1 min de lecture

Securite hebergement WordPress : proteger son site des attaques

Sécurité hébergement WordPress : protéger son site des attaques avec un hébergement WordPress sécurisé

WordPress propulse plus de 43 % du web mondial. Cette popularité en fait la cible privilégiée des cyberattaques : brute force, injections SQL, malwares, défacements. En 2024, Sucuri rapportait que 90 % des CMS infectés étaient des sites WordPress.

La sécurité d'un site WordPress ne se limite pas à installer un plugin. Elle commence au niveau de l'hébergement. Un hébergement WordPress sécurisé constitue le socle sur lequel reposent toutes les autres couches de protection. Serveur mal configuré, PHP obsolète, absence de pare-feu applicatif : autant de portes ouvertes que les attaquants exploitent quotidiennement.

Cet article détaille les vecteurs d'attaque les plus courants, les mesures de protection côté serveur, et les bonnes pratiques pour verrouiller votre site de bout en bout.

Les principales menaces qui visent les sites WordPress

Avant de protéger, il faut comprendre ce contre quoi on se défend.

Attaques par brute force

Les bots testent des milliers de combinaisons identifiant/mot de passe sur /wp-login.php et xmlrpc.php. Sans limitation de débit côté serveur, un attaquant peut tenter des dizaines de requêtes par seconde.

Injections SQL et XSS

Les plugins et thèmes mal codés exposent des failles d'injection. Une requête SQL malveillante peut extraire la base de données entière — comptes administrateurs inclus. Le cross-site scripting (XSS) permet d'injecter du code JavaScript dans les pages vues par vos visiteurs.

Exploitation de vulnérabilités connues

Les versions obsolètes de WordPress, PHP ou des extensions contiennent des CVE documentées publiquement. Les scanners automatisés repèrent ces failles en quelques minutes après leur publication.

Malwares et backdoors

Une fois l'accès obtenu, les attaquants installent des fichiers malveillants dans /wp-content/uploads/ ou modifient des fichiers core. Ces backdoors survivent souvent aux mises à jour classiques.

Chiffre clé : 52 % des vulnérabilités WordPress exploitées proviennent de plugins tiers non mis à jour (source : WPScan 2024).

Pourquoi un hébergement WordPress sécurisé est la première ligne de défense

Un plugin de sécurité agit après que la requête a atteint WordPress. L'hébergement agit avant — au niveau réseau, serveur et système de fichiers. C'est la différence entre un verrou sur une porte et les murs de la maison.

Ce que l'hébergement contrôle et pas WordPress

Couche de sécurité Plugin WordPress Hébergeur
Pare-feu réseau / WAF
Isolation des comptes (conteneurisation)
Version PHP et durcissement
Certificat SSL / TLS Partiel
Sauvegardes système complètes Partiel
Protection DDoS
Permissions fichiers serveur

Un hébergeur mutualisé bas de gamme partage les ressources — et les risques — entre des centaines de sites. Si un site voisin est compromis, le vôtre peut l'être par rebond. Les hébergements managés isolent chaque instance et appliquent des politiques de sécurité par défaut.

Les piliers d'un hébergement WordPress sécurisé

1. Pare-feu applicatif (WAF) et protection DDoS

Le WAF filtre les requêtes malveillantes avant qu'elles n'atteignent PHP. Il bloque les patterns d'injection SQL, les tentatives de traversée de répertoire et les payloads XSS connus.

Chez SEOPress Host, le CDN Cloudflare intégré fournit une protection DDoS de niveau enterprise et un WAF avec des règles spécifiques WordPress, actifs dès l'activation du site — sans configuration manuelle.

2. SSL/TLS automatique et HTTP/2

Le chiffrement HTTPS n'est plus optionnel. Google l'utilise comme signal de classement depuis 2014, et les navigateurs affichent un avertissement sur les sites non sécurisés.

Un hébergement sérieux provisionne le certificat SSL automatiquement et force la redirection HTTPS. Le protocole HTTP/2 (ou HTTP/3) améliore en prime la vitesse de chargement grâce au multiplexage des requêtes.

3. Mises à jour automatiques du cœur, des plugins et de PHP

La majorité des compromissions exploitent des failles déjà corrigées. Le problème : les mises à jour ne sont pas appliquées.

Élément Risque si obsolète Fréquence de mise à jour recommandée
WordPress core Critique Immédiat (mineures auto)
Plugins actifs Élevé Hebdomadaire
Thème actif Moyen Hebdomadaire
Version PHP Élevé Dès disponibilité LTS
Serveur web Moyen Mensuel

Un hébergement managé comme SEOPress Host applique les mises à jour automatiquement — WordPress, plugins et PHP — et propose un environnement de staging (offre SEO Pro) pour tester avant déploiement en production.

4. Sauvegardes quotidiennes et restauration rapide

La sauvegarde n'empêche pas l'attaque, mais elle garantit la récupération. Les critères essentiels :

  • Fréquence : quotidienne minimum, idéalement incrémentale
  • Rétention : 30 jours pour pouvoir remonter avant l'infection
  • Isolation : stockées hors du serveur principal
  • Restauration : en un clic, sans intervention support

5. Isolation et permissions serveur

Chaque site doit tourner dans un environnement isolé (conteneur ou compte système séparé). Les permissions fichiers doivent respecter le principe du moindre privilège :

  • Répertoires : 755
  • Fichiers : 644
  • wp-config.php : 440 ou 400
  • /wp-content/uploads/ : pas d'exécution PHP
Bonne pratique : Désactivez l'éditeur de fichiers intégré à WordPress en ajoutant define('DISALLOW_FILE_EDIT', true); dans wp-config.php. Un attaquant ayant accès à l'admin ne pourra pas modifier le code directement.

Mesures complémentaires côté WordPress

L'hébergement pose les fondations. Ces mesures renforcent la structure.

Limiter les tentatives de connexion

Bloquez les IP après 5 tentatives échouées. Désactivez xmlrpc.php si vous n'utilisez pas l'API XML-RPC (la majorité des sites n'en ont pas besoin).

Authentification à deux facteurs (2FA)

Le 2FA bloque 99,9 % des attaques par brute force même si le mot de passe est compromis. Des plugins comme WP 2FA ou Wordfence Login Security l'implémentent en quelques minutes.

En-têtes de sécurité HTTP

Configurez les en-têtes suivants via votre hébergeur ou un plugin :

  • X-Content-Type-Options: nosniff
  • X-Frame-Options: SAMEORIGIN
  • Strict-Transport-Security (HSTS)
  • Content-Security-Policy (selon vos besoins)
  • Permissions-Policy

Surveillance et détection d'intrusion

Mettez en place un monitoring qui alerte en cas de :

  • Modification de fichiers core WordPress
  • Connexion admin depuis une IP inhabituelle
  • Pic anormal de requêtes 404 (scan de vulnérabilités)
  • Apparition de fichiers PHP dans /uploads/

Comparatif : hébergement mutualisé vs managé pour la sécurité

Mutualisé classique
30%
VPS non managé
55%
Managé spécialisé
90%

Score de couverture sécurité par défaut (sur les 7 piliers listés ci-dessus)

Le VPS non managé offre un contrôle total mais exige des compétences sysadmin pour le durcir. L'hébergement mutualisé classique mutualise aussi les failles. Un hébergement managé spécialisé WordPress — comme SEOPress Host avec sa stack OpenLiteSpeed + Redis + Cloudflare — active toutes les couches de sécurité dès le provisioning, en moins de 2 minutes.

Checklist sécurité : les actions à mener maintenant

Côté hébergement

  • ☑ SSL/TLS actif et HTTPS forcé
  • ☑ PHP 8.2+ avec expose_php = Off
  • ☑ WAF activé avec règles WordPress
  • ☑ Sauvegardes quotidiennes hors serveur
  • ☑ Isolation des comptes / conteneurisation
  • ☑ Protection DDoS active
  • ☑ Mises à jour serveur automatiques

Côté WordPress

  • ☑ Mises à jour auto core + plugins + thème
  • ☑ 2FA sur tous les comptes admin
  • xmlrpc.php désactivé
  • ☑ Éditeur de fichiers désactivé
  • ☑ Préfixe de table BDD personnalisé
  • ☑ En-têtes de sécurité HTTP configurés
  • Audit SEO technique régulier incluant les aspects sécurité

Que faire en cas de site compromis

Si votre site est déjà infecté, agissez méthodiquement :

  1. Isolez : mettez le site en maintenance pour éviter la propagation
  2. Identifiez : scannez les fichiers modifiés récemment (find -mtime -7)
  3. Restaurez : utilisez une sauvegarde antérieure à l'infection
  4. Nettoyez : changez tous les mots de passe (BDD, FTP, admin WP, clés de salage)
  5. Durcissez : appliquez les mesures listées dans cet article
  6. Surveillez : vérifiez l'absence de fichiers résiduels et de backdoors pendant les semaines suivantes

Un hébergement avec sauvegardes quotidiennes et restauration en un clic réduit le temps de récupération de plusieurs heures à quelques minutes.

Sécurité et performance : deux faces d'une même pièce

Un site lent est souvent un site vulnérable. Les requêtes non optimisées surchargent le serveur, le rendant plus sensible aux attaques DDoS. Un cache serveur performant (comme Redis) réduit la charge sur PHP et MySQL, ce qui limite aussi la surface d'attaque.

La stack technique de SEOPress Host — OpenLiteSpeed, Redis object cache, CDN Cloudflare avec Brotli et conversion WebP automatique — atteint un TTFB inférieur à 200 ms tout en maintenant les couches de sécurité actives. Le tout hébergé en France chez OVH, conforme au RGPD, à partir de 14,90 €/mois.

À retenir : La sécurité d'un site WordPress est un système multicouche. L'hébergement en est la fondation — si elle est fragile, aucun plugin ne compensera. Choisissez un hébergement WordPress sécurisé qui intègre WAF, SSL, sauvegardes et mises à jour automatiques dès le départ.
Partager cet article