Formation payante

Cette formation est protégée. Veuillez saisir le mot de passe reçu lors de votre achat.

Mot de passe incorrect.

NovaSec

Formation cybersécurité pour TPE/PME

Sécuriser WordPress

39 €

Version 1.0 — 2026 — ~15 pages

Sommaire

Pourquoi WordPress est une cible

WordPress est le CMS le plus utilisé au monde (43 % des sites web), ce qui en fait logiquement la cible n°1 des pirates. Sa popularité, couplée à une base d'utilisateurs pas toujours technique, en fait un terrain de jeu idéal :

Pourquoi les pirates ciblent-ils les petits sites ? Ils ne ciblent pas votre site en particulier. Des robots scannent en permanence Internet pour trouver des WordPress non à jour. Si le vôtre est vulnérable, il sera attaqué automatiquement, souvent dans les 48h suivant la publication d'une faille.

Les failles WordPress les plus exploitées

Type de failleFréquenceImpact
Extensions obsolètes avec faille connueTrès fréquentPrise de contrôle complète du site
Injection SQLFréquentVol de la base de données (utilisateurs, mots de passe)
Cross-Site Scripting (XSS)Très fréquentVol de cookies, redirection des visiteurs
Brute force sur wp-adminConstantAccès à l'administration
Upload de fichiers malveillantsMoyenInstallation de backdoor, prise de contrôle
Faille dans le thèmeMoyenDéfiguration du site, injection de code
XML-RPC attaqueFréquentAttaque par force brute amplifiée
Redirection vers des sites malveillantsFréquentVol de visiteurs, référencement toxique

Les bons réflexes dès l'installation

Choix de l'hébergement

Tout commence par l'hébergement. Un hébergement mutualisé à 3 €/mois partage le serveur avec 500 autres sites. Si l'un d'eux est piraté, le vôtre peut l'être aussi. Privilégiez :

Configuration initiale

ActionPourquoi ?
Changer le préfixe de table wp_ en quelque chose d'uniqueEmpêche les injections SQL automatisées
Supprimer le compte utilisateur "admin"Ce compte est la cible n°1 des attaques par force brute
Modifier l'URL de connexion /wp-adminRéduit le nombre de tentatives automatisées
Activer SSL/HTTPS (certificat Let's Encrypt)Chiffre les échanges entre le visiteur et le site
Désactiver la modification de fichiers depuis l'adminEmpêche un pirate d'éditer le code du site
Limiter les tentatives de connexionBloque les attaques par force brute
Activer les mises à jour automatiques pour les versions mineuresCorrige les failles sans intervention manuelle

Mises à jour : la règle d'or

Un site WordPress non à jour est un site compromis. Les pirates exploitent les failles connues publiées publiquement. Dès qu'une mise à jour de sécurité sort, les robots d'attaque sont programmés dans les heures qui suivent.

Que mettre à jour ?

  1. Le cœur WordPress (core) — automatique pour les versions mineures
  2. Les extensions (plugins) — vérifier chaque semaine
  3. Les thèmes — vérifier chaque semaine
  4. PHP (version du langage côté serveur) — vérifier avec votre hébergeur

Bonnes pratiques

Piège fréquent : "Mon hébergeur s'occupe des mises à jour." Vérifiez. La plupart des hébergements mutualisés ne mettent à jour que le serveur, pas votre WordPress. C'est votre responsabilité.

Extensions et thèmes : le maillon faible

Les extensions sont la principale cause des piratages WordPress. Plus vous en avez, plus la surface d'attaque est grande.

Règles de sécurité pour les extensions

Extensions à fuir absolument

Sécurisation des accès (utilisateurs)

Les rôles WordPress

WordPress propose 6 rôles avec des permissions différentes. Donnez le rôle strictement nécessaire à chaque utilisateur :

RôlePermissionsUsage
Super AdminContrôle total sur le réseau multisiteRéservé au propriétaire du réseau
AdministrateurContrôle total sur un siteRéservé à 1-2 personnes de confiance
ÉditeurPublie, modifie et supprime tout contenuResponsable contenu
AuteurPublie et modifie ses propres articlesRédacteur
ContributeurÉcrit des articles mais ne publie pasStagiaire, rédacteur débutant
AbonnéLit et commenteMembres du site
Règle du moindre privilège : chaque utilisateur doit avoir le strict minimum de permissions pour faire son travail. Un rédacteur n'a pas besoin de pouvoir installer des extensions.

Protection de l'administration

Protection contre les attaques courantes

Attaque par force brute

Des robots tentent des milliers de combinaisons login/mot de passe par seconde.

Protection : limite de tentatives + 2FA + CAPTCHA + changer l'URL de connexion

Injection SQL

Le pirate insère du code SQL dans les champs de saisie pour interroger la base de données.

Protection : maintenir WordPress à jour (les correctifs de sécurité des injections sont dans les mises à jour) + firewall applicatif (WAF) + extension de sécurité

Cross-Site Scripting (XSS)

Le pirate injecte du code JavaScript dans une page du site pour voler les visiteurs.

Protection : mettre à jour les extensions qui permettent la saisie de contenu + ne pas autoriser les scripts non fiables

DDoS (Déni de service distribué)

Des milliers de requêtes submergent votre site pour le rendre inaccessible.

Protection : utiliser un CDN comme Cloudflare (offre gratuite) qui filtre le trafic malveillant avant qu'il n'atteigne votre serveur

Malware / Backdoor

Un fichier malveillant est installé sur votre site via une extension vulnérable ou une faille.

Protection : scanner régulièrement avec une extension de sécurité + surveillance de l'intégrité des fichiers

Les extensions de sécurité recommandées

ExtensionPrixFonctionnalités principales
Wordfence SecurityGratuit / Premium ($119/an)Pare-feu, scanner de malware, 2FA, blocage IP
Solid Security (iThemes)Gratuit / Pro ($99/an)Limite de connexions, 2FA, scanner, modification URL
Sucuri SecurityGratuit / Audit payantScanner malware, surveillance intégrité, audits
WP 2FAGratuit / PremiumDouble authentification simple à configurer
AkismetGratuit (perso) / payant (pro)Anti-spam commentaires (déjà inclus, activez-le)
Cloudflare (CDN + sécurité)Gratuit / Pro ($20/mois)CDN, pare-feu, anti-DDoS, optimisation
UpdraftPlusGratuit / PremiumSauvegardes automatiques vers le cloud
Recommandation NovaSec : Wordfence (version gratuite) + Cloudflare (gratuit) + UpdraftPlus (gratuit) forment déjà une protection solide. Si vous avez un budget, passez en premium pour les sauvegardes automatisées.

Sauvegarde et plan de reprise

Que sauvegarder ?

Fréquence

Type de siteFréquence
Site vitrine (peu de mises à jour)Hebdomadaire
Blog (articles 1-2x par semaine)Quotidienne
E-commerce (WooCommerce)Quotidienne + avant chaque modification majeure
Site avec utilisateurs (adhésion, abonnement)Quotidienne

Plan de reprise en 5 étapes

  1. Identifier l'infection (fichiers modifiés, code suspect)
  2. Mettre le site en maintenance (page "Site en maintenance")
  3. Supprimer les fichiers corrompus et les backdoors
  4. Réinstaller WordPress, extensions et thèmes propres
  5. Restaurer la base de données depuis la sauvegarde propre
Important : Si votre site est piraté, ne restaurez pas une sauvegarde elle-même infectée. Revenez à une version antérieure à l'infection connue. Si vous n'avez pas de sauvegarde propre, faites appel à un professionnel (NovaSec) pour nettoyer le site.

Checklist de sécurisation WordPress

✅ À faire dès l'installation

✅ À faire chaque semaine

✅ À faire chaque mois

✅ À faire tous les 6 mois

Rappel : La sécurité WordPress n'est pas un projet ponctuel. C'est une routine. Quelques minutes par semaine vous évitent des jours d'immobilisation et des milliers d'euros de réparation.

Formation NovaSec – Tous droits réservés – 2026 – Version 1.0