La sécurité WordPress n'est pas une option, c'est une obligation. Chaque mois, je dépanne plusieurs sites compromis qui auraient pu éviter le pire avec quelques mesures de base.
1. Authentification renforcée
Activez l'authentification à deux facteurs (2FA). Limitez les tentatives de connexion (Wordfence, Limit Login Attempts). Bannissez les IP suspectes.
2. Hardening des fichiers
Désactivez l'édition de fichiers via wp-admin (DISALLOW_FILE_EDIT). Protégez wp-config.php avec un .htaccess. Permissions 755/644.
3. Mises à jour
Activez les mises à jour mineures automatiques. Auditez vos plugins tous les mois. Supprimez les inactifs.
4. WAF & monitoring
Cloudflare gratuit en frontal. Wordfence ou Sucuri pour le scan antimalware. Notifications par email en cas d'anomalie.
5. Sauvegardes
Sauvegardes externes (UpdraftPlus + Google Drive) au moins quotidiennes. Tests de restauration trimestriels.