SG SiteGarde
Connexion Essai gratuit
Retour au blog Bonnes Pratiques - 10 min

Checklist de sécurité pour site web en 2026 : les 20 points essentiels

En 2026, les menaces web évoluent rapidement. Cette checklist de sécurité en 20 points couvre les bases indispensables pour protéger votre site contre les attaques les plus courantes.

La sécurité web n'est pas un état qu'on atteint une fois pour toutes — c'est une hygiène continue. Cette checklist couvre les 20 points fondamentaux qui protègent contre 90% des attaques courantes en 2026. Certains prennent 5 minutes, d'autres demandent un peu plus d'effort, mais tous sont essentiels.

Authentification et accès

1. Mots de passe complexes partout

  • Minimum 16 caractères, mélange de majuscules, minuscules, chiffres, symboles
  • Unique pour chaque service — jamais le même mot de passe sur deux services
  • Gestionnaire de mots de passe : Bitwarden (gratuit), 1Password ou Dashlane

2. Authentification à deux facteurs (2FA) sur tous les comptes critiques

  • Compte hébergeur
  • Dashboard WordPress (tous les comptes admin)
  • Google Search Console, Google Analytics
  • Registrar de nom de domaine

3. Politique d'accès minimal

  • Chaque utilisateur a uniquement les droits nécessaires à sa fonction
  • Pas de compte partagé entre plusieurs personnes
  • Suppression immédiate des accès des collaborateurs qui quittent l'équipe

Infrastructure et hébergement

4. HTTPS obligatoire sur tout le site

  • Certificat SSL valide et à jour
  • Redirection 301 automatique de tout HTTP vers HTTPS
  • En-tête Strict-Transport-Security configuré

5. En-têtes de sécurité HTTP configurés

  • Content-Security-Policy : Limite les sources de scripts autorisées
  • X-Frame-Options: DENY : Empêche l'inclusion dans des iframes
  • X-Content-Type-Options: nosniff : Empêche le MIME sniffing
  • Vérifiez vos en-têtes sur securityheaders.com

6. Version PHP à jour

  • PHP 7.x est en fin de vie — passez à PHP 8.2 ou supérieur
  • Les versions non supportées ne reçoivent plus de correctifs de sécurité

7. XML-RPC désactivé (WordPress)

  • Vecteur d'attaque DDoS par amplification
  • Souvent inutile pour la plupart des sites WordPress
  • Désactivation via plugin ou .htaccess

Mises à jour et maintenance

8. Core CMS à jour

  • WordPress, Drupal, Joomla — versions stables récentes uniquement
  • Activez les mises à jour de sécurité automatiques pour WordPress core

9. Plugins et thèmes à jour

  • Audit mensuel des plugins en retard de mise à jour
  • Suppression des plugins inactifs
  • Méfiez-vous des plugins non mis à jour depuis > 1 an

10. Certificat SSL surveillé

  • Alerte configurée à 30 et 7 jours avant expiration
  • Let's Encrypt avec renouvellement automatique configuré

Sauvegardes

11. Sauvegardes automatiques quotidiennes

  • Base de données ET fichiers
  • Stockage externe au serveur (cloud, disque local distant)
  • Rétention d'au moins 30 jours

12. Test de restauration mensuel

  • Une sauvegarde non testée n'est pas fiable
  • Testez sur un sous-domaine ou environnement de staging

13. Sauvegarde avant chaque mise à jour majeure

  • Snapshot complet avant tout changement significatif
  • Conservé jusqu'à validation complète de la mise à jour

Surveillance et détection

14. Plugin de sécurité actif (WordPress)

  • Wordfence ou Sucuri avec alertes email activées
  • Scan de malware hebdomadaire automatique
  • Alerte sur modification de fichiers critiques

15. Monitoring externe actif

16. Logs d'accès archivés et consultés

  • Conservation des logs Apache/Nginx pendant 90 jours minimum
  • Revue mensuelle pour des patterns suspects

Contenu et code

17. Validation et filtrage des entrées utilisateur

  • Tous les formulaires valident et filtrent les données reçues
  • Protection CSRF sur tous les formulaires (tokens)
  • Pas d'affichage direct de données utilisateur non échappées

18. Permissions de fichiers correctes

  • wp-config.php : 600 ou 640 (lisible uniquement par le propriétaire)
  • Répertoires : 755 maximum
  • Fichiers PHP : 644 maximum

19. Scan de sécurité externe mensuel

  • Sucuri SiteCheck ou équivalent : scan depuis l'extérieur
  • Détecte les infections visibles depuis l'extérieur
  • Vérification des listes noires (Google Safe Browsing)

20. Politique de divulgation et déclaration CNIL

  • Procédure documentée en cas de fuite de données
  • Connaissance de l'obligation de déclaration CNIL en 72h
  • Contact DPO ou responsable légal identifié

Utiliser cette checklist

Passez cette liste en revue trimestriellement. Documentez chaque point avec sa date de vérification. Un point non conforme ne doit pas rester en attente — planifiez sa correction dans la semaine.

Combinez cette checklist sécurité avec notre checklist SEO technique mensuelle pour une maintenance complète de votre présence en ligne.

Articles connexes : Sécuriser WordPress | Surveiller les en-têtes HTTP | Checklist SEO mensuelle

Surveiller mes URL