Vous avez soigneusement mis à jour vos plugins, activé un pare-feu et configuré l’authentification à deux facteurs. Mais avez-vous vérifié votre thème WordPress ? Selon le rapport annuel de Wordfence 2025, 29 % des infections WordPress proviennent de thèmes compromis ou vulnérables — un chiffre qui tend à augmenter avec la popularisation des thèmes premium « nulled » téléchargés illégalement. Et selon Patchstack, plus de 4 000 thèmes WordPress présentaient des vulnérabilités connues et non corrigées au cours des 12 derniers mois.
Le problème est structurel : un thème, c’est des centaines (parfois des milliers) de fichiers PHP, JavaScript et CSS qui s’exécutent sur votre serveur à chaque visite. Un seul fichier corrompu suffit à offrir un accès complet à votre site à un attaquant. Dans cet article, nous vous expliquons comment évaluer, choisir et sécuriser vos thèmes WordPress en 2026.
Les thèmes nulled sont des versions premium piratées, distribuées gratuitement sur des sites tiers. Ils contiennent systématiquement du code malveillant : backdoors cryptées en base64, scripts d’envoi de spam, redirections vers des sites frauduleux ou téléchargeurs de malwares. Une étude de Sucuri révèle que 90 % des thèmes nulled analysés contenaient au moins un payload malveillant. Le coût apparent d’une licence économisée se transforme en nettoyage post-hack pouvant dépasser plusieurs centaines d’euros — sans parler des pertes SEO et de réputation.
Même un thème acquis légitimement peut être compromis si son développeur ne maintient pas de bonnes pratiques de sécurité. Les attaques de type supply chain — comme celle qui a touché Smart Slider 3 Pro et plus de 20 plugins via EssentialPlugin en avril 2026 — montrent que la chaîne de distribution elle-même peut être infectée. Pour en savoir plus sur ce vecteur d’attaque, consultez notre article sur les attaques supply chain WordPress et comment s’en protéger.
Les thèmes mal codés exposent fréquemment des failles de type Cross-Site Scripting (XSS) — un attaquant peut injecter du JavaScript malveillant dans vos pages — ou CSRF (Cross-Site Request Forgery), permettant de forcer des actions à l’insu de l’administrateur. Ces vulnérabilités se retrouvent souvent dans les formulaires de contact intégrés aux thèmes, les widgets ou les shortcodes personnalisés.
Un thème non mis à jour depuis plusieurs mois ou années devient mécaniquement vulnérable. Les correctifs de sécurité s’accumulent, et votre thème reste exposé à des failles déjà documentées dans les bases de données comme CVE MITRE ou NVD NIST. En 2025, selon Patchstack, la durée médiane entre la publication d’un correctif et son application sur les sites WordPress est de 18 jours — une fenêtre d’exposition considérable.
Les thèmes disponibles sur wordpress.org/themes sont soumis à une revue de code par l’équipe WordPress. Ce n’est pas une garantie absolue, mais c’est un premier filtre sérieux. Pour les thèmes premium, orientez-vous vers des marketplaces reconnues comme ThemeForest (Envato) ou des éditeurs réputés disposant d’une équipe dédiée à la sécurité (Divi/Elegant Themes, Astra, GeneratePress, OceanWP).
Un thème qui n’a pas été mis à jour depuis plus d’un an est un signal d’alarme. Sur le répertoire officiel, consultez la date de « Dernière mise à jour » et le nombre d’installations actives. Un thème populaire mais abandonné est particulièrement dangereux : il concentre une grande surface d’attaque sans maintenance.
Avant d’activer un thème — même légitime — plusieurs outils permettent d’inspecter son code :
eval(, base64_decode(, gzinflate(, str_rot13(Pour aller plus loin dans l’analyse de votre installation complète, consultez notre guide pour scanner votre site WordPress et détecter les vulnérabilités.
WordPress conserve par défaut les thèmes non actifs sur votre serveur. Ces thèmes « dormants » reçoivent rarement des mises à jour et représentent une surface d’attaque inutile. La règle d’or : supprimez tous les thèmes que vous n’utilisez pas, en conservant au maximum un thème de remplacement d’urgence.
L’éditeur de fichiers intégré à WordPress (Apparence → Éditeur) permet de modifier directement les fichiers PHP de votre thème depuis l’interface. En cas de compromission du compte administrateur, un attaquant peut injecter du code en quelques secondes. Désactivez-le en ajoutant cette ligne dans wp-config.php :
define('DISALLOW_FILE_EDIT', true);Les fichiers de thème doivent être en lecture seule pour le serveur web. Appliquez les permissions recommandées (644 pour les fichiers, 755 pour les dossiers) sur le répertoire wp-content/themes/. Cela empêche un script malveillant d’écrire dans vos fichiers de thème même s’il parvient à s’exécuter.
Utilisez un plugin comme Wordfence ou iThemes Security pour surveiller toute modification non autorisée des fichiers de votre thème. Une alerte en temps réel sur une modification de functions.php peut faire la différence entre une compromission détectée en minutes et une infection qui dure des semaines.
La sécurité des thèmes ne doit pas être traitée isolément. Intégrez leur vérification dans votre processus d’audit global. Notre guide complet pour auditer la sécurité de votre site WordPress vous accompagne étape par étape pour couvrir tous les vecteurs d’attaque, thèmes inclus.
Les thèmes du répertoire officiel WordPress.org passent par une revue de code humaine, ce qui en fait le choix le plus sûr pour un thème gratuit. Ils ne sont pas infaillibles, mais nettement plus fiables que les sources tierces. Vérifiez toujours la date de dernière mise à jour et les avis utilisateurs.
Installez un scanner de malwares comme Wordfence ou MalCare, puis lancez une analyse complète. Cherchez également des fonctions suspectes dans functions.php : eval(base64_decode(...)) est le signe classique d’une backdoor obfusquée. Une modification récente et inexpliquée d’un fichier de thème est aussi un signal d’alerte.
Un thème enfant améliore principalement la maintenabilité (vos personnalisations survivent aux mises à jour du thème parent), mais n’ajoute pas en lui-même de sécurité. Il peut toutefois réduire les risques si vous évitez de modifier le thème parent directement — les mises à jour de sécurité s’appliquent alors sans écraser vos changements.
Les thèmes conçus pour fonctionner avec des page builders (Elementor, Divi, WPBakery) ajoutent une couche de complexité et donc de surface d’attaque. Le risque provient surtout des modules tiers et des templates importés, qui peuvent contenir du code arbitraire. Limitez les sources de templates à celles officiellement supportées par le développeur du builder.
Le thème WordPress est l’une des briques les plus visibles de votre site — mais aussi l’une des plus risquées si elle est mal choisie ou mal maintenue. En 2026, avec la recrudescence des attaques supply chain et la sophistication croissante des malwares, la vigilance sur les thèmes n’est plus optionnelle.
Pour résumer les actions prioritaires :
DISALLOW_FILE_EDIT)Retrouvez l’ensemble des bonnes pratiques à appliquer sur votre site dans notre checklist sécurité WordPress 2026 en 20 points. Et si vous suspectez une compromission ou souhaitez un audit professionnel, contactez l’équipe SecuriteWP — nous intervenons sous 24h.
Thèmes nulled, backdoors cachés, code malveillant : les thèmes WordPress sont une porte d’entrée sous-estimée. Découvrez comment choisir un thème sûr et protéger votre site en 2026.
Découvrez comment sécuriser les rôles et permissions utilisateurs WordPress : principe du moindre privilège, audit des comptes, protection contre l’escalade de privilèges et bonnes pratiques 2026.
Votre page wp-login.php est la cible n°1 des hackers. Découvrez 7 techniques concrètes pour la sécuriser : URL personnalisée, restriction IP, HTTP Auth, CAPTCHA et bien plus.
Apprenez à sécuriser vos sauvegardes WordPress avec la stratégie 3-2-1, le chiffrement AES-256 et les meilleurs plugins. Guide complet 2026 par Benjamin Bueno.
La faille CVE-2025-67987 permet à n’importe quel abonné connecté d’exécuter des injections SQL sur les sites utilisant le plugin QSM. 40 000 installations exposées. Mise à jour immédiate requise.
WowShipping Pro v1.0.6 contenait un dropper dissimulé installant silencieusement un Remote Access Toolkit complet sur les sites WooCommerce. Analyse technique, indicateurs d’infection et guide de remédiation.
Nos experts français assurent un support et une prestation de qualité.
