WordPress propulse plus de 40 % du web. C’est aussi pour ça qu’il est la cible privilégiée des attaques automatisées. La majorité des sites WordPress piratés l’ont été à cause de configurations négligées, pas de failles zero-day.
Authentification
- Limiter les tentatives de login. Plugin comme Limit Login Attempts ou règle au niveau serveur.
- Activer la 2FA pour tous les comptes administrateur.
- Renommer wp-admin est inutile mais ne pas exposer la page de login publiquement, oui.
- Mots de passe forts obligatoires via plugin ou politique d’organisation.
Configuration WordPress
- Désactiver XML-RPC si vous n’utilisez pas l’app mobile WordPress.
- Désactiver l’éditeur de fichiers dans l’admin via
define('DISALLOW_FILE_EDIT', true). - Cacher la version WordPress dans les balises meta et les flux RSS.
- Bloquer l’énumération d’utilisateurs via REST API (filtrer rest_endpoints).
Hébergement et fichiers
- Permissions strictes : 644 pour les fichiers, 755 pour les répertoires.
- wp-config.php hors du document root quand l’hébergement le permet.
- Sauvegardes chiffrées hors site, quotidiennes minimum, avec test de restauration régulier.
- Anti-malware actif au niveau serveur (Linux Malware Detect) plutôt qu’au niveau WordPress seulement.
Headers de sécurité
- HSTS (Strict-Transport-Security)
- X-Content-Type-Options: nosniff
- X-Frame-Options: SAMEORIGIN
- Referrer-Policy: strict-origin-when-cross-origin
- Permissions-Policy adaptée
En cas de doute
Si vous suspectez votre site d’être compromis, ne paniquez pas et ne supprimez rien. Isolez le site, faites une copie complète pour analyse, et appelez quelqu’un qui a déjà fait du nettoyage post-incident. Une intervention amateur peut compliquer la récupération.
Partager .