Checklist sécurité WordPress 2026 : 20 points essentiels

# Checklist sécurité WordPress 2026 : 20 points essentiels

Cette checklist vous guide pas à pas pour **sécuriser** votre site WordPress. Cochez chaque point au fur et à mesure pour une protection complète.

## Configuration de base

- [ ] **1. Mettre à jour WordPress** – Le core doit être à la dernière version pour bénéficier des correctifs de sécurité.

- [ ] **2. Mettre à jour les plugins** – Les plugins obsolètes sont la première cause de piratage. Supprimez ceux qui ne sont plus maintenus.

- [ ] **3. Mettre à jour les thèmes** – Les thèmes actifs et inactifs doivent être à jour. Supprimez les thèmes non utilisés.

- [ ] **4. Utiliser des mots de passe forts** – Minimum 12 caractères, avec majuscules, minuscules, chiffres et symboles. Utilisez un gestionnaire de mots de passe.

- [ ] **5. Changer le préfixe de la base de données** – Si votre table utilise encore `wp_`, envisagez de le modifier (à faire avec précaution, via migration).

## Authentification et accès

- [ ] **6. Activer la 2FA** – L’authentification à deux facteurs protège les comptes admin même en cas de mot de passe compromis.

- [ ] **7. Limiter les tentatives de connexion** – Un WAF ou un plugin limite le brute force sur wp-login.php.

- [ ] **8. Renommer ou protéger wp-login.php** – Réduit la surface d’attaque (optionnel, peut compliquer certaines intégrations).

- [ ] **9. Désactiver XML-RPC** – Si vous n’en avez pas besoin, désactivez-le pour éviter les abus.

- [ ] **10. Supprimer les comptes inutiles** – Chaque compte est une potentielle porte d’entrée. Gardez uniquement les utilisateurs actifs.

## Protection applicative

- [ ] **11. Installer un WAF** – Un pare-feu applicatif bloque les injections SQL, XSS et attaques par brute force.

- [ ] **12. Configurer un scan anti-malware** – Des scans réguliers détectent les malwares et backdoors.

- [ ] **13. Vérifier les permissions des fichiers** – 755 pour les dossiers, 644 pour les fichiers. `wp-config.php` ne doit pas être accessible publiquement.

- [ ] **14. Activer HTTPS** – Certificat SSL valide et redirection HTTP vers HTTPS.

- [ ] **15. Configurer les en-têtes de sécurité** – HSTS, X-Frame-Options, X-Content-Type-Options, CSP selon vos besoins.

## Sauvegardes et monitoring

- [ ] **16. Mettre en place des sauvegardes automatiques** – Quotidiennes minimum, stockées hors du serveur.

- [ ] **17. Tester la restauration** – Une sauvegarde inutilisable ne sert à rien. Vérifiez régulièrement que vous pouvez restaurer.

- [ ] **18. Activer le monitoring uptime** – Soyez alerté en cas de panne pour réagir rapidement.

- [ ] **19. Surveiller les vulnérabilités** – Utilisez un outil qui alerte quand un plugin ou thème installé est vulnérable.

- [ ] **20. Documenter et réviser** – Notez vos procédures de sécurité et révisez cette checklist au moins 2 fois par an.

## Résumé

Ces 20 points couvrent les **fondamentaux** de la sécurité WordPress : mises à jour, authentification, WAF, scans, sauvegardes et monitoring. En les appliquant, vous réduisez considérablement les risques.

**V-Shield** regroupe la plupart de ces protections : scan, WAF, nettoyage, sauvegardes, monitoring et score de sécurité. [Découvrez nos fonctionnalités](/features) et [consultez nos tarifs](/pricing) pour sécuriser votre site en quelques clics.