Quand on parle de sécurité web, WordPress revient très souvent dans les discussions. Et pour cause : aujourd’hui, une part très importante des sites internet dans le monde fonctionne avec ce CMS. Cette popularité entraîne logiquement une exposition plus importante aux attaques.
Cela ne signifie pas pour autant qu’il est peu sécurisé en lui-même. Au contraire. Mais comme tout outil massivement utilisé, il attire davantage l’attention des personnes mal intentionnées. Dans cet article, faisons le point sur cette réalité et sur les bonnes pratiques à mettre en place, côté développement comme côté administration, pour sécuriser efficacement un site WordPress.
WordPress est utilisé par plus de 40 % des sites web dans le monde. Cette domination en fait une cible privilégiée pour les attaques automatisées :
Dans la majorité des cas, ces attaques ne visent pas un site en particulier. Elles sont automatiques et cherchent simplement la moindre faille exploitable. La majorité des attaques sont d'ailleurs pilotées par des robots et programmes automatisés.
À retenir : WordPress n’est pas fondamentalement moins sécurisé qu’un autre CMS. Les problèmes apparaissent surtout lorsque les bonnes pratiques ne sont pas respectées et bien souvent ce sont les modules et extensions qui sont ciblés.
La sécurité d’un site WordPress commence dès sa conception.
Les mises à jour du cœur WordPress, des plugins et des thèmes corrigent très souvent des failles de sécurité.
Un site non mis à jour devient rapidement une cible facile.
Par défaut, WordPress utilise le préfixe wp_ pour ses tables.
Le modifier permet de compliquer certaines attaques automatisées ciblant directement ces tables. Ce n’est pas une protection absolue, mais une couche de sécurité supplémentaire.
Système de Captcha (Re-captcha, Altcha ou autre) ou Honeypot, peut importe la solution retenue, le principal c'est que vos formulaires de soumission soient protégés afin d'éviter que des robots tentent d'y injecter des scripts ou de s'en servir pour spammer ou lancer des opérations de fishing en utilisant votre domaine.
Même avec une base technique solide, beaucoup de failles proviennent de l’administration du site.
Cette double protection réduit fortement les attaques par force brute.
L’utilisateur « admin » est l’un des premiers testés lors des attaques.
Utiliser un identifiant personnalisé, différent de l’adresse e-mail et difficile à deviner, est une mesure simple mais efficace.
Par défaut, WordPress permet de modifier les fichiers de thèmes et plugins depuis l’interface admin.
En cas de compromission, cette fonctionnalité peut être exploitée pour injecter du code malveillant.
La désactiver empêche toute modification directe des fichiers via l’admin et renforce la sécurité globale.
Cette fonctionnalité peut être désactivée via une ligne de code :
define( 'DISALLOW_FILE_EDIT', true );
XML-RPC est une API historique de WordPress, souvent détournée pour des attaques par force brute ou par amplification.
Si le site n’en a pas besoin (applications externes, app mobile, etc.), le désactiver réduit significativement la surface d’attaque.
Disposer de sauvegardes fiables est un élément clé de la sécurité d’un site WordPress.
En cas d’incident (attaque, erreur humaine, mise à jour défaillante), elles permettent de restaurer rapidement le site et de limiter l’impact sur l’activité.
Il est possible aussi de mettre en place des mécaniques complémentaires pour protéger votre site WordPress. La mise en place d'une solution de WAF permet de bloquer en amont les URLs comprenant des tentatives d'injections ou venant de région inexpliquées par exemple.
La gestion des droits sur le serveur peut aussi éviter qu'un script web puisse être exécuté pour modifier ou accéder à des fichiers ailleurs sur le serveur, c'est un technique afin de préserver les fichiers de confis, médias et core files des actions malveillantes et éviter une intrusion masquée.
Il est primordial aussi de gérer la gestion des emails avec un service mail sécurisé et une gestion DNS rigoureuse de votre domaine (mise en place de DKIM, SPF & DMARC).
Sécuriser un site WordPress ne se résume pas à une action ponctuelle.
C’est une démarche continue qui repose sur :
Un site bien conçu, bien maintenu et bien administré a très peu de chances d’être compromis, même sur WordPress.
Lorsqu’ils sont bien choisis et correctement configurés, certains plugins peuvent jouer un rôle clé dans la sécurisation et le suivi d’un site WordPress. Ils permettent d’ajouter des couches de protection complémentaires, sans remplacer pour autant les bonnes pratiques techniques et serveur.
Des solutions reconnues comme Sucuri ou SecuPress permettent de couvrir efficacement de nombreux points évoqués précédemment, en particulier pour des sites exposés ou à fort trafic.
D’autres solutions, comme MainWP, ne sont pas des outils de sécurité à proprement parler, mais jouent un rôle important dans la supervision et la maintenance : suivi des mises à jour, monitoring des sites, alertes en cas de problème. Une maintenance maîtrisée reste en effet l’un des piliers de la sécurité.
WordPress est le CMS le plus utilisé au monde, et donc logiquement l’un des plus attaqués.
Mais dans l’immense majorité des cas, les failles exploitées sont connues, évitables et liées à un manque de rigueur dans la configuration ou la maintenance.
Avec une base technique saine, des mises à jour régulières et une administration maîtrisée, WordPress est une solution fiable et sécurisée, parfaitement adaptée à des projets professionnels.
Il faut toutefois garder en tête qu'aucun service information n'est invulnérable, vous devez toujours avoir un plan d'action activable si vous identifiez une intrusion sur votre site web.
La vraie question n’est donc pas « WordPress est-il sécurisé ? », mais plutôt : « Votre site WordPress est-il entre de bonnes mains, correctement sécurisé, monitoré et maintenu dans la durée par des professionnels ? »
A vous de nous répondre 😉 et si vous avez un doute, on peut toujours vous conseiller avec un rapide audit.
