Publié le 14 avril 2026
Mis à jour le 17 avril 2026
20 points de contrôle à vérifier sur son site Internet WordPress
Passez votre site en revue point par point. Chaque élément non validé est une vulnérabilité potentielle. Les points marqués Critique doivent être traités en priorité absolue.
Mises à jour
WordPress core est à la dernière version stable
Vérifiez dans Tableau de bord → Mises à jour. Une version obsolète expose votre site aux failles documentées et exploitées par des bots automatisés.
Tous les plugins actifs sont à jour
Vérifiez Extensions → Mises à jour disponibles. Testez si possible sur staging avant d'appliquer en production pour éviter les conflits.
Le thème actif (et parent) est à jour
Les thèmes reçoivent aussi des correctifs de sécurité. Vérifiez le thème actif ET le thème parent s'il en existe un.
Les plugins désactivés sont supprimés du serveur
Un plugin désactivé mais présent reste une faille. Supprimez tout plugin inutilisé — son code est toujours sur le serveur même désactivé.
Accès et authentification
L'authentification à deux facteurs (2FA) est activée
Un mot de passe seul ne suffit plus. La 2FA (Google Authenticator ou plugin dédié) bloque 99,9% des tentatives de connexion non autorisées.
Aucun compte administrateur ne s'appelle u0022adminu0022
Le nom u0022adminu0022 est la première cible des attaques par force brute. Créez un compte avec un identifiant unique, transférez les contenus, puis supprimez l'ancien.
L'URL de connexion WordPress est personnalisée
L'URL /wp-admin est connue de tous les bots. La changer via WPS Hide Login ou Solid Security réduit drastiquement les tentatives de force brute automatisées.
Les tentatives de connexion sont limitées
Configurez un plugin (Limit Login Attempts, Wordfence) pour bloquer une IP après 3 à 5 tentatives échouées. Idéalement avec alerte email.
Les rôles utilisateurs sont correctement attribués
Chaque utilisateur doit avoir uniquement les droits nécessaires. Révoquez les accès des collaborateurs ou prestataires qui n'interviennent plus.
Sauvegardes
Des sauvegardes automatiques quotidiennes sont configurées
Utilisez UpdraftPlus, BackupBuddy ou le service de votre hébergeur. La fréquence doit correspondre à la fréquence de mise à jour de votre contenu.
Les sauvegardes sont stockées hors du serveur principal
Une sauvegarde sur le même serveur est inutile si ce serveur est compromis. Configurez un stockage externe : Google Drive, Amazon S3 ou FTP dédié.
La restauration depuis une sauvegarde a été testée
Une sauvegarde non testée n'est pas fiable. Testez la restauration au moins une fois par an sur un environnement de staging pour valider la récupération.
SSL et chiffrement
Le certificat SSL est valide et non expiré
Vérifiez la date d'expiration (cliquez sur le cadenas dans la barre d'adresse). Sans SSL valide, les navigateurs affichent u0022site non sécuriséu0022 à vos visiteurs.
Toutes les URLs HTTP redirigent vers HTTPS
Une redirection 301 depuis http:// vers https:// doit être en place sur toutes les pages. Vérifiez aussi l'absence de contenu mixte (ressources HTTP sur page HTTPS).
Les en-têtes de sécurité HTTP sont configurés
Vérifiez via securityheaders.com. Les essentiels : X-Frame-Options, X-Content-Type-Options, Content-Security-Policy. Ils bloquent le clickjacking et l'injection de contenu.
Surveillance et détection
Un scan de malware régulier est configuré
Wordfence, Solid Security, MalCare ou Sucuri permettent des scans automatiques hebdomadaires. Vérifiez qu'aucune alerte n'est en attente dans le tableau de bord.
Votre site n'est pas blacklisté par Google
Vérifiez dans Google Search Console → Problèmes de sécurité. Aussi via transparencyreport.google.com. Un blacklisting non détecté peut durer des semaines.
Un monitoring de disponibilité (uptime) est en place
UptimeRobot (gratuit) ou Better Uptime vous alertent par email/SMS si votre site tombe. Sans monitoring, vous pouvez rester hors ligne des heures sans le savoir.
Le formulaire de contact envoie bien les emails
Testez avec une adresse externe (Gmail). Vérifiez réception, absence de spam, et contenu correct. Un formulaire silencieux peut vous faire perdre des prospects sans alerte.
Les logs de connexion admin sont consultés régulièrement
Vérifiez les logs via un plugin de sécurité (Wordfence, Solid Security) pour détecter des accès à des heures inhabituelles, depuis des pays étrangers ou des tentatives répétées.
Comment interpréter votre score
16 – 20
u003cstrongu003eSite sécuriséu003c/strongu003e
Bonne protection en place. Maintenez la surveillance régulière et répétez cet audit tous les 3 mois.
10 – 15
u003cstrongu003ePoints à corrigeru003c/strongu003e
Des failles existent. Commencez par les points u0022Critiqueu0022 non cochés, puis traitez les u0022Hauteu0022.
0 – 9
u003cstrongu003eSite exposéu003c/strongu003e
Votre site présente des risques importants. Un audit technique par un professionnel s’impose rapidement.
Auteur
JulienVoir ses articles
Besoin d'aide sur votre site WordPress ?
Réponse en moins de 24h — sans engagement
TYTAE