La sécurité d’un site WordPress n’est pas réservée aux grandes entreprises. 90 % des sites WordPress piratés le sont via des failles basiques que leur propriétaire ignorait. Voici les 7 erreurs les plus fréquentes — et comment les corriger aujourd’hui.
1. Laisser le nom d’utilisateur “admin”
C’est la cible numéro un de tous les bots d’attaque par force brute. Si votre compte admin s’appelle admin, changez-le immédiatement : créez un nouveau compte avec un nom moins prévisible, donnez-lui les droits administrateur, reconnectez-vous avec ce compte et supprimez l’ancien.
2. Garder des plugins abandonnés installés
Un plugin désactivé mais présent sur votre installation reste une surface d’attaque. Les plugins abandonnés (dernière mise à jour il y a plus de 18 mois) ne reçoivent plus de correctifs de sécurité. Auditez votre liste de plugins : supprimez tout ce que vous n’utilisez pas, remplacez les plugins abandonnés par des alternatives maintenues.
3. Ne pas mettre à jour WordPress et les plugins
80 % des piratages WordPress exploitent des vulnérabilités connues dans des versions obsolètes. Les failles sont publiquement documentées dans des bases CVE — les bots les scannent en permanence. Activer les mises à jour automatiques pour WordPress core (versions mineures de sécurité) est le minimum absolu.
4. Laisser xmlrpc.php activé sans raison
Le fichier xmlrpc.php est une API historique de WordPress, peu utilisée aujourd’hui, qui permet des attaques par force brute amplifiées (une seule requête peut tester des milliers de mots de passe). Si vous n’utilisez pas d’application mobile WordPress ni de publication par email, bloquez-le dans .htaccess :
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
5. Laisser WP_DEBUG activé en production
Le mode debug de WordPress (define('WP_DEBUG', true) dans wp-config.php) affiche les erreurs PHP dans la page — y compris des chemins de fichiers et des informations système utiles pour un attaquant. Assurez-vous que WP_DEBUG est sur false en production.
6. Utiliser des thèmes ou plugins nullés
Les versions “nullées” (piratées) de thèmes et plugins premium sont disponibles gratuitement sur des sites warez. Elles contiennent quasi systématiquement des backdoors, malwares ou keyloggers intégrés. N’installez jamais de logiciel nullé sur un site qui traite des données ou des paiements.
7. Absence de sauvegarde externe récente
La sauvegarde n’est pas une mesure de sécurité active — mais c’est votre dernier recours quand tout le reste échoue. Une sauvegarde uniquement sur le même serveur que votre site ne vous protège pas en cas de panne ou de compromission totale du serveur. Configurez une sauvegarde automatique vers un stockage externe (Google Drive, S3) avec au moins 7 jours de rétention.
Ce que ça donne en pratique
Notre service de sécurité WordPress inclut un audit complet qui identifie ces 7 points et bien d’autres, suivi d’un durcissement complet de votre installation. Nos forfaits de maintenance WordPress les traitent de façon préventive chaque mois.