Sécuriser un site WordPress de A à Z (sans le casser)

Sécuriser un site WordPress de A à Z (sans le casser)

WordPress peut être très sûr si on applique une hygiène basique et quelques durcissements. Voici l’ordre logique.

1) Mises à jour & hygiène

• Core, thèmes, plugins à jour (test en staging).
• Supprimer thèmes/plugins inutilisés.
• Choisir des extensions maintenues et réputées.

2) Comptes & rôles

• Comptes admins limités ; pas de “admin/admin”.
• 2FA pour tous les admins/éditeurs.
• Rôles justes (auteur ≠ admin).
• Désactiver l’auto-inscription si inutile.

3) Sauvegardes & plan B

• Backups quotidiens + hors-site (S3/Cloud).
• Test de restauration mensuel.
• Export régulier de la base + wp-content.

4) Durcissement & WAF

• WAF/CDN (protection L7, rate limiting).
• Limiter les tentatives de login, CAPTCHA.
• Désactiver xmlrpc si non utilisé.
• Permissions fichiers minimales (wp-config.php protégé).
• Headers : HSTS, X-Frame-Options, CSP (progressive).

5) Sécurité applicative

• Formulaires : anti-CSRF, anti-spam, honeypot.
• Média : restreindre types autorisés.
• Scan régulier des vulnérabilités (core/plugins).
• Journaliser : connexions, changements critiques.

6) Hébergement & infra

• PHP récent supporté, HTTPS forcé.
• Isolation des sites, SFTP/SSH, pas de FTP.
• Accès Back-Office limité (IP/2FA), auto-ban sur anomalies.