WordPress est-il sécurisé ? Idées reçues et bonnes pratiques

par Georges HOUY | 15 Juil 2025

sécurité d'un site WordPress

WordPress est-il sécurisé ? C'est une crainte que j'entends souvent, parfois avant même qu'on me confie un projet. La réputation a la vie dure. On lit ici et là que WordPress serait une passoire, une cible facile, un choix imprudent. La réalité est plus nuancée, et surtout plus rassurante quand on comprend d'où vient cette idée. Faisons le tri entre les peurs infondées et les vrais points d'attention, parce que le sujet mérite mieux que des rumeurs.

D'où vient la réputation de WordPress en matière de sécurité ?

Commençons par l'origine du malentendu. Si WordPress traîne une image de fragilité, c'est d'abord parce qu'il est partout. Il fait tourner une part énorme du web mondial (plus de 40%). Mécaniquement, un outil aussi répandu attire l'attention de ceux qui cherchent à nuire : on s'en prend à ce qui est massivement utilisé, parce que la moindre faille touche des millions de sites d'un coup. Ce n'est pas un signe de faiblesse du logiciel, c'est une conséquence de son succès. La voiture la plus vendue est aussi la plus volée, sans que cela dise quoi que ce soit de sa fiabilité mécanique.

Deuxième source de confusion : dans la grande majorité des cas, les pirates ne s'en prennent pas à WordPress lui-même. Ils exploitent ce qu'on a posé autour, ou ce qu'on a négligé. Un mot de passe trop simple, une extension douteuse, des mises à jour jamais faites. Une communauté immense développe, audite et corrige le cœur de WordPress en permanence. Le problème se loge presque toujours ailleurs que dans le moteur.

WordPress est-il sécurisé par nature ?

Première idée reçue à tordre. Une communauté active maintient le logiciel de base, qui reste solide. Dès qu'une faille apparaît, la communauté la corrige et diffuse un correctif, souvent très vite. Ce qui rend un site vulnérable, ce n'est pas WordPress, c'est l'usage qu'on en fait. Un WordPress tenu à jour, bien configuré, avec des extensions choisies avec soin, reste parfaitement sûr pour l'immense majorité des usages professionnels. La sécurité n'est pas une propriété du logiciel qu'on installe une fois pour toutes : c'est une pratique qu'on entretient.

« Mon petit site n'intéresse personne »

C'est sans doute la croyance la plus dangereuse, et la plus répandue. Beaucoup pensent qu'un site modeste, sans données sensibles, ne sera jamais visé. Erreur. La plupart des attaques ne ciblent personne en particulier.

Ce sont des programmes automatiques qui balaient le web en continu, testant des milliers de sites à la chaîne, à la recherche de la moindre porte ouverte. Ils ne savent pas si votre site est important, et ne s'en soucient pas. Ils cherchent une faille, n'importe laquelle, pour en faire un relais de spam, une page piégée ou un point d'appui vers d'autres attaques. Petit ou gros, tout site mal protégé est une proie.

« Une fois sécurisé, c'est réglé »

Encore faux, et ce point compte. La sécurité n'est pas un état figé qu'on atteint une bonne fois. C'est un équilibre à maintenir dans le temps. De nouvelles failles apparaissent, de nouvelles menaces aussi, et ce qui était sûr l'an dernier peut ne plus l'être aujourd'hui sans la moindre intervention de votre part. Un site qu'on protège puis qu'on abandonne se dégrade lentement, à mesure que le monde autour évolue. La sécurité se surveille et s'entretient, comme une serrure qu'on vérifie plutôt qu'on installe et qu'on oublie.

Les vraies bonnes pratiques de sécurité WordPress

Assez d'idées reçues, passons à ce qui protège réellement. Et la bonne nouvelle, c'est que l'essentiel relève du bon sens et de la régularité, pas de la haute technique.

1°) Les mises à jour, en premier. C'est la mesure la plus efficace, et la plus négligée. Tenir WordPress, le thème et les extensions à jour ferme la plupart des portes que les attaques cherchent à pousser. Une faille connue et corrigée ne menace que ceux qui n'ont pas appliqué le correctif.

2°) Les mots de passe, ensuite. Un mot de passe long, unique et complexe pour l'accès au site, c'est une barrière élémentaire mais redoutablement efficace. Une grande partie des intrusions réussit simplement parce que le mot de passe était devinable. Ajouter une double authentification, quand c'est possible, renforce encore considérablement cette première ligne de défense.

3°) Le choix des extensions, aussi. Chaque extension ajoutée ouvre une porte supplémentaire. Mieux vaut en installer peu, choisies parmi des sources fiables, maintenues à jour par leurs auteurs, plutôt que d'empiler des modules trouvés n'importe où. Une extension que son développeur abandonne devient avec le temps un point faible. La sobriété, ici, est une vertu de sécurité.

4°) Les sauvegardes, enfin. Elles ne préviennent pas l'attaque, mais elles en annulent les conséquences. Une copie récente, fiable et conservée à l'extérieur permet de tout remettre en état rapidement si le pire arrive. C'est la différence entre un incident vite réglé et une catastrophe. Aucune sécurité n'étant absolue, la sauvegarde reste le dernier rempart qui vous garantit de ne jamais tout perdre. Pour aller plus loin, la documentation officielle de WordPress sur le renforcement de la sécurité détaille les mesures techniques complémentaires.

Alors, WordPress est-il sécurisé ?

Oui, à condition de s'en occuper. WordPress n'est ni une passoire ni une forteresse imprenable : c'est un outil solide qui devient sûr ou vulnérable selon le soin qu'on lui porte. La sécurité ne dépend pas du logiciel qu'on a choisi, mais des pratiques qu'on applique et qu'on maintient. Un site tenu à jour, bien configuré, surveillé et sauvegardé n'a pas à rougir face à quoi que ce soit d'autre. Un site laissé à l'abandon, lui, finira par avoir des ennuis, quelle que soit la technologie. La vraie question n'est donc pas « WordPress est-il sécurisé ? », mais « qui veille sur votre site, et avec quelle régularité ? ».