Retour aux guides

Publié le 15 avril 2026

Mis à jour le 17 avril 2026

Votre site WordPress est-il vraiment sécurisé ? Faites le test

La sécurité WordPress n’est pas binaire. Un site n’est pas « sécurisé » ou « non sécurisé », il existe des dizaines de niveaux de protection. La plupart des sites pensent être protégés alors qu’ils ont des failles béantes. La seule façon de savoir : tester méthodiquement.

Voici les 10 tests à faire pour vérifier si votre site WordPress est vraiment sécurisé. Chaque test révèle une faille potentielle exploitable par les pirates.

01

Testez si votre page de connexion est accessible à tous

Tapez votresite.com/wp-admin dans votre navigateur en navigation privée. Si vous voyez le formulaire de connexion, votre page est publique et exposée aux attaques par force brute. Les bots testent cette URL en permanence. Installez un plugin pour changer l'URL de connexion (WPS Hide Login) ou limitez l'accès par IP. Une page de connexion publique = porte d'entrée ouverte.

Exposition critique
02

Vérifiez si vos fichiers sensibles sont accessibles directement

Essayez d'accéder à votresite.com/wp-config.php et votresite.com/readme.html dans votre navigateur. Si vous voyez du contenu ou un téléchargement, ces fichiers sont exposés. wp-config.php contient vos identifiants de base de données. readme.html révèle votre version WordPress. Ajoutez des règles de protection dans votre .htaccess ou via un plugin de sécurité pour bloquer ces accès.

Fichiers exposés
03

Scannez votre site à la recherche de malware

Installez Wordfence ou Sucuri et lancez un scan complet. Ces plugins détectent les fichiers modifiés, le code malveillant injecté, les backdoors cachés. Un site peut être infecté pendant des mois sans symptôme visible. Si le scan révèle des infections, nettoyez immédiatement. Faites ce scan au minimum une fois par mois. Un malware non détecté vole vos données et utilise votre serveur.

Détection malware
04

Testez la force de vos mots de passe admin

Allez sur howsecureismypassword.net et testez vos mots de passe (sans les saisir réellement, testez juste le format). Un mot de passe de 8 caractères avec lettres + chiffres se craque en quelques heures. Utilisez minimum 16 caractères avec lettres majuscules, minuscules, chiffres et symboles. Installez un gestionnaire de mots de passe (1Password, Bitwarden) pour générer et stocker des mots de passe impossibles à deviner.

Force des mots de passe
05

Vérifiez si votre certificat SSL est valide et à jour

Allez sur ssllabs.com/ssltest et testez votre domaine. Un certificat SSL invalide, expiré ou mal configuré expose vos données en transit. Visez un score A ou A+. Vérifiez aussi que toutes vos pages chargent en HTTPS (pas de contenu mixte). Un certificat SSL faible = données interceptables. Renouvelez automatiquement avec Let's Encrypt ou votre hébergeur.

Chiffrement HTTPS
06

Contrôlez les comptes utilisateurs inutiles ou suspects

Allez dans Utilisateurs et vérifiez chaque compte. Supprimez les comptes inactifs, les anciens prestataires, les comptes de test. Un compte oublié avec droits administrateur = backdoor permanente. Vérifiez aussi qu'aucun compte « admin » n'existe. Gardez uniquement les comptes actifs avec le niveau de droits minimum nécessaire. Un pirate cherche toujours les comptes oubliés.

Gestion des accès
07

Testez si vos sauvegardes fonctionnent réellement

Avoir des sauvegardes ne suffit pas, il faut qu'elles soient restaurables. Téléchargez votre dernière sauvegarde et vérifiez qu'elle contient bien les fichiers ET la base de données. Testez une restauration sur un environnement de staging. Une sauvegarde corrompue ou incomplète ne sert à rien le jour où vous en avez besoin. Vérifiez aussi que vos sauvegardes sont stockées hors du serveur.

Récupération garantie
08

Vérifiez si vos plugins et thème ont des vulnérabilités connues

Allez sur wpvulndb.com ou utilisez Wordfence pour scanner vos plugins. Chaque plugin a un historique de failles de sécurité. Si vous utilisez une version obsolète d'un plugin avec une faille connue, les pirates le savent et l'exploitent. Mettez à jour immédiatement ou désinstallez les plugins vulnérables. Une faille connue non corrigée = piratage garanti.

Vulnérabilités connues
09

Contrôlez les permissions de vos fichiers et dossiers

Connectez-vous en FTP et vérifiez les permissions. Les dossiers doivent être en 755, les fichiers en 644. wp-config.php doit être en 600 ou 400. Des permissions trop ouvertes (777) permettent à n'importe qui de modifier vos fichiers. Utilisez FileZilla ou votre client FTP pour corriger les permissions. Votre hébergeur peut aussi vous aider à définir les bonnes permissions.

Permissions fichiers
10

Vérifiez si votre site est blacklisté par Google

Allez sur transparencyreport.google.com/safe-browsing/search et entrez votre URL. Si Google a détecté du contenu malveillant, votre site affiche un avertissement « Site dangereux » dans les résultats de recherche. Votre trafic s'effondre de 95% instantanément. Vérifiez aussi dans Google Search Console → Problèmes de sécurité. Un blacklisting signifie que votre site est compromis et doit être nettoyé d'urgence.

Réputation Google
Retour aux guides
Thomas

Auteur

Thomas

Voir ses articles

Besoin d'aide sur votre site WordPress ?

Réponse en moins de 24h — sans engagement

Vos données restent confidentielles

Les informations recueillies seront transmises au service commercial de TYTAE. En savoir plus sur vos données personnelles.

TYTAE

Découvrir l'agence

Nous vous écoutons

Et si on parlait de votre site WordPress ?

Vous hésitez sur le bon forfait ? Vous voulez faire corriger une erreur rapidement ? Un expert Tytae vous répond sous 24 h pour une estimation gratuite. Basés à Valence. Interventions sur toute la France.

Appelez le 04 75 69 25 95
Contactez Tytae
Secret Link