Back

Comment sécuriser un site WordPress

OpenReplay Team OpenReplay Team

Mar 13, 2026 · 4 min read

Comment sécuriser un site WordPress

WordPress propulse plus de 43 % du web, ce qui en fait le CMS le plus ciblé de la planète. Mais voici ce que la plupart des propriétaires de sites comprennent mal : le logiciel de base est rarement le problème. Selon les recherches en sécurité de Patchstack, la grande majorité des vulnérabilités WordPress proviennent des plugins et des thèmes — et non du cœur de WordPress lui-même. Cela signifie que votre posture de sécurité dépend presque entièrement de la façon dont vous maintenez et configurez votre site.

Ce guide couvre les bonnes pratiques de sécurité WordPress qui comptent réellement, sans les conseils obsolètes.

Points clés à retenir

  • Presque toutes les vulnérabilités WordPress proviennent des plugins et des thèmes, pas du cœur — auditez et élaguez régulièrement vos extensions.
  • Une authentification forte (mots de passe uniques, 2FA basée sur TOTP et passkeys) est votre défense la plus efficace contre les accès non autorisés.
  • Les protections au niveau serveur comme la désactivation de l’éditeur de fichiers, l’application de HTTPS et la définition de permissions de fichiers correctes réduisent considérablement votre surface d’attaque.
  • Des sauvegardes fiables et testées constituent votre dernière ligne de défense — une sauvegarde que vous n’avez jamais restaurée est une sauvegarde en laquelle vous ne pouvez pas avoir confiance.

Pourquoi la plupart des sites WordPress sont compromis

Avant de passer aux solutions, il est utile de comprendre la surface d’attaque réelle. La plupart des violations réussies exploitent :

  • Des plugins et thèmes obsolètes ou abandonnés
  • Des mots de passe faibles ou réutilisés
  • Des permissions de fichiers mal configurées
  • Des environnements d’hébergement sans protections au niveau serveur

Le cœur de WordPress (actuellement dans la lignée de versions 6.x) est activement maintenu par une équipe de sécurité dédiée, utilise bcrypt pour le hachage des mots de passe et propose des mises à jour de sécurité mineures automatiques. Le risque se situe presque toujours dans l’écosystème qui l’entoure.

Guide de renforcement WordPress : l’essentiel

Tout maintenir à jour — sans exception

L’intervalle entre la divulgation d’une vulnérabilité et son exploitation active se compte souvent en heures, pas en jours. Activez les mises à jour automatiques en arrière-plan pour les versions mineures du cœur. Pour les plugins et les thèmes, examinez et appliquez les mises à jour au minimum chaque semaine.

Plus important encore, auditez ce que vous avez installé. Chaque plugin inactif représente une surface d’attaque. Si vous ne l’utilisez pas, supprimez-le — ne vous contentez pas de le désactiver.

Avant d’installer un plugin, vérifiez :

  • La date de dernière mise à jour (évitez tout ce qui n’a pas été touché depuis 12 mois ou plus)
  • Le nombre d’installations actives
  • S’il est répertorié dans le dépôt de plugins WordPress.org
  • Les fils de support ouverts mentionnant des problèmes de sécurité

N’installez jamais de thèmes et plugins nullés ou piratés. Ils contiennent fréquemment des portes dérobées.

Utiliser une authentification forte sur tous les comptes

Le cœur de WordPress n’inclut pas d’authentification à deux facteurs intégrée. Vous aurez besoin d’un plugin ou d’un fournisseur d’identité externe pour l’ajouter.

Bonnes pratiques d’authentification modernes :

  • Utilisez une phrase de passe (quatre mots aléatoires ou plus) ou un mot de passe généré aléatoirement et stocké dans un gestionnaire de mots de passe comme Bitwarden ou 1Password
  • Activez la 2FA basée sur TOTP (application d’authentification) pour tous les comptes administrateurs — la 2FA par SMS est mieux que rien mais plus faible
  • Lorsque votre stack le prend en charge, envisagez les passkeys/WebAuthn pour une connexion résistante au phishing
  • Utilisez les Application Passwords de WordPress pour l’API REST et les intégrations tierces au lieu de vos identifiants principaux

Évitez de partager les comptes administrateurs. Chaque utilisateur doit avoir sa propre connexion avec le rôle minimum requis.

Appliquer les protections de base au niveau serveur

Quelques changements de configuration réduisent considérablement votre surface d’attaque :

  • Désactivez l’éditeur de fichiers dans wp-config.php pour empêcher l’exécution de code si un compte administrateur est compromis : 
    define( 'DISALLOW_FILE_EDIT', true );
  • Protégez wp-config.php en restreignant l’accès via la configuration de votre serveur et en vous assurant qu’il n’est pas accessible publiquement
  • Définissez les permissions de fichiers correctes : répertoires à 755, fichiers à 644
  • Utilisez SFTP ou SSH au lieu de FTP simple lors du transfert de fichiers
  • Imposez HTTPS — chaque site WordPress doit avoir un certificat TLS valide et rediriger HTTP vers HTTPS

Ajouter un pare-feu applicatif web et une limitation de débit

Un WAF filtre le trafic malveillant avant qu’il n’atteigne WordPress. Vous pouvez l’implémenter à trois niveaux :

  1. Niveau CDN/proxy — des services comme Cloudflare offrent un WAF et une protection DDoS avec gestion des bots
  2. Niveau serveur — ModSecurity sur Apache ou Nginx
  3. Niveau plugin — des plugins de sécurité comme Wordfence ou Sucuri ajoutent des règles de pare-feu au niveau applicatif et une limitation de débit des connexions

La limitation du débit des tentatives de connexion est essentielle. Les attaques par force brute contre wp-login.php sont constantes et automatisées.

Note sur XML-RPC : Ne désactivez pas XML-RPC sans comprendre vos dépendances. Certains plugins et applications mobiles en dépendent. Si vous ne l’utilisez pas, le bloquer est raisonnable — mais faites-le au niveau serveur plutôt qu’avec des règles .htaccess fragiles.

Sauvegarder de manière fiable et tester vos restaurations

Une sauvegarde que vous n’avez jamais testée n’est pas une sauvegarde. Utilisez la règle 3-2-1 : trois copies, deux types de supports différents, une hors site. Automatisez les sauvegardes et vérifiez régulièrement que les restaurations fonctionnent réellement.

Sécurisez votre site WordPress : liste de contrôle de référence rapide

  • Le cœur de WordPress, les plugins et les thèmes sont à jour
  • Les plugins et thèmes inutilisés sont supprimés
  • Tous les comptes administrateurs utilisent des mots de passe forts et uniques
  • La 2FA est activée pour chaque utilisateur administrateur
  • DISALLOW_FILE_EDIT est défini dans wp-config.php
  • Les permissions de fichiers sont définies correctement (755/644)
  • HTTPS est imposé sur l’ensemble du site
  • Un WAF et une limitation de débit des connexions sont actifs
  • Les sauvegardes automatisées s’exécutent régulièrement et les restaurations sont testées
  • Les rôles utilisateurs suivent le principe du moindre privilège

Conclusion

Sécuriser un site WordPress relève moins d’astuces de renforcement exotiques que d’une discipline de maintenance cohérente. Maintenez vos logiciels à jour, utilisez une authentification appropriée, appliquez des protections au niveau serveur et sauvegardez régulièrement. La plupart des attaques réussissent parce que l’un de ces éléments de base a été négligé — et non parce que WordPress lui-même a échoué.

FAQ

Non. Le cœur de WordPress est activement maintenu par une équipe de sécurité dédiée et reçoit des mises à jour de sécurité mineures automatiques. La grande majorité des vulnérabilités proviennent de plugins et thèmes tiers, et non du logiciel de base. Maintenir vos extensions auditées et à jour est bien plus important que de s'inquiéter de WordPress lui-même.

Oui. Les attaques par force brute et par bourrage d'identifiants contre wp-login.php sont constantes et automatisées. Un mot de passe fort seul ne suffit pas car les mots de passe peuvent être divulgués ou réutilisés. La 2FA basée sur TOTP via une application d'authentification ajoute une seconde couche qui arrête la plupart des tentatives de connexion non autorisées.

Cela dépend de votre configuration. XML-RPC est une API héritée que certains plugins et l'application mobile WordPress utilisent encore. Si rien sur votre site n'en dépend, le désactiver réduit votre surface d'attaque. Bloquez-le au niveau serveur plutôt qu'avec des règles htaccess, qui peuvent être contournées plus facilement.

La fréquence dépend de la fréquence à laquelle votre contenu change. Pour les sites actifs, des sauvegardes automatisées quotidiennes constituent une base raisonnable. Plus important que la fréquence est de tester régulièrement vos restaurations. Suivez la règle 3-2-1 : trois copies, deux types de stockage différents, une stockée hors site.

Understand every bug

Uncover frustrations, understand bugs and fix slowdowns like never before with OpenReplay — the open-source session replay tool for developers. Self-host it in minutes, and have complete control over your customer data. Check our GitHub repo and join the thousands of developers in our community.

OpenReplay

More articles from OpenReplay Blog