Sécuriser son site Wordpress

Comment sécuriser un site WordPress ?

La sécurité d’un site WordPress est un enjeu de plus en plus important dans l’écosytème actuel du web. Alors que cette plateforme propulse plus de 43% des sites web dans le monde (W3Techs, 2024), elle représente aussi une cible de choix pour les cybercriminels.

Selon les données de Sucuri, 94% des sites web compromis en 2024 étaient sous WordPress, avec une augmentation de 32% des attaques par rapport à l’année précédente (Sucuri Security Report, 2024). Plus alarmant encore, le WPScan Vulnerability Database a identifié plus de 4000 vulnérabilités connues dans le cœur de WordPress, ses thèmes et plugins.

Face à ces chiffres, la sécurisation de votre site WordPress n’est pas une option, mais une nécessité absolue.
Voyons ensemble dans cet article comment sécuriser un site WordPress, les bonnes pratiques et les tenants et aboutissements !

Table des matières

Sécuriser un site WordPress : L’essentiel

Voici un aperçu des mesures essentielles pour protéger efficacement votre site WordPress :

  • Installer uniquement des thèmes et plugins réputés et régulièrement mis à jour
  • Effectuer des sauvegardes complètes et régulières (fichiers et base de données)
  • Maintenir à jour le cœur de WordPress, le thème et toutes les extensions
  • Choisir un hébergeur offrant des fonctionnalités de sécurité robustes
  • Modifier l’URL de connexion par défaut pour éviter les attaques automatisées
  • Mettre en place une limitation des tentatives de connexion
  • Supprimer tous les plugins et thèmes inutilisés
  • Masquer la version de WordPress utilisée
  • Désactiver l’éditeur de thème intégré
  • Éviter l’utilisation du nom d’utilisateur « admin »
  • Désactiver le protocole XML-RPC s’il n’est pas utilisé

Choisir un thème WordPress réputé et fiable

Pour la sécurité de votre site WordPress, le choix du thème est primordial. Je recommande particulièrement la plateforme ThemeForest qui propose une vaste collection de thèmes premium fiables.

Ce qui fait sa force, c’est la transparence des informations fournies pour chaque thème : historique complet des mises à jour, compatibilité détaillée avec les plugins populaires, et avis vérifiés des utilisateurs. Ces données permettent d’évaluer rapidement la fiabilité d’un thème et son engagement en matière de maintenance.

De plus, les thèmes disponibles sur ThemeForest sont soumis à un processus de validation qui minimise les risques de failles de sécurité, contrairement à certaines sources gratuites moins rigoureuses.

Sauvegarder régulièrement la base de données et les fichiers de son site

La sauvegarde régulière de votre site WordPress constitue votre filet de sécurité ultime. En cas de piratage, malware ou simple erreur de manipulation, disposer d’une copie récente de vos fichiers et de votre base de données vous permettra de restaurer rapidement votre site.

L’idéal est d’automatiser ces sauvegardes à une fréquence adaptée à votre rythme de publication : quotidienne pour les sites très actifs, hebdomadaire pour les autres. Assurez-vous également de stocker ces sauvegardes dans un emplacement différent de votre hébergement principal (cloud externe, disque dur local) pour éviter qu’une compromission du serveur n’affecte également vos copies de secours.

Cette simple habitude peut réduire considérablement le temps de récupération après un incident.

Faire régulièrement les mises à jour de WordPress, du thème et des extensions

Maintenir votre écosystème WordPress à jour est l’une des mesures de sécurité les plus efficaces. Chaque mise à jour corrige des failles de sécurité connues que les pirates exploitent activement.

Avant toute mise à jour, effectuez systématiquement une sauvegarde complète de votre site. Vérifiez également la compatibilité entre les différents éléments : le cœur de WordPress, votre thème et vos plugins doivent fonctionner harmonieusement ensemble.

Idéalement, testez ces mises à jour sur un environnement de préproduction avant de les appliquer sur votre site en ligne. N’ignorez jamais les notifications de mise à jour, particulièrement celles marquées comme « critique » qui corrigent généralement des vulnérabilités importantes.

Utiliser un hébergeur offrant des solutions de sécurité

Le choix de votre hébergeur web a un impact direct sur la sécurité de votre site WordPress. Privilégiez les hébergeurs spécialisés qui proposent des fonctionnalités de sécurité intégrées comme le certificat SSL gratuit (passage en HTTPS), une protection anti-DDoS pour contrer les attaques par déni de service, et un pare-feu applicatif web (WAF) filtrant le trafic malveillant.

Les sauvegardes automatiques quotidiennes incluses dans l’offre constituent également un atout majeur. Un bon hébergeur maintient également ses serveurs à jour et isolés (environnement conteneurisé) pour éviter qu’une compromission d’un site n’affecte les autres sites hébergés sur le même serveur. Cette première ligne de défense est souvent plus efficace et moins contraignante que des solutions ajoutées après coup.

Le choix de la manufacture du web : PlanetHoster offre une sécurité optimale pour WordPress avec protection anti-malware, sauvegardes quotidiennes sur 7 jours, certificat SSL gratuit et pare-feu applicatif avancé. Leur environnement optimisé WordPress et support technique 24/7 garantissent performance et tranquillité d’esprit.
Découvrir PlanetHoster

Modifier l’url de connexion

L’interface d’administration de WordPress est accessible par défaut via l’URL « /wp-admin », ce qui en fait une cible facile pour les attaques automatisées. Modifier cette adresse est une mesure simple mais efficace pour renforcer votre sécurité. Le plugin WPS Hide Login permet de personnaliser facilement cette URL sans risque d’erreur.

En définissant une adresse personnalisée comme « /connexion-securisee » ou « /acces-panel », vous réduisez considérablement les tentatives d’intrusion par force brute. Cette mesure de sécurité par l’obscurité n’est pas infaillible, mais elle élimine une grande partie des attaques non ciblées qui scannent systématiquement les sites WordPress à la recherche de l’URL d’administration par défaut.

Limiter le nombre de tentative de connexion

La limitation des tentatives de connexion est une protection essentielle contre les attaques par force brute qui tentent d’accéder à votre site en essayant des milliers de combinaisons de mots de passe.

Le plugin WPS Limit Login permet de paramétrer cette protection en bloquant temporairement une adresse IP après un certain nombre d’échecs de connexion. L’avantage principal est d’empêcher les tentatives massives automatisées sans bloquer définitivement les utilisateurs légitimes qui auraient simplement oublié leur mot de passe.

Le seul inconvénient potentiel est le risque de bloquer temporairement des utilisateurs légitimes partageant une même adresse IP (réseaux d’entreprise ou publics), mais ce désagrément reste minime comparé à la protection offerte.

Supprimer les extensions et thèmes inutilisés

Les extensions et thèmes désactivés mais toujours présents sur votre serveur constituent des failles de sécurité souvent négligées. Ces composants inutilisés ne reçoivent généralement plus de mises à jour, mais leurs fichiers restent accessibles et peuvent contenir des vulnérabilités exploitables.

De plus, ils augmentent la « surface d’attaque » de votre site, offrant davantage de points d’entrée potentiels aux pirates. Certains plugins abandonnés peuvent même contenir des backdoors délibérément introduites. Une bonne pratique consiste à faire régulièrement l’inventaire de vos extensions et thèmes, en supprimant définitivement (et non simplement en désactivant) tous ceux que vous n’utilisez pas activement.

Cette démarche permet également d’alléger votre site et d’améliorer potentiellement ses performances.

Masquer la version de WordPress

WordPress étant open source, sa structure de fichiers est bien connue des pirates, et chaque version comporte ses vulnérabilités spécifiques. Par défaut, WordPress affiche son numéro de version dans le code HTML de votre site et dans divers fichiers publics, facilitant l’identification des failles exploitables.

Masquer cette information complique la tâche des attaquants qui devront tester plusieurs vecteurs d’attaque sans certitude. Cette mesure de « security through obscurity » ne remplace pas les mises à jour régulières, mais constitue une couche de protection supplémentaire.

Plusieurs plugins de sécurité permettent d’effectuer cette modification, ou vous pouvez ajouter quelques lignes de code à votre fichier functions.php pour supprimer ces indications de version qui facilitent la tâche des pirates.

Désactiver l’éditeur des fichiers du thème

L’éditeur de thème intégré à WordPress permet de modifier directement les fichiers PHP de votre thème depuis l’interface d’administration. Bien que pratique, cette fonctionnalité représente un danger majeur pour la sécurité : si un pirate accède à votre tableau de bord, il pourra injecter facilement du code malveillant dans votre site.

Pour désactiver cette fonction risquée, ajoutez simplement la ligne suivante à votre fichier wp-config.php :

define('DISALLOW_FILE_EDIT', true);

Cette modification empêchera toute édition de fichiers depuis l’interface d’administration, même pour les utilisateurs disposant des droits d’administrateur. Pour modifier vos thèmes, vous devrez utiliser un client FTP ou SSH, une méthode plus sécurisée qui nécessite des identifiants distincts de ceux de WordPress, ajoutant ainsi une couche de protection supplémentaire.

Bloquer le nom d’utilisateur admin en lecteur

L’utilisation du nom d’utilisateur « admin » est une vulnérabilité classique, car c’est le premier identifiant testé lors des attaques par force brute. Malheureusement, de nombreux sites conservent ce compte par défaut. Si vous avez déjà créé votre site avec cet identifiant, plutôt que de simplement créer un nouvel administrateur et supprimer l’ancien, modifiez le rôle du compte « admin » en simple lecteur.

Cette approche présente l’avantage de conserver l’historique des actions tout en réduisant drastiquement les privilèges associés. Ainsi, même si un pirate parvient à deviner le mot de passe de ce compte, il n’obtiendra qu’un accès limité sans possibilité de modifier le site. Pour les installations futures, prenez l’habitude de créer immédiatement un identifiant personnalisé avec des privilèges d’administrateur pour éviter ce problème à la source.

Désactiver le protocole xmlrpc

Le protocole XML-RPC est une fonctionnalité héritée de WordPress qui permet l’interaction avec le site depuis des applications tierces. Aujourd’hui largement remplacé par l’API REST, ce protocole reste activé par défaut et constitue une vulnérabilité exploitée pour les attaques par amplification et les tentatives de connexion par force brute distribuée.

À moins d’utiliser spécifiquement des applications qui en dépendent (comme certaines anciennes applications mobiles), il est recommandé de le désactiver.

Pour ce faire, vous pouvez ajouter un bloc de code dans votre fichier .htaccess :

# Bloquer XML-RPC
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Cette simple modification bloque tout accès au fichier xmlrpc.php, neutralisant efficacement ce vecteur d’attaque sans affecter le fonctionnement normal de votre site WordPress.

Conclusion

La sécurité de votre site WordPress n’est pas une option mais une nécessité constante. En appliquant ces mesures préventives, vous réduisez considérablement les risques de piratage. Restez vigilant, maintenez votre site à jour et adoptez une approche proactive pour protéger efficacement votre présence en ligne.

Image de Maxime

Maxime

Bonjour, je suis Maxime, éditeur de site internet et consultant WebMarketing ! Dans le marketing digital depuis plus 2017, j'accompagne les entrepreneurs à développer leur business avec des solutions digitales performantes et inovantes. J'aime écrire des articles sur différents sujets du digital, mais j'ai une passion pour la création de site internet Wordpress. Je traiterai alors tous les sujets abordant le sujet du Marketing Digital, de l'entreprenariat ainsi que de la création de site Wordpress.