Les plugins de sécurité WordPress sont utiles — mais ils ajoutent du poids et des dépendances. WordPress intègre nativement plusieurs mécanismes de sécurité que la plupart des sites n’exploitent pas.
1. Changer le préfixe des tables de base de données
Par défaut, WordPress préfixe toutes ses tables avec wp_. Les attaques SQL automatisées ciblent ce préfixe. Changez-le à l’installation ou via migration (mx7_, site26_…).
2. Masquer la version de WordPress
WordPress affiche sa version dans le code source — information utile pour les attaquants. Ajoutez dans functions.php de votre thème enfant :
remove_action('wp_head', 'wp_generator');
function remove_wp_version_strings($src) {
return remove_query_arg('ver', $src);
}
add_filter('style_loader_src', 'remove_wp_version_strings');
add_filter('script_loader_src', 'remove_wp_version_strings');
3. Protéger wp-config.php
wp-config.php contient vos identifiants base de données. Ajoutez dans .htaccess :
<files wp-config.php>
order allow,deny
deny from all
</files>
Idéalement, déplacez wp-config.php un niveau au-dessus du dossier racine.
4. Désactiver l’édition de fichiers depuis le back-office
Un pirate qui accède à votre admin peut injecter du code via l’éditeur de thème. Bloquez-le dans wp-config.php :
define('DISALLOW_FILE_EDIT', true);
5. Bloquer l’exécution de PHP dans les uploads
Créez un .htaccess dans wp-content/uploads/ :
<Files "*.php">
Order Deny,Allow
Deny from all
</Files>
6. Forcer HTTPS
Si votre certificat SSL est actif, forcez HTTPS dans .htaccess :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
7. Supprimer le compte admin par défaut
Le nom d’utilisateur admin est la cible de toutes les attaques par force brute. Créez un compte avec un nom différent, donnez-lui les droits admin, reconnectez-vous, supprimez l’ancien.
Aller plus loin
Pour un site e-commerce ou à fort trafic, un plugin de sécurité actif reste recommandé pour la surveillance temps réel et le WAF. Nos forfaits de maintenance WordPress incluent cette surveillance continue.