Publié le 21 octobre 2025
par Nicolas – Hebtoweb.com
Avant de renforcer la sécurité d’un site WordPress, encore faut-il savoir où se trouvent les failles.
Un audit régulier permet de détecter les vulnérabilités avant qu’elles ne soient exploitées.
Et bonne nouvelle : il n’est pas nécessaire d’être développeur pour le réaliser !
Dans ce guide, découvrez comment effectuer un audit de sécurité simple et efficace en moins d’une heure, avec des outils accessibles et gratuits.
🔎 Pourquoi auditer la sécurité de son site WordPress ?
Un audit de sécurité consiste à analyser les points faibles de votre installation WordPress : fichiers, extensions, accès, versions, configuration serveur, etc.
L’objectif est de :
- Identifier les failles exploitées par les bots et pirates,
- Vérifier la conformité du site aux bonnes pratiques,
- Déterminer les priorités d’action (mises à jour, suppression, durcissement),
- Gagner en performance et en fiabilité.
💡 Effectuer un audit complet tous les 3 à 6 mois est recommandé, ou après tout changement majeur (nouvelle extension, migration, thème).
🧩 Étape 1 : Vérifier la version de WordPress et de PHP
Un grand nombre de failles connues concernent des versions obsolètes du CMS ou du serveur.
Dans le tableau de bord WordPress → Tableau de bord > Mises à jour, assurez-vous d’avoir :
- La dernière version stable de WordPress (6.x en 2025),
- Un PHP 8.1 ou supérieur,
- Les extensions et thèmes à jour.
👉 Les versions antérieures à PHP 8.0 sont considérées comme à risque : elles ne reçoivent plus de correctifs de sécurité.
🔑 Étape 2 : Vérifier les comptes et rôles utilisateurs
Allez dans Utilisateurs > Tous les utilisateurs.
Supprimez ou rétrogradez tout compte :
- qui n’est plus utilisé,
- dont le rôle est trop élevé (administrateur au lieu de éditeur ou auteur),
- dont le nom d’utilisateur est trop évident (admin, test, etc.).
Activez si possible :
- L’authentification à deux facteurs (2FA),
- Une politique de mots de passe forts via un plugin (ex. WP Password Policy Manager).
🔐 Un seul compte compromis peut donner un accès total au site.
🧱 Étape 3 : Inspecter les extensions et thèmes
Rendez-vous dans Extensions > Extensions installées :
- Supprimez les plugins inactifs ou non mis à jour depuis plus d’un an,
- Vérifiez que chaque plugin provient du répertoire officiel WordPress.org ou d’un éditeur connu,
- Lisez les avis et la dernière date de mise à jour,
- Désinstallez tout thème non utilisé (sauf un thème par défaut de secours, comme Twenty Twenty-Five).
🚫 Méfiez-vous des thèmes « nulled » (versions piratées).
Ils contiennent souvent des malwares cachés dans les fichiers PHP.
🧰 Étape 4 : Contrôler les permissions de fichiers
Un grand classique des failles WordPress : les droits de fichiers trop permissifs.
Connectez-vous à votre hébergement via FTP ou File Manager, puis vérifiez :
- Dossiers : permissions 755
- Fichiers : permissions 644
- wp-config.php : idéalement 440 (protège les identifiants de base de données)
Sur cPanel ou via SSH, vous pouvez corriger les permissions avec :
find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;
chmod 440 wp-config.php
🧮 Étape 5 : Scanner le site avec des outils de sécurité
Outils en ligne gratuits :
- 🔗 Sucuri SiteCheck : analyse les malwares, blacklists et fichiers modifiés.
- 🔗 WPScan : base de données des failles connues dans WordPress, plugins et thèmes.
- 🔗 Google Search Console : onglet Problèmes de sécurité.
Plugins pour scanner depuis WordPress :
- Wordfence – complet, détecte les fichiers modifiés.
- iThemes Security – bon outil d’audit avec score de sécurité.
- Patchstack – analyse les vulnérabilités et bloque les failles connues.
💡 Faites un scan après chaque mise à jour majeure ou si vous observez un comportement étrange (ralentissement, redirections, emails suspects).
🧾 Étape 6 : Vérifier les sauvegardes et la restauration
Un audit de sécurité n’est complet que si vous êtes capable de restaurer votre site en cas de problème.
Contrôlez :
- Que vos sauvegardes sont récentes (moins de 7 jours),
- Qu’elles sont stockées hors du serveur principal (Google Drive, Dropbox, FTP distant),
- Et que la procédure de restauration fonctionne (testez sur un site de staging).
Plugins recommandés : UpdraftPlus, Duplicator, JetBackup.
🧠 Étape 7 : Noter les résultats et prioriser les corrections
Créez une mini-fiche d’audit (Excel, Notion, Google Sheet) avec :
| Élément vérifié | Statut | Priorité | Action à prévoir |
|---|---|---|---|
| Mises à jour WordPress | OK | – | – |
| Plugins obsolètes | ⚠️ | Haute | Supprimer / remplacer |
| Sauvegardes récentes | ✅ | – | Test restauration |
| Permissions fichiers | ⚠️ | Moyenne | Corriger via FTP |
Ainsi, vous garderez une trace de l’état de sécurité de votre site à chaque vérification.
🚀 Et après l’audit ?
Vous savez désormais identifier les failles de votre site WordPress.
L’étape suivante consiste à les corriger durablement, en appliquant les bonnes pratiques de sécurité.
👉 Lire l’article 3 : “Bonnes pratiques essentielles pour sécuriser WordPress” →