WordPress propulse plus de 43 % des sites web dans le monde. Cette popularité en fait la cible privilégiée des cybercriminels : en 2025, plus de 90 000 attaques par minute visaient des sites WordPress selon Wordfence. Connaître les failles les plus exploitées est la première étape pour protéger votre site d’entreprise.

1. Plugins non mis à jour : la porte d’entrée n°1

92 % des vulnérabilités WordPress proviennent des plugins. Les extensions populaires comme Contact Form 7, Elementor ou WooCommerce font l’objet de correctifs réguliers, mais trop d’administrateurs négligent les mises à jour. Un plugin obsolète est une invitation ouverte pour les attaquants. Règle d’or : activez les mises à jour automatiques pour les plugins de confiance et supprimez ceux que vous n’utilisez plus.

2. Attaques par force brute sur wp-login

Les bots tentent des milliers de combinaisons identifiant/mot de passe sur la page de connexion WordPress. Sans protection, un compte administrateur avec un mot de passe faible tombera en quelques heures. Installez un plugin de limitation de tentatives (Limit Login Attempts, Wordfence) et activez la double authentification 2FA.

3. Injection SQL via les formulaires

Les formulaires mal sécurisés permettent d’injecter du code SQL dans la base de données. Cette faille peut exposer vos données clients, commandes et informations confidentielles. Utilisez des requêtes préparées (prepared statements) et validez toujours les entrées utilisateur côté serveur.

4. Cross-Site Scripting (XSS)

Le XSS permet d’injecter du JavaScript malveillant dans vos pages. Les visiteurs voient alors des contenus altérés, ou pire, leurs données de session sont volées. Les thèmes et plugins qui n’échappent pas correctement les données affichées sont particulièrement vulnérables. Un pare-feu applicatif (WAF) bloque la majorité de ces attaques.

5. Fichier xmlrpc.php exposé

Le protocole XML-RPC, activé par défaut, permet des attaques par amplification et force brute. Si vous n’utilisez pas d’application mobile WordPress, désactivez-le complètement en ajoutant une règle dans votre .htaccess ou via un plugin de sécurité.

6. Thèmes piratés (nulled themes)

Les thèmes premium « gratuits » téléchargés sur des sites tiers contiennent presque systématiquement des backdoors. Ces portes dérobées donnent un accès total à votre serveur. N’installez jamais de thème provenant d’une source non officielle.

7. Mauvaise configuration des permissions fichiers

Des permissions trop permissives (777) sur les dossiers WordPress permettent à n’importe quel script de modifier vos fichiers. Les permissions recommandées : 755 pour les dossiers, 644 pour les fichiers, et 600 pour wp-config.php.

8. Absence de certificat SSL

Sans certificat SSL/TLS, les données transitent en clair entre le navigateur et votre serveur. Les identifiants de connexion, données de formulaire et informations de paiement sont interceptables. Google pénalise également les sites sans HTTPS dans ses résultats.

9. Énumération des utilisateurs

Par défaut, WordPress expose les noms d’utilisateur via l’API REST et les URL auteur (?author=1). Un attaquant peut ainsi récupérer les logins avant de lancer une attaque par force brute. Désactivez l’énumération utilisateur et utilisez un login différent de votre nom d’affichage.

10. Absence de sauvegardes régulières

Ce n’est pas une faille à proprement parler, mais l’absence de sauvegardes automatiques transforme toute compromission en catastrophe. Suivez la règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site.

Protéger votre WordPress avec Odyssix

Chez Odyssix, nous proposons un hébergement WordPress sécurisé avec pare-feu applicatif, mises à jour automatiques, surveillance 24/7 et sauvegardes quotidiennes. Nos experts audientent votre site et corrigent les vulnérabilités avant qu’elles ne soient exploitées. Contactez-nous pour un audit gratuit de sécurité WordPress.

Articles complémentaires

Questions fréquentes

Combien de temps faut-il pour sécuriser une PME ?

Un premier niveau de sécurité (antivirus pro, sauvegarde, double authentification) se met en place en 1 à 2 jours. Un plan de sécurité complet avec pare-feu, formation et monitoring prend 2 à 4 semaines. L’important est de commencer par les bases — elles bloquent déjà 80% des attaques courantes.
Odyssix intervient-il partout en France ?

Oui, nous intervenons sur l’ensemble du territoire français. La majorité de nos prestations (audit, monitoring, support, formation) se font à distance. Pour les interventions sur site (installation réseau, câblage, déploiement serveur), nous nous déplaçons chez vous.
Proposez-vous un audit de cybersécurité gratuit ?

Oui, nous proposons un premier diagnostic de sécurité gratuit et sans engagement. En moins de 48h, nous identifions vos points critiques et vous présentons un plan d’action chiffré. Contactez-nous au 04 28 29 09 45 ou via notre formulaire.
Questions fréquentes
3 questions

Les signes courants sont : redirections vers des sites suspects, pages modifiées, fichiers inconnus dans wp-content, alertes Google Search Console, et ralentissement inexpliqué. Utilisez un scanner comme Wordfence ou Sucuri pour vérifier.

Un audit de sécurité basique coûte entre 500 et 1 500 €. Un hébergement WordPress managé et sécurisé revient à 30-100 €/mois selon la taille du site, incluant mises à jour, sauvegardes et surveillance.

Oui, un plugin comme Wordfence, Sucuri ou iThemes Security est indispensable. Il ajoute un pare-feu, la détection de malwares, la limitation des tentatives de connexion et les alertes de sécurité en temps réel.

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter