WordPress : 11 optimisations de sécurité indispensables en 2025

WordPress propulse plus de 40 % des sites web dans le monde. Cette popularité en fait une cible privilégiée des cyberattaques. En 2025, les menaces sont de plus en plus sophistiquées : injections SQL, exécutions de code à distance, attaques par force brute… Il est donc essentiel de sécuriser son installation.

Voici 12 optimisations de sécurité essentielles à appliquer pour durcir votre site WordPress et limiter les risques.

1. Activer l’authentification à deux facteurs (2FA)

La double authentification ajoute une couche de sécurité indispensable à l’accès au tableau de bord. Elle empêche toute connexion même si le mot de passe est compromis.
Plugin recommandé : Two factor

2. Limiter les tentatives de connexion

Les attaques par force brute consistent à tester des milliers de mots de passe jusqu’à trouver le bon. Limitez le nombre d’essais pour les bloquer.
Plugin recommandé : Limit Login Attempts Reloaded

3. Gérer les rôles utilisateurs avec rigueur

Un compte avec des droits trop larges est un risque en cas de piratage. Attribuez uniquement les rôles nécessaires. N’utilisez jamais le compte admin pour des tâches éditoriales.
Plugin recommandé : User Role Editor

4. Modifier l’URL de connexion /wp-login.php

Changer l’URL d’accès au back-office ne protège pas tout, mais cela filtre de nombreuses attaques automatiques.
Plugin recommandé : WPS Hide Login

5. Mettre à jour régulièrement WordPress, ses thèmes et plugins

Les failles connues sont rapidement exploitées par les bots. Activez les mises à jour automatiques ou tenez une veille technique régulière.
Supprimez tout plugin ou thème non utilisé pour réduire la surface d’attaque.

6. Utiliser un pare-feu applicatif (WAF)

Un WAF bloque les requêtes malveillantes avant même qu’elles n’atteignent votre serveur PHP.
Service recommandé : Cloudflare

7. Protéger le fichier wp-config.php

Le fichier wp-config.php contient les identifiants de base de données et les clés de sécurité. Restreignez son accès via .htaccess (Apache) ou configuration Nginx.
Exemple Apache :

<FilesMatch "^(wp-config\.php)">
  # Apache < 2.3
  <IfModule !mod_authz_core.c>
    Order allow,deny
    Deny from all
    Satisfy All
  </IfModule>

  # Apache ≥ 2.3
  <IfModule mod_authz_core.c>
    Require all denied
  </IfModule>
</FilesMatch>

8. Désactiver l’éditeur de fichiers dans le tableau de bord

L’éditeur intégré permet de modifier le code PHP des plugins et thèmes. En cas d’accès non autorisé, cela facilite l’injection de malwares.
À ajouter dans wp-config.php :

define('DISALLOW_FILE_EDIT', true);

9. Configurer des sauvegardes automatiques et externalisées

Sauvegardez régulièrement votre base de données et vos fichiers, et stockez-les hors du serveur (cloud, FTP, etc.).

10. Vérifier les droits et propriétaires des fichiers sur le serveur

Le serveur web (souvent www-data) ne doit pas être propriétaire des fichiers du site. Cela empêche l’exécution de modifications non autorisées via PHP.
Bonnes pratiques :

• Propriétaire : un utilisateur système (ex. deploy, ftpuser)
• Fichiers : 644
• Dossiers : 755

Commandes utiles :

find . -type f -exec chmod 644 {}
find . -type d -exec chmod 755 {}
chown -R deploy:www-data /chemin/vers/votre-site

11. Déplacer les fichiers sensibles hors du répertoire web

Ne laissez pas wp-config.php, .env ou d’autres fichiers critiques accessibles directement via HTTP. Le répertoire racine du site (ex. /var/www/site) doit pointer uniquement vers le dossier public (ex. /public, /web).

En résumé
La sécurité de WordPress repose sur une accumulation de bonnes pratiques, et non sur une seule solution miracle. En appliquant ces 11 optimisations, vous limitez les vecteurs d’attaque les plus fréquents et vous créez un environnement robuste et maintenable.