5 conseils pour renforcer votre WordPress

5 conseils pour renforcer votre WordPress

Publié le 28 mars 2026 par Merlin

Catégorie : Blog

Étiquettes : Wordpress

Je vous propose pour terminer ce premier trimestre 2026, 5 conseils pour sécuriser notre CMS préféré.
J’en ai déjà proposé du même type mais je voulais clarifier et résumer certains points que je juge aujourd’hui important. Je tombe encore trop souvent sur des WordPress peu ou pas sécurisé et je souhaitait apporter mon expérience sur le sujet. J’en profite également pour annoncer que je tourne une page avec WordPress mais c’est un autre sujet que je vous propose de lire en fin de page. D’abord, voilà 5 conseils pour renforcer votre WordPress.

1. Revoir les bases

En écrivant cet article, je ne voulais pas réécrire ce que vous trouverez déjà sur la toile et qui vous recommandent des bases de sécurité de votre WordPress et dont j’ai moi-même écris un article sur le sujet. Mais les bases, ce sont les bases, et un bref rappel est nécessaire. Il peut se résumer comme ceci, une liste simple mais diablement efficace : sauvegarder, protéger et cacher ce qu’il y a lieu de cacher.

La plupart du temps, vous trouverez des plugins qui feront ce travail. Vous aurez le choix entre ; ou télécharger un gros plugin tout en un, ou plusieurs petit plugins qui auront chacun force dans leur domaine. À vous de choisir. Moi, j’ai opté pour la seconde option. Le tout est de bien les mettre à jour et d’avoir confiance en eux. En relisant mon article vieux de 6 ans, je n’ai pas changé mes choix depuis.

La liste des plugins utilisés feront le travail. Ils sont légers et performants. Je vous remets tout de même cette liste et les liens de la page officiel de téléchargement.

  1. Sauvegarder : updraftplus
  2. Anti-Spam : AntispamBee
  3. Pare-feu : BBQ
  4. Certificat SSL : Really Simple SSL
  5. Cacher le lien de connexion : WPS Hide Login

Comme promis, je ne m’étendrai pas plus là-dessus. Je vous laisse relire mon article qui en parle.
Mais avec ce lot de plugins, votre site a déjà une base solide de protection.

2. Cacher les informations de votre site

Il est encore possible de renforcer la sécurité de votre WordPress en cachant d’autres informations que des personnes mal intentionnées useraient en vue de trouver des failles potentielles. En voilà la liste :

  • Cacher la version de PHP (le langage moteur de votre site WordPress)
  • Cacher la version de votre WordPress
  • Cacher les répertoires/dossiers de votre site

Voilà comment cacher la version de WordPress. C’est un morceau de code à insérer dans votre thème, par exemple dans le fichier functions.php :

remove_action('wp_head', 'wp_generator');

Pour ce qui est des autres conseils, il faudra modifier le fichier .htaccess pour modifier la configuration de votre serveur. Mais j’en parlerai plus bas dans ce poste.

3. Désactiver les options inutiles à votre projet

WordPress possède des options qui ne vous seront pas toujours utiles à votre projet et les hackers peuvent les utiliser pour pirater votre site. Je pense au fichier xml-rpc.php qui était utilisé auparavant pour lier d’autres sites web à votre projet. Aujourd’hui est elle est quasi remplacée par l’API WordPress, mais n’est pas totalement désactivée. Il est cependant possible de le faire en ajoutant le code suivant à votre thème :

add_filter('xmlrpc_enabled', '__return_false');

( Vous pouvez également le faire via l’.htaccess comme ceci 🙂

<Files xmlrpc.php>
    Require all denied
</Files>

Je pourrais également vous proposer de désactiver l’API Wordpres sou les options de Pingbacks / trackbacks, mais si vous les utilisez comme moi, cela peut causer des problèmes dans ce cas. Tout dépend vraiment de votre projet. Pareil pour les options de CRON dont je parle plus bas. Après chaque modification de votre thème, n’hésitez pas à vous rendre sur votre site et bien vérifier ses différentes fonctionnalités. ..

4. Renforcer le fichier .htaccess

Le fichier .htaccess est le fichier placé à la racine de votre WordPress. Si vous y avez accès, vous pouvez le renforcer en copiant collant les morceaux de codes suivants, dont voici quelques exemples :

# Cacher les répertoires de votre site
ServerSignature Off
Options -Indexes

# Cache la version de PHP
FileETag None

# protéger les 3 fichiers suivants :
<FilesMatch "^(\.htaccess|\.htpasswd|wp-config\.php)">
    Require all denied
</FilesMatch>

5. Désactiver CRON

Pour terminer, voilà deux lignes de code à placer encore dans le fichier wp-config.php de votre site Wordrpess. Il empêche les options de CRON ; ces actions qui se réalisent à un temps donné depuis votre site. (À voir si compatible avec votre projet). Et aussi, une autre option pour empêcher l’édition des fichier depuis le Dashboard. Comme ils sont à placés dans un autre fichier, je voulais terminer par cela. Les voilà :

/* DISABLE WP CRON */
define(‘DISABLE_WP_CRON’, true);

/* DISABLE FILE EDITING IN THE BACKEND */
define(‘DISALLOW_FILE_EDIT’, false);

5 conseils pour renforcer votre WordPress …

Et voilà mon vrai conseil et sans doute le plus important de cet article. Il s’agit d’une liste de bonnes pratiques et quelques liens qui vous permettront également d’assurer la sécurité de votre projet en ligne :

  • Comme d’habitude, veillez à utiliser des mots de passe forts, alphanumériques et avec des caractères spéciaux. WordPress en propose de très bons lorsque vous créez votre profil. Garde-le sous la main avec un gestionnaire de mot de passe (comme celui par exemple). N’oubliez pas de vous déconnecter après rédaction et de vous connecter dans des endroits sûrs et dans lequel vous avez l’habitude de travailler.
  • Restez toujours bien prudent envers les personnes que vous êtes susceptibles d’inscrire sur votre plateforme. Vous pouvez leur attribuer des droits de niveaux différents et plus ces niveaux sont hauts, plus ces personnes auront accès à des parties de votre site auxquels elles ne devraient pas atteindre. Pour ma part, je reste le seul administrateur de mes sites WordPress et je désactive l’inscription par défaut des utilisateurs en tant que simple abonné.
  • Modifiez le nom « admin » de connexion ; il vous faudra sans doute créer un nouveau compte administrateur pour ensuite vous reconnecter et supprimer l’ancien administrateur pour réaliser cette action. Mais comprenez que le nom « admin » c’est déjà la moitié du chemin pour un hacker qui tenterait de se connecter à votre place. Bien sûr, l’API WordPress permet d’afficher le nom des auteurs des articles et des pages et il est alors possible d’afficher l’user admin utilisé. Mais là aussi, il est possible de cacher ces informations avec cette fonction :
// Bloquer l'accès à la liste des utilisateurs via l'API REST
add_filter('rest_endpoints', function ($endpoints) {
    if (isset($endpoints['/wp/v2/users'])) {
        unset($endpoints['/wp/v2/users']);
    }
    if (isset($endpoints['/wp/v2/users/(?P<id>[\d]+)'])) {
        unset($endpoints['/wp/v2/users/(?P<id>[\d]+)']);
    }
    return $endpoints;
});
  • Maintenez votre environnement.
    On en a déjà parlé, mais il reste primordial de maintenir votre plateforme à jour. Que ce soit au niveau de son environnement serveur (MAJ de la base de données et de PHP) que du corps de WordPress, ses thèmes et ses plugins. En fait cela n’ajoute pas toujours des fonctionnalités, les mises à jour sont aussi des mises à jour de sécurité.

    En ce qui me concerne j’utilise WP manager pour réunir tous les sites WordPress qui nécessitent une maintenabilité. La plateforme est libre. Une fois inscrits, vous avec une vue d’ensemble sur tous vos CMS et leurs statuts au niveau de leurs mises à jour éventuelles.
  • Enfin, réfléchissez bien en amont à l’utilité de WordPress dans votre projet. Est-il vraiment nécessaire de rendre tout éditable par votre prestataire ? Êtes-vous sûr du thème que vous avez opté et des plugins que vous installez. Je tombe encore trop souvent sur des WordPress qui possèdent une cinquantaine de plugins, qui ne sont pas à jour et qui alourdit la performance du projet.

    C’est clairement que le site a subi des modifications et n’entre plus du tout en phase avec son projet initial. Personnellement, au-delà de 10 plugins, je soupçonne que quelque chose n’a pas été bien pensé en amont.

Voilà, c’est tout ! Et c’est déjà pas mal ! En suivant toutes ces précautions, votre WordPress pourra contrer pas mal d’attaques malveillantes.

Comme expliqué en introduction, j’annonce ici que je m’écarterai un temps soit peu de WordPress.
En analysant le blog, je me rends compte que j’ai beaucoup parlé de la célèbre plateforme sans appuyer mes connaissances dans les Frameworks Javascript que sont React, Vite ou Next et qui sont pour moi toujours très intéressant dans les années à venins, même si le milieu semble changer et qu’on ne saut jamais de quoi il est fait.

Bien sûr, je trouve que cet outil est vraiment super pour mettre debout un projet en ligne et déjà pour le mois d’avril, un autre site WordPress vous sera présenté avec ses fonctionnalités et son design.
Mais après cela, promis, j’aurai pas mal de projets à vous présenter qui sort complètement de WordPress et son environnement.

D’ici là, à très vite.

renforcer wordpress

Newsletter

En maintenance ...