Comment sécuriser son site WordPress en 2025 : le guide complet pour les non-techniciens
Pourquoi WordPress est-il si ciblé ?
WordPress propulse plus de 43% des sites web dans le monde. Cette popularité en fait une cible de choix pour les hackers : une seule faille découverte peut potentiellement affecter des millions de sites.
Les petites entreprises et freelances sont particulièrement vulnérables. Contrairement aux grandes structures, ils n'ont ni équipe IT dédiée, ni budget sécurité conséquent. Les attaquants le savent — et en profitent.
La bonne nouvelle ? La majorité des attaques exploitent des failles basiques, faciles à corriger. Pas besoin d'être expert pour protéger son site.
Les 10 mesures essentielles pour sécuriser WordPress
1. Maintenir WordPress, thèmes et plugins à jour
C'est la règle numéro un — et la plus négligée.
Chaque mise à jour corrige des failles de sécurité connues. Un site non mis à jour est un site dont les vulnérabilités sont publiquement documentées. Les bots malveillants n'ont plus qu'à les exploiter.
Action immédiate :
- Connectez-vous à votre tableau de bord WordPress
- Allez dans Tableau de bord → Mises à jour
- Mettez tout à jour : WordPress, thèmes, plugins
- Activez les mises à jour automatiques pour les correctifs de sécurité
Fréquence recommandée : vérifiez chaque semaine, ou activez les mises à jour automatiques.
2. Supprimer les plugins et thèmes inutilisés
Chaque plugin est une porte d'entrée potentielle. Même désactivé, un plugin vulnérable reste exploitable.
Action immédiate :
- Allez dans Extensions → Extensions installées
- Supprimez (pas seulement désactivez) tout ce que vous n'utilisez pas
- Faites de même pour les thèmes dans Apparence → Thèmes
Règle d'or : si vous n'en avez pas besoin, supprimez-le.
3. Utiliser des identifiants solides
"admin" comme nom d'utilisateur et "123456" comme mot de passe ? C'est la première combinaison testée par les attaquants.
Actions immédiates :
- Changez le nom d'utilisateur "admin" (créez un nouvel administrateur, puis supprimez l'ancien)
- Utilisez un mot de passe d'au moins 16 caractères, mélangeant lettres, chiffres et symboles
- Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass)
4. Activer l'authentification à deux facteurs (2FA)
Même si votre mot de passe est compromis, le 2FA bloque l'accès.
Plugins recommandés :
- WP 2FA
- Google Authenticator
- Wordfence Login Security (gratuit)
Configuration : installez le plugin, scannez le QR code avec une app d'authentification (Google Authenticator, Authy), et c'est fait.
5. Limiter les tentatives de connexion
Par défaut, WordPress autorise un nombre illimité de tentatives de connexion. Les attaques par force brute en profitent pour tester des milliers de combinaisons.
Plugins recommandés :
- Limit Login Attempts Reloaded (gratuit)
- Wordfence
- Solid Security (anciennement iThemes Security)
Configuration suggérée :
- Maximum 3 tentatives avant blocage
- Blocage de 30 minutes après 3 échecs
- Blocage de 24h après 5 blocages consécutifs
6. Installer un certificat SSL (HTTPS)
Le cadenas dans la barre d'adresse n'est plus optionnel. Sans HTTPS :
- Les données transitent en clair (mots de passe, formulaires)
- Google pénalise votre référencement
- Les navigateurs affichent des avertissements effrayants
Comment vérifier : Votre URL commence-t-elle par https:// ? Si non, contactez votre hébergeur — la plupart proposent des certificats SSL gratuits (Let's Encrypt).
Attention : avoir un certificat ne suffit pas. Il doit être correctement configuré. Un outil comme ScanFortress peut vérifier votre configuration SSL en quelques minutes.
7. Configurer les headers de sécurité HTTP
C'est l'une des protections les plus efficaces — et les plus ignorées.
Les headers de sécurité indiquent aux navigateurs comment se comporter avec votre site. Sans eux, vous êtes exposé aux attaques XSS, clickjacking, et autres injections.
Headers essentiels :
| Header | Protection |
|---|---|
| Content-Security-Policy (CSP) | Bloque les scripts malveillants |
| X-Frame-Options | Empêche l'affichage de votre site dans une iframe (clickjacking) |
| X-Content-Type-Options | Empêche le sniffing MIME |
| Strict-Transport-Security (HSTS) | Force HTTPS |
| Referrer-Policy | Contrôle les informations transmises aux autres sites |
| Permissions-Policy | Limite l'accès aux fonctionnalités du navigateur |
Comment les ajouter :
Option 1 — via un plugin :
- HTTP Headers
- Security Headers (gratuit)
Option 2 — via le fichier .htaccess (serveurs Apache) :
<IfModule mod_headers.c>
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "geolocation=(), microphone=(), camera=()"
</IfModule>Comment vérifier : testez votre site sur ScanFortress pour voir quels headers sont manquants.
8. Sécuriser la page de connexion
La page /wp-admin est connue de tous — y compris des hackers.
Actions recommandées :
- Changer l'URL de connexion — plugins : WPS Hide Login, Solid Security
- Restreindre l'accès par IP (si vous avez une IP fixe)
- Ajouter un CAPTCHA — plugins : reCAPTCHA, hCaptcha
9. Effectuer des sauvegardes régulières
La sécurité parfaite n'existe pas. En cas de piratage, une sauvegarde récente peut tout sauver.
Plugins recommandés :
- UpdraftPlus (gratuit avec options premium)
- BackWPup
- Duplicator
Bonnes pratiques :
- Sauvegarde automatique hebdomadaire minimum
- Stockage externe (Google Drive, Dropbox, pas sur le même serveur)
- Testez vos sauvegardes : restaurez-les sur un environnement de test
10. Configurer SPF, DKIM et DMARC pour vos emails
Ce point est souvent oublié, mais il est critique.
Sans ces configurations, n'importe qui peut envoyer des emails "depuis" votre domaine. Les conséquences :
- Phishing envoyé à vos clients en votre nom
- Votre domaine blacklisté
- Perte de confiance et de réputation
Ce qu'il faut configurer :
| Protocole | Fonction |
|---|---|
| SPF | Liste les serveurs autorisés à envoyer des emails pour votre domaine |
| DKIM | Signature cryptographique des emails |
| DMARC | Politique en cas d'échec SPF/DKIM |
Comment faire : ces configurations se font dans les DNS de votre domaine. Consultez la documentation de votre hébergeur ou utilisez un outil comme ScanFortress pour vérifier si ces protections sont en place.
Checklist de sécurité WordPress 2025
| Action | Priorité | Fait ? |
|---|---|---|
| WordPress, thèmes et plugins à jour | 🔴 Critique | ☐ |
| Plugins/thèmes inutilisés supprimés | 🔴 Critique | ☐ |
| Identifiants solides (pas "admin") | 🔴 Critique | ☐ |
| Authentification 2FA activée | 🟠 Haute | ☐ |
| Tentatives de connexion limitées | 🟠 Haute | ☐ |
| Certificat SSL actif et bien configuré | 🔴 Critique | ☐ |
| Headers de sécurité HTTP configurés | 🟠 Haute | ☐ |
| Page de connexion protégée | 🟡 Moyenne | ☐ |
| Sauvegardes automatiques en place | 🔴 Critique | ☐ |
| SPF/DKIM/DMARC configurés | 🟠 Haute | ☐ |
Comment vérifier la sécurité de votre site ?
Appliquer ces mesures, c'est bien. Vérifier qu'elles fonctionnent, c'est mieux.
Testez votre site en 2 minutes :
ScanFortress analyse automatiquement votre site et détecte :
- Les problèmes de configuration SSL/TLS
- Les headers de sécurité manquants
- Les failles DNS (SPF, DMARC, DNSSEC)
- Les ports exposés inutilement
- Les vulnérabilités connues
Le rapport fournit :
- Une évaluation des risques (gravité + probabilité)
- Des recommandations concrètes de correction
- Des explications claires, accessibles aux non-techniciens
→ Un scan pour tester, puis des packs à petits prix sans abonnement.
Conclusion
Sécuriser un site WordPress n'est pas réservé aux experts. Les mesures présentées ici couvrent 90% des vecteurs d'attaque courants.
Le plus important ? Agir maintenant. Chaque jour sans protection est un jour où votre site reste vulnérable.
Commencez par les actions critiques (mises à jour, mots de passe, SSL), puis progressez dans la liste. Et si vous avez un doute, scannez votre site pour savoir exactement où vous en êtes.
À lire aussi :