemple utiliser le plugin WPS Hide Login.
Saviez-vous que le numéro de version de votre installation WordPress est disponible publiquement ? C’est pourtant une donnée sensible, qui peut compromettre la sécurité de votre site.
Pour la cacher, rendez-vous dans le fichier functions.php de votre thème, et rajoutez cette ligne de code :
remove_action('wp_head', 'wp_generator');Vérifiez également le fichier header.php. S’il contient la ligne ci-dessous, supprimez-la :
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />Le fichier wp-config.php de votre site est un fichier de configuration essentiel, qui contient plusieurs informations très sensibles, et notamment les codes d’accès à la base de données. Il est donc important qu’il ne tombe pas entre de mauvaises mains.
Une bonne pratique pour sécuriser WordPress consiste simplement à le déplacer en dehors de la racine. Et plus précisément, à le mettre dans le dossier parent. En effet, WordPress est bien conçu à ce niveau : s’il ne trouve pas ce fichier à la racine, il va automatiquement le chercher dans le dossier parent. Un comportement qui nous arrange bien !
Depuis le panneau d’administration, les administrateurs peuvent modifier tout un tas de fichiers. Il leur suffit en effet d’aller dans « Apparence > Editeur ». Pour des raisons de sécurité, mieux vaut désactiver cette option !
Et pour le coup, c’est très simple à mettre en place. Vous vous rappelez du fichier wp-config.php ? Ajoutez-y simplement cette ligne de code :
<?php define( 'DISALLOW_FILE_EDIT', true );La gestion des permissions des fichiers et des répertoires est un élément essentiel pour garantir la sécurité de votre site WordPress. Des permissions mal configurées peuvent offrir une porte d’entrée aux pirates, leur permettant d’accéder à vos fichiers et d’exécuter des actions malveillantes.
Par défaut, chaque fichier et dossier sur votre serveur dispose de droits d’accès qui définissent qui peut lire, écrire ou exécuter son contenu. Ces permissions sont exprimées sous forme de valeurs numériques (ex. : 755, 644).
WordPress recommande les paramètres suivants pour assurer un bon niveau de sécurité :
✅ Dossiers : permissions 755 ou 750
✅ Fichiers : permissions 644 ou 640
✅ wp-config.php (fichier contenant les informations sensibles du site) : 440 ou 400 pour empêcher d’autres utilisateurs du serveur de le lire.
❌ Jamais de 777 ! Une permission en 777 donne un accès total à tout le monde, y compris aux pirates.
Pour vérifier et modifier les droits d’accès, connectez-vous à votre client FTP et identifiez les permissions de chaque fichier et de chaque dossier (il y a généralement une colonne nommée « Droits d’accès » ou « Permissions »). La manipulation varie en fonction des logiciels FTP, souvent il suffit de cliquer dessus, de faire un clic droit ou de cocher des cases. Regardez la documentation de votre logiciel si nécessaire.
Les en-têtes HTTP de sécurité sont des paramètres essentiels pour protéger votre site WordPress contre diverses menaces en ligne. Implémentées au niveau du serveur, ces directives aident à prévenir des attaques comme le cross-site scripting (XSS), le clickjacking ou encore les intrusions via des connexions non sécurisées.
Pour vérifier l’installation des en-têtes HTTP rendez-vous sur le site Security Headers.
La Content-Security-Policy (CSP) permet de contrôler quelles ressources (scripts, styles, images, etc.) peuvent être chargées sur votre site. Elle empêche notamment l’exécution de scripts malveillants injectés dans vos pages.
Ajoutez cette directive dans votre fichier .htaccess (Apache) ou votre configuration Nginx :
Header set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' https://apis.google.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https://trusted-site.com; font-src 'self' https://fonts.gstatic.com;"Explications :
'self' : seules les ressources hébergées sur votre site sont autorisées.'unsafe-inline' : permet d’exécuter du CSS et du JavaScript inline (évitez-le si possible).https://apis.google.com : autorise les scripts externes spécifiques (ajustez selon vos besoins).La Strict-Transport-Security (HSTS) force les navigateurs à toujours charger votre site via HTTPS, empêchant ainsi les attaques de type Man-in-the-Middle (MitM).
Ajoutez cette ligne à votre fichier .htaccess :
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"Explications :
max-age=31536000 : force HTTPS pour 1 an (valeur en secondes).includeSubDomains : applique la règle à tous les sous-domaines.preload : permet d’ajouter votre site à la liste HSTS des navigateurs pour une protection renforcée.Avant d’activer cette directive, assurez-vous que tout votre site fonctionne correctement en HTTPS (pas de ressources mixtes), sinon vous risquez d’empêcher l’accès à certaines ressources.
L’en-tête X-Frame-Options empêche votre site d’être affiché dans un iframe sur un autre site, une technique utilisée pour le clickjacking (forcer les utilisateurs à cliquer sur des éléments invisibles, souvent à des fins frauduleuses).
Ajoutez cette ligne à votre .htaccess :
Header set X-Frame-Options "SAMEORIGIN"Explications :
"SAMEORIGIN" : autorise uniquement l’affichage de votre site en iframe sur lui-même."DENY" : bloque totalement l’intégration en iframe (idéal pour les sites sans besoin d’intégration).Attention, si vous utilisez des services légitimes nécessitant des iframes (exp : paiement en ligne), ajustez cette règle en conséquence.
Un pare-feu WAF se place entre votre site web et les visiteurs. Il analyse chaque requête et bloque automatiquement celles qui présentent des signes de menace (tentatives de piratage, surcharge, bots malveillants…). Il protège contre :
Il existe 2 types de pare-feu WAF :
À noter que beaucoup d’hébergeurs mettent en place des solutions pour lutter contre les attaques DDoS.
Le hotlinking est une pratique où un site web affiche des fichiers (souvent des images) hébergés sur votre serveur sans votre autorisation. Cette pratique n’est pas forcément malveillante à l’origine, mais elle peut avoir des conséquences fâcheuses sur votre propre site :
Pour l’empêcher, voici quelques lignes de code à ajouter à votre fichier .htaccess (en remplaçant « mon-site.com » par votre propre site) :
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https://(www.)?mon-site.com/ [NC]
RewriteRule .(jpg|jpeg|png|gif|webp)$ - [F,L]Attention, ce code bloquera toutes les images sur les sites externes. Si vous avez un partenaire ou un CDN qui doit afficher vos images, ajoutez son domaine dans les exceptions :
RewriteCond %{HTTP_REFERER} !^https://(www\.)?mon-partenaire\.com/ [NC]Il est également possible de lutter contre le hotlinking en utilisant Cloudflare. Ou bien en installant un plugin WordPress comme : All In One WP Security & Firewall, WP Content Copy Protection & No Right Click ou encore Prevent Direct Access (PDA).
Je l’ai déjà évoqué, mais ce point est tellement important qu’il mérite sa propre partie.
Les mises à jour régulières de WordPress, de ses thèmes et de ses plugins sont essentielles pour garantir la sécurité de votre site. WordPress publie fréquemment des mises à jour qui corrigent des vulnérabilités de sécurité et des bugs. Il est donc important de les appliquer dès qu’elles sont disponibles.
À lire aussi : Maintenance WordPress, pourquoi est-elle si cruciale ?
Certains vous recommanderont d’activer les mises-à-jour automatiques, mais personnellement je trouve que c’est une très mauvaise idée. Il n’y a rien de tel pour casser votre site sans que vous ne vous en rendiez compte ! Chaque mise-à-jour devrait d’abord être effectuée en local afin de s’assurer que tout fonctionne correctement. Ce n’est qu’ensuite qu’elle devrait être appliquée à la version en production.
Cependant, ne tardez pas à la faire. Et surtout, n’oubliez pas d’effectuer une sauvegarde avant, au cas où !
Le saviez-vous ? En me confiant la création ou la refonte de votre site, vous pouvez bénéficier de l’Option Sérénité. Je prends alors en charge l’hébergement et la maintenance de votre site WordPress. Finies les crises d’angoisse ! Contactez-moi pour en savoir plus.
Les sauvegardes automatiques et quotidiennes sont d’ailleurs essentielles pour garantir la récupération de vos données en cas d’incident de sécurité (ou de catastrophe naturelle, ça marche aussi). Idéalement, elles seront situées sur 2 serveurs différents, eux-mêmes situés dans 2 zones géographiques distinctes.
Des plugins comme UpdraftPlus WordPress Backup Plugin permettent d’automatiser ce processus.
Je me rappelle encore de l’incendie chez OVH en 2021, où des milliers de sites ont été définitivement perdus suite à l’absence de sauvegardes (certains en avaient bien, mais sur le même serveur ou sur un autre serveur d’OVH, et avaient donc été détruites aussi). À l’époque, tous mes sites étaient chez OVH, répartis sur plusieurs serveurs dédiés. Une partie de mes sites en gestion avait donc été touchée par l’incendie. Mais fort heureusement, j’avais plusieurs sauvegardes ! J’avais donc pu tout réinstaller sans problème, et dans les plus brefs délais.
Toujours dans le même genre d’idée, je vous recommande de tester vos sauvegardes régulièrement, par exemple tous les mois.
Ce test de restauration mensuel vous permettra de :
Car oui, sauvegarder son site WordPress est une excellente habitude, mais encore faut-il s’assurer que ces sauvegardes sont fonctionnelles et restaurables ! Un fichier de sauvegarde corrompu ou incomplet ne sert à rien en cas de panne ou d’attaque. Et un site à moitié complet n’est pas hyper satisfaisant non plus.
Bien évidemment, ce test est à effectuer en local, sur une configuration identique au serveur de production. Ne faites jamais un test de restauration en production.
Enfin, vous pouvez mettre en place un outil pour monitorer votre serveur en temps réel, et vous alerter en cas d’attaque ou de faille de sécurité. Regardez par exemple du côté de WP Cerber Security, de Wordfence Security ou encore de WPScans.
Une réaction rapide et coordonnée peut réduire considérablement l’impact d’une attaque de sécurité.
Ne laissez pas la sécurité de votre site au hasard. Prenez dès aujourd’hui des mesures proactives pour protéger votre investissement et préserver votre réputation. En suivant ces conseils pratiques, vous garantirez que votre site WordPress est sécurisé et prêt à relever les défis de la cybersécurité.
Saviez-vous que d’autres sites peuvent ralentir le vôtre en utilisant vos ressources sans autorisation ? Ce phénomène, appelé hotlinking, est malheureusement très courant. C’est un véritable fléau pour les entreprises, […]
J’ai commencé à apprendre la programmation il y a une douzaine d’années. À l’époque, je développais des projets web en PHP / SQL / HTML / CSS / Javascript. Créer […]
Je suis freelance depuis 15 ans. Au cours de ma carrière, j’ai audité, créé et refondu un grand nombre de sites. Et ce qui m’étonne toujours autant, c’est le nombre […]
Abonnez-vous gratuitement à ma newsletter suivre toutes mes actualités, nouveaux articles et lancements de formations et outils !
Vos coordonnées ne seront pas revendues, c'est promis. Et vous pourrez vous désinscrire à tout moment si vous le souhaitez.