Aller au contenu principal
Agence CosmosLancer une mission

Académie

Sécurité WordPress : MAJ et rôles

Sécurisez WordPress en prod : MAJ contrôlées, rôles, 2FA et durcissement serveur. Checklist agence pour sites B2B exposés, sans compromis sur la maintenance.

Intermédiaire · 4 min

SécuritéWordPress

Prérequis

  • Accès admin WordPress et SSH ou FTP pour fichiers de config
  • Environnement staging pour tester les MAJ
  • Inventaire plugins/thème avec versions et licences
  • 30 minutes pour audit initial rôles et politique de mots de passe

Un WordPress non maintenu est une cible privilégiée : plugins obsolètes, comptes admin partagés, configuration exposée. La sécurité agence combine MAJ cadencées, moindre privilège sur les rôles et durcissement serveur. Vous allez structurer une politique de maintenance, des rôles adaptés au client et des garde-fous avant mise en production.

Cadrage : surface d’attaque et responsabilités

Listez les vecteurs : connexion wp-admin, XML-RPC, uploads, plugins tiers, sauvegardes non chiffrées. Le contrat maintenance précise qui applique les MAJ et sous quel délai.

Classez les plugins : critique (formulaires, SEO), standard, expérimental. Moins de plugins actifs réduit la surface d’attaque.

Vérifiez que wp-config.php, .env et sauvegardes ne sont pas versionnés dans un dépôt public.

Politique de mises à jour

Automatisez les correctifs de sécurité mineurs si l’hébergeur le permet ; gardez les MAJ majeures core et plugins pour une fenêtre staging testée.

Avant chaque vague de MAJ : sauvegarde complète fichiers + base, test smoke (accueil, formulaire, login admin).

Tenez un changelog client mensuel : versions appliquées, anomalies, actions correctives.

Rôles, accès et durcissement

Attribuez le rôle Éditeur aux rédacteurs client ; réservez Administrateur à l’équipe agence. Utilisez un plugin de rôles custom si des permissions fines sont nécessaires (CPT uniquement).

Activez la double authentification pour tout compte pouvant modifier des extensions ou des utilisateurs. Limitez les tentatives de connexion (rate limit).

Durcissez : DISALLOW_FILE_EDIT, clés salts uniques, permissions fichiers 644/755, désactivation xmlrpc.php si inutilisé .

Erreurs fréquentes

Compte admin partagé par email entre cinq personnes : aucune traçabilité en cas d’incident.

MAJ directe en prod un vendredi soir sans sauvegarde.

Client Administrateur qui installe des plugins non validés.

Sauvegardes stockées sur le même serveur sans copie externe.

Mot de passe faible sur compte à privilèges élevés malgré la 2FA désactivée.

Ce qu’il faut retenir

Staging mensuel pour MAJ ; sauvegarde avant chaque intervention prod.

Moindre privilège : Éditeur client, Administrateur agence, comptes nominatifs et 2FA.

Durcissement wp-config et serveur documenté dans le runbook.

Inventaire plugins tenu à jour ; désinstaller l’inutilisé plutôt que le laisser inactif.

FAQ

Les correctifs de sécurité mineurs peuvent être automatiques. Les MAJ majeures core et plugins sensibles passent par staging et validation fonctionnelle.

Compte technique agence en Administrateur, révoqué ou rétrogradé à la fin du contrat. Prévoyez une clause de reprise d’accès dans le contrat maintenance.

Non si le durcissement serveur, les MAJ et la 2FA sont en place. Utile sur sites très exposés ; évitez la redondance avec l’hébergeur.

Ces tutoriels pourraient vous intéresser

Travailler avec Agence Cosmos

Besoin d’aller plus loin qu’un tutoriel ? Nous cadrons, concevons et livrons des sites et produits digitaux mesurables.

Cadrer un projetDemander un audit

Contact

Parlons d’une mission utile, réaliste et mesurable.

À partir du brief, vous recevez une proposition structurée : objectifs, périmètre, livrables, planning, risques et hypothèses. Nous priorisons la clarté dans les choix et la mise en production.

Je décris mon projetConsulter la méthode

Vous préférez un message court ? utilisez le formulaire sur la page contact.

Étapes clés - projet web

  1. 01Brief & cadrage
  2. 02UX, UI & contenus
  3. 03Développement & intégration
  4. 04Recette, performance & qualité
  5. 05Mise en ligne & transfert

Ce que vous obtenez

  • Décision en confianceAvant d’engager quoi que ce soit, vous recevez une proposition claire : périmètre, jalons, livrables, priorités, et ce qui reste de votre côté (contenu, validations, outils).
  • Engagements concrets, phase par phaseObjectifs, points de vigilance et critères de validation sont posés dès le départ, pour éviter les zones floues.
  • Un démarrage simpleBrief guidé en quelques minutes ou message libre sur la page contact : vous gardez la main sur le format.

Ressources

Cosmos Académie

Notre agence met à disposition des ressources pour vous aider à monter en compétence sur vos outils favoris, quel que soit votre niveau.

Accéder à l’Académie
Agence Cosmos

Studio web à Bordeaux : design produit, développement sur mesure et IA utile pour des missions claires et mesurables.

Bordeaux, Nouvelle-Aquitaine, France

contact@agence-cosmos.fr

Certifications

Navigation

Expertises

Légal & confiance

© 2024 - 2026 Agence Cosmos. Tous droits réservés - orbite en maintenance continue.