Sécurité WordPress protéger votre site avant qu'il soit trop tard
La sécurité WordPress n’est pas un sujet réservé aux grands sites. WordPress représente 43% du web mondial, c’est la cible numéro 1 des attaques automatisées. Des milliers de bots scannent en permanence à la recherche de plugins vulnérables, de mots de passe faibles, de configurations par défaut. J’ai sécurisé les sites d’ILDI et de La Ferme des Fourneaux, des structures pour lesquelles un piratage aurait des conséquences directes sur l’activité. Un site compromis, c’est du trafic SEO perdu, des données exposées, plusieurs jours de nettoyage.
4 étapes pour sécuriser un site WordPress
01
Audit de sécurité
Versions des plugins et thème, configuration de l’administration, permissions de fichiers, logs d’accès serveur. Identifie les vulnérabilités existantes et les mesures prioritaires.
02
Durcissement de la configuration
- Désactivation de l’éditeur de fichiers dans l’administration WordPress
- Configuration des permissions de fichiers (644 pour les fichiers, 755 pour les dossiers)
- Suppression des plugins et thèmes inactifs
- Désactivation de l’API REST WordPress pour les endpoints non utilisés
Sur les sites en refonte WordPress, cette étape de durcissement est systématiquement intégrée à la livraison , c’est plus simple à mettre en place sur une base neuve que de corriger une configuration existante.
03
Pare-feu et surveillance
Configuration du WAF (Wordfence ou Cloudflare), surveillance des fichiers en temps réel, alertes email pour les événements suspects. Bloque proactivement les tentatives d’intrusion.
04
Sauvegardes sécurisées
Sauvegardes quotidiennes automatiques stockées hors serveur. Restauration possible jusqu’à 30 jours en arrière. Voir la page maintenance WordPress pour les détails.
Mon site a été piraté : par où commencer ?
En urgence : bloquer l’accès, changer tous les mots de passe (WordPress, FTP, hébergement, base de données), identifier la version compromise depuis les logs. Ensuite : restaurer depuis une sauvegarde saine, scanner tous les fichiers, corriger la faille exploitée. Je propose des interventions d’urgence post-piratage.
Un hébergement sécurisé suffit-il ?
Non. L’hébergement sécurise l’infrastructure serveur, pas WordPress. La grande majorité des piratages exploitent des vulnérabilités au niveau de l’application (plugins, configuration), pas du serveur. Les deux niveaux sont complémentaires.
La sécurité WordPress impacte-t-elle le SEO ?
Oui, directement. Un site piraté peut se voir ajouter des liens spam, des redirections malveillantes ou du contenu caché. Google détecte ces modifications et peut déréférencer ou pénaliser le site. Un site sécurisé protège aussi son référencement , de la même façon qu’une bonne performance WordPress protège les Core Web Vitals : les deux sont des fondations que Google mesure en permanence.
Est-ce qu’un certificat SSL protège mon site WordPress contre les piratages ?
Non, le SSL protège la communication entre le navigateur du visiteur et le serveur, mais pas WordPress lui-même. HTTPS chiffre les données en transit, mots de passe, formulaires, cookies de session, ce qui empêche une interception sur le réseau. Mais si un attaquant exploite une faille dans un plugin pour accéder à votre base de données, le SSL ne change rien. C’est une couche de sécurité indispensable pour la confidentialité des données et pour le SEO, mais elle ne remplace pas le durcissement de WordPress.
Faut-il changer l’URL de wp-admin pour sécuriser WordPress ?
C’est une mesure de sécurité par obscurité, elle réduit le bruit des bots qui ciblent l’URL par défaut, mais elle ne résout pas le problème de fond. Un attaquant déterminé peut retrouver l’URL personnalisée. Ce qui compte vraiment : authentification à deux facteurs sur tous les comptes admin, limitation des tentatives de connexion, mots de passe robustes, et suppression des comptes admin inutilisés. Changer l’URL de connexion peut être fait en complément de ces mesures, jamais à leur place. Certains plugins de sécurité proposent cette option mais elle peut créer des problèmes de compatibilité avec des plugins tiers qui accèdent directement à l’interface d’administration.
Cloudflare suffit-il à protéger WordPress ?
Cloudflare apporte une protection réseau solide : filtrage DDoS, WAF de niveau réseau, masquage de l’IP du serveur. Mais il ne remplace pas un durcissement au niveau WordPress : permissions de fichiers, protection de wp-login.php, 2FA, suppression des plugins vulnérables. Les deux couches sont complémentaires.
Mon site a été piraté mais je n’ai pas de sauvegarde récente. Que faire ?
C’est la situation la plus difficile mais pas toujours désespérée. Plusieurs options selon le cas. D’abord, vérifier si l’hébergeur conserve des snapshots automatiques, beaucoup d’hébergeurs gardent des sauvegardes serveur pendant 7 à 30 jours sans que le client le sache forcément. Ensuite, si le site est partiellement accessible, on peut extraire le contenu important (articles, pages, médias) depuis la base de données ou les fichiers avant de nettoyer. Si aucune sauvegarde n’existe, on repart d’une installation propre en récupérant le contenu manuellement et en reconstituant la configuration. C’est long, c’est douloureux, et c’est la meilleure raison de mettre en place des sauvegardes automatiques hors serveur dès aujourd’hui.
Comment savoir si mon site infecte les visiteurs sans que je le voie ?
C’est l’un des scénarios les plus insidieux, un site piraté qui semble normal côté administration mais qui injecte du code malveillant uniquement pour les visiteurs externes ou uniquement pour les utilisateurs non connectés. Plusieurs façons de le détecter : accéder au site en navigation privée sans être connecté, vérifier le rapport Google Search Console dans la section “Problèmes de sécurité”, scanner le site avec un outil comme Sucuri SiteCheck, ou analyser les fichiers PHP récemment modifiés via FTP. Google signale les sites dangereux aux utilisateurs via Chrome et peut les déréférencer, souvent c’est ainsi que les propriétaires l’apprennent.
Quelle est la différence entre un plugin de sécurité gratuit et la version premium ?
Les versions gratuites de Wordfence ou Solid Security couvrent l’essentiel : pare-feu, scan de malware, limitation des tentatives de connexion, surveillance de l’intégrité des fichiers. C’est suffisant pour la grande majorité des sites. Ce que les versions premium ajoutent concrètement : la mise à jour en temps réel des règles de pare-feu et des signatures de malware. Sur la version gratuite de Wordfence par exemple, les nouvelles règles de sécurité arrivent avec 30 jours de délai par rapport à la version premium. Sur un site e-commerce ou un site avec des données sensibles, ces 30 jours représentent une fenêtre de vulnérabilité réelle sur les failles récemment découvertes. Sur un site vitrine classique avec des mises à jour régulières, la version gratuite bien configurée fait le travail.
Une urgence ? une demande d’aide.
Ne pas sécuriser son site WordPress, c’est laisser une porte ouverte. Un audit de sécurité identifie les vulnérabilités actuelles et les mesures prioritaires à mettre en place. La sécurité fait partie de l’ensemble de mes interventions développement WordPress , maintenance, performance, refonte , pas une prestation isolée.