WordPress propulse plus de 40 % des sites web dans le monde, ce qui en fait une cible privilégiée pour les attaquants. La bonne nouvelle : la majorité des attaques réussissent à cause de mauvaises configurations ou de négligences facilement évitables. Cette checklist de sécurité WordPress couvre tous les points essentiels pour protéger votre site en 2026.
Les bases indispensables
Mettre à jour WordPress, les thèmes et les plugins
C'est la règle numéro un et pourtant la plus négligée. La majorité des sites WordPress piratés utilisent des versions obsolètes de plugins ou du core. Activez les mises à jour automatiques pour les correctifs de sécurité et vérifiez manuellement les mises à jour majeures au moins une fois par semaine.
Supprimer les plugins et thèmes inutilisés
Chaque plugin installé, même désactivé, représente une surface d'attaque supplémentaire. Le code est toujours présent sur le serveur et peut contenir des failles exploitables. Faites le ménage : supprimez tout ce que vous n'utilisez pas activement.
Utiliser un hébergeur sérieux
Un hébergeur de qualité isole les comptes, propose des pare-feu applicatifs (WAF), et maintient l'infrastructure à jour. Évitez les offres d'hébergement mutualisées bas de gamme où un seul compte compromis peut affecter tous les sites du serveur.
Sécuriser l'authentification
Changer l'URL de connexion admin
Par défaut, la page de connexion WordPress est accessible via /wp-admin ou /wp-login.php. Cette URL est connue de tous les robots d'attaque. Utilisez un plugin comme WPS Hide Login pour la modifier vers un chemin personnalisé.
Activer l'authentification à deux facteurs (2FA)
Le 2FA ajoute une couche de protection décisive. Même si un attaquant obtient votre mot de passe (via phishing ou fuite de données), il ne pourra pas se connecter sans le second facteur. Utilisez une application TOTP (Google Authenticator, Authy) plutôt que le SMS.
Limiter les tentatives de connexion
Par défaut, WordPress n'impose aucune limite sur les tentatives de connexion, ce qui permet les attaques par brute force. Installez un plugin de limitation (Limit Login Attempts Reloaded, par exemple) ou configurez une règle au niveau du serveur.
Utiliser des mots de passe robustes
Imposez des mots de passe d'au moins 16 caractères pour tous les comptes administrateur. Utilisez un gestionnaire de mots de passe et ne réutilisez jamais le même mot de passe.
Configuration du serveur
Forcer HTTPS partout
Assurez-vous que votre certificat SSL est actif, valide et que toutes les pages redirigent vers HTTPS. Ajoutez l'en-tête Strict-Transport-Security avec une durée d'au moins un an et l'option includeSubDomains.
Ajouter les en-têtes de sécurité HTTP
Les en-têtes de sécurité sont souvent oubliés sur les sites WordPress. Ajoutez au minimum :
X-Frame-Options: SAMEORIGIN— empêche le clickjackingX-Content-Type-Options: nosniff— empêche le MIME sniffingContent-Security-Policy— contrôle les sources de contenu autoriséesReferrer-Policy: strict-origin-when-cross-origin— limite les informations de referrerPermissions-Policy— restreint l'accès aux API du navigateur
Vous pouvez ajouter ces en-têtes via votre fichier .htaccess, votre configuration Nginx, ou un plugin comme Headers Security Advanced.
Désactiver XML-RPC
Le protocole XML-RPC est un vecteur d'attaque fréquent sur WordPress : il permet des attaques par brute force amplifiées et des attaques DDoS via pingback. Sauf si vous utilisez activement l'application mobile WordPress ou Jetpack, désactivez-le.
Ajoutez cette ligne dans votre .htaccess :
<Files xmlrpc.php> Require all denied </Files>
Protéger le fichier wp-config.php
Ce fichier contient les identifiants de votre base de données et les clés de sécurité. Déplacez-le d'un niveau au-dessus de la racine web si possible, ou interdisez l'accès HTTP via votre fichier .htaccess.
Surveillance et maintenance
Installer un plugin de sécurité
Des plugins comme Wordfence ou Sucuri Security ajoutent un pare-feu applicatif, un scanner de malware et une surveillance des fichiers modifiés. Configurez les alertes par email pour être prévenu en cas d'anomalie.
Sauvegarder régulièrement
Mettez en place des sauvegardes automatiques quotidiennes (fichiers et base de données) et stockez-les hors du serveur (cloud, serveur distant). Testez la restauration au moins une fois par trimestre pour vous assurer que vos sauvegardes fonctionnent.
Scanner votre site régulièrement
Au-delà des plugins de sécurité internes, il est essentiel de scanner votre site depuis l'extérieur, comme le ferait un attaquant. C'est exactement ce que fait SecurVibe : un scan externe qui détecte les failles visibles, les en-têtes manquants et les configurations dangereuses.
Checklist récapitulative
- WordPress, thèmes et plugins à jour
- Plugins et thèmes inutilisés supprimés
- URL de connexion admin modifiée
- Authentification 2FA activée
- Tentatives de connexion limitées
- HTTPS forcé avec HSTS
- En-têtes de sécurité configurés
- XML-RPC désactivé
- wp-config.php protégé
- Sauvegardes automatiques en place
- Scan de sécurité externe régulier
Pour aller plus loin, consultez notre guide complet de l'OWASP Top 10 en français qui détaille les vulnérabilités les plus critiques pour toute application web, y compris WordPress.
La sécurité d'un site WordPress n'est pas une action ponctuelle mais un processus continu. En appliquant cette checklist et en scannant votre site régulièrement, vous réduisez drastiquement votre surface d'attaque.
Vérifiez la sécurité de votre site WordPress dès maintenant avec SecurVibe.
Testez la sécurité de votre site en quelques minutes
SecurVibe analyse automatiquement votre site web et détecte les vulnérabilités critiques. Pas besoin d'expertise technique.
Analyser mon site gratuitement