Retour au blogRead in English
Sites Web9 min de lecture

Sécurité site WordPress 2026 : checklist 30 points essentiels

Mohamed Bah·Fondateur, Kolonell
22 mai 2026
Partager :
Sécurité site WordPress 2026 : checklist 30 points essentiels

Sécurité site WordPress 2026 : checklist 30 points essentiels

Sites Web

Sécurité WordPress : 43 % de tous les sites du web, 96 % des attaques CMS

WordPress propulse environ 43 % des sites web mondiaux en 2026, et concentre 96 % des attaques visant les CMS open source. Pas parce que WordPress est mauvais — il est très solide en core — mais parce que son écosystème de 60 000 plugins gratuits crée une surface d'attaque massive, et parce que la majorité des admins ne configurent jamais les bases de sécurité.

90 % des compromissions WordPress en 2026 sont dues à 5 causes simples : plugin obsolète, mot de passe faible, absence de 2FA, fichier wp-config.php mal protégé, et thème nulled (piraté). La checklist suivante de 30 points couvre l'essentiel à vérifier sur tout site WordPress en production.

Catégorie 1 — Authentification (priorité critique)

  • Mot de passe admin : minimum 16 caractères, mixte alphanumérique + symboles, jamais réutilisé d'un autre service.
  • 2FA activée sur tous les comptes admin et editor (plugins : Wordfence Login Security, WP 2FA, miniOrange 2FA).
  • Limiter les tentatives de connexion : 5 max avant blocage IP 30 min (Limit Login Attempts Reloaded).
  • Renommer la page de login : /wp-admin devient /secure-login-xyz (plugin WPS Hide Login).
  • Supprimer le compte "admin" par défaut : créer un compte admin avec un autre nom et supprimer "admin".
  • Politique de mot de passe forte obligatoire pour tous les utilisateurs (plugin iThemes Security ou équivalent).

Catégorie 2 — Mises à jour (priorité critique)

  • WordPress core à jour : 6.5 minimum en 2026, idéalement dernière version stable.
  • Plugins à jour mensuels minimum : supprimer les plugins non utilisés (ils restent une porte d'entrée même désactivés).
  • Thème à jour + utilisation d'un thème enfant pour ne pas perdre vos modifications.
  • Désinstaller les plugins nulled : tout plugin "premium gratuit" téléchargé hors source officielle = porte arrière garantie.

Catégorie 3 — Hardening wp-config (priorité haute)

  • Désactiver l'éditeur de fichiers WP-admin : ajouter define('DISALLOW_FILE_EDIT', true); dans wp-config.php.
  • Préfixe de table de DB non-standard : changer wp_ en wp_xyz123_ (à la création ou via plugin de migration).
  • Clés de sécurité uniques : régénérer via https://api.wordpress.org/secret-key/1.1/salt/ et coller dans wp-config.
  • Désactiver xmlrpc.php si non utilisé : ajouter une règle dans .htaccess ou nginx pour bloquer l'accès.
  • Bloquer l'accès direct à wp-config.php via .htaccess : Order Deny,Allow Deny from all .

Catégorie 4 — Permissions et fichiers (priorité haute)

  • Permissions fichiers : 644 pour les fichiers, 755 pour les dossiers, 600 pour wp-config.php.
  • Désactiver l'indexation des dossiers : Options -Indexes dans .htaccess.
  • Bloquer l'exécution PHP dans /uploads/ : règle .htaccess ou nginx pour empêcher l'exécution de scripts uploadés.
  • Désactiver les rapports d'erreur PHP en production : define('WP_DEBUG', false); et display_errors = Off dans php.ini.

Catégorie 5 — Headers de sécurité (priorité haute)

  • HTTPS forcé partout : Let's Encrypt minimum, redirection HTTP → HTTPS automatique.
  • HSTS (Strict-Transport-Security) : max-age=31536000; includeSubDomains; preload.
  • CSP (Content-Security-Policy) : limiter les sources de scripts, styles, images.
  • X-Frame-Options: SAMEORIGIN pour éviter le clickjacking.
  • X-Content-Type-Options: nosniff + Referrer-Policy + Permissions-Policy.

Catégorie 6 — Monitoring et défense active (priorité moyenne)

  • Plugin sécurité installé : Wordfence (gratuit + premium 119 USD / an), Sucuri Security, iThemes Security, MalCare, ou All-In-One WP Security.
  • WAF activé : Cloudflare WAF (gratuit basique), Sucuri Firewall, Wordfence Premium WAF — bloque 80 % des bots avant qu'ils n'atteignent WP.
  • Scan malware régulier : MalCare scan automatique quotidien, ou Wordfence scan hebdomadaire.
  • Logs d'accès analysés : revoir mensuellement les tentatives de login échouées, IP suspectes.

Catégorie 7 — Sauvegarde et recovery (priorité critique)

  • Sauvegarde quotidienne externalisée : pas seulement sur le serveur. Destinations : S3, Google Drive, Dropbox, Backblaze B2. Voir notre guide sauvegarde 3-2-1.
  • Test de restauration trimestriel : restaurer une copie sur un environnement de staging — vérifier que ça marche vraiment avant le jour J.

Tableau récap priorisé

Besoin d'un site web professionnel ?

Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.

Devis gratuitWhatsApp
PrioritéCatégoriePointsAction immédiate
CritiqueAuthentification1-62FA + password 16+
CritiqueMises à jour7-10WP + plugins à jour
HauteHardening wp-config11-15DISALLOW_FILE_EDIT + xmlrpc off
HautePermissions fichiers16-19644/755/600
HauteHeaders20-24HTTPS + HSTS + CSP
MoyenneMonitoring25-28Wordfence + Cloudflare WAF
CritiqueSauvegarde29-30Backup externe quotidien

Outils recommandés en 2026

  • Wordfence : firewall + scan malware, version gratuite suffisante pour la plupart des cas
  • Sucuri Security : scan + monitoring + firewall premium (199-499 USD / an)
  • iThemes Security : hardening tout-en-un, version gratuite très complète
  • MalCare : scan léger côté cloud (n'alourdit pas le serveur)
  • Cloudflare WAF : règles WAF gratuites + plan Pro 20 USD / mois pour règles avancées
  • Maldet / ClamAV : scan côté serveur en CLI pour audit serveur dédié

Chez Kolonell, le forfait maintenance standard inclut systématiquement Wordfence + Cloudflare WAF + sauvegarde externalisée quotidienne sur Backblaze B2.

FAQ

Combien de temps prend une mise en sécurité complète ?

Pour un site WordPress moyen : 4 à 8 h de travail pour appliquer les 30 points si rien n'est en place. Comptez 200 000 à 500 000 FCFA en prestation agence.

Faut-il payer Wordfence Premium ?

Pour un site personnel ou petite vitrine : non, la version gratuite suffit. Pour un site e-commerce ou à fort trafic : oui (119 USD / an), surtout pour le WAF en temps réel et l'accès aux règles de firewall.

Que faire si mon site est déjà compromis ?

Voir notre guide récupérer un site hacké. Étapes : 1) isoler, 2) identifier, 3) nettoyer ou restaurer un backup propre, 4) patcher, 5) reset tous les credentials.

Mon hébergeur ne sécurise-t-il pas tout cela ?

Non. L'hébergeur gère la couche serveur (OS, PHP, MySQL). La couche WordPress (CMS, plugins, thème, contenu) reste à votre charge. Même OVH, Hostinger ou GoDaddy le précisent dans leurs CGU.

Quel budget annuel sécurité pour un site WordPress ?

Site vitrine : 0-50 000 FCFA / an (gratuit + audit annuel). Site e-commerce : 150 000-500 000 FCFA / an (Wordfence Premium + Cloudflare Pro + scan régulier). Site critique : 500 000-2 000 000 FCFA / an (WAF managé + pen-test + SOC).

Discutons de votre sécurité

Si vous voulez un audit de sécurité de votre site WordPress ou un forfait maintenance incluant la sécurité, contactez-nous. WhatsApp +221 77 596 93 33.

Tags :#sécurité#WordPress#checklist#Wordfence#Sucuri#iThemes#hardening
Partager :

Mohamed Bah

Fondateur, Kolonell

Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.

Articles similaires

Maintenance site web 2026 : forfait mensuel + grille tarifaire
Sites Web

Maintenance site web 2026 : forfait mensuel + grille tarifaire

22 mai 20268 min
Sauvegarde site web automatique 2026 : méthode 3-2-1 et outils
Sites Web

Sauvegarde site web automatique 2026 : méthode 3-2-1 et outils

22 mai 20269 min
Récupérer un site web hacké 2026 : guide urgence pas à pas
Sites Web

Récupérer un site web hacké 2026 : guide urgence pas à pas

22 mai 202610 min
Voir tous les articles