WordPress est une plateforme solide, mais un site reste exposé si quelques précautions de base manquent. Les attaques les plus courantes visent des mots de passe faibles, des extensions obsolètes, ou des accès administrateur trop ouverts. L’objectif ici est pragmatique : réduire les risques, sans transformer le site en projet interminable, que l’entreprise soit basée à Lausanne (Vaud), Genève, Fribourg, Sion (Valais), Neuchâtel ou Delémont (Jura).
Sources officielles : WordPress Developer Resources (Hardening WordPress), WordPress.org (Security), NIST SP 800-63B (Authentication), OWASP (HTTP Security Response Headers), MDN (Strict-Transport-Security / HSTS).
1) Comptes : mot de passe fort + 2 étapes pour les administrateurs
Commencez par le plus rentable : sécuriser les comptes qui peuvent installer des plugins ou modifier le site. WordPress recommande d’activer l’authentification en deux étapes en complément d’un mot de passe solide. Pour les rôles sensibles (Admin, Manager boutique), c’est souvent la différence entre un incident évité et une reprise coûteuse.
- Limiter le nombre de comptes administrateurs.
- Activer la 2FA pour tous les comptes à privilèges (admin, éditeur technique, accès hébergeur).
- Retirer immédiatement les accès non utilisés (stagiaires, prestataires, comptes de test).
2) Désactiver l’éditeur de fichiers dans le tableau de bord
Par défaut, WordPress permet à un administrateur d’éditer des fichiers PHP (thèmes et extensions) depuis le back-office. En cas de compromission d’un compte admin, cet outil peut être utilisé pour exécuter du code. WordPress documente une constante simple pour désactiver cet éditeur.
define( 'DISALLOW_FILE_EDIT', true );Cette mesure ne remplace pas le reste, mais elle réduit une voie d’attaque fréquente quand un accès admin a été obtenu.
3) Plugins : garder à jour, supprimer ce qui ne sert pas
Une règle simple : un plugin inactif mais présent sur le serveur reste un composant à surveiller. WordPress recommande de supprimer les extensions non utilisées et de maintenir les plugins à jour.
- Désinstaller les plugins et thèmes inutilisés (pas seulement les désactiver).
- Éviter les doublons (deux cache, deux SEO, deux builders).
- Mettre à jour régulièrement, surtout après correctifs de sécurité.
4) Accès serveur : privilégier SFTP et verrouiller les permissions
WordPress recommande l’usage de SFTP quand c’est disponible et insiste sur l’importance des permissions de fichiers, surtout en hébergement mutualisé. L’idée est de limiter au maximum l’écriture sur les fichiers, puis d’assouplir uniquement quand nécessaire (uploads, mises à jour planifiées).
- Utiliser SFTP (pas FTP) si l’hébergeur le propose.
- Éviter des droits trop ouverts sur wp-content, plugins et thèmes.
- Conserver une logique claire : propriétaire des fichiers, droits minimaux, exceptions documentées.
5) Sauvegardes : complètes, régulières, et testées
Une sauvegarde qui n’a jamais été testée est une hypothèse. WordPress recommande des sauvegardes régulières, incluant la base de données. Une stratégie simple pour une PME :
- Snapshots complets (fichiers + base) selon la fréquence de changement du site.
- Copie dans un emplacement de confiance distinct du serveur.
- Test de restauration périodique (au moins une fois par trimestre sur un staging).
6) HTTPS et en-têtes de sécurité : renforcer sans alourdir
Côté navigateur, des en-têtes HTTP peuvent réduire certaines classes de risques (clickjacking, exécution non souhaitée, exposition d’informations). OWASP maintient une synthèse des en-têtes de sécurité recommandés. Parmi eux, HSTS indique au navigateur d’accéder au site uniquement en HTTPS et d’upgrader automatiquement les accès HTTP futurs.
À retenir : HSTS se configure côté serveur et doit être envoyé uniquement via HTTPS. Une mise en place prudente est recommandée, surtout si des sous-domaines existent.
7) Checklist « durcissement » en 60 minutes
- 2FA activée sur tous les comptes à privilèges, comptes inutiles supprimés.
- DISALLOW_FILE_EDIT activé dans wp-config.php.
- Plugins et thèmes inutilisés supprimés, mises à jour planifiées.
- SFTP utilisé, permissions revues (principe du minimum).
- Sauvegarde complète en place, test de restauration planifié.
- HTTPS validé, et en-têtes de sécurité envisagés selon le serveur.
FAQ Durcissement WordPress (Suisse romande)
La 2FA est-elle vraiment utile pour un petit site vitrine ?
Oui, surtout pour les comptes administrateurs. Beaucoup d’incidents démarrent par un accès au back-office. Une 2FA réduit fortement ce risque, sans modifier le site pour les visiteurs.
Pourquoi supprimer un plugin désactivé ?
Parce qu’il reste un composant installé. Le supprimer réduit la surface à maintenir et évite d’oublier un élément vulnérable.
DISALLOW_FILE_EDIT suffit-il à sécuriser WordPress ?
Non. C’est une réduction de risque ciblée. Le socle reste : comptes solides, mises à jour, permissions, sauvegardes, et surveillance.
Faut-il activer HSTS tout de suite ?
Si le site est pleinement en HTTPS et que les redirections sont propres, HSTS peut renforcer la sécurité. Une vérification préalable est préférable, notamment si des sous-domaines ou des services externes existent.
Besoin d’un durcissement propre, sans casser l’exploitation ?
Pour appliquer ces réglages, vérifier les accès, sécuriser les sauvegardes et valider la configuration côté serveur, contactez clickclick.ch.
