securiser les themes et plugins wordpress

Sécuriser les thèmes et plugins WordPress

Edaël Durant

Les thèmes et plugins sont ce qui rend WordPress aussi puissant et personnalisable. Mais ce sont aussi ses principales failles. En effet, près de 95 % des piratages WordPress proviennent de vulnérabilités dans des plugins ou des thèmes (rapport Sucuri).

Un plugin abandonné, un thème nullement mis à jour, ou pire encore téléchargé illégalement depuis une source non officielle, peut suffire à donner aux hackers un accès complet à votre site.

Dans ce guide, nous allons voir comment sécuriser les thèmes et plugins WordPress efficacement afin d’éviter que ce qui rend votre site plus performant ne devienne en réalité son talon d’Achille.

Pourquoi les thèmes et plugins représentent un risque majeur

Chaque thème et plugin installés sont une porte supplémentaire ouverte sur votre site. S’ils sont mal codés, vulnérables ou compromis, les pirates peuvent les utiliser pour injecter du code malveillant.

Quelques exemples concrets :

  • Le plugin Revolution Slider, très populaire, a longtemps été exploité par les hackers pour injecter du malware.
  • Des thèmes piratés proposés gratuitement sur des forums cachent souvent des backdoors permettant un accès total au site.
  • Les plugins abandonnés par leurs développeurs ne reçoivent plus de correctifs, mais continuent d’être utilisés.

Conclusion : chaque plugin ou thème installé doit être choisi et géré avec soin.

Étape 1 : Installer uniquement depuis des sources fiables

  • Privilégiez toujours le répertoire officiel WordPress.org.
  • Pour les plugins premium, achetez directement sur le site de l’éditeur ou sur une marketplace reconnue (ThemeForest, CodeCanyon, Elegant Themes).
  • Bannissez les “nulled plugins” ou thèmes crackés, même gratuits : ils contiennent presque toujours des malwares.

Étape 2 : Vérifier la réputation avant installation

Avant d’installer un plugin ou un thème, posez-vous ces questions :

  • Combien de téléchargements compte-t-il ?
  • Quelle est sa dernière mise à jour (évitez les projets abandonnés) ?
  • Les avis des utilisateurs sont-ils positifs ?
  • L’auteur est-il un développeur reconnu dans la communauté ?

Exemple : entre deux plugins similaires, choisissez toujours celui mis à jour récemment et avec un grand nombre d’installations actives.

Étape 3 : Maintenir les mises à jour régulières

Les mises à jour ne servent pas qu’à ajouter des fonctionnalités : elles corrigent aussi des failles critiques.

  • Activez les mises à jour automatiques si possible.
  • Connectez-vous chaque semaine pour vérifier les mises à jour manuelles disponibles.
  • Supprimez immédiatement tout plugin ou thème obsolète.

Étape 4 : Supprimer ce que vous n’utilisez pas

Chaque plugin ou thème inutilisé reste un risque latent.

  • Supprimez plutôt que désactivez : un plugin wordpress désactivé reste dans vos fichiers et peut être exploité.
  • Limitez-vous aux plugins indispensables. Un site avec 10 plugins bien gérés sera toujours plus sécurisé qu’un site avec 40 plugins mal entretenus.

À lire aussi : Les 13 erreurs à éviter sur un site internet.

Étape 5 : Sécuriser les thèmes enfants et personnalisations

Beaucoup d’utilisateurs modifient directement le code d’un thème wordpress, ce qui peut casser les futures mises à jour.

  • Utilisez toujours un thème enfant pour vos personnalisations.
  • Testez les modifications sur un site de staging avant de les déployer en production.
  • Conservez une sauvegarde du thème WordPress avant toute mise à jour.

Étape 6 : Scanner vos thèmes et plugins Wodpress régulièrement

Même si vous êtes vigilant, un plugin wordpress peut toujours contenir une faille non détectée.

  • Installez un plugin wordpress de sécurité comme Wordfence ou Sucuri pour scanner vos fichiers.
  • Analysez les signatures de fichiers et comparez-les avec la version officielle.
  • Supprimez immédiatement tout fichier inconnu ajouté dans vos répertoires.

Étape 7 : Protéger wp-content et wp-config

Les répertoires qui contiennent vos thèmes et plugins WordPress (wp-content) doivent être protégés.

  • Limitez les permissions d’écriture sur le serveur.
  • Désactivez l’édition des fichiers dans le tableau de bord WordPress avec :
    define('DISALLOW_FILE_EDIT', true);
  • Vérifiez régulièrement votre fichier wp-config.php pour détecter des lignes suspectes.

Étape 8 : Choisir la qualité plutôt que la quantité

La tentation est grande d’installer des dizaines de plugins WordPress “parce que c’est gratuit”. Pourtant, chaque ajout multiplie vos risques.

  • Analysez la réelle utilité d’un plugin avant installation.
  • Préférez un plugin wordpress qui regroupe plusieurs fonctions de sécurité plutôt que d’installer 5 extensions différentes.
  • Faites régulièrement le tri pour garder un site léger et sécurisé.

Les plugins pour mieux gérer vos extensions et thèmes

Voici quelques outils pratiques pour gérer vos installations en toute sécurité :

  • Plugin Organizer : permet de contrôler où et quand chaque plugin se charge.
  • WP Rollback : revenir facilement à une version antérieure d’un plugin ou thème en cas de bug.
  • Theme Check : vérifie si un thème respecte les bonnes pratiques de WordPress.

Conclusion

Les thèmes et plugins WordPress sont à la fois la grande force et la principale faiblesse de WordPress. Mal gérés, ils ouvrent la porte aux hackers. Bien choisis, régulièrement mis à jour et surveillés, ils deviennent de précieux alliés pour votre site.

FAQ : Sécuriser les thèmes et plugins WordPress

Est-ce dangereux d’utiliser un thème gratuit ?
Non, à condition qu’il provienne du répertoire officiel WordPress et qu’il soit maintenu régulièrement.

Que faire si un plugin n’est plus mis à jour par son développeur ?
Il est préférable de le remplacer par une alternative plus récente pour éviter des failles de sécurité.

Les plugins “nulled” gratuits sont-ils vraiment risqués ?
Oui. Ils contiennent presque toujours des backdoors ou du code malveillant qui compromettent votre site.

Combien de plugins peut-on installer sans risque ?
Il n’y a pas de limite fixe. L’important est de n’installer que des plugins utiles, fiables et maintenus.

Lire aussi.