Sécurité

Sécuriser vos sites WordPress

4 mai 2025
securite wordpress

WordPress alimente plus de 40 % des sites web dans le monde. Cette popularité en fait une proie privilégiée pour les hackers qui ont des millions de cibles potentielles à leur disposition. En 2025, avec l’évolution constante des menaces et l’utilisation de l’IA, il est crucial d’adopter une approche proactive pour sécuriser votre site. Voici un rappel des risques que vous pouvez encourir ainsi que les meilleures pratiques pour les éviter.

Le principe : ne pas tenir pour acquis une situation stable à l’instant t. Ces bonnes pratiques ne sont hélas pas forcement toujours appliquées, notamment pour des sites ayant déjà quelques années, et pour lesquels on ne s’est pas donné la peine de réaliser des audits de sécurité réguliers.
En effet, les cybermenaces évoluent rapidement, avec des attaques automatisées utilisant l’intelligence artificielle pour identifier et exploiter les vulnérabilités plus rapidement.

Les risques principaux

  • La perte de données sensibles et / ou personnelles, et la possibilité d’une sanction financière si vous ne pouvez prouver la mise en place suffisante de solutions destinés à sécuriser ces données.
  • Une baisse du référencement et un signalement négatif vis-à-vis des moteurs de recherche
  • Une perte de confiance des utilisateurs et des clients
  • Un coût non négligeable de remise en état, voire de perte de revenus.

Il est donc impératif de mettre en place des mesures de sécurité robustes, et de les mettre à jour en temps réel.

Mettez à jour régulièrement WordPress, les thèmes et les plugins

Les mises à jour de vos thèmes, plugins ainsi que du coeur de WordPress corrigent des failles de sécurité connues et patchées. Utilisez des outils comme WP Umbrella, Manage WP, Main WP, Divi Dash, CMS Commander… pour gérer plus facilement les mises à jour. Certaines fonctionnalités de ces outils permettent même d’automatiser la remise de votre site à son état antérieur lors de problèmes liés à ces mises à jour (qui deviennent de plus en plus rares heureusement).
Ne soyez pas trop puriste et activez les mises à jour automatiques lorsque c’est possible pour réduire les risques, tout en étant informé par email de ces mises à jour lorsqu’elles surviennent, ce qui vous permettra de vérifier la bonne disponibilité de votre site ainsi que de son fonctionnement optimal.

Renforcez la sécurité de la page de connexion

Le facteur humain est la première cause des trous de sécurité. Il faut se donner la peine de diffuser ces bonnes pratiques, même si elles paraissent contraignantes au premier abord. Un site indisponible ou hacké est un cauchemar pour son propriétaire, il faut considérer ces mesures de bon sens comme une assurance de bonne santé de votre site :

  • Utilisez des mots de passe forts et uniques et conservez-les sur votre ordinateur ou sur papier.
  • Obligez vos collaborateurs à créer des mots de passe forts.
  • Activez l’authentification à deux facteurs (2FA), soit par email, soit via un code reçu sur mobile
  • Limitez le nombre de tentatives de connexion afin de de dissuader les hackers de s’acharner sur votre page de connexion et les obliger à recommencer leur travail de sape. De même tout bon hébergeur dispose nativement sur ses serveurs de protection anti DDos pour bloquer les flux de connexion malveillants
  • Modifiez l’URL de connexion par défaut et inventez la vôtre. De nombreux plugins existent pour cela.

Installez un plugin de sécurité fiable

Vous pouvez très bien effectuer toutes les manipulations de sécurité à la main, mais des plugins comme SolidWP, Wordfence, Sucuri ou Secupress offrent ces fonctionnalités de façon intuitive, et surtout fiables et mises à jour. Les versions premium de ces outils permettent de rester pro-actif et de vérifier quotidiennement l’intégrité de vos fichiers et de pallier les menaces potentielles. Entre autres, vous aurez les fonctionnalités suivantes :

  • La détection de logiciels malveillants
  • La surveillance des fichiers et le blocage du listage de certains répertoires
  • Le masquage de certaines informations concernant l’environnement technique de votre site
  • La protection contre les attaques par force brute, en plus de celle de votre hébergeur, pour ne pas impacter la disponibilité de votre site.
  • La planification de sauvegardes régulières, de rapports d’activité et d’alertes en cas de problèmes rencontrés.

Effectuez des sauvegardes régulières

C’est un strict minimum, et votre hébergeur se doit de vous le proposer nativement. Les sauvegardes sont essentielles pour restaurer votre site en cas de problème. Si vous préférez gérer ces sauvegardes vous-même et les stocker sur d’autres environnements de cloud sécurisés comme Dropbox, Google Drive ou d’autres, utilisez des plugins comme UpdraftPlus ou Duplicator pour automatiser ce processus. Mieux vaut plusieurs sauvegardes que pas de sauvegarde du tout. Les outils de mises à jour cités plus haut permettent également de réaliser des sauvegardes de vos sites, généralement sur 30 jours glissant.

Utilisez un hébergement sécurisé

Ce ne devrait plus être un point à vérifier en 2025. Un certificat SSL chiffre les données échangées entre votre site et ses visiteurs, renforçant la sécurité et améliorant le référencement. La plupart des hébergeurs proposent des certificats SSL gratuits via Let’s Encrypt.
C’est la règle maintenant, et si ces fonctionnalités ne sont pas proposées par votre hébergeur, demandez-les ou passez votre chemin :

  • Des certificats SSL gratuits, au moins pour les sites non e-commerce.
  • Des sauvegardes automatiques, au minimum sur 7 jours glissant.
  • Une surveillance 24/7 (vous payez ce service)
  • Une protection contre les attaques DDoS

Un hébergement de qualité est la première ligne de défense contre les menaces car l’hébergeur est garant de la qualité de son infrastructure. Il ne manquera pas de vous alerter en cas de menace repérée sur un de vos sites et qui impacterait sa réputation, ainsi que les autres sites qu’ils pourrait héberger.

Gérez les utilisateurs avec précaution

Limitez les droits d’accès aux utilisateurs en fonction de leurs besoins. Le nombre de comptes administrateurs ayant tous les pouvoirs doit être limité au maximum. Évitez d’utiliser le nom d’utilisateur « admin » ou bien réduisez-le au rôle le plus basique afin de décourager les intrus.
N’hésitez pas à supprimer les comptes inactifs, il n’est pas rare de trouver des comptes « fantômes » d’anciens salariés ou intervenants externes qui n’ont plus d’obligation vis-à-vis du site et qui potentiellement ont encore leur compte actif, même administrateurs. Prenez la peine, le cas échéant, de vous renseigner sur l’usage dont certains comptes ont besoin, et limitez leurs droits.

Utilisez des plugins pour surveiller l’activité des utilisateurs et détecter les comportements suspects, comme WP Activity Log ou Simple History. Attention néanmoins à limiter la durée de stockage de ces plugins, qui alourdissent notablement votre base de données.
Bref, limitez et verrouillez bien les capacités des comptes ayant accès à votre back office.

Activez un pare-feu (WAF)

Un pare-feu d’application web (WAF) filtre le trafic malveillant avant qu’il n’atteigne votre site. Des solutions comme Sucuri ou Wordfence intègrent des WAF efficaces pour bloquer les attaques en temps réel, et votre hébergeur en propose généralement un au niveau du serveur à proprement parler. Renseignez-vous à ce sujet.

Réalisez des audits de sécurité réguliers

Vos audits de sécurité sont bons ? Ne vous endormez pas sur vos lauriers. Si ces audits permettent d’identifier les vulnérabilités et de vérifier l’efficacité des mesures en place, ils sont aussi à répéter régulièrement. Utilisez des outils comme WPScan (site externe) ou les fonctionnalités intégrées des plugins de sécurité pour effectuer ces analyses, et recevez un rapport dans la foulée afin d’intervenir si besoin.

Sécurisez les fichiers sensibles

  • Protégez les fichiers critiques de votre installation WordPress :
  • Restreignez l’accès au fichier wp-config.php
  • Désactivez l’édition de fichiers depuis le tableau de bord (certains hébergeurs le désactivent d’office).
  • Modifiez les permissions des fichiers et dossiers pour limiter les accès aux répertoires et aux médias

Restez informé des nouvelles menaces

Abonnez-vous à des blogs spécialisés, participez à des webinaires et suivez les actualités en cybersécurité pour adapter vos mesures de protection aux nouvelles menaces et restez en éveil.

La petite checklist de sécurité

  • Mettre à jour WordPress, les thèmes et les plugins
  • Utiliser des mots de passe forts et uniques
  • Activer l’authentification à deux facteurs (2FA)
  • Installer un plugin de sécurité fiable
  • Effectuer des sauvegardes régulières
  • Choisir un hébergement sécurisé
  • Gérer les utilisateurs avec précaution
  • Activer un pare-feu (WAF)
  • Réaliser des audits de sécurité réguliers
  • Sécuriser les fichiers sensibles
  • Utiliser HTTPS
  • Rester informé des nouvelles menaces

En appliquant ces bonnes pratiques, parfois de simple bon sens, vous renforcerez significativement la sécurité de votre site WordPress en 2025. La cybersécurité est un processus continu qui nécessite vigilance et adaptation. N’hésitez pas à consulter des experts ou à utiliser des ressources spécialisées pour vous accompagner dans cette démarche.

Sécurisez votre site WordPress

et rester serein !

Faites auditer votre site

Articles similaires

Gérer les redirections est essentiel lors de la refonte d’un site web

Gérer les redirections est essentiel lors de la refonte d’un site web