Un site WordPress non sécurisé reçoit en moyenne plus de cinquante tentatives d’intrusion par jour, dont l’écrasante majorité est automatisée et opportuniste. Les robots qui scannent le web cherchent des installations laissées dans la configuration par défaut, des plugins non mis à jour, des mots de passe faibles et des fichiers exposés sans protection. Bonne nouvelle : dix actions simples bloquent près de la totalité de ces tentatives, dont la grande majorité ciblent des failles connues depuis des années. La sécurité WordPress n’est pas un sujet d’expert mais une discipline de base que tout entrepreneur peut mettre en place en une demi-journée. Chez Propuls’Lead, nous appliquons systématiquement ces dix actions sur les sites WordPress de nos clients dès la mise en ligne, parce que la prévention coûte vingt fois moins cher qu’une remise en état après piratage.
Tenir le cœur et les extensions à jour sans délai
La première ligne de défense d’un site WordPress n’est pas un plugin de sécurité mais la mise à jour systématique du cœur, des thèmes et des plugins. La majorité des piratages réussis exploitent des failles publiques pour lesquelles un correctif existe depuis plusieurs semaines ou plusieurs mois. Les robots scannent le web à la recherche de sites qui exposent encore la version vulnérable et l’intrusion devient quasi automatique dès qu’une cible est identifiée.
La discipline opérationnelle tient en trois règles. Première règle : activer les mises à jour automatiques pour les versions mineures du cœur (5.6.1 vers 5.6.2 par exemple), qui sont par définition des correctifs de sécurité ou de bug. Deuxième règle : appliquer manuellement et rapidement les mises à jour majeures du cœur et des plugins critiques, après un test sur environnement de pré-production quand le site est sensible. Troisième règle : supprimer les plugins et thèmes inactifs, parce qu’ils restent vulnérables même désactivés tant que les fichiers sont présents sur le serveur. Notre article sur les plugins WordPress qui ralentissent un site et par quoi les remplacer revient sur la sélection exigeante des extensions qui simplifie aussi le maintien sécurité.
Renforcer l’authentification à deux niveaux
L’authentification est la deuxième cible privilégiée des attaques automatisées via les attaques par force brute. Un robot teste plusieurs centaines de combinaisons identifiant/mot de passe à la minute sur la page wp-login.php standard. Deux mesures combinées éliminent cette menace. Première mesure : changer l’identifiant administrateur par défaut (souvent admin ou le prénom du propriétaire visible sur le site public) pour un identifiant non devinable. Deuxième mesure : activer l’authentification à deux facteurs sur tous les comptes administrateurs via un plugin comme Wordfence, Two Factor Authentication ou Google Authenticator.
L’authentification à deux facteurs bloque environ 99% des attaques par force brute, parce que même si le mot de passe est compromis (par fuite externe, par phishing, par malware sur le poste de l’utilisateur), le second facteur reste hors d’atteinte de l’attaquant. Le coût opérationnel est minime : trois secondes d’authentification supplémentaire à la connexion, ce qui ne représente que quelques dizaines de secondes par mois pour un administrateur qui se connecte une fois par jour. Notre article sur WordPress et la gestion des rôles utilisateurs revient sur la séparation des rôles qui complète l’authentification renforcée.
Limiter les tentatives de connexion et masquer la page d’admin
Au-delà de l’authentification renforcée, deux mesures complémentaires réduisent la surface d’attaque sur la page de connexion. Première mesure : limiter le nombre de tentatives de connexion échouées avant blocage temporaire de l’adresse IP. Un plugin comme Limit Login Attempts Reloaded bloque automatiquement une IP après cinq tentatives échouées pendant vingt minutes, puis plusieurs heures si le pattern se répète. Cette mesure rend toute attaque par force brute économiquement non viable pour un robot.
Deuxième mesure : changer l’URL de connexion (wp-login.php devient par exemple monsite.com/acces-prive) via un plugin comme WPS Hide Login. Cette mesure ne renforce pas la sécurité cryptographique du site mais le retire du radar des robots qui scannent les URL standard, ce qui réduit le volume d’attaques de plus de 95%. Combinée à la limitation des tentatives, cette mesure prive l’attaquant à la fois de cible et de bande passante pour tenter une attaque. Notre article sur comment sauvegarder son site WordPress automatiquement revient sur le filet de sécurité qui complète ces mesures préventives en cas d’incident malgré tout.
Installer un pare-feu applicatif et sauvegarder hors site
Les attaques ciblées qui passent au-delà des mesures basiques exploitent des failles plus subtiles : injection SQL, cross-site scripting, requêtes malformées vers les API REST. Un pare-feu applicatif (WAF) inspecte chaque requête entrante et bloque celles qui correspondent à des patterns d’attaque connus. Deux options principales s’offrent aux PME. L’option logicielle installe un plugin comme Wordfence ou Sucuri qui filtre les requêtes au niveau de PHP. L’option cloud passe par un service comme Cloudflare ou Sucuri qui filtre les requêtes avant qu’elles n’atteignent le serveur.
La sauvegarde hors site est le filet de sécurité ultime quand toutes les autres mesures sont contournées. Une sauvegarde quotidienne complète (fichiers + base de données) stockée sur un service externe (Amazon S3, Google Drive professionnel, Backblaze) permet une restauration en moins de deux heures après un incident, sans paiement de rançon et sans perte irréversible. La sauvegarde doit obligatoirement être hors site parce qu’une sauvegarde stockée sur le même serveur sera elle aussi compromise en cas de piratage du serveur. Les plugins UpdraftPlus, BackupBuddy et BlogVault automatisent cette sauvegarde quotidienne avec rétention sur trente jours minimum.
Verrouiller les fichiers sensibles et bâtir une routine PROPULSE
Plusieurs fichiers WordPress méritent une protection particulière au niveau du serveur. Le fichier wp-config.php contient les identifiants de la base de données et doit être protégé contre toute lecture directe par un visiteur via une règle dans le fichier .htaccess. Le dossier wp-content/uploads doit interdire l’exécution de fichiers PHP pour bloquer un attaquant qui aurait téléversé un script malveillant via un formulaire vulnérable. La désactivation de l’éditeur de fichiers intégré au back-office (constante DISALLOW_FILE_EDIT dans wp-config.php) empêche un attaquant qui aurait pris le contrôle d’un compte administrateur d’injecter du code malveillant directement depuis l’interface.
Dans le cadre de la méthodologie PROPULSE que nous appliquons chez Propuls’Lead, la sécurité WordPress n’est jamais traitée comme un projet ponctuel mais comme une routine permanente structurée. Chaque mois, nos équipes vérifient pour chaque client que les dix actions de la checklist sont toujours actives, que les mises à jour sont à jour, que les sauvegardes hors site fonctionnent et que les rapports d’incidents du pare-feu ne révèlent pas de tentative nouvelle. Cette discipline mensuelle prend une heure par client mais évite les remises en état d’urgence qui coûtent typiquement entre 1 500 et 5 000 euros et plusieurs jours d’interruption d’activité.
Sur les sites WordPress que nous accompagnons depuis plusieurs années, ces dix actions combinées ramènent le taux de piratage réussi à pratiquement zéro malgré un volume d’attaques quotidien identique à celui de l’ensemble du web. Notre article sur auditer le SEO d’un site WordPress en 30 minutes avec des outils gratuits revient sur l’audit régulier qui complète la routine sécurité dans le suivi global d’un site.
Ce qu’il faut retenir pour bâtir une sécurité WordPress robuste
La sécurité WordPress n’est pas affaire d’expert mais de discipline appliquée à des mesures simples. Cinq points clés à retenir : la mise à jour systématique du cœur, des thèmes et des plugins ferme la porte aux failles publiques exploitées par les robots, l’authentification à deux facteurs combinée à la limitation des tentatives bloque les attaques par force brute, le changement d’URL de connexion retire le site du radar des scanners automatiques, le pare-feu applicatif et la sauvegarde hors site forment le filet de sécurité contre les attaques ciblées, la protection au niveau serveur des fichiers sensibles empêche l’escalade en cas de compromission partielle. Chez Propuls’Lead, nous mettons en place ces dix actions dès la mise en ligne d’un nouveau site client parce que c’est cinquante fois moins coûteux qu’une remise en état après incident. Une demi-journée investie dans la sécurité préventive vaut typiquement plus que les vingt heures d’urgence nécessaires à un nettoyage post-piratage.