Les 7 réglages que je fais sur chaque WordPress avant la mise en ligne
Il y a quelques semaines, un client d'Annecy m'a appelé en panique : sa vitrine affichait des liens vers des pharmacies en ligne douteuses. Le site avait été mis en ligne à la va-vite deux ans plus tôt, avec un compte « admin », un mot de passe faible et aucune sauvegarde. Bilan : trois soirées de nettoyage et une réputation à recoller. Sécuriser un site WordPress ne demande pourtant pas des compétences d'expert : une heure de réglages sérieux avant la mise en ligne évite l'essentiel des problèmes. Voici les sept réglages que j'applique systématiquement sur chaque site que je livre, vitrine ou boutique.
1. Un compte administrateur qui ne s'appelle pas « admin »
Les robots qui attaquent les sites WordPress testent en boucle les identifiants « admin », « administrator » et le nom de domaine. Si votre identifiant est l'un des trois, la moitié du travail du pirate est déjà faite.
Ma routine :
- je crée un compte administrateur avec un identifiant non devinable — ni le prénom du client, ni le nom du site ;
- mot de passe généré de 20 caractères, rangé dans un gestionnaire de mots de passe ;
- je supprime le compte « admin » créé par défaut par certains installateurs d'hébergeurs ;
- j'installe une extension qui limite les tentatives de connexion (Limit Login Attempts Reloaded, gratuite) : trois essais, puis blocage de l'adresse IP.
C'est la même logique que celle que je détaillais dans mon article sur la transition vers le télétravail : le maillon faible, c'est presque toujours le mot de passe.
2. Le grand ménage dans les extensions et les thèmes
Chaque extension installée est une porte potentielle. La grande majorité des piratages WordPress passent par une extension obsolète, pas par le cœur du CMS.
Avant la mise en ligne, je supprime — pas seulement désactive — tout ce qui ne sert pas : les thèmes par défaut sauf un (gardé comme roue de secours), Hello Dolly, les extensions testées puis abandonnées pendant le développement. Un site vitrine bien construit tourne avec 8 à 12 extensions, rarement plus.
J'active aussi les mises à jour automatiques pour les versions mineures de WordPress. Pour les extensions, je préfère les passer à la main une fois par mois : une mise à jour peut casser une mise en page, autant être devant l'écran quand ça arrive.
Au passage : j'ai déjà vu des WordPress transformés en intranet à coups d'extensions empilées. Mauvaise idée. Pour partager des documents en interne, une plateforme collaborative comme SharePoint fait le travail proprement. Chaque outil a son rôle.
3. Le HTTPS partout, dès le premier jour
En 2023, il n'y a plus d'excuse : un certificat SSL Let's Encrypt est gratuit et inclus chez tous les hébergeurs sérieux. Pourtant, je récupère encore des sites qui affichent « non sécurisé » dans la barre du navigateur.
Trois vérifications :
- le certificat est actif et se renouvelle automatiquement ;
- tout le trafic HTTP est redirigé en 301 vers HTTPS, via le fichier .htaccess ou le réglage de l'hébergeur ;
- aucun contenu mixte : une seule image appelée en http:// suffit à casser le cadenas. L'extension Better Search Replace corrige ça en deux minutes dans la base de données.
4. Des sauvegardes automatiques, stockées ailleurs
La sauvegarde, c'est le réglage qui transforme un piratage en mauvaise soirée plutôt qu'en catastrophe. Mon montage est simple : UpdraftPlus en version gratuite, avec envoi automatique vers un stockage externe (Google Drive ou Dropbox). Jamais uniquement sur le serveur : si l'hébergement tombe ou si le pirate efface tout, une sauvegarde locale ne sert à rien.
Ma fréquence type :
- site vitrine : base de données chaque semaine, fichiers chaque mois ;
- boutique en ligne : base de données chaque jour (les commandes y vivent), fichiers chaque semaine.
Et surtout, je teste une restauration au moins une fois avant de livrer. Une sauvegarde jamais restaurée est une hypothèse, pas une assurance.
5. Les permaliens et la fameuse case d'indexation
Deux réglages dans l'administration, dix secondes chacun, et pourtant je les retrouve mal faits sur un site sur deux.
D'abord, les permaliens : dans Réglages puis Permaliens, je choisis « Titre de la publication ». Une URL du type /nos-services/ est lisible pour un humain comme pour Google ; une URL en ?p=123 ne l'est pour personne.
Ensuite, la case « Demander aux moteurs de recherche de ne pas indexer ce site », dans Réglages puis Lecture. On la coche pendant le développement, c'est normal. On oublie de la décocher à la mise en ligne, c'est classique — et le site reste invisible sur Google pendant des semaines sans que personne ne comprenne pourquoi. Je vérifie, je décoche, puis je déclare le site dans Google Search Console.
6. Sécuriser un site WordPress en profondeur : trois lignes dans wp-config
Le fichier wp-config.php se trouve à la racine du site. Trois ajouts y font beaucoup pour la sécurité :
- define('DISALLOW_FILE_EDIT', true); désactive l'éditeur de fichiers intégré à l'administration. Sans ça, un pirate qui vole un mot de passe peut modifier le code du thème directement depuis le navigateur ;
- des clés de sécurité uniques (les huit lignes AUTH_KEY et compagnie), régénérées avec le générateur officiel de WordPress si le site a traîné longtemps en développement ;
- un préfixe de tables personnalisé choisi à l'installation (wpx4_ plutôt que wp_), qui complique les injections SQL automatisées.
Je coupe aussi le fichier xmlrpc.php quand rien ne l'utilise : c'est une porte d'entrée historique très appréciée des robots. Enfin, j'installe Wordfence en version gratuite. Son pare-feu et son scan de fichiers suffisent largement pour un site vitrine ou une petite boutique ; la version payante est rarement nécessaire à cette échelle.
7. Le cache et les images, pour un site qui tient la charge
Ce n'est pas de la sécurité au sens strict, mais un site lent est un site qu'on abandonne — et Google en tient compte. Deux chantiers avant la mise en ligne :
- le cache : LiteSpeed Cache, gratuit, si l'hébergeur tourne sous LiteSpeed ; sinon WP Rocket, environ 55 € par an pour un site. Résultat courant : un temps de chargement divisé par deux ou trois ;
- les images : compression et conversion en WebP avec Imagify ou ShortPixel. Les photos de chalets et de lac que m'envoient mes clients sortent de l'appareil à 8 Mo pièce ; sur le site, elles doivent peser moins de 200 Ko.
Je valide ensuite avec PageSpeed Insights et GTmetrix. Objectif réaliste sur un hébergement mutualisé à 5 € par mois : page d'accueil chargée en moins de 2 secondes.
Pour finir, un récapitulatif de ce que ces réglages représentent en temps et en argent :
| Réglage | Temps | Coût |
|---|---|---|
| Compte admin et limitation des connexions | 15 min | 0 € |
| Ménage extensions et thèmes | 15 min | 0 € |
| HTTPS et redirections | 20 min | 0 € (Let's Encrypt) |
| Sauvegardes externalisées | 30 min | 0 € |
| Permaliens, indexation, Search Console | 15 min | 0 € |
| wp-config et Wordfence | 30 min | 0 € |
| Cache et images | 1 h | 0 à 55 € par an |
Questions fréquentes
Un plugin de sécurité suffit-il à protéger mon site WordPress ?
Non. Wordfence ou un équivalent est utile, mais il ne compense ni un mot de passe faible, ni des extensions jamais mises à jour, ni l'absence de sauvegarde. La sécurité, c'est l'addition des sept réglages ci-dessus, pas un plugin miracle.
Combien coûte la sécurisation d'un site WordPress ?
Presque rien en argent : tous les outils cités existent en version gratuite, seul le cache premium est payant, et encore, c'est optionnel. Le vrai coût, c'est deux à trois heures de travail soigné. À comparer avec un nettoyage après piratage : comptez 300 à 800 € chez un prestataire, plus les jours d'interruption du site.
Et après la mise en ligne, il n'y a plus rien à faire ?
Si : les mises à jour. Une fois par mois minimum, WordPress, thème et extensions, avec une sauvegarde juste avant. C'est vingt minutes. Un site à jour, avec des sauvegardes externalisées, traverse les années sans drame.
Vous mettez un site en ligne prochainement, ou vous avez un doute sur les réglages du vôtre ? Écrivez-moi, je jette un œil et je vous dis franchement où vous en êtes.