Sécurité WordPress : ce qu’il faut retenir en 2025

WordPress alimente plus de 40 % des sites web dans le monde. Sa popularité en fait une cible privilégiée pour les tentatives de piratage. Chaque année, de nouveaux chiffres viennent illustrer l’évolution de ces menaces, avec leur lot de statistiques impressionnantes et d’idées reçues. Le rapport sécurité 2025 publié par Patchstack en est un bon exemple.

Dans cet article, je vous résume les points clés de ce rapport, je vous explique ma méthode de travail en matière de sécurité WordPress, et surtout, je vous aide à prendre du recul : faut-il vraiment avoir peur de WordPress ? Quels sont les vrais risques ? Et comment protéger efficacement un site sans sombrer dans la parano ou tout miser sur des plugins miracles ?

Les chiffres clés à connaître en 2025

Chaque année, Patchstack publie un rapport de référence sur la sécurité de l’écosystème WordPress, basé sur les données récoltées via sa plateforme de monitoring et son programme de bug bounty. Spécialisée dans la protection des sites WordPress, cette entreprise suit de près les vulnérabilités déclarées dans les plugins, les thèmes et le cœur du CMS. Son réseau de chercheurs en sécurité lui permet de détecter des failles avant qu’elles ne soient massivement exploitées, et de fournir des statistiques fiables sur les menaces les plus fréquentes.

Et l’édition 2025, fondée sur les données de l’année 2024, est sans détour : le nombre de failles continue d’augmenter, mais cela ne veut pas dire que WordPress est devenu incontrôlable. Comprendre où sont les risques, comment ils apparaissent et comment les éviter, c’est déjà avoir une longueur d’avance.

Une hausse constante des vulnérabilités… à relativiser

En 2024, plus de 7 900 failles de sécurité ont été identifiées dans l’écosystème WordPress. Cela représente environ 22 nouvelles vulnérabilités découvertes chaque jour, soit 34 % de plus qu’en 2023.

Dit comme ça, c’est impressionnant. Mais cette hausse ne veut pas dire que WordPress devient plus dangereux. Elle reflète surtout un écosystème en pleine expansion. Chaque année, des milliers de nouveaux plugins voient le jour, souvent créés par des développeurs indépendants, parfois avec peu d’expérience en sécurité. Résultat : plus de code, plus de fonctionnalités… mais aussi plus de surface d’attaque.

Autre facteur : la montée en puissance des outils d’analyse de vulnérabilités, parfois dopés à l’IA. Ces outils détectent plus vite et plus largement les failles, même mineures. En clair, on trouve plus de failles parce qu’on cherche mieux – et c’est plutôt une bonne nouvelle pour les utilisateurs.

Enfin, les chiffres incluent aussi de nombreux cas déjà corrigés au moment de leur publication. Une faille déclarée, ce n’est pas forcément un risque actif. Ce qui compte, c’est la rapidité de correction et la capacité à maintenir son site à jour.

D’où viennent vraiment les failles ?

96 % des failles détectées en 2024 viennent des extensions (plugins). Seulement 4 % concernent les thèmes, et 0,001 % touchent le cœur de WordPress.

Autrement dit : le cœur de WordPress est solide. Il est développé et audité par une communauté active, encadrée par la fondation WordPress. Les mises à jour de sécurité y sont rapides, fiables, et bien diffusées.

Le vrai problème, ce sont les ajouts. Les plugins étendent les fonctionnalités de WordPress, mais ils sont aussi le maillon faible. Pourquoi ?

• Trop de plugins mal conçus : certains sont développés rapidement, sans vraie rigueur de sécurité.
• Beaucoup sont abandonnés : des milliers d’extensions ne sont plus maintenues, mais restent actives sur des sites.
• Popularité ≠ fiabilité : certains plugins très utilisés sont aussi parmi les plus vulnérables, parce qu’ils attirent l’attention des attaquants.
• Choix mal informés : beaucoup de sites empilent les plugins sans vérifier leur utilité ou leur état de maintenance.

Installer un plugin, c’est comme ajouter une porte à votre maison. Plus vous en avez, plus vous multipliez les points d’entrée. Et si ces portes sont mal verrouillées, les problèmes arrivent vite.

Moralité : ce n’est pas WordPress qui est risqué, c’est ce qu’on en fait.

Un plugin populaire n’est pas à l’abri d’une faille

En 2024, plusieurs plugins très utilisés ont été concernés par des vulnérabilités : LiteSpeed Cache, Really Simple SSL, WPvivid, The Events Calendar, entre autres.

Ça ne veut pas dire qu’ils sont mal conçus ou peu fiables — une faille peut exister même dans un plugin maintenu et robuste. Ce qui change, c’est l’impact potentiel : plus un plugin est installé, plus il attire l’attention des attaquants, et plus une faille isolée peut avoir de conséquences.

Autrement dit : la popularité ne protège pas, elle expose.

Pour limiter les risques, la sélection des plugins doit être réfléchie :

• Éviter les extensions superflues. Chaque ajout augmente la surface d’attaque.
• Choisir des plugins actifs, avec un historique de mises à jour régulier et une équipe de développement identifiable.
• Surveiller l’actualité sécurité : un plugin peut être temporairement vulnérable, mais un suivi rigoureux permet de réagir rapidement.

Et surtout : installer ne veut pas dire oublier. Un plugin fiable aujourd’hui peut rencontrer un problème demain. C’est l’entretien du site qui fait la différence, pas la checklist initiale.

Des correctifs qui n’arrivent pas toujours à temps

En 2024, plus de la moitié des failles de sécurité signalées dans des extensions WordPress n’étaient pas corrigées au moment de leur divulgation publique. Un chiffre préoccupant — mais qu’il faut comprendre dans son contexte.

Comment une faille est détectée et signalée

La majorité des failles sont découvertes par :

• Des chercheurs en cybersécurité indépendants.
• Des équipes spécialisées, comme celles de Patchstack ou de plugins de sécurité.
• Parfois même des pirates, qui publient les vulnérabilités une fois qu’ils les ont exploitées.

Quand une faille est détectée, le processus standard est le suivant :

• Signalement privé à l’éditeur du plugin (responsible disclosure).
• Délai de correction laissé à l’éditeur (généralement 14 à 30 jours).

• Publication publique de la faille, qu’un correctif soit disponible ou non.

Ce fonctionnement est transparent et vise à informer rapidement la communauté, tout en laissant à l’éditeur un temps raisonnable pour réagir.

Pourquoi les correctifs peuvent tarder

Si la faille reste non corrigée après ce délai, elle devient publique… et donc potentiellement exploitable par n’importe qui. Et les raisons de ce retard peuvent être nombreuses :

• Plugin abandonné, sans équipe active derrière.
• Auteur seul ou peu réactif, qui ne mesure pas la gravité de la faille.
• Problèmes techniques complexes, qui demandent plus de temps pour corriger sans tout casser.

Dans certains cas, l’éditeur ne répond tout simplement pas, et la faille reste ouverte.

Ce que ça change pour un site WordPress

C’est là que le choix des extensions devient stratégique. Un plugin bien maintenu corrige vite. Un plugin amateur laisse traîner. Et pendant ce temps, votre site peut être à découvert.

C’est pourquoi je travaille uniquement avec des extensions que je connais, que je teste, et qui ont fait leurs preuves en termes de réactivité, fiabilité et suivi dans le temps. Installer un plugin ne suffit pas. Il faut aussi suivre son évolution et savoir quand il faut s’en séparer.

L’intelligence artificielle, nouveau levier… pour les attaquants aussi

L’intelligence artificielle s’impose dans tous les domaines du web, y compris dans l’univers WordPress. Elle change la donne — pas uniquement en bien. Le rapport de Patchstack identifie quatre risques majeurs liés à l’usage croissant de l’IA dans l’écosystème :

Du code généré… mais pas toujours sécurisé

Avec l’essor des outils de génération de code (comme ChatGPT ou Copilot), de plus en plus d’utilisateurs créent des fonctionnalités WordPress sans être développeurs. Le problème ? Ce code généré n’est pas toujours fiable ni sécurisé.

Résultat : des failles parfois très simples, mais dangereuses, se retrouvent en production sans aucun audit. Ce phénomène touche aussi bien les sites que les plugins développés rapidement, à la chaîne.

La recherche de failles automatisée

Là où un expert en sécurité mettait des heures à analyser un plugin, l’IA peut maintenant identifier des failles potentielles en quelques minutes. Les pirates l’utilisent pour scanner du code à grande échelle, détecter des erreurs connues ou générer des variantes d’exploits existants.

Ce qui était un travail de spécialiste devient une tâche industrialisée.

Une exploitation plus rapide et plus massive

Une fois une faille identifiée, l’IA permet d’automatiser et d’accélérer son exploitation. Des scripts peuvent être générés pour tester des milliers de sites vulnérables en un temps record. On assiste à une réduction drastique du délai entre la découverte d’une faille et son exploitation active.

Des failles “mineures” qui deviennent dangereuses

Avant, certaines vulnérabilités étaient peu préoccupantes car complexes à exploiter. Avec l’IA, même ces failles deviennent accessibles. Elle facilite l’automatisation des attaques, la génération de scénarios précis, et réduit les obstacles techniques.

L’IA n’est pas une menace en soi, mais elle change complètement l’échelle des risques. Là où la sécurité reposait avant sur la complexité, l’IA efface peu à peu cet avantage. D’où l’importance d’avoir des bases solides : moins de plugins, mieux choisis, bien maintenus, et un œil attentif sur l’activité de votre site.

Les erreurs humaines restent la principale faille

On peut parler de plugins vulnérables, d’IA, de scans automatisés… mais dans la grande majorité des cas, la porte d’entrée reste humaine. Et bien souvent, elle est grande ouverte.

Sur les dix dernières années, tous les sites WordPress piratés que j’ai dû remettre en état avaient un point commun : un mot de passe trop faible. Sans exception.

Un mot de passe simple, réutilisé, devinable — ou pire, resté à sa valeur par défaut — suffit à compromettre un site entier. C’est la méthode la plus basique et la plus courante : pas besoin d’être un expert en cybersécurité pour tester « admin » / « 123456 ».

Pour aller plus loin, je détaille les gestes essentiels pour éviter ce type d’attaque dans cet article : Comment sécuriser efficacement votre site WordPress.

Mon approche de la sécurité WordPress

Sécuriser un site WordPress, ce n’est pas une option. C’est une condition de base pour garantir sa fiabilité, sa durée de vie, et la confiance de vos visiteurs. Depuis plus de 10 ans, j’accompagne des TPE, PME et indépendants avec une approche technique rigoureuse et adaptée à la réalité du terrain.

Des bases solides, pour commencer

La majorité des failles WordPress viennent de mauvaises pratiques. Je commence toujours par mettre en place un socle de sécurité robuste :

• Certificat SSL actif et vérifié.
  Si votre site affiche encore “Non sécurisé” dans la barre d’adresse, je détaille ici comment activer HTTPS sur WordPress.
  
• Mots de passe renforcés sur tous les comptes
• Mises à jour régulières du cœur WordPress, des plugins et des thèmes
• Modification de l’URL de connexion pour limiter les tentatives automatisées.
  Je vous explique ici comment la modifier en toute sécurité.
• Authentification à deux facteurs sur les comptes à risques.
  Un tutoriel pas à pas pour mettre en place la double authentification.

Ces actions simples bloquent la grande majorité des attaques automatisées. Ce sont les fondations de tout site sécurisé.

Des protections avancées si nécessaire

Quand le contexte le demande, je vais plus loin :

• Restriction des accès au back-office (par IP, pays, ou plage horaire)
• Scan de sécurité ponctuel ou régulier, selon vos besoins

L’objectif n’est pas de tout verrouiller à outrance, mais de s’adapter à vos usages sans ajouter de complexité inutile.

Une gestion maîtrisée des mises à jour

Les mises à jour sont essentielles. Elles corrigent des failles, améliorent les performances et garantissent la compatibilité avec l’environnement serveur. Je détaille ici pourquoi elles sont indispensables à la sécurité et à la pérennité d’un site WordPress.

Je prends en charge :

• La mise à jour du cœur WordPress
• Celles des plugins et thèmes, après vérification de compatibilité
• La vérification de votre hébergement (PHP, MySQL, Apache/Nginx)

Chaque mise à jour est précédée d’une sauvegarde complète, et suivie d’une vérification manuelle du bon fonctionnement du site. Pas de mise à jour automatique en aveugle.

Sécurité, mais aussi clarté

Je travaille sans plugin de sécurité “miracle”, sans empilement inutile d’extensions, et sans promesse illusoire de protection totale. La vraie sécurité, c’est une bonne base, un entretien régulier et des décisions éclairées.

Et c’est justement ce que je vous aide à mettre en place.

WordPress n’est pas dangereux, l’improvisation l’est

WordPress reste une solution de confiance pour créer un site professionnel, à condition de bien comprendre ses mécaniques et ses limites.

Non, ce n’est pas un outil « fragile ». Le cœur du CMS est solide, bien maintenu, et suivi par une large communauté. Les véritables problèmes viennent rarement de WordPress lui-même, mais d’un usage négligent : plugins ajoutés à la va-vite, mises à jour ignorées, accès non sécurisés, code généré sans contrôle…

La montée des failles constatée en 2024 n’est pas un signe de faiblesse, mais plutôt le reflet d’un écosystème en croissance, d’une meilleure détection des vulnérabilités, et de la popularité écrasante de la plateforme.

Ce qu’il faut, c’est :

• Choisir ses extensions avec discernement
• Maintenir son site à jour régulièrement
• Appliquer quelques bonnes pratiques de sécurité simples
• Et ne pas tout déléguer à des plugins miracles

Mon travail, c’est justement d’intervenir à ce niveau : poser une base technique propre, fiable et sécurisée, vous aider à garder la main sur votre site, et réagir rapidement en cas de souci. Pas besoin d’avoir peur, il suffit d’avoir les bons réflexes — et de s’entourer des bonnes personnes.