WordPress propulse plus de 43 % des sites web mondiaux, ce qui en fait la plateforme la plus ciblée par les cybercriminels. Selon le rapport Patchstack 2025 sur la sécurité WordPress, 97 % des vulnérabilités WordPress proviennent des plugins et des thèmes — et non du cœur de WordPress lui-même. Plus inquiétant encore : selon une étude conduite en 2026 par Patchstack sur plusieurs hébergeurs majeurs, 74 % des attaques exploitant des vulnérabilités connues ont réussi à contourner les protections mises en place par les hébergeurs.
La bonne nouvelle ? La grande majorité des compromissions WordPress peuvent être évitées en appliquant une checklist de sécurité rigoureuse. Ce guide vous présente les 20 points de contrôle essentiels à vérifier et à mettre en place sur votre site WordPress en 2026. Que vous soyez un blogueur indépendant, un e-commerçant ou un développeur gérant plusieurs sites, cette liste est votre référence de sécurité.
Chaque version de WordPress contient des correctifs de sécurité critiques. Activez les mises à jour automatiques mineures dans votre tableau de bord WordPress (Tableau de bord > Mises à jour) ou directement via wp-config.php :
define('WP_AUTO_UPDATE_CORE', true);✔ Vérifiez manuellement les mises à jour majeures dès leur sortie et testez-les en staging avant de les appliquer en production.
Selon Patchstack, 39,6 % des vulnérabilités WordPress découvertes affectent des plugins ayant moins de 1 000 installations actives. Même les extensions peu populaires représentent un risque réel. Activez les mises à jour automatiques pour tous vos plugins actifs depuis Tableau de bord > Extensions > ☑ Mises à jour automatiques.
✔ Supprimez les plugins et thèmes désactivés — même désactivés, ils restent présents sur le serveur et peuvent être exploités si une vulnérabilité est découverte dans leurs fichiers.
Le mot de passe seul ne suffit plus. L’authentification à deux facteurs (2FA) bloque les attaques par force brute et par credential stuffing même si votre mot de passe est compromis. Des plugins comme WP 2FA ou Google Authenticator for WordPress permettent une mise en place en quelques minutes sur tous les comptes administrateurs.
✔ Consultez notre guide complet sur l’authentification 2FA WordPress pour une mise en place pas à pas et un comparatif des meilleurs plugins.
Un mot de passe WordPress robuste doit contenir au minimum 14 caractères, avec des majuscules, minuscules, chiffres et caractères spéciaux. Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, Dashlane) et ne réutilisez jamais le même mot de passe sur plusieurs services.
✔ Activez également la limitation des tentatives de connexion avec un plugin comme Limit Login Attempts Reloaded ou WP Cerber.
Le fichier wp-config.php contient vos identifiants de base de données, vos clés de sécurité secrètes et la configuration critique de WordPress. Il doit être protégé en priorité absolue :
public_html/).htaccessdefine('WP_DEBUG', false);)✔ Notre tutoriel détaillé présente 8 techniques pour sécuriser wp-config.php et protéger la configuration critique de votre site.
XML-RPC est un protocole hérité de WordPress permettant l’accès à distance — massivement exploité pour les attaques brute force amplifiées et les attaques DDoS via la méthode system.multicall. Si vous n’utilisez pas d’application mobile WordPress officielle ni Jetpack, désactivez-le immédiatement.
✔ Notre guide explique comment désactiver XML-RPC WordPress en quelques étapes simples, avec ou sans plugin, et via .htaccess.
Le HTTPS est aujourd’hui indispensable : il chiffre les données en transit (identifiants, données clients) et est un facteur de classement Google. Vérifiez que votre certificat SSL est valide, non expiré, et forcez le HTTPS pour toutes les requêtes HTTP.
✔ Ajoutez ces lignes dans votre .htaccess :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Les en-têtes HTTP de sécurité constituent une couche de protection supplémentaire contre les attaques XSS, le clickjacking et l’injection de contenu. Les principaux à configurer en 2026 :
X-Frame-Options: SAMEORIGIN — protège contre le clickjackingX-Content-Type-Options: nosniff — prévient le MIME sniffingContent-Security-Policy — contrôle les ressources autorisées à se chargerStrict-Transport-Security — force le HTTPS (HSTS)Permissions-Policy — contrôle les API navigateur accessibles✔ Testez vos en-têtes de sécurité sur SecurityHeaders.com et obtenez une note A+.
Un bon plugin de sécurité WordPress vous offre un pare-feu applicatif (WAF), un scanner de malwares intégré et une surveillance en temps réel des événements critiques. Les solutions les plus reconnues en 2026 :
Un scanner de sécurité vous permet de détecter les fichiers malveillants, les backdoors et les modifications non autorisées avant qu’elles ne causent des dégâts irréversibles pour votre référencement ou votre réputation. Planifiez des scans automatiques hebdomadaires.
✔ Découvrez comment scanner votre site WordPress pour détecter les vulnérabilités avec les meilleurs outils disponibles en 2026, gratuits et payants.
Les attaques par force brute représentent l’une des menaces les plus persistantes sur WordPress. Fail2Ban surveille vos fichiers de logs serveur et bannit automatiquement les adresses IP responsables de tentatives d’authentification répétées — avant même qu’elles n’atteignent PHP.
✔ Notre guide détaillé explique comment configurer Fail2Ban pour bloquer les attaques brute force sur WordPress, avec les filtres et les règles jail optimales.
La page /wp-admin/ et /wp-login.php sont des cibles privilégiées des robots d’attaque. Pour réduire drastiquement votre surface d’attaque :
wp-login.php par liste blanche d’adresses IP via .htaccesswp-admin/Des permissions incorrectes sont une porte d’entrée fréquente pour les attaquants. Les permissions recommandées pour WordPress :
wp-config.php : 400 ou 440.htaccess : 644wp-content/uploads/ : 755, avec blocage de l’exécution PHPUne sauvegarde récente est votre filet de sécurité ultime en cas d’attaque réussie ou d’erreur humaine. Appliquez la règle du 3-2-1 :
✔ Plugins recommandés : UpdraftPlus (gratuit), BlogVault, WP Time Capsule. Testez la restauration régulièrement — une sauvegarde non testée n’est pas une sauvegarde fiable.
L’API REST WordPress expose des endpoints qui peuvent révéler des données sensibles (liste des utilisateurs, contenu privé) ou être exploités si mal configurés. Par défaut, l’endpoint /wp-json/wp/v2/users révèle les noms de connexion de tous vos utilisateurs.
✔ Notre guide complet pour sécuriser l’API REST WordPress en 2026 couvre la désactivation de l’énumération des utilisateurs, la restriction des endpoints et la mise en place de l’authentification JWT.
Les enregistrements DMARC, SPF et DKIM protègent votre domaine contre l’usurpation d’identité par email (spoofing et phishing). Sans ces configurations DNS, des attaquants peuvent envoyer des emails qui semblent provenir de votre domaine, nuisant à votre réputation et à vos livraisons email WordPress.
✔ Notre guide complet explique comment configurer DMARC, SPF et DKIM sur WordPress étape par étape pour sécuriser vos envois email.
Les bots représentent en 2026 plus de 47 % du trafic web mondial selon le rapport Imperva 2025. Certains sont légitimes (Googlebot, Bingbot), d’autres sont malveillants : scrapers de contenu, spambots, scanners de vulnérabilités, bots de credential stuffing. Mettez en place des règles de filtrage au niveau du serveur ou utilisez un service CDN/WAF comme Cloudflare.
✔ Consultez notre guide complet sur la protection WordPress contre les bots malveillants en 2026.
Les logs de votre serveur web (Apache/Nginx) et de WordPress sont une mine d’informations sur les tentatives d’intrusion. Configurez une surveillance régulière pour détecter les patterns suspects :
POST /wp-login.php en masse)wp-config.php, /.env, etc.)✔ Installez WP Activity Log ou activez le journal d’activité Wordfence pour une surveillance centralisée depuis votre tableau de bord.
Par défaut, les administrateurs WordPress peuvent éditer les fichiers PHP des plugins et thèmes directement depuis le tableau de bord (Apparence > Éditeur de thème). En cas de compte administrateur compromis, c’est une porte ouverte à l’injection de code malveillant. Désactivez cette fonctionnalité en ajoutant dans wp-config.php :
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true); // Bloque aussi l'installation de plugins/thèmesLa sécurité n’est pas un état statique mais un processus continu. Planifiez un audit de sécurité complet au moins une fois par trimestre, incluant :
| # | Point de contrôle | Priorité | Statut |
|---|---|---|---|
| 1 | WordPress Core à jour | 🔴 Critique | ☐ |
| 2 | Plugins et thèmes à jour + suppression inactifs | 🔴 Critique | ☐ |
| 3 | 2FA activé sur tous les comptes admin | 🔴 Critique | ☐ |
| 4 | Mots de passe forts + limite tentatives connexion | 🔴 Critique | ☐ |
| 5 | wp-config.php sécurisé (permissions + déplacement) | 🔴 Critique | ☐ |
| 6 | XML-RPC désactivé (si non utilisé) | 🟠 Élevé | ☐ |
| 7 | SSL/TLS valide + HTTPS forcé | 🔴 Critique | ☐ |
| 8 | En-têtes HTTP de sécurité configurés | 🟠 Élevé | ☐ |
| 9 | Plugin de sécurité WordPress installé | 🟠 Élevé | ☐ |
| 10 | Scanner malwares hebdomadaire actif | 🟠 Élevé | ☐ |
| 11 | Anti-brute force Fail2Ban configuré | 🟠 Élevé | ☐ |
| 12 | Accès wp-admin/wp-login.php restreint | 🟠 Élevé | ☐ |
| 13 | Permissions de fichiers correctes (644/755) | 🟡 Moyen | ☐ |
| 14 | Sauvegardes régulières hors site (règle 3-2-1) | 🔴 Critique | ☐ |
| 15 | API REST WordPress sécurisée | 🟡 Moyen | ☐ |
| 16 | DMARC / SPF / DKIM configurés | 🟡 Moyen | ☐ |
| 17 | Protection anti-bots active (Cloudflare/WAF) | 🟡 Moyen | ☐ |
| 18 | Surveillance logs d’accès et d’erreur | 🟡 Moyen | ☐ |
| 19 | Édition fichiers admin désactivée (DISALLOW_FILE_EDIT) | 🟠 Élevé | ☐ |
| 20 | Audit de sécurité trimestriel planifié | 🟠 Élevé | ☐ |
Pour un site existant, comptez 2 à 4 heures pour les points critiques et urgents (mises à jour, 2FA, wp-config.php, SSL, plugin de sécurité). Les points de configuration avancée (DMARC, Fail2Ban, API REST) nécessitent 4 à 8 heures supplémentaires selon votre niveau technique. Pour un nouveau site WordPress, intégrez ces pratiques dès l’installation pour éviter tout retard.
Non. Selon une étude Patchstack menée en 2026 sur de nombreux hébergeurs majeurs, 74 % des attaques exploitant des vulnérabilités WordPress connues contournent les protections des hébergeurs. Les hébergeurs protègent leur infrastructure serveur — ils ne peuvent pas protéger votre application WordPress de manière granulaire. La sécurité applicative WordPress est de votre responsabilité.
Non. Le cœur de WordPress est régulièrement audité et maintenu par une équipe dédiée. Les problèmes de sécurité proviennent principalement des plugins tiers (source de 97 % des vulnérabilités selon Patchstack) et des mauvaises configurations. Un WordPress correctement configuré, mis à jour et surveillé est un CMS tout à fait sécurisé.
Pas nécessairement. La majorité des points de cette checklist sont gratuits : mises à jour automatiques, 2FA (WP 2FA gratuit), configuration wp-config.php, désactivation XML-RPC, sauvegardes basiques avec UpdraftPlus. Des solutions premium (Wordfence Premium, Patchstack, Sucuri) offrent une protection renforcée et automatisée, mais les fondations peuvent être posées sans frais.
La sécurité d’un site WordPress ne s’improvise pas et ne se règle pas en une seule intervention. En appliquant cette checklist de 20 points essentiels, vous réduisez drastiquement votre surface d’attaque et protégez votre activité, vos données clients, votre référencement Google et votre réputation.
Rappelez-vous : en 2026, les cyberattaques sont automatisées, massives et de plus en plus sophistiquées. Des milliers de robots scrutent en permanence le web à la recherche de WordPress mal configurés, de plugins non mis à jour et de pages de connexion sans protection. Chaque point non coché de cette liste est une opportunité pour un attaquant. Ne lui faites pas ce cadeau.
Revenez sur cette checklist tous les trimestres et tenez-vous informé des nouvelles vulnérabilités via nos articles sur les bonnes pratiques de sécurité WordPress.
🛡️ Besoin d’aide pour sécuriser votre WordPress ? L’équipe SecuriteWP vous accompagne avec des audits de sécurité professionnels, des interventions d’urgence post-hack et une surveillance continue. Contactez-nous pour un devis gratuit →
Les attaques supply chain WordPress ciblent la chaîne de distribution des plugins et thèmes. Découvrez comment elles fonctionnent, les IOC à surveiller et les mesures concrètes pour protéger votre site.
Votre base de données MySQL est le cœur de WordPress : elle contient tout. Découvrez comment la sécuriser avec 8 techniques concrètes pour 2026.
Découvrez quelles permissions de fichiers appliquer sur WordPress (644, 755, 600) pour sécuriser votre installation et éviter les intrusions. Guide complet 2026 avec commandes SSH.
Apprenez à configurer les bonnes permissions de fichiers WordPress (chmod 755/644/640). Guide complet SSH, FTP, WP-CLI pour sécuriser votre site contre les intrusions.
Un backdoor CVSS 10 découvert dans Smart Slider 3 PRO 3.5.1.35 et deux failles XSS dans Gravity Forms 2.9.30 : analyse et mesures d’urgence pour protéger votre site WordPress.
Votre site WordPress a été piraté ? Suivez ce guide de remédiation complet : détection, nettoyage des fichiers infectés, base de données, sécurisation post-hack et demande de révision Google.
Nos experts français assurent un support et une prestation de qualité.
