Check-list de sécurité WordPress 2026 — 12 points indispensables pour ton site | Scanthra

Scanthra · 9 min de lecture · Mis à jour Mai 2026

1. Maintenir le cœur, les thèmes et les extensions avec les mises à jour automatiques

WordPress 6.5+ supporte les mises à jour automatiques pour le cœur, les extensions et les thèmes. Active les trois. Dans wp-config.php, ajoute :

define('WP_AUTO_UPDATE_CORE', true);

Puis sous Extensions, clique sur « Activer les mises à jour automatiques » pour chaque extension active. Oui, même les premium. Une heure de risque de régression par trimestre vaut mieux qu'une semaine à nettoyer une redirection injectée.

2. Supprimer chaque thème et extension que tu n'utilises pas

Les extensions inactives sont toujours sur le disque et analysées par les attaquants qui font le fingerprinting de ton site. Le vecteur classique « TimThumb » a vécu des années dans des thèmes désactivés. Si tu ne l'utilises pas, supprime complètement le répertoire de wp-content/plugins et wp-content/themes.

3. Protéger wp-admin derrière quelque chose

Deux options efficaces :

• Liste blanche d'adresses IP. Si tu te connectes depuis un bureau fixe ou un VPN, limite /wp-admin et /wp-login.php à ces IPs au niveau du serveur web. Cinq lignes de config nginx.
• Renommer ou ajouter un deuxième facteur. Des extensions comme WPS Hide Login changent l'URL ; Two-Factor (par l'équipe cœur WordPress) ajoute le TOTP. Les deux sont gratuits.

4. Imposer des mots de passe forts et désactiver XML-RPC si inutilisé

WordPress autorise la réutilisation des mots de passe par défaut. Installe Password Policy Manager ou similaire pour imposer la longueur et la rotation. Puis désactive xmlrpc.php sauf si tu en as spécifiquement besoin (ex. pour l'app Jetpack) :

location = /xmlrpc.php { deny all; return 403; }

5. Ajouter les six en-têtes de sécurité standard

HSTS (forçage HTTPS), CSP (Content Security Policy), X-Frame-Options, X-Content-Type-Options, Referrer-Policy et Permissions-Policy. Chaque rapport Scanthra signale les manquants. La façon la plus rapide : un plan Cloudflare gratuit + leur règle de transformation gérée Security Headers, ou une extension comme HTTP Headers.

6. Bloquer la modification de fichiers depuis wp-admin

Dans wp-config.php :

define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

Ça empêche un attaquant qui vole un cookie d'administration de modifier un fichier de thème et d'y déposer un webshell.

7. Bloquer l'exécution PHP dans les uploads

Un .htaccess dans wp-content/uploads :

<FilesMatch "\.(php|phtml|phar)$">
  Require all denied
</FilesMatch>

Ou l'équivalent nginx. La plupart des exploits « upload ta photo » déposent un fichier PHP déguisé en image. Cette seule règle élimine toute cette classe de problèmes.

8. Utiliser un scanner de malware qui tourne selon un calendrier

Wordfence gratuit, Sucuri SiteCheck, ou le WPScan open source via WP-CLI. Planifie un scan hebdomadaire et envoie le résultat à ton e-mail. Tu veux apprendre l'existence d'une porte dérobée avant que Google le fasse.

9. Configurer des sauvegardes automatiques hors site

Une sauvegarde sur le serveur ne vaut rien après une compromission totale. Utilise UpdraftPlus, BackWPup ou le service d'instantané de ton hébergeur pour pousser des sauvegardes vers S3, Google Drive ou BackBlaze quotidiennement. Teste la restauration au moins une fois par trimestre — la plupart des histoires « j'avais des sauvegardes » se terminent par « mais je n'ai jamais essayé de les restaurer ».

10. Configurer SPF, DKIM et DMARC sur ton domaine

Si ton domaine n'a pas de SPF/DKIM/DMARC (protection e-mail), des escrocs peuvent usurper des e-mails comme facturation@tonsite.com. Ajoute les trois enregistrements DNS (on a un guide séparé pour ça) et observe les plaintes de phishing baisser et la délivrabilité de tes e-mails transactionnels monter.

11. Auditer tes administrateurs chaque trimestre

Sous Utilisateurs → Tous les utilisateurs, trie par rôle. Tout compte Administrateur qui ne s'est pas connecté depuis 90 jours est un risque — ancien prestataire, ex-employé, compte de démonstration. Rétrograde en Abonné ou supprime. C'est la cause la plus fréquente des incidents WordPress du type « on ne sait pas comment ils sont entrés ».

12. Planifier la conformité NIS2 si tu traites des données clients UE

La directive NIS2 (directive UE sur la cybersécurité) est en vigueur dans les 27 États membres via des transpositions nationales (l'amendement polonais en vigueur depuis le 3 avril 2026, NIS2UmsuCG allemand, la loi de transposition française, etc.). Même si tu es en dessous du seuil « entité essentielle », tes clients plus grands peuvent te transférer contractuellement des obligations NIS2 — et ça s'applique que tu opères dans l'UE ou que tu y vendes depuis l'étranger. Les sites WordPress qui traitent des données personnelles UE devraient tenir un journal des incidents, documenter le calendrier des correctifs et effectuer des vérifications de sécurité périodiques. Un scan Scanthra gratuit mensuel est un point de départ raisonnable — notre guide de conformité NIS2 couvre le reste.

La version « dimanche après-midi » de cette liste

Si tu as deux heures et veux un rendement maximal : fais les points 1, 2, 5, 7 et 10. Ces cinq seuls font passer ton site de « facilement compromis » à « suffisamment pénible pour que les attaquants passent leur chemin ».

Comment Scanthra aide avec cette check-list

Un scan Scanthra couvre les points 2 (résidus d'extensions exposés), 5 (en-têtes de sécurité), 7 (fichiers PHP dans les uploads), 10 (SPF/DKIM/DMARC) et plusieurs autres automatiquement. Le rapport PDF te dit quelles cases tu coches déjà — et lesquelles ont besoin d'attention.