90 000 attaques par minute. C'est le nombre d'attaques ciblant les sites WordPress selon les données de WPScan. Avec 43% de parts de marché sur les CMS, WordPress est la cible privilégiée des pirates. Non pas parce qu'il est intrinsèquement vulnérable, mais parce que la majorité des sites WordPress sont mal configurés, pas mis à jour et gérés sans conscience des risques. Chez Go To Agency, nous gérons la sécurité de nombreux sites WordPress pour nos clients. Voici ce qui est absolument indispensable.
Les mises à jour : la défense numéro un
52% des vulnérabilités WordPress exploitées proviennent de plugins non mis à jour. C'est une statistique accablante qui révèle la principale faille de sécurité WordPress : l'inertie humaine.
Activez les mises à jour automatiques pour le core WordPress (les mises à jour de sécurité mineures) dans wp-config.php : define('WP_AUTO_UPDATE_CORE', 'minor');. Pour les plugins et thèmes, les mises à jour automatiques sont plus risquées (une mise à jour peut casser une fonctionnalité), mais vérifiez et appliquez manuellement les mises à jour de sécurité sous 48h.
Désactivez et désinstallez les plugins inactifs. Un plugin désactivé mais présent reste une surface d'attaque potentielle si son code contient des vulnérabilités. La règle : si vous n'utilisez pas, supprimez.
Authentification renforcée : au-delà du mot de passe
Authentification à deux facteurs (2FA) : obligatoire pour tous les comptes administrateurs. Les plugins Wordfence, WP 2FA ou Google Authenticator permettent de l'activer facilement. Avec le 2FA, même si votre mot de passe est compromis, le pirate ne peut pas se connecter sans le second facteur.
Changer l'URL de connexion : l'URL par défaut /wp-admin est connue de tous les bots d'attaque. Le plugin WPS Hide Login permet de la changer en n'importe quelle autre URL. Simple, mais efficace pour réduire le volume d'attaques brute force.
Limiter les tentatives de connexion : le plugin Limit Login Attempts Reloaded ou Wordfence bloque automatiquement une IP après un nombre défini de tentatives échouées. Essentiel pour contrer les attaques brute force.
Supprimer le compte "admin" : si votre compte administrateur s'appelle "admin", vous avez déjà donné la moitié des informations nécessaires à un pirate. Créez un nouveau compte administrateur avec un nom non évident, puis supprimez le compte "admin".
Pare-feu applicatif (WAF) et protection active
Wordfence : le plugin de sécurité WordPress le plus populaire (5 millions d'installations actives). Il inclut un WAF, un scanner de malware, la protection brute force et des alertes email en temps réel. La version gratuite est déjà très complète. La version Premium (99€/an) ajoute les règles firewall en temps réel et un accès à la liste noire d'IPs.
Cloudflare : idéalement, placez votre site WordPress derrière Cloudflare. Le plan gratuit offre déjà un WAF basique, une protection DDoS et un CDN. Le plan Pro (20€/mois) débloque un WAF plus complet et des règles personnalisées. Cloudflare filtre le trafic malveillant avant qu'il n'atteigne votre serveur.
iThemes Security : alternative à Wordfence, particulièrement adapté aux utilisateurs moins techniques. Interface plus simple, mais fonctionnalités légèrement plus limitées.
Sauvegardes : votre filet de sécurité ultime
Les sauvegardes ne préviennent pas les attaques — elles vous permettent de récupérer après. Et si votre site est compromis sans sauvegarde récente, vous perdez potentiellement des mois de travail.
La règle 3-2-1 : 3 copies de vos données, sur 2 types de médias différents, dont 1 hors site. Pour WordPress concrètement : sauvegarde automatique quotidienne stockée chez votre hébergeur + sauvegarde hebdomadaire envoyée sur un stockage externe (Amazon S3, Google Drive, Dropbox).
Outils recommandés : UpdraftPlus (gratuit, excellent) permet des sauvegardes automatiques planifiées vers les principaux services cloud. WP Time Capsule propose des sauvegardes incrémentales (seules les modifications sont sauvegardées, économisant espace et temps). VaultPress/Jetpack Backup est la solution premium de référence.
Testez vos restaurations : une sauvegarde qui ne peut pas être restaurée ne sert à rien. Testez la restauration de votre sauvegarde sur un environnement de staging au moins une fois par trimestre.
Headers HTTP de sécurité
Les headers HTTP de sécurité renforcent la sécurité côté navigateur sans modifier votre code applicatif. Les plus importants :
Content-Security-Policy (CSP) : définit quelles sources de scripts, styles et médias sont autorisées. Prévient les attaques XSS. La configuration est complexe mais essentielle pour les sites qui gèrent des données sensibles.
X-Frame-Options: DENY : empêche votre site d'être intégré dans une iframe sur d'autres domaines (protection contre le clickjacking).
Strict-Transport-Security (HSTS) : force les connexions HTTPS. Avec max-age=31536000, le navigateur refuse de se connecter en HTTP pendant un an.
Ces headers s'ajoutent dans le fichier .htaccess (Apache) ou la configuration Nginx. Vérifiez votre score sur securityheaders.com.
Votre site WordPress est-il vraiment sécurisé ? Notre équipe réalise des audits de sécurité complets et propose des plans de maintenance et sécurisation. Contactez-nous pour un devis.
