Un site WordPress se fait rarement pirater « par hasard ». Les causes sont souvent connues : composants non à jour, mots de passe faibles, comptes admin trop nombreux, configuration permissive, ou absence de couche de protection face aux attaques automatisées. Un durcissement de base réduit fortement le risque, que votre PME soit à Lausanne, Montreux, Morges (Vaud), Genève, Vernier (Genève), Fribourg, Bulle, Estavayer-le-Lac (Fribourg), Sion, Sierre, Martigny, Monthey (Valais), Neuchâtel, Le Locle, La Chaux-de-Fonds (Neuchâtel), Delémont ou Porrentruy (Jura).
Sources officielles : WordPress – Hardening WordPress, WordPress – Two-step authentication, WordPress.org – Password best practices, WordPress – Editing wp-config.php, OWASP – Top 10:2021, Cloudflare – WAF (documentation), Cloudflare – Managed Rules.
1) Mettre a jour (core, plugins, themes) : la base la plus rentable
Une grande part des incidents vient de composants vulnérables ou obsolètes. Garder WordPress, les extensions et le thème à jour réduit l’exposition, surtout quand une boutique WooCommerce dépend de nombreux modules.
- Mettre a jour régulièrement, avec un staging si le site est critique.
- Supprimer les plugins inactifs (un plugin inactif reste souvent un risque inutile).
- Limiter les thèmes installés au strict nécessaire.
2) Comptes et mots de passe : réduire la surface d’attaque
Un durcissement efficace commence par les accès : moins de comptes, mieux gérés. Les recommandations WordPress sur les mots de passe insistent sur la longueur et l’unicité, et rappellent aussi l’intérêt du 2FA.
- Eviter les comptes « admin » partagés.
- Attribuer le rôle minimal nécessaire (éditeur, auteur, boutique, etc.).
- Imposer des mots de passe forts et uniques.
3) Activer l’authentification a deux facteurs (2FA) pour les comptes sensibles
Le 2FA (ou « two-step ») ajoute une seconde preuve au moment de la connexion. Pour les comptes administrateurs, c’est une protection simple contre le vol de mot de passe et les attaques par réutilisation d’identifiants.
- Activer 2FA au minimum pour les administrateurs et les comptes ayant des droits de paiement ou de gestion.
- Prévoir une procédure de récupération (perte de téléphone, changement d’appareil).
4) Proteger wp-config.php : permissions et acces
Le fichier wp-config.php contient des informations sensibles. WordPress documente des mesures simples : permissions restrictives, blocage d’accès direct si l’environnement le permet, et possibilité de placer wp-config.php un niveau au-dessus de la racine WordPress (selon l’hébergement).
Exemple .htaccess : refuser l’acces a wp-config.php (si Apache et .htaccess)
<Files "wp-config.php">
Require all denied
</Files>Important : la faisabilité dépend du serveur (Apache, Nginx, etc.). L’objectif reste identique : rendre ce fichier difficile d’accès depuis le web.
5) Permissions de fichiers : eviter le « tout le monde peut ecrire »
Des permissions trop ouvertes facilitent l’injection de fichiers malveillants. Les recommandations WordPress sur le durcissement citent explicitement des permissions restrictives pour les fichiers sensibles (dont wp-config.php).
- Limiter l’écriture aux dossiers qui en ont vraiment besoin (uploads, cache, etc.).
- Eviter les permissions trop permissives sur les fichiers de configuration.
- Conserver une cohérence propriétaire/groupe selon votre hébergement.
6) Sauvegardes : penser « restauration », pas seulement « backup »
Une sauvegarde n’a de valeur que si la restauration est testée. Sur un site de services, cela évite une interruption longue. Sur WooCommerce, cela protège commandes, clients, stocks et contenus.
- Sauvegarde fichiers + base de données.
- Conserver plusieurs points de restauration.
- Tester une restauration sur un environnement de test.
7) Comprendre les risques : l’OWASP Top 10 comme boussole
Sans entrer dans le détail technique, l’OWASP Top 10 donne une vision claire des risques dominants (contrôle d’accès, injections, mauvaise configuration, composants vulnérables). Une partie importante de ces risques se réduit justement par des mises à jour, des permissions propres et une configuration cohérente.
8) Ajouter une couche WAF : filtrer les attaques automatisées
Un WAF (Web Application Firewall) ajoute un filtre devant votre site. Cloudflare documente des règles gérées (managed rules) et des règles OWASP, régulièrement mises à jour, utiles contre des techniques d’attaque courantes et des tentatives automatisées. Cette couche ne remplace pas les mises à jour, mais elle aide à réduire le bruit et certains risques.
- Activer des règles gérées adaptées a votre stack (par exemple, règles liées a WordPress selon la configuration disponible).
- Surveiller les événements de sécurité pour éviter les faux positifs.
- Combiner avec des règles de limitation (rate limiting) si des attaques par force brute apparaissent.
9) Routine mensuelle (30 minutes) : rester propre sans y passer sa vie
- Mettre a jour WordPress, plugins, thème (avec staging si nécessaire).
- Revoir la liste des comptes et retirer les accès inutiles.
- Vérifier que 2FA est actif pour les comptes sensibles.
- Contrôler que les sauvegardes existent et qu’un point de restauration récent est disponible.
- Surveiller les alertes WAF et les pics de tentatives de connexion (si une couche WAF est en place).
FAQ Sécurité WordPress (Suisse romande)
Quelle est la premiere mesure de sécurité WordPress a appliquer a Genève ou Lausanne ?
Mettre a jour le core, les plugins et le thème, puis supprimer ce qui est inutile. C’est la base la plus efficace contre les failles connues.
Le 2FA est-il utile pour une petite PME a Fribourg ou en Valais ?
Oui, surtout pour les comptes administrateurs. Le 2FA réduit fortement le risque quand un mot de passe fuit ou est réutilisé ailleurs.
Pourquoi protéger wp-config.php est important ?
Ce fichier contient des informations de configuration sensibles. Des permissions restrictives et un contrôle d’accès limitent les risques d’exposition.
Un WAF suffit-il pour sécuriser WordPress ?
Non. Un WAF aide à filtrer des attaques, mais il ne remplace pas les mises à jour, la gestion des accès, et une configuration propre. L’approche la plus solide combine les deux.
Besoin d’un durcissement WordPress concret (sans complexité inutile) ?
Pour cadrer les accès, activer 2FA, sécuriser wp-config.php, mettre en place une routine de mises à jour et ajouter une couche WAF si utile, contactez clickclick.ch.
