7 à 8 minutes Niveau : Débutant
Extension : Wordfence Security v8.x — version gratuite
Note de version : ce cours est basé sur Wordfence 8.1.4 (décembre 2025), version actuelle en mars 2026, compatible avec WordPress 6.9.x. L’interface du scanner, les niveaux de résultats et les fonctionnalités décrites sont ceux de cette version.
Objectif de cette astuce
Installer Wordfence, comprendre son tableau de bord, lancer un scan complet et savoir interpréter et traiter les résultats.
Qu’est-ce que Wordfence ?
Avec plus de 5 millions d’installations actives et une note de 4,7 sur 5, Wordfence Security propose une protection complète contre les risques numériques. C’est l’extension de sécurité la plus utilisée sur WordPress, et sa version gratuite est déjà très complète.
Elle combine trois fonctions principales : un pare-feu applicatif qui filtre le trafic malveillant avant qu’il n’atteigne WordPress, un scanner de malwares qui analyse tous les fichiers du site, et des outils de protection de la connexion (limitation des tentatives, 2FA).
Important : la version gratuite bénéficie des mises à jour de signatures de malwares avec un délai de 30 jours par rapport à la version Premium. Pour la majorité des sites, cela reste largement suffisant — les attaques exploitant des vulnérabilités toutes récentes sont rares.
Installation
Tableau de bord → Extensions → Ajouter → rechercher “Wordfence” → Installer → Activer.
Au premier lancement, Wordfence demande une adresse e-mail pour les alertes et propose d’accepter les conditions d’utilisation. Renseignez une adresse que vous consultez régulièrement — les alertes de sécurité sont précieuses.
Le tableau de bord Wordfence
Le tableau de bord affiche en un coup d’œil le score de sécurité du site (sur 100), le nombre d’attaques bloquées sur les 30 derniers jours, les IP actuellement bloquées, et surtout la liste des problèmes détectés lors du dernier scan en attente de traitement.
Lancer un scan complet
Rendez-vous dans Wordfence → Scanner et cliquez sur Lancer le scan Wordfence. Le scan Standard est recommandé pour la plupart des sites. Le mode Haute Sensibilité est à réserver aux cas où vous suspectez un piratage — il analyse également les images et fichiers binaires comme s’ils pouvaient contenir du code.
Un scan Wordfence examine tous les fichiers de votre site WordPress à la recherche de code malveillant, de backdoors et de shells installés par des pirates. Il scanne également les URLs malveillantes connues et les schémas d’infection connus. Wordfence
Le scan se déroule en plusieurs étapes visibles à l’écran : vérification des fichiers core WordPress, analyse des thèmes, analyse des extensions, scan des fichiers pour malwares, vérification des URLs dans les contenus, et contrôle des comptes administrateurs créés hors WordPress.
Sur un hébergement mutualisé, le scan peut prendre plusieurs minutes et solliciter les ressources du serveur. Si votre hébergeur limite le temps d’exécution PHP, le scan peut s’interrompre. Dans ce cas, Wordfence reprend automatiquement là où il s’était arrêté.
Interpréter les résultats
Chaque résultat est classé par niveau de sévérité et propose des actions directes :
Critique — Extension vulnérable : Wordfence compare les versions installées de vos extensions avec sa base de vulnérabilités connues. Si une faille est répertoriée, le résultat indique la version vulnérable et la version corrigée. L’action “Mettre à jour maintenant” déclenche la mise à jour directement depuis l’interface.
Élevé — Fichier WordPress core modifié : si un fichier a été détecté comme “modifié”, vous avez l’option “Voir les différences” — elle compare la version du fichier que Wordfence attendait à celle actuellement installée. Inspectez la version modifiée pour voir si du code a été ajouté. Wordfence Si la modification est légitime (personnalisation intentionnelle), vous pouvez l’ignorer. Si elle est suspecte, utilisez “Réparer le fichier” pour restaurer la version officielle depuis les serveurs Wordfence.
Moyen — Fichier d’information accessible publiquement : typiquement readme.html, qui expose la version WordPress. L’action est simple : supprimer le fichier via FTP.
Les faux positifs : Wordfence peut parfois signaler comme suspect un fichier que vous avez intentionnellement modifié (thème personnalisé, snippet ajouté). Dans ce cas, l’action “Ignorer” archive le résultat pour ne plus le voir dans les prochains scans.
Automatiser les scans
Par défaut, Wordfence planifie des scans automatiques réguliers. Vous pouvez vérifier et ajuster cette fréquence dans Wordfence → All Options → Scan Schedule. Les résultats sont envoyés par e-mail à l’adresse configurée lors de l’activation.
Récapitulatif des niveaux de résultats
| Niveau | Exemple | Action recommandée |
|---|---|---|
| Critique | Extension vulnérable connue | Mettre à jour immédiatement |
| Élevé | Fichier core modifié | Voir les différences → Réparer |
| Moyen | Fichier d’information exposé | Supprimer via FTP |
| Faible | Recommandation de configuration | À traiter selon le contexte |
| Ignoré | Modification intentionnelle connue | Archivé, ne réapparaît plus |
Limite de la version gratuite à connaître
La version gratuite a un délai de 30 jours sur les mises à jour des règles de pare-feu et des signatures de malwares. WordPress.org Cela signifie que les menaces très récentes (moins de 30 jours) ne sont pas détectées par le scanner gratuit. Pour un blog ou un site vitrine standard, ce délai est généralement acceptable. Pour un site e-commerce ou institutionnel, envisager la version Premium.
Ce qu’il faut retenir
Wordfence est l’outil de référence pour auditer rapidement l’état de sécurité d’un site WordPress. Lancer un scan après chaque nouvelle installation, après chaque mise à jour groupée ou après un comportement suspect prend moins de deux minutes — et peut révéler des problèmes critiques invisibles à l’œil nu. C’est la première chose à faire sur un site dont vous prenez la maintenance.