Aller au contenu principal
Gaprod

Sécuriser WordPress

Renforcez la sécurité de votre site WordPress avec ce guide de durcissement complet : mises à jour, authentification, fichiers et pare-feu.

Mis à jour le 10 janvier 2026

Pourquoi sécuriser WordPress ?

WordPress est la cible numéro un des attaquants web en raison de sa popularité. Les risques principaux sont :

  • Injection de malware : votre site diffuse des virus aux visiteurs
  • Spam SEO : des liens vers des sites frauduleux sont injectés dans vos pages
  • Vol de données : accès aux données de vos clients ou à vos identifiants
  • Déni de service : votre site devient indisponible
  • Ransomware : vos fichiers sont chiffrés contre rançon

La bonne nouvelle : la majorité des attaques WordPress sont automatisées et ciblent des vulnérabilités connues et facilement corrigeables.

1. Maintenir WordPress à jour

C'est la mesure de sécurité la plus importante. La plupart des piratages exploitent des vulnérabilités dans des versions obsolètes de WordPress, de thèmes ou de plugins.

  1. Activer les mises à jour automatiques

    Dans WordPress → Tableau de bord → Mises à jour, activez les mises à jour automatiques pour :

    • WordPress lui-même (mises à jour mineures de sécurité)
    • Les plugins (optionnel, à activer avec précaution)
    • Les thèmes (optionnel)

  2. Vérifier régulièrement les mises à jour

    Même avec les mises à jour automatiques activées, consultez l'onglet Mises à jour une fois par semaine pour les mises à jour majeures qui nécessitent une validation manuelle.

  3. Supprimer les plugins et thèmes inutilisés

    Les plugins désactivés mais non supprimés peuvent encore contenir des failles. Supprimez tout ce que vous n'utilisez pas.

2. Sécuriser les identifiants

Changer l'identifiant admin par défaut

Si vous avez utilisé admin comme nom d'utilisateur lors de l'installation, créez un nouvel utilisateur administrateur avec un identifiant différent, reconnectez-vous avec le nouveau compte, puis supprimez l'ancien compte admin.

Utiliser des mots de passe forts

Imposez des mots de passe robustes pour tous les utilisateurs. Installez le plugin Force Strong Passwords pour empêcher l'utilisation de mots de passe faibles.

Activer l'authentification à deux facteurs (2FA)

  1. Installer un plugin 2FA

    Installez Two Factor Authentication (de Plugin Contributors) ou Google Authenticator depuis le dépôt d'extensions.

  2. Configurer le 2FA pour votre compte

    Dans votre profil WordPress, configurez l'application d'authentification (Google Authenticator, Authy) en scannant le QR code affiché.

  3. Imposer le 2FA aux administrateurs

    Dans les réglages du plugin, imposez le 2FA pour tous les rôles avec des droits élevés (administrateur, éditeur).

3. Limiter les tentatives de connexion

Par défaut, WordPress autorise un nombre illimité de tentatives de connexion, ce qui facilite les attaques par force brute.

Installez Limit Login Attempts Reloaded ou WP Cerber pour :

  • Bloquer une IP après X tentatives échouées
  • Envoyer une alerte par e-mail lors de blocages
  • Mettre en liste blanche vos propres IPs

4. Installer un plugin de sécurité tout-en-un

Wordfence Security est le plugin de sécurité WordPress le plus populaire (gratuit et premium) :

  1. Installer Wordfence

    Dans Extensions → Ajouter, cherchez Wordfence Security et installez-le. Configurez-le avec votre adresse e-mail pour recevoir les alertes.

  2. Lancer le scan initial

    Dans Wordfence → Scan, cliquez sur Démarrer un scan Wordfence. L'analyse détecte les fichiers modifiés, les malwares et les vulnérabilités connues.

  3. Configurer le pare-feu

    Dans Wordfence → Pare-feu, activez le mode Protection étendue pour que le pare-feu se charge avant WordPress (nécessite une modification du fichier .htaccess).

5. Sécuriser les fichiers WordPress

Protéger wp-config.php

Le fichier wp-config.php contient vos identifiants de base de données. Restreignez son accès :

<files wp-config.php>
order allow,deny
deny from all
</files>

Ajoutez ces lignes dans votre fichier .htaccess à la racine de WordPress.

Protéger le fichier .htaccess

<files .htaccess>
order allow,deny
deny from all
</files>

Désactiver l'édition de fichiers depuis WordPress

Ajoutez cette ligne dans wp-config.php pour empêcher l'édition de fichiers de thèmes et plugins depuis l'interface d'administration :

define('DISALLOW_FILE_EDIT', true);

Configurer les permissions de fichiers

Les permissions recommandées pour une installation WordPress sécurisée :

  • Dossiers : 755
  • Fichiers : 644
  • wp-config.php : 600 (lecture/écriture uniquement pour le propriétaire)

Désactiver l'exécution PHP dans wp-content/uploads

Les attaquants cherchent souvent à uploader des fichiers PHP malveillants via le répertoire des médias. Ajoutez un fichier .htaccess dans wp-content/uploads/ :

<Files *.php>
deny from all
</Files>

6. Protéger la page de connexion

La page wp-login.php est la cible principale des attaques par force brute.

Changer l'URL de connexion

Avec le plugin WPS Hide Login, vous pouvez remplacer l'URL de connexion par défaut (/wp-login.php et /wp-admin) par une URL personnalisée difficile à deviner.

Ajouter une protection par mot de passe HTTP

Dans cPanel → Gestionnaire des mots de passe de répertoires, protégez le répertoire wp-admin par une double authentification (mot de passe HTTP + identifiants WordPress).

7. Activer le HTTPS

Si ce n'est pas déjà fait, installez un certificat SSL et forcez la redirection HTTPS. Google pénalise les sites non sécurisés et les navigateurs affichent un avertissement "Non sécurisé".

Consultez notre guide sur l'installation d'un certificat SSL.

8. Configurer les en-têtes de sécurité HTTP

Ajoutez ces en-têtes dans votre fichier .htaccess pour renforcer la sécurité côté navigateur :

<IfModule mod_headers.c>
  Header always set X-Content-Type-Options "nosniff"
  Header always set X-Frame-Options "SAMEORIGIN"
  Header always set X-XSS-Protection "1; mode=block"
  Header always set Referrer-Policy "strict-origin-when-cross-origin"
</IfModule>

Checklist de sécurité WordPress

  • WordPress, thèmes et plugins sont à jour
  • Mot de passe administrateur fort et unique
  • Authentification à deux facteurs activée
  • Tentatives de connexion limitées (plugin installé)
  • Wordfence ou équivalent installé et configuré
  • Sauvegardes automatiques configurées
  • HTTPS activé et forcé
  • wp-config.php protégé (permissions 600)
  • URL de connexion personnalisée
  • Plugins et thèmes inutilisés supprimés

Étapes suivantes

  • Configurer les sauvegardes automatiques WordPress
  • Optimiser les performances pour un site rapide et sécurisé
  • Surveiller les logs de sécurité régulièrement

Besoin d'aide supplémentaire ?

Notre support technique est disponible du lundi au vendredi pour répondre à vos questions.

Ouvrir un ticketVoir le blog