WordPress : checklist sécurité en 15 minutes

Introduction

WordPress équipe des millions de sites. Sa popularité le rend aussi cible de choix pour les attaques. Voici une checklist en 15 minutes pour renforcer la sécurité de votre site WordPress, sans être développeur.

Réponse rapide

• Mises à jour : WordPress, thèmes et extensions à jour.
• Utilisateur admin : Ne pas utiliser « admin » comme identifiant, créer un utilisateur fort.
• Mots de passe : Au moins 12 caractères, complexe.
• HTTPS : Activer le certificat SSL et forcer HTTPS.
• Sauvegardes : Configurer des sauvegardes automatiques.
• Extensions : Supprimer celles inutilisées, garder le minimum.

Étape 1 : Mises à jour (2 min)

Dans Tableau de bord → Mises à jour, mettez à jour WordPress, tous les thèmes et toutes les extensions. Activez les mises à jour automatiques si proposé.

Étape 2 : Utilisateur et mot de passe (3 min)

Si vous utilisez encore l’utilisateur « admin », créez un nouvel administrateur avec un autre nom, donnez-lui tous les droits, puis supprimez « admin ». Choisissez un mot de passe fort (gestionnaire de mots de passe recommandé).

Étape 3 : HTTPS (2 min)

Vérifiez que votre hébergeur a activé le SSL. Dans Réglages → Général, l’URL du site doit commencer par https://. Si nécessaire, utilisez une extension comme « Really Simple SSL » pour forcer le HTTPS.

Étape 4 : Sauvegardes (3 min)

Installez une extension de sauvegarde (UpdraftPlus, BackupBuddy, etc.) et configurez des sauvegardes automatiques hebdomadaires sur un espace externe (Dropbox, Google Drive, ou stockage de l’hébergeur).

Étape 5 : Nettoyage des extensions (3 min)

Désactivez et supprimez les extensions que vous n’utilisez plus. Moins d’extensions = moins de failles potentielles. Privilégiez les extensions maintenues et avec de bonnes notes.

Étape 6 : Vérification rapide (2 min)

Vérifiez que le cadenas s’affiche dans la barre d’adresse. Testez la connexion à l’admin. Assurez-vous que les sauvegardes sont bien planifiées.

À faire

• Mettre à jour WordPress, thèmes et extensions
• Remplacer l’utilisateur admin et renforcer le mot de passe
• Vérifier et forcer le HTTPS
• Configurer des sauvegardes automatiques
• Supprimer les extensions inutiles
• Faire un dernier contrôle (cadenas, admin, sauvegardes)

FAQ courte

15 minutes suffisent-elles vraiment ?
Pour les bases, oui. Une sécurité renforcée (pare-feu, limitation des tentatives de connexion) peut demander plus de temps.

Dois-je être développeur ?
Non. Toutes ces actions se font depuis le tableau de bord WordPress.

Et si mon site est déjà piraté ?
Restaurez une sauvegarde saine si vous en avez une. Sinon, faites analyser le site et nettoyer les fichiers malveillants avant d’appliquer cette checklist.