NovaSec
Formation cybersécurité pour TPE/PME
Sécuriser WordPress
39 €
Version 1.0 — 2026 — ~15 pages
Sommaire
- Pourquoi WordPress est une cible
- Les failles WordPress les plus exploitées
- Les bons réflexes dès l'installation
- Mises à jour : la règle d'or
- Extensions et thèmes : le maillon faible
- Sécurisation des accès (utilisateurs)
- Protection contre les attaques courantes
- Les extensions de sécurité recommandées
- Sauvegarde et plan de reprise
- Checklist de sécurisation WordPress
Pourquoi WordPress est une cible
WordPress est le CMS le plus utilisé au monde (43 % des sites web), ce qui en fait logiquement la cible n°1 des pirates. Sa popularité, couplée à une base d'utilisateurs pas toujours technique, en fait un terrain de jeu idéal :
- 90 % des CMS piratés sont des WordPress (les autres : Joomla 6 %, Drupal 2 %)
- 2 000+ failles recensées sur WordPress (core, extensions, thèmes) par an
- 1 site WordPress sur 3 n'est pas à jour
- 70 % des failles viennent des extensions non mises à jour
- 8 000+ sites WordPress piratés chaque jour dans le monde
Pourquoi les pirates ciblent-ils les petits sites ? Ils ne ciblent pas votre site en particulier. Des robots scannent en permanence Internet pour trouver des WordPress non à jour. Si le vôtre est vulnérable, il sera attaqué automatiquement, souvent dans les 48h suivant la publication d'une faille.
Les failles WordPress les plus exploitées
| Type de faille | Fréquence | Impact |
| Extensions obsolètes avec faille connue | Très fréquent | Prise de contrôle complète du site |
| Injection SQL | Fréquent | Vol de la base de données (utilisateurs, mots de passe) |
| Cross-Site Scripting (XSS) | Très fréquent | Vol de cookies, redirection des visiteurs |
| Brute force sur wp-admin | Constant | Accès à l'administration |
| Upload de fichiers malveillants | Moyen | Installation de backdoor, prise de contrôle |
| Faille dans le thème | Moyen | Défiguration du site, injection de code |
| XML-RPC attaque | Fréquent | Attaque par force brute amplifiée |
| Redirection vers des sites malveillants | Fréquent | Vol de visiteurs, référencement toxique |
Les bons réflexes dès l'installation
Choix de l'hébergement
Tout commence par l'hébergement. Un hébergement mutualisé à 3 €/mois partage le serveur avec 500 autres sites. Si l'un d'eux est piraté, le vôtre peut l'être aussi. Privilégiez :
- Hébergements sécurisés WordPress : Kinsta, WP Engine, Flywheel, o2switch
- Hébergements gérés : mises à jour, sauvegardes, pare-feu inclus
- Hébergements français de qualité : o2switch, Infomaniak, PlanetHoster
- Évitez l'hébergement gratuit ou ultra low-cost (moins de 5 €/mois)
Configuration initiale
| Action | Pourquoi ? |
Changer le préfixe de table wp_ en quelque chose d'unique | Empêche les injections SQL automatisées |
| Supprimer le compte utilisateur "admin" | Ce compte est la cible n°1 des attaques par force brute |
Modifier l'URL de connexion /wp-admin | Réduit le nombre de tentatives automatisées |
| Activer SSL/HTTPS (certificat Let's Encrypt) | Chiffre les échanges entre le visiteur et le site |
| Désactiver la modification de fichiers depuis l'admin | Empêche un pirate d'éditer le code du site |
| Limiter les tentatives de connexion | Bloque les attaques par force brute |
| Activer les mises à jour automatiques pour les versions mineures | Corrige les failles sans intervention manuelle |
Mises à jour : la règle d'or
Un site WordPress non à jour est un site compromis. Les pirates exploitent les failles connues publiées publiquement. Dès qu'une mise à jour de sécurité sort, les robots d'attaque sont programmés dans les heures qui suivent.
Que mettre à jour ?
- Le cœur WordPress (core) — automatique pour les versions mineures
- Les extensions (plugins) — vérifier chaque semaine
- Les thèmes — vérifier chaque semaine
- PHP (version du langage côté serveur) — vérifier avec votre hébergeur
Bonnes pratiques
- Activez les mises à jour automatiques pour les extensions de sécurité
- Testez les mises à jour sur un site de staging (copie de test) avant de les appliquer en production
- Faites une sauvegarde avant chaque mise à jour majeure (version majeure de WordPress ou d'une extension critique)
- Supprimez les extensions inutilisées : une extension inactive peut toujours être vulnérable
- Vérifiez les changelogs : si une extension n'a pas été mise à jour depuis 2+ ans, trouvez une alternative
Piège fréquent : "Mon hébergeur s'occupe des mises à jour." Vérifiez. La plupart des hébergements mutualisés ne mettent à jour que le serveur, pas votre WordPress. C'est votre responsabilité.
Extensions et thèmes : le maillon faible
Les extensions sont la principale cause des piratages WordPress. Plus vous en avez, plus la surface d'attaque est grande.
Règles de sécurité pour les extensions
- Moins c'est mieux : n'installez que les extensions dont vous avez réellement besoin
- Vérifiez la note et les avis : une extension avec 2 étoiles et 10 installs actives est risquée
- Vérifiez la date de dernière mise à jour : si + de 6 mois, cherchez une alternative
- Vérifiez la compatibilité : l'extension est-elle compatible avec votre version de WordPress et PHP ?
- Préférez les extensions du répertoire officiel (wordpress.org/plugins) plutôt que des sources tierces
- Achetez sur des places de marché réputées : Envato (ThemeForest/CodeCanyon) ou directement chez l'éditeur
- Ne piratez jamais d'extensions : une extension "nulled" (version crackée) contient presque toujours un malware
Extensions à fuir absolument
- Les extensions "nulled" (crackées)
- Les extensions qui promettent "10 000 visiteurs gratuits" ou "référencement automatique"
- Les extensions téléchargées depuis des sites de partage douteux
- Les extensions avec des avis négatifs mentionnant des failles de sécurité
- Les extensions abandonnées (pas de mise à jour depuis + de 2 ans)
Sécurisation des accès (utilisateurs)
Les rôles WordPress
WordPress propose 6 rôles avec des permissions différentes. Donnez le rôle strictement nécessaire à chaque utilisateur :
| Rôle | Permissions | Usage |
| Super Admin | Contrôle total sur le réseau multisite | Réservé au propriétaire du réseau |
| Administrateur | Contrôle total sur un site | Réservé à 1-2 personnes de confiance |
| Éditeur | Publie, modifie et supprime tout contenu | Responsable contenu |
| Auteur | Publie et modifie ses propres articles | Rédacteur |
| Contributeur | Écrit des articles mais ne publie pas | Stagiaire, rédacteur débutant |
| Abonné | Lit et commente | Membres du site |
Règle du moindre privilège : chaque utilisateur doit avoir le strict minimum de permissions pour faire son travail. Un rédacteur n'a pas besoin de pouvoir installer des extensions.
Protection de l'administration
- 2FA obligatoire pour tous les comptes administrateurs (extension : Wordfence, WP 2FA)
- Limiter les tentatives de connexion : après 5 échecs, bloquer l'IP pendant 15 minutes
- Changer l'URL de connexion : de /wp-admin vers /connexion (extension : WPS Hide Login)
- Désactiver le XML-RPC : protège contre les attaques par force brute amplifiées (sauf si vous utilisez l'app mobile WordPress)
- Désactiver les notifications d'échec de connexion : ne dites pas si le login existe ou non ("identifiants incorrects" dans les deux cas)
Protection contre les attaques courantes
Attaque par force brute
Des robots tentent des milliers de combinaisons login/mot de passe par seconde.
Protection : limite de tentatives + 2FA + CAPTCHA + changer l'URL de connexion
Injection SQL
Le pirate insère du code SQL dans les champs de saisie pour interroger la base de données.
Protection : maintenir WordPress à jour (les correctifs de sécurité des injections sont dans les mises à jour) + firewall applicatif (WAF) + extension de sécurité
Cross-Site Scripting (XSS)
Le pirate injecte du code JavaScript dans une page du site pour voler les visiteurs.
Protection : mettre à jour les extensions qui permettent la saisie de contenu + ne pas autoriser les scripts non fiables
DDoS (Déni de service distribué)
Des milliers de requêtes submergent votre site pour le rendre inaccessible.
Protection : utiliser un CDN comme Cloudflare (offre gratuite) qui filtre le trafic malveillant avant qu'il n'atteigne votre serveur
Malware / Backdoor
Un fichier malveillant est installé sur votre site via une extension vulnérable ou une faille.
Protection : scanner régulièrement avec une extension de sécurité + surveillance de l'intégrité des fichiers
Les extensions de sécurité recommandées
| Extension | Prix | Fonctionnalités principales |
| Wordfence Security | Gratuit / Premium ($119/an) | Pare-feu, scanner de malware, 2FA, blocage IP |
| Solid Security (iThemes) | Gratuit / Pro ($99/an) | Limite de connexions, 2FA, scanner, modification URL |
| Sucuri Security | Gratuit / Audit payant | Scanner malware, surveillance intégrité, audits |
| WP 2FA | Gratuit / Premium | Double authentification simple à configurer |
| Akismet | Gratuit (perso) / payant (pro) | Anti-spam commentaires (déjà inclus, activez-le) |
| Cloudflare (CDN + sécurité) | Gratuit / Pro ($20/mois) | CDN, pare-feu, anti-DDoS, optimisation |
| UpdraftPlus | Gratuit / Premium | Sauvegardes automatiques vers le cloud |
Recommandation NovaSec : Wordfence (version gratuite) + Cloudflare (gratuit) + UpdraftPlus (gratuit) forment déjà une protection solide. Si vous avez un budget, passez en premium pour les sauvegardes automatisées.
Sauvegarde et plan de reprise
Que sauvegarder ?
- Les fichiers : wp-content/themes, wp-content/plugins, wp-content/uploads, wp-config.php
- La base de données : toutes les tables (contenu, utilisateurs, réglages)
Fréquence
| Type de site | Fréquence |
| Site vitrine (peu de mises à jour) | Hebdomadaire |
| Blog (articles 1-2x par semaine) | Quotidienne |
| E-commerce (WooCommerce) | Quotidienne + avant chaque modification majeure |
| Site avec utilisateurs (adhésion, abonnement) | Quotidienne |
Plan de reprise en 5 étapes
- Identifier l'infection (fichiers modifiés, code suspect)
- Mettre le site en maintenance (page "Site en maintenance")
- Supprimer les fichiers corrompus et les backdoors
- Réinstaller WordPress, extensions et thèmes propres
- Restaurer la base de données depuis la sauvegarde propre
Important : Si votre site est piraté, ne restaurez pas une sauvegarde elle-même infectée. Revenez à une version antérieure à l'infection connue. Si vous n'avez pas de sauvegarde propre, faites appel à un professionnel (NovaSec) pour nettoyer le site.
Checklist de sécurisation WordPress
✅ À faire dès l'installation
- Changer le préfixe de table
wp_
- Supprimer le compte "admin"
- Modifier l'URL de connexion
- Activer SSL/HTTPS
- Désactiver la modification de fichiers dans l'admin
- Installer une extension de sécurité (Wordfence)
- Activer la 2FA pour les administrateurs
- Installer une extension de sauvegarde (UpdraftPlus)
- Créer un utilisateur avec les droits minimaux pour le quotidien
- Configurer Cloudflare (gratuit)
✅ À faire chaque semaine
- Vérifier les mises à jour disponibles (cœur, extensions, thèmes)
- Appliquer les mises à jour
- Vérifier que la sauvegarde automatique a bien fonctionné
- Lire le rapport de sécurité de Wordfence
✅ À faire chaque mois
- Supprimer les extensions et thèmes inutilisés
- Vérifier les utilisateurs (supprimer les comptes inactifs)
- Tester la restauration d'une sauvegarde
- Vérifier les logs de connexion (tentatives échouées)
- Scanner complet du site (Wordfence)
- Vérifier que le certificat SSL n'est pas expiré
✅ À faire tous les 6 mois
- Changer le mot de passe administrateur
- Auditer les extensions : sont-elles toujours utiles ?
- Vérifier la version de PHP (hébergement)
- Vérifier les permissions des fichiers (644 pour les fichiers, 755 pour les dossiers)
- Faire un audit de sécurité complet (par NovaSec ou par vous-même)
Rappel : La sécurité WordPress n'est pas un projet ponctuel. C'est une routine. Quelques minutes par semaine vous évitent des jours d'immobilisation et des milliers d'euros de réparation.
Formation NovaSec – Tous droits réservés – 2026 – Version 1.0