"Mon site est sécurisé." C'est ce que la plupart d'entre vous pensent... jusqu'au jour où ce n'est plus vrai.
Pas parce que vous avez négligé quelque chose d'évident. Mais parce que la sécurité d'un site WordPress ne se voit pas. Tant que rien ne cloche en surface, on suppose que tout va bien.
Mais pendant ce temps, des failles s'accumulent : un plugin qui n'a plus été mis à jour depuis huit mois, une version PHP obsolète, un mot de passe trop simple sur un compte administrateur, etc.
Un audit de sécurité, c'est l'occasion de regarder ce qui se passe sous le capot avant qu'un incident vous y oblige.
TL;DR – Ce qu'il faut retenir en 30 secondes
Un audit de sécurité WordPress consiste à vérifier méthodiquement les points de vulnérabilité de votre site : versions des logiciels, accès administrateur, fichiers sensibles, configuration du serveur, plugins et thèmes installés. Certaines vérifications sont accessibles en quelques minutes. D'autres nécessitent un accès au serveur et des compétences techniques.
Table des matières
Qu'est ce qu'on entend par audit de sécurité WordPress ?
Un audit de sécurité WordPress n'est pas un scan antivirus. C'est une revue structurée de tous les points par lesquels un attaquant pourrait entrer ou par lesquels il est peut-être déjà entré sans que vous le sachiez.
Concrètement, un audit couvre plusieurs niveaux.
Les accès. Qui peut se connecter à votre site, avec quels identifiants, depuis quelle URL. Un compte administrateur avec un mot de passe faible ou une URL de connexion standard (/wp-admin) est une invitation ouverte aux attaques par force brute.
Les logiciels installés. WordPress lui-même, vos plugins, votre thème. Chaque version obsolète est une faille potentielle documentée publiquement. Les bases de données de vulnérabilités comme WPScan répertorient les failles connues par version, ce que les attaquants consultent avant de cibler un site.
La configuration du serveur. Version PHP, permissions sur les fichiers, accès aux fichiers sensibles (wp-config.php, .htaccess), en-têtes HTTP de sécurité. Une mauvaise configuration serveur peut exposer des informations qui facilitent une attaque.
Les utilisateurs. Combien de comptes administrateurs existent sur votre site ? Certains ont-ils été créés à votre insu ? Vos anciens prestataires ont-ils encore accès ?
Les fichiers. Des fichiers inconnus dans des dossiers inhabituels, des modifications récentes sur des fichiers du cœur de WordPress, des scripts exécutables là où il ne devrait pas y en avoir : ce sont des signaux d'un piratage en cours ou passé.
Les vérifications que vous pouvez faire vous-même
Voici sept points que vous pouvez vérifier sans compétences techniques particulières.
Vérifiez la liste de vos utilisateurs WordPress. Allez dans Utilisateurs depuis votre tableau de bord. Si vous voyez des comptes que vous n'avez pas créés, notamment avec un rôle administrateur, votre site a probablement été compromis. J'ai détaillé tous les signes d'un piratage WordPress dans un article dédié.
Vérifiez que tous vos plugins et thèmes sont à jour. Dans Tableau de bord > Mises à jour, regardez ce qui est en attente. Un plugin non mis à jour depuis plusieurs mois mérite une vérification : est-il encore maintenu par son développeur ? Si la fiche du plugin ne mentionne pas de compatibilité avec les versions récentes de WordPress, envisagez de le remplacer.
Vérifiez les plugins inactifs. Un plugin désactivé mais présent reste potentiellement vulnérable. Si vous n'utilisez pas un plugin, supprimez-le.
Testez votre URL de connexion. Tapez votredomaine.fr/wp-admin dans votre navigateur. Si la page de connexion s'affiche normalement, votre URL d'administration est celle par défaut. C'est la cible de la grande majorité des attaques automatisées.
Vérifiez votre certificat SSL. Votre site doit s'afficher en https://. Si ce n'est pas le cas, ou si votre navigateur affiche une alerte de sécurité, votre certificat est expiré ou mal configuré.
Passez votre site sur Sucuri SiteCheck. Rendez-vous sur sitecheck.sucuri.net, entrez votre URL. L'outil analyse votre site à la recherche de malwares connus et vérifie s'il est sur des listes noires. C'est gratuit et prend moins de deux minutes.
Vérifiez les comptes email associés à vos administrateurs. Allez dans le profil de chaque compte administrateur et vérifiez que l'adresse email est bien la vôtre. Un pirate qui a créé un compte administrateur aura renseigné sa propre adresse pour récupérer les notifications.
Ce qui nécessite un regard expert
Certaines vérifications dépassent ce que vous pouvez faire depuis votre tableau de bord WordPress.
L'analyse des fichiers serveur. Détecter des backdoors ou des scripts malveillants injectés dans vos fichiers PHP demande un accès FTP ou SSH au serveur, et la capacité de distinguer un fichier légitime d'un fichier modifié. C'est faisable avec des outils comme WP-CLI ou un scanner de fichiers, mais ça nécessite de savoir quoi chercher.
La vérification des logs serveur. Les logs d'accès contiennent des informations précieuses sur les tentatives d'intrusion, les requêtes suspectes et les comportements anormaux. Les lire et les interpréter correctement pour bannir toute IP malveillante est une compétence technique.
La configuration de la base de données. Le préfixe des tables WordPress, les droits de l'utilisateur MySQL, la sécurisation de l'accès à phpMyAdmin : ce sont des paramètres qui ont un impact réel sur la sécurité mais qui ne se configurent pas depuis le tableau de bord.
Les outils gratuits pour commencer
Plusieurs outils vous permettent d'obtenir une première évaluation de la sécurité de votre site sans expertise technique.
Sucuri SiteCheck (sitecheck.sucuri.net) analyse votre site depuis l'extérieur à la recherche de malwares, de codes suspects et de listes noires. C'est le premier outil à utiliser quand vous avez un doute.
WPScan (wpscan.com) est un scanner de vulnérabilités spécialisé WordPress. La version en ligne vous permet de scanner votre site gratuitement et identifie les plugins et thèmes présentant des failles connues.
Google Search Console section "Problèmes de sécurité". Si Google a détecté du contenu malveillant sur votre site, il vous le signale ici. C'est souvent le premier signal qu'un site a été compromis.
Have I Been Pwned (haveibeenpwned.com) vérifie si vos adresses email ont été compromises dans des fuites de données. Si l'adresse associée à votre compte administrateur WordPress a fuité, vos identifiants sont peut-être entre de mauvaises mains.
Ce qu'une maintenance sérieuse met en place pour protéger votre site
Un audit ponctuel, c'est une photo de l'état de votre site à un instant précis. Mais entre deux audits, votre site continue d'évoluer : des plugins se mettent à jour, de nouvelles failles sont découvertes, des tentatives d'intrusion arrivent chaque jour.
C'est là qu'une maintenance sérieuse change la donne. Pas en remplaçant l'audit, mais en réduisant en permanence la surface d'attaque et en détectant les anomalies avant qu'elles deviennent des incidents.
Voici ce que je mets concrètement en place sur chaque site que je prends en maintenance.
Préfixe de base de données personnalisé. Par défaut, toutes les tables WordPress commencent par wp_. Les attaques par injection SQL automatisées ciblent ce préfixe. Le changer pour quelque chose d'unique élimine une grande partie des attaques automatisées.
URL de connexion modifiée. L'URL /wp-admin est la cible de milliers de tentatives de connexion automatisées chaque jour sur n'importe quel site WordPress. Déplacer cette URL vers quelque chose de non standard réduit drastiquement les tentatives de force brute.
Un outil complet comme SecuPress Pro configuré. Ce plugin de sécurité premium détecte les fichiers modifiés, bloque les comportements suspects, surveille les tentatives de connexion et génère des alertes en temps réel. La configuration par défaut n'est pas suffisante : ce qui compte c'est le paramétrage adapté à chaque site. Si vous voulez comprendre ce qu'un forfait de maintenance sérieux couvre concrètement chaque mois, j'y ai consacré un article complet.
Blacklist d'IPs mise à jour chaque mois. Les adresses IP utilisées pour les attaques automatisées sont documentées et régulièrement mises à jour par des services spécialisés. Je mets à jour cette liste chaque mois, ce qui bloque préventivement les sources d'attaques connues avant même qu'elles tentent quoi que ce soit.
Surveillance des fichiers core. Les fichiers du cœur de WordPress ne devraient jamais être modifiés. Si l'un d'eux change sans qu'une mise à jour officielle l'explique, c'est un signal d'alerte immédiat.
Les questions que vous vous posez
À quelle fréquence faut-il faire un audit de sécurité WordPress ?
Pour un site vitrine avec peu d'évolutions, un audit annuel est un minimum. Pour un site qui évolue régulièrement ou qui traite des données sensibles, un audit semestriel est préférable. Entre les audits, une surveillance continue via un plugin de sécurité et un monitoring actif vous permet de détecter les anomalies en temps réel.
Un plugin de sécurité suffit-il à remplacer un audit ?
Non. Un plugin surveille et bloque en temps réel, mais ne remplace pas une revue structurée de l'ensemble des points de vulnérabilité. L'audit identifie ce que le plugin ne voit pas : une mauvaise configuration serveur, un compte utilisateur oublié, un plugin abandonné par son développeur
Mon hébergeur s'occupe-t-il de la sécurité de mon site WordPress ?
Votre hébergeur sécurise l'infrastructure serveur, pas votre installation WordPress. Il protège le serveur contre les attaques externes, mais si votre site est compromis via un plugin vulnérable ou des identifiants faibles, c'est votre responsabilité. Les deux niveaux de sécurité sont complémentaires, pas interchangeables.
Est-ce qu'un site qui reçoit peu de trafic est moins ciblé ?
Non. La grande majorité des attaques sur WordPress sont automatisées. Des robots parcourent en permanence Internet à la recherche de sites avec des versions vulnérables de plugins ou des URLs de connexion standard. La taille de votre audience n'entre pas en compte, c'est la configuration de votre site qui détermine si vous êtes une cible facile.
Que faire si l'audit révèle que votre site a déjà été compromis ?
Arrêtez d'y toucher et contactez un expert. Tenter de nettoyer soi-même un site piraté sans méthode peut aggraver la situation ou laisser des portes dérobées en place. La priorité est de couper l'accès aux visiteurs le temps du nettoyage, puis de procéder à une analyse complète avant de remettre le site en ligne.
La sécurité d'un site WordPress, c'est un sujet que la plupart d'entre vous ne regardent qu'après un incident. Et je comprends pourquoi : tant que tout fonctionne, il y a toujours quelque chose de plus urgent à faire.
Ce que j'essaie de faire avec mes clients, c'est de transformer la sécurité en quelque chose de préventif plutôt que de curatif. Pas avec des discours alarmistes, mais avec des actions concrètes qui réduisent les risques réels : une URL de connexion qui n'est pas celle que tout le monde connaît, un préfixe de base de données personnalisé, des IPs malveillantes bloquées avant même qu'elles essaient.
Un audit ponctuel, c'est utile. Mais ce qui change vraiment la donne sur le long terme, c'est une surveillance qui ne s'arrête pas.
Vous ne savez pas vraiment où en est la sécurité de votre site WordPress ?
Découvrez comment je protège les sites de mes clients chaque mois.
