97% des vulnérabilités WordPress proviennent des plugins et thèmes. Notre audit vérifie chaque extension installée contre la base Wordfence Intelligence — plus de 50 000 CVE référencées.
WordPress propulse 43% des sites web dans le monde. Cette popularité en fait la cible numéro un des attaquants, qui exploitent systématiquement les failles de son écosystème de plugins et thèmes.
29% des plugins populaires WordPress n'ont pas été mis à jour depuis plus de deux ans. Chaque plugin abandonné est une porte d'entrée potentielle pour les attaquants qui exploitent des vulnérabilités connues mais jamais corrigées. Un seul plugin obsolète suffit à compromettre l'intégralité de votre site.
Les thèmes et plugins piratés téléchargés depuis des sites tiers contiennent souvent des backdoors, des malwares et du code obfusqué. Ces versions « nulled » injectent des liens de spam SEO, redirigent vos visiteurs vers des sites malveillants ou permettent un accès distant à votre serveur.
Les fichiers wp-config.php, .htaccess, debug.log, readme.html et xmlrpc.php sont fréquemment accessibles publiquement par défaut. Ces fichiers révèlent des informations critiques : identifiants de base de données, clés secrètes, version exacte de WordPress et détails de configuration du serveur.
L'interface /wp-admin/, le protocole XML-RPC et l'API REST permettent d'énumérer les comptes utilisateurs et de lancer des attaques par force brute. Sans limitation du nombre de tentatives, un attaquant peut tester des milliers de mots de passe par minute sur votre page de connexion.
Notre audit WordPress combine trois moteurs d'analyse spécialisés pour couvrir l'intégralité de votre installation. Chaque composant est vérifié individuellement et croisé avec les bases de vulnérabilités les plus complètes du marché. Voici les huit points de contrôle systématiquement analysés lors de chaque audit.
Trois outils spécialisés travaillent en synergie pour analyser votre installation WordPress en profondeur. Chacun apporte une expertise complémentaire que les autres ne couvrent pas.
Le scanner WordPress le plus utilisé au monde. WPScan énumère exhaustivement vos plugins, thèmes et comptes utilisateurs. Il identifie les versions exactes installées et les compare à sa base de vulnérabilités. Nous l'exécutons avec l'option --random-user-agent pour contourner les blocages et garantir des résultats complets, même derrière un pare-feu applicatif.
La base de vulnérabilités WordPress la plus complète au monde avec plus de 50 000 CVE référencées. Chaque plugin et thème détecté par WPScan est automatiquement enrichi avec le score CVSS 3.1, l'identifiant CWE, le vecteur d'attaque et le statut du correctif. La base est mise à jour en temps réel par l'équipe de recherche Wordfence.
Notre module propriétaire vérifie chaque plugin et thème installé sur votre site contre le répertoire officiel wordpress.org. Si un plugin a été supprimé — souvent pour des raisons de sécurité comme une faille non corrigée ou du code malveillant — il est immédiatement signalé en priorité critique dans votre rapport d'audit.
Les résultats de ces trois outils sont automatiquement croisés avec Nuclei (plus de 15 000 templates CVE) et OWASP ZAP (scan d'application web complet) pour une couverture maximale. Cette approche multi-moteurs élimine les angles morts : ce qu'un scanner manque, un autre le détecte. Le rapport final est dédupliqué et enrichi avec les données de la base NVD du NIST pour fournir une vision consolidée et exploitable de la sécurité de votre WordPress.
Six mesures essentielles pour réduire significativement la surface d'attaque de votre site WordPress. Ces recommandations sont issues des référentiels OWASP et des guides de l'ANSSI. Pour approfondir, consultez la documentation sécurité officielle de WordPress et les analyses de vulnérabilités en temps réel de Wordfence Intelligence.
Appliquez les mises à jour du core WordPress, des plugins et des thèmes dès leur publication. Les mises à jour de sécurité corrigent des failles activement exploitées. Activez les mises à jour automatiques mineures pour ne rien manquer.
Désinstallez complètement les plugins et thèmes que vous n'utilisez plus, même s'ils sont désactivés. Leur code reste présent sur le serveur et peut être exploité. Chaque extension en moins est une surface d'attaque en moins.
Déployez un pare-feu applicatif web (Wordfence, Sucuri ou Cloudflare) pour filtrer le trafic malveillant avant qu'il n'atteigne votre site. Un pare-feu applicatif bloque les attaques courantes : injections SQL, XSS, brute-force et tentatives d'exploitation de CVE connues.
Si vous n'utilisez pas l'application mobile WordPress ni les services de pingback, désactivez XML-RPC. Ce protocole est régulièrement détourné pour des attaques par amplification (DDoS) et du brute-force massif sur vos identifiants.
Installez un mécanisme de limitation des tentatives de connexion (fail2ban côté serveur ou plugin Limit Login Attempts). Bloquez les adresses IP après 3 à 5 tentatives échouées. Ajoutez une authentification à deux facteurs (2FA) pour les comptes administrateurs.
Configurez des sauvegardes automatiques quotidiennes de vos fichiers et de votre base de données (UpdraftPlus, BlogVault ou solution serveur). Stockez les sauvegardes hors du serveur principal et testez régulièrement la procédure de restauration.
Ces bonnes pratiques réduisent considérablement les risques mais ne remplacent pas un audit régulier. Un plugin mis à jour peut toujours contenir une vulnérabilité non encore découverte — seul un scan automatisé vérifie chaque composant contre les bases CVE les plus récentes.