WordPress propulse 43% de l’ensemble des sites web dans le monde (W3Techs, 2024). Cette domination en fait la cible de choix pour les attaquants automatisés – pas parce que WordPress est intrinsèquement peu sûr, mais parce que l’échelle justifie l’investissement en outils d’attaque.

Wordfence, le principal plugin de sécurité WordPress, publie chaque année un rapport sur les menaces. Les données 2024 sont instructives.

D’où viennent les attaques

Selon le rapport Wordfence 2024, les vecteurs d’attaque les plus fréquents sur WordPress sont :

  • Plugins vulnérables : 55,9% des compromissions
  • Thèmes vulnérables : 14,3%
  • Core WordPress : 4,3%
  • Credentials faibles ou volés : 25,5%

Le core WordPress est en réalité assez bien maintenu par l’équipe Automattic. Le vrai problème, c’est l’écosystème : des milliers de plugins développés par des tiers, avec des niveaux de maintenance très variables. Un plugin abandonné depuis 18 mois représente une porte ouverte.

Les attaques les plus courantes

La force brute sur wp-admin. Des bots testent des millions de combinaisons login/mot de passe par jour. Un site WordPress standard sans protection reçoit en moyenne 50 à 100 tentatives de connexion automatisées par heure selon Sucuri. Un mot de passe faible ou un nom d’utilisateur « admin » sont des invitations.

L’injection SQL et le XSS. Les deux principales classes de vulnérabilités dans les plugins. Elles permettent respectivement d’extraire la base de données ou d’injecter du code malveillant dans les pages. La CVE database recense plusieurs centaines de nouvelles vulnérabilités WordPress par an.

Le détournement de ressources. Les sites compromis sont souvent utilisés pour du minage de cryptomonnaie, l’envoi de spam ou des attaques DDoS – sans que le propriétaire s’en rende compte pendant des semaines ou des mois.

Les mesures de base que j’applique sur tout site

Aucune de ces mesures n’est complexe. Ensemble, elles éliminent la grande majorité des risques :

  • Changer l’URL de connexion – wp-admin est connu de tous les bots. La déplacer vers une URL aléatoire réduit les tentatives de force brute de 99%
  • Authentification à deux facteurs sur tous les comptes administrateurs
  • Limiter les tentatives de connexion – bloquer automatiquement une IP après 5 échecs
  • Désactiver l’édition de fichiers depuis le back-office (define DISALLOW_FILE_EDIT)
  • Supprimer les plugins inactifs – un plugin désactivé mais installé reste une surface d’attaque
  • Mettre à jour immédiatement – 90% des sites compromis utilisaient une version vulnérable connue au moment de l’attaque (Sucuri, 2024)
  • Sauvegardes externes quotidiennes – séparées de l’hébergeur, pour pouvoir restaurer indépendamment d’une compromission totale

Ce que je vérifie en premier sur un site client

Quand je prends en main un site existant, je commence par un scan Wordfence et un audit Sucuri SiteCheck. En dix minutes, j’ai une image claire des vulnérabilités ouvertes. Sur les sites non maintenus depuis plus d’un an, il y a presque toujours quelque chose – et parfois beaucoup.

La sécurité n’est pas un projet ponctuel. C’est une pratique continue. C’est la raison pour laquelle je l’intègre dans toutes mes missions de maintenance.