← Tous les articles

Les 7 réglages que je fais sur chaque WordPress avant la mise en ligne

Il y a quelques semaines, un client d'Annecy m'a appelé en panique : sa vitrine affichait des liens vers des pharmacies en ligne douteuses. Le site avait été mis en ligne à la va-vite deux ans plus tôt, avec un compte « admin », un mot de passe faible et aucune sauvegarde. Bilan : trois soirées de nettoyage et une réputation à recoller. Sécuriser un site WordPress ne demande pourtant pas des compétences d'expert : une heure de réglages sérieux avant la mise en ligne évite l'essentiel des problèmes. Voici les sept réglages que j'applique systématiquement sur chaque site que je livre, vitrine ou boutique.

1. Un compte administrateur qui ne s'appelle pas « admin »

Les robots qui attaquent les sites WordPress testent en boucle les identifiants « admin », « administrator » et le nom de domaine. Si votre identifiant est l'un des trois, la moitié du travail du pirate est déjà faite.

Ma routine :

C'est la même logique que celle que je détaillais dans mon article sur la transition vers le télétravail : le maillon faible, c'est presque toujours le mot de passe.

2. Le grand ménage dans les extensions et les thèmes

Chaque extension installée est une porte potentielle. La grande majorité des piratages WordPress passent par une extension obsolète, pas par le cœur du CMS.

Avant la mise en ligne, je supprime — pas seulement désactive — tout ce qui ne sert pas : les thèmes par défaut sauf un (gardé comme roue de secours), Hello Dolly, les extensions testées puis abandonnées pendant le développement. Un site vitrine bien construit tourne avec 8 à 12 extensions, rarement plus.

J'active aussi les mises à jour automatiques pour les versions mineures de WordPress. Pour les extensions, je préfère les passer à la main une fois par mois : une mise à jour peut casser une mise en page, autant être devant l'écran quand ça arrive.

Au passage : j'ai déjà vu des WordPress transformés en intranet à coups d'extensions empilées. Mauvaise idée. Pour partager des documents en interne, une plateforme collaborative comme SharePoint fait le travail proprement. Chaque outil a son rôle.

3. Le HTTPS partout, dès le premier jour

En 2023, il n'y a plus d'excuse : un certificat SSL Let's Encrypt est gratuit et inclus chez tous les hébergeurs sérieux. Pourtant, je récupère encore des sites qui affichent « non sécurisé » dans la barre du navigateur.

Trois vérifications :

  1. le certificat est actif et se renouvelle automatiquement ;
  2. tout le trafic HTTP est redirigé en 301 vers HTTPS, via le fichier .htaccess ou le réglage de l'hébergeur ;
  3. aucun contenu mixte : une seule image appelée en http:// suffit à casser le cadenas. L'extension Better Search Replace corrige ça en deux minutes dans la base de données.

4. Des sauvegardes automatiques, stockées ailleurs

La sauvegarde, c'est le réglage qui transforme un piratage en mauvaise soirée plutôt qu'en catastrophe. Mon montage est simple : UpdraftPlus en version gratuite, avec envoi automatique vers un stockage externe (Google Drive ou Dropbox). Jamais uniquement sur le serveur : si l'hébergement tombe ou si le pirate efface tout, une sauvegarde locale ne sert à rien.

Ma fréquence type :

Et surtout, je teste une restauration au moins une fois avant de livrer. Une sauvegarde jamais restaurée est une hypothèse, pas une assurance.

5. Les permaliens et la fameuse case d'indexation

Deux réglages dans l'administration, dix secondes chacun, et pourtant je les retrouve mal faits sur un site sur deux.

D'abord, les permaliens : dans Réglages puis Permaliens, je choisis « Titre de la publication ». Une URL du type /nos-services/ est lisible pour un humain comme pour Google ; une URL en ?p=123 ne l'est pour personne.

Ensuite, la case « Demander aux moteurs de recherche de ne pas indexer ce site », dans Réglages puis Lecture. On la coche pendant le développement, c'est normal. On oublie de la décocher à la mise en ligne, c'est classique — et le site reste invisible sur Google pendant des semaines sans que personne ne comprenne pourquoi. Je vérifie, je décoche, puis je déclare le site dans Google Search Console.

6. Sécuriser un site WordPress en profondeur : trois lignes dans wp-config

Le fichier wp-config.php se trouve à la racine du site. Trois ajouts y font beaucoup pour la sécurité :

Je coupe aussi le fichier xmlrpc.php quand rien ne l'utilise : c'est une porte d'entrée historique très appréciée des robots. Enfin, j'installe Wordfence en version gratuite. Son pare-feu et son scan de fichiers suffisent largement pour un site vitrine ou une petite boutique ; la version payante est rarement nécessaire à cette échelle.

7. Le cache et les images, pour un site qui tient la charge

Ce n'est pas de la sécurité au sens strict, mais un site lent est un site qu'on abandonne — et Google en tient compte. Deux chantiers avant la mise en ligne :

Je valide ensuite avec PageSpeed Insights et GTmetrix. Objectif réaliste sur un hébergement mutualisé à 5 € par mois : page d'accueil chargée en moins de 2 secondes.

Pour finir, un récapitulatif de ce que ces réglages représentent en temps et en argent :

RéglageTempsCoût
Compte admin et limitation des connexions15 min0 €
Ménage extensions et thèmes15 min0 €
HTTPS et redirections20 min0 € (Let's Encrypt)
Sauvegardes externalisées30 min0 €
Permaliens, indexation, Search Console15 min0 €
wp-config et Wordfence30 min0 €
Cache et images1 h0 à 55 € par an

Questions fréquentes

Un plugin de sécurité suffit-il à protéger mon site WordPress ?

Non. Wordfence ou un équivalent est utile, mais il ne compense ni un mot de passe faible, ni des extensions jamais mises à jour, ni l'absence de sauvegarde. La sécurité, c'est l'addition des sept réglages ci-dessus, pas un plugin miracle.

Combien coûte la sécurisation d'un site WordPress ?

Presque rien en argent : tous les outils cités existent en version gratuite, seul le cache premium est payant, et encore, c'est optionnel. Le vrai coût, c'est deux à trois heures de travail soigné. À comparer avec un nettoyage après piratage : comptez 300 à 800 € chez un prestataire, plus les jours d'interruption du site.

Et après la mise en ligne, il n'y a plus rien à faire ?

Si : les mises à jour. Une fois par mois minimum, WordPress, thème et extensions, avec une sauvegarde juste avant. C'est vingt minutes. Un site à jour, avec des sauvegardes externalisées, traverse les années sans drame.

Vous mettez un site en ligne prochainement, ou vous avez un doute sur les réglages du vôtre ? Écrivez-moi, je jette un œil et je vous dis franchement où vous en êtes.