Sur WordPress, la plupart des incidents viennent de causes simples : identifiants faibles, comptes partagés, rôles trop permissifs, mises à jour repoussées, ou sauvegardes absentes. Une PME en Suisse romande (Vaud, Genève, Fribourg, Valais, Neuchâtel, Jura) peut réduire fortement le risque avec une checklist claire, applicable au quotidien, que l’activité soit à Lausanne, Yverdon-les-Bains, Nyon, Genève, Carouge, Fribourg, Bulle, Sion, Martigny, Monthey, Neuchâtel, La Chaux-de-Fonds, Delémont ou Porrentruy.
Sources officielles : WordPress Developer – Hardening WordPress, WordPress.org – Roles and Capabilities, WordPress Developer – Backups, NCSC (Suisse) – Donnees et sauvegardes, WordPress.org – Two-Factor (plugin).
1) Premier objectif : stopper les connexions faibles
Le duo le plus rentable : mots de passe solides + authentification a deux facteurs (2FA). Un mot de passe fort limite les attaques par force brute. Le 2FA limite l’impact si un mot de passe fuit.
- Interdire les comptes partages : une personne, un compte.
- Activer le 2FA pour les comptes admin et editeurs (priorite).
- Utiliser un gestionnaire de mots de passe, puis generer des mots de passe longs et uniques.
Astuce simple : commencer par 2FA sur 2 a 5 comptes critiques, puis etendre. Le plugin « Two-Factor » du repertoire WordPress peut servir de base.
2) Rôles WordPress : appliquer le principe du moindre privilege
Un site se securise aussi par l’organisation. La plupart des equipes n’ont pas besoin du role Administrateur au quotidien. WordPress detaille les rôles et capacites pour structurer les acces.
- Administrateur : reserve a 1 a 2 personnes (et protege par 2FA).
- Editeur : utile pour publier et gerer le contenu.
- Auteur / Contributeur : utile si plusieurs personnes ecrivent, avec validation.
- Comptes prestataires : creer un compte temporaire, puis le desactiver apres intervention.
Regle pratique : si une personne n’installe pas de plugins, elle n’a en general pas besoin d’etre Administrateur.
3) Mises a jour : reduire la fenetre de risque
Les mises a jour (WordPress, theme, plugins) ferment des failles et corrigent des bugs. Le guide « Hardening WordPress » rappelle l’importance de maintenir un site a jour. Le point cle consiste a mettre en place un rythme, plutot que d’attendre des mois.
- Cycle simple : une fenetre mensuelle de mises a jour + traitement rapide des correctifs critiques.
- Avant mise a jour : sauvegarde recente, puis test sur pages cles (Accueil, Services, Contact, panier/paiement si WooCommerce).
- Apres mise a jour : controle mobile, formulaire, e-mails transactionnels, et parcours principal.
4) Sauvegardes : la seule assurance qui compte le jour J
Une sauvegarde utile couvre fichiers et base de donnees, et doit etre restaurable. WordPress documente les bonnes pratiques, et le NCSC rappelle l’importance des copies de sauvegarde, y compris hors ligne.
- Frequence : au minimum hebdomadaire (vitrine), plus frequent pour une boutique.
- Retention : garder plusieurs versions, pas une seule copie.
- Test : effectuer une restauration de test (au moins une fois par trimestre).
5) Durcissement rapide (sans complexifier)
Le durcissement consiste a enlever des risques evidents. Le guide WordPress « Hardening » propose une liste de mesures, a appliquer selon l’hebergement et le contexte.
- Desactiver ou limiter les comptes inactifs.
- Restreindre l’acces aux pages sensibles (ex. limiter l’exposition de la page de connexion si votre contexte le permet).
- Limiter les plugins : moins il y en a, moins la surface d’attaque est large.
- Eviter l’upload de fichiers inutiles et nettoyer les medias.
Checklist « Suisse romande » (30 minutes)
- 2FA actif pour les Administrateurs, puis pour les Editeurs.
- Un compte par personne, aucun compte partage.
- Rôles verifies : Administrateur reserve, Editeur/Auteur pour le reste.
- Sauvegarde recente (fichiers + base) + retention.
- Cycle de mises a jour etabli (mensuel + urgences).
- Suppression ou suspension des comptes prestataires apres intervention.
FAQ Securite WordPress (cantons romands)
Le 2FA est-il vraiment utile pour un site vitrine a Fribourg ou Neuchatel ?
Oui, surtout pour les comptes admin. Le 2FA diminue fortement le risque qu’un mot de passe vole donne acces au back-office.
Qui doit etre Administrateur sur WordPress ?
En general, 1 a 2 personnes, avec 2FA. Le reste de l’equipe peut travailler en Editeur ou Auteur. WordPress explique les roles et capacites disponibles.
Quelle est la meilleure frequence de sauvegarde pour une boutique WooCommerce en Valais ou Vaud ?
Plus le site change (commandes, comptes clients, stock), plus il faut sauvegarder souvent. Une reference utile reste la documentation WordPress sur les sauvegardes, puis un test de restauration regulier.
Pourquoi un site WordPress se fait-il pirater alors qu’il est petit ?
Les attaques sont souvent automatisees : elles visent des failles communes, des mots de passe faibles ou des plugins non mis a jour. La taille du site n’est pas un facteur protecteur.
Comment garder une securite simple si l’entreprise couvre plusieurs cantons (Geneve, Jura, Neuchatel) ?
La methode compte plus que la localisation : comptes separes, 2FA, roles bien definis, sauvegardes testees, et mises a jour cadencees. C’est ce socle qui tient dans la duree.
Besoin d’un socle securite simple sur WordPress ?
Pour mettre en place 2FA, clarifier les rôles, securiser les sauvegardes et cadrer un cycle de maintenance, contactez clickclick.ch.
