Comment réaliser un audit de sécurité de WordPress : Guide étape par étape

Ce n'est pas parce que votre site WordPress n'est pas énorme qu'il est sûr.

En fait, plus le site est petit, plus les gens sont susceptibles de penser que personne ne le cible. Mais WordPress alimente plus de 40 % du web, ce qui en fait une cible de choix pour les pirates.

Rien qu'en 2024, près de 8 000 nouvelles vulnérabilités ont été découvertes dans des plugins et des thèmes. Près de la moitié d'entre elles ne nécessitaient même pas de connexion pour être exploitées.

C'est pourquoi il est important de procéder régulièrement à des audits de sécurité de WordPress. Ils vous permettent de détecter les vulnérabilités avant que quelqu'un d'autre ne le fasse.

Dans ce guide, nous vous proposons un processus d'audit pratique, étape par étape, afin que vous puissiez verrouiller votre site sans avoir besoin d'être un expert en cybersécurité.

Qu'est-ce qu'un audit de sécurité WordPress ?

Un audit de sécurité WordPress est une inspection complète de votre site web afin d'identifier les vulnérabilités que les pirates pourraient exploiter. Un bon audit vous aide à identifier les points faibles de votre site web, qu'il s'agisse d'un plugin oublié ou obsolète ou d'un compte utilisateur dont l'accès est plus que nécessaire.

Il ne s'agit pas non plus d'une seule chose. Un audit correct implique des vérifications :

• Si vos plugins et thèmes sont à jour
• Si vos utilisateurs ont les bons rôles et les bonnes autorisations
• Si des logiciels malveillants se cachent dans vos fichiers
• Et si des éléments tels que SSL et les pare-feux font leur travail

Pourquoi faire un audit de sécurité de WordPress ?

Si vous n'avez jamais entendu parler de Dollyway, WannaCry ou Emotet, vous avez de la chance.

Vous savez qu'il ne s'agit pas seulement de noms bizarres. Il s'agit de certaines des souches de logiciels malveillants et de ransomwares les plus célèbres qui soient. WannaCry a causé à lui seul plus de 4 milliards de dollars de dégâts dans le monde. 

Dollyway? Il a compromis plus de 10 000 sites WordPress au début de l'année 2025.

Les audits de sécurité vous aident à détecter les vulnérabilités avant que vous ne fassiez l'objet d'une nouvelle statistique. Ils garantissent la sécurité de votre site, de votre réputation et de vos données.

Autre fait : les pirates informatiques s'attaquent aux sites WordPress toutes les 32 minutes en moyenne.

À quelle fréquence faut-il procéder à un audit de la sécurité du site web ?

La sécurité n'est pas une chose que l'on règle et que l'on oublie. Les menaces évoluent, les plugins se cassent et les mauvais acteurs n'attendent pas votre visite trimestrielle. Alors, à quelle fréquence devriez-vous auditer votre site WordPress ? Cela dépend, mais voici une base solide :

Après des changements majeurs

Si vous avez mis à jour des plugins, des thèmes ou le noyau de WordPress lui-même, procédez à un audit peu de temps après. Les mises à jour corrigent les vulnérabilités, mais elles peuvent aussi en introduire de nouvelles. Effectuez un audit rapide juste après pour vous assurer que rien ne s'est cassé ou n'a été exposé.

Tous les 3 à 6 mois

Pour la plupart des sites, il s'agit d'un bon rythme. Suffisamment long pour saisir toute nouveauté, suffisamment court pour garder une longueur d'avance sur les menaces.

Après une alerte de sécurité

Si votre site a été piraté, ou si vous pensez qu' il pourrait l'avoir été, arrêtez tout et procédez à un audit complet. Vous devez savoir ce qui s'est passé, quelle est la gravité de la situation et comment y remédier rapidement.

Si vous traitez des données sensibles

Si votre site web traite des données sensibles, telles que des informations sur les clients ou des transactions financières, vous devriez procéder à des audits plus fréquents. Les sites très fréquentés sont plus susceptibles d'être la cible de pirates informatiques, c'est pourquoi il est judicieux de procéder à des audits réguliers (peut-être une fois par mois).

Automatiser

Des outils tels que WP Umbrella vous permettent de garder le contrôle sans avoir à effectuer des vérifications manuelles en permanence. Il scanne votre site toutes les quelques heures et vous alerte en temps réel si quelque chose ne va pas. Nous vous montrerons comment faire plus tard.

En lien : Les 10 principaux problèmes de sécurité de WordPress [+ comment les éviter]

Comment réaliser un audit de sécurité de WordPress : Guide étape par étape

1. Vérifier le logiciel de votre site

Les développeurs de WordPress publient des mises à jour pour corriger les failles de sécurité, et le fait de manquer ces mises à jour peut ouvrir la porte aux attaquants. En fait, 90 % des vulnérabilités de WordPress sont dues à des plugins obsolètes, tandis que les 10 % restants sont dus à de vieux thèmes (6 %) et au logiciel de base (4 %). 

Par conséquent, votre première ligne de défense consiste à vous assurer que tous ces éléments sont à jour. Vérifiez les mises à jour et installez-les dès qu'elles sont disponibles. Ensuite, allez plus loin en désactivant et en supprimant ceux que vous n'utilisez plus. Les plugins et les thèmes abandonnés sont porteurs de vulnérabilités parce qu'ils ne sont pas corrigés.

2. Examiner les comptes d'utilisateurs

Examinez attentivement vos comptes d'utilisateurs. Supprimez ceux qui sont inactifs et vérifiez les rôles et les autorisations de ceux qui sont actifs. Si vous avez plusieurs administrateurs, envisagez d'en limiter le nombre pour minimiser les risques.

Si votre site n'a pas besoin d'enregistrer les utilisateurs, désactivez l'option "Tout le monde peut s'enregistrer". Vous ne voulez pas que des personnes, en particulier des pirates, puissent créer un compte et obtenir un accès non autorisé. Pour les comptes actifs, appliquez le principe du moindre privilège, ce qui signifie que les utilisateurs n'ont que les autorisations dont ils ont besoin pour faire leur travail.

3. Mots de passe forts et sécurité des connexions

Les mots de passe faibles sont une invitation ouverte aux attaquants. Selon Astra, 8 % des sites WordPress sont piratés à cause de mots de passe trop faibles. Définissez des mots de passe forts et complexes pour tous les comptes de votre site, en mélangeant lettres, chiffres et caractères spéciaux. Demandez à vos utilisateurs de faire de même.

En outre, mettez en place une authentification à deux facteurs et des CAPTCHA pour protéger les zones de connexion, et fixez des limites aux tentatives de connexion pour empêcher les attaques par force brute. Ces mesures simples peuvent réduire le risque d'accès non autorisé. 

Voici comment implémenter l'authentification à deux facteurs dans WordPress pour une meilleure sécurité

4. Contrôler l'analyse du site web

La plupart des gens consultent leurs outils d'analyse pour connaître les tendances du trafic, les pages les plus visitées ou les taux de rebond. Mais ces chiffres cachent des signes qui indiquent que quelque chose ne va pas.

Si vous remarquez une augmentation soudaine du trafic en provenance d'endroits étranges ou si votre site est envahi à des heures bizarres, il peut s'agir d'une attaque de robot ou d'une tentative de connexion par force brute. À l'inverse, une forte baisse du trafic peut signifier que votre site a été placé sur la liste noire de Google, souvent en raison de logiciels malveillants ou de scripts d'hameçonnage dissimulés dans votre code.

Des outils tels que Google Analytics, Cloudflare ou même votre tableau de bord d'hébergement peuvent vous aider à repérer des schémas inhabituels. Et plus vous les repérez tôt, moins ils causent de dégâts.

5. Réviser les autorisations du site

Ce point passe souvent inaperçu pour de nombreux propriétaires de sites, mais il s'agit d'un point faible majeur s'il n'est pas contrôlé.

Vos autorisations de fichiers contrôlent qui peut lire, écrire ou exécuter des fichiers sur votre serveur. Si vous vous trompez, vous donnez les clés. Une bonne règle de base :

• Régler les fichiers sur 0644
• Définir les dossiers/répertoires à 0755

Ces valeurs par défaut garantissent que votre serveur peut fonctionner comme prévu et que personne ne peut se faufiler et modifier les fichiers sans autorisation. Pendant que vous y êtes, désactivez l'édition de fichiers dans le tableau de bord de WordPress. 

Il suffit d'une ligne dans votre fichier wp-config.php :

php

define('DISALLOW_FILE_EDIT', true);

Cette option désactive l'éditeur intégré sous Apparence > Éditeur de thème, l'un des premiers endroits où les pirates se rendent s'ils y ont accès. En supprimant cette option, il leur sera plus difficile d'introduire des codes malveillants sur votre site.

6. Vérifiez votre hébergeur

La sécurité de votre site dépend du serveur sur lequel il se trouve. Prenez le temps d'examiner ce que votre fournisseur d'hébergement propose. Les certificats SSL et la protection contre les attaques DDoS devraient aller de soi. Si ce n'est pas le cas, il est préférable de passer à un hébergeur qui accorde la priorité à la sécurité.

Testez également leur assistance. En cas de problème, obtiendrez-vous une aide réelle ou resterez-vous en attente pendant des heures ? Une assistance rapide et compétente fait une énorme différence lorsque vous êtes confronté à une violation potentielle.

7. Mise en place d'un journal d'activité

Un journal d'activité permet de savoir qui se connecte, quelles modifications sont apportées et à quel moment les choses se produisent. C'est très utile pour repérer tout ce qui est suspect.

Si quelqu'un parvient à s'y glisser, le journal vous permet de revenir en arrière et de découvrir comment il est arrivé là et ce qu'il a touché. C'est l'un des moyens les plus simples de rester au courant de ce qui se passe en coulisses.

8. Testez votre solution de sauvegarde

Les sauvegardes, c'est bien. Des sauvegardes qui fonctionnent quand vous en avez besoin ? C'est encore mieux.

N'attendez pas un désastre pour découvrir que votre sauvegarde est défectueuse. Essayez de restaurer une sauvegarde récente sur un site d'essai pour vous assurer qu'elle est propre et qu'elle fonctionne. Il s'agit d'un test rapide qui pourrait vous épargner des heures de nettoyage par la suite.

WP Umbrella simplifie vos audits de sécurité

Vérifier manuellement les problèmes de sécurité sur plusieurs sites ? C'est pénible, et il est facile de rater des choses. WP Umbrella garde un œil sur les choses pour vous, automatiquement. Il effectue des audits, surveille les vulnérabilités, et vous fait savoir quand quelque chose doit être corrigé.

Détection automatisée des vulnérabilités

Avec WP Umbrella, vous n'avez pas besoin de vous rappeler de vérifier les mises à jour ou de scanner manuellement. Le plugin, alimenté par Patchstack, analyse automatiquement vos sites pour les vulnérabilités des plugins, des thèmes et du cœur de WordPress toutes les 6 heures. Il vous envoie des alertes en temps réel par e-mail ou Slack dès qu'un problème de sécurité est détecté.

Contrôles sanitaires de sécurité

Au-delà de l'analyse des vulnérabilités, WP Umbrella effectue des contrôles de sécurité qui couvrent la plupart des étapes d'audit manuel discutées ci-dessus :

• Surveillance des certificats SSL : Il suit vos certificats SSL et vous alerte avant qu'ils n'expirent, afin que vous ne vous réveilliez pas avec un cadenas cassé et des clients paniqués.
• Détection des erreurs PHP : Il détecte les erreurs PHP à un stade précoce afin d'éviter de graves problèmes de site ou des failles de sécurité.
• Surveillance de la santé du site : Il vous permet de rester au courant de la version de WordPress, des plugins inactifs et des thèmes.
• Vérifications de la configuration de la sécurité: Vérifie les problèmes tels que les informations de débogage exposées ou les mauvaises configurations de sécurité.

Protection proactive avec Site Protect

Pour les sites qui ont besoin d'une couche supplémentaire de sécurité, WP Umbrella propose Site Protect, un module complémentaire qui va au-delà de la détection pour fournir une protection active. Il offre :

• Patching virtuel: Même si un plugin présente une vulnérabilité connue mais n'a pas encore été mis à jour, Site Protect bloque les attaques ciblant cette vulnérabilité en temps réel. Il arrête les menaces à la porte pendant que vous attendez le correctif officiel.
• Prévention des attaques: Il bloque automatiquement les IP malveillantes, prévient les attaques par énumération d'utilisateurs et arrête les tentatives d'exploitation courantes avant qu'elles n'atteignent votre site.
• Durcissement de WordPress: Site Protect désactive les fonctions à risque telles que les éditeurs de fichiers, bloque l'accès aux fichiers sensibles tels que readme.txt et ajoute des en-têtes de sécurité.

Pourquoi cela est important pour votre stratégie d'audit de sécurité

Pensez à WP Umbrella comme à un assistant d'audit de sécurité qui ne dort jamais. Bien que vous deviez toujours effectuer des audits manuels complets tous les 3 à 6 mois, le fait d'avoir une surveillance continue signifie que vous ne volez pas à l'aveuglette entre les audits.

Au lieu de découvrir, lors de votre audit trimestriel, une vulnérabilité qui n'a pas bougé depuis des semaines, vous en êtes informé dans les minutes qui suivent sa découverte. C'est la différence entre une sécurité proactive et une sécurité réactive.

Pour les agences ou toute personne gérant plusieurs sites WordPress, cela devient encore plus critique. Il n'est pas pratique d'auditer manuellement des dizaines de sites tous les quelques mois, mais une surveillance automatisée de tous les sites dans un seul tableau de bord permet de s'assurer que rien ne passe à travers les mailles du filet.

Pour commencer

WP Umbrella toutes les fonctionnalités essentielles de surveillance de la sécurité dans son forfait mensuel à 1,99 € par site. Le module complémentaire Site Protect est disponible moyennant un supplément de 2 $ par mois et offre des fonctionnalités avancées de renforcement de la sécurité et de correctifs virtuels.

Vous pouvez essayer WP Umbrella gratuitement pendant 14 jours pour voir comment il s'intègre dans votre flux de travail de sécurité. Installez le plugin, connectez vos sites, et commencez à obtenir des informations de sécurité en temps réel immédiatement.