Un site WordPress piraté. Voilà une phrase qui fait froid dans le dos à quiconque possède un site web. Et pourtant, chaque jour en 2026, des milliers de sites WordPress sont infectés, défigurés ou purement effacés par des attaques automatisées. Le pire ? La majorité de ces piratages auraient pu être évités avec des mesures simples, appliquées avant l’attaque.
La sécurité n’est pas une course d’armement réservée aux grandes entreprises et aux agences gouvernementales. Un petit site vitrine, un blog personnel ou une boutique WooCommerce sont tout autant dans le viseur des robots malveillants. Pourquoi ? Parce que les attaquants ne ciblent pas votre notoriété. Ils ciblent vos failles. Et un petit site mal entretenu est une cible bien plus facile qu’un grand site protégé par une équipe dédiée.
Dans ce guide complet, je vous donne toutes les clés pour blinder votre site WordPress, sans jargon inutile, avec des actions concrètes que vous pouvez appliquer dès aujourd’hui.
Pourquoi votre site WordPress attire les pirates (même s’il est petit)
Beaucoup de propriétaires de sites pensent que leur blog ou leur boutique est trop modeste pour intéresser un hacker. C’est une erreur fondamentale. Les attaques en 2026 sont massivement automatisées. Des robots scannent le web en permanence à la recherche de failles connues, sans faire la différence entre un site institutionnel, un blog de jardinage ou une plateforme e-commerce.
Que cherchent ces pirates ?
- Votre espace serveur : Pour héberger des pages de phishing qui usurperont l’identité d’une banque ou d’un service en ligne.
- Votre audience : Pour rediriger vos visiteurs vers des sites frauduleux ou infecter leurs appareils.
- Votre base de données : Pour voler les emails de vos clients ou abonnés et les revendre.
- Votre référencement : Pour injecter des liens cachés et détourner votre autorité SEO au profit d’autres sites.
- Votre pouvoir de calcul : Pour miner de la cryptomonnaie en utilisant le navigateur de vos visiteurs.
Un site WordPress non protégé reçoit en moyenne plusieurs centaines de tentatives d’intrusion par jour. Ce n’est pas une question de « si » vous serez attaqué, mais de « quand ». Et la seule chose qui détermine le résultat, c’est votre niveau de préparation.
Les 10 commandements de la sécurité WordPress
Voici les mesures concrètes, classées par ordre de priorité. Appliquez-les une par une, et votre site passera du statut de cible facile à celui de forteresse dissuasive.
1. Le mot de passe : votre première ligne de défense
On ne le répétera jamais assez. Un mot de passe faible est une porte grande ouverte. Les attaques par force brute testent des milliers de combinaisons par seconde. Votre mot de passe ne doit pas seulement être long, il doit être unique et aléatoire.
Règles impératives :
- Minimum 16 caractères.
- Mélange de lettres, chiffres, symboles.
- Jamais de mot du dictionnaire, jamais de date de naissance.
- Un mot de passe différent pour chaque accès (admin WordPress, FTP, base de données, hébergement).
- Utilisez un gestionnaire de mots de passe comme Bitwarden (gratuit, open source) pour les générer et les stocker.
2. La double authentification (2FA) : le verrou qui change tout
Si je ne devais vous donner qu’un seul conseil, ce serait celui-ci. Activez la double authentification sur tous vos comptes administrateurs. C’est la mesure de sécurité qui offre le meilleur rapport temps investi / protection obtenue.
Même si un attaquant parvient à deviner ou à voler votre mot de passe, il ne pourra pas se connecter sans le code temporaire généré sur votre smartphone. La 2FA bloque à elle seule 99,9% des attaques par force brute.
Utilisez le plugin Wordfence (gratuit) ou une application comme Authy ou Google Authenticator. L’activation prend cinq minutes et peut vous sauver de semaines de reconstruction.
3. Les mises à jour : votre hygiène quotidienne
Chaque mise à jour de WordPress, de vos plugins ou de votre thème contient potentiellement des correctifs de sécurité. Quand une faille est découverte et corrigée, elle est rendue publique. Les attaquants scannent alors le web à la recherche des sites qui n’ont pas encore appliqué la mise à jour.
Un plugin non mis à jour depuis six mois est une ligne sur votre CV de site vulnérable. C’est aussi l’une des premières choses que votre hébergeur vérifiera si votre site est compromis.
Routine hebdomadaire : connectez-vous à votre administration, vérifiez les mises à jour disponibles, appliquez-les. Pour WordPress, activez les mises à jour automatiques des versions mineures. Pour les plugins et thèmes, faites-le manuellement si vous voulez éviter les incompatibilités, mais faites-le.
4. Les plugins et thèmes inutilisés : supprimez-les, ne les désactivez pas
Un plugin désactivé mais toujours présent sur votre serveur reste un fichier accessible. Il peut contenir une faille exploitable même sans être actif. C’est la porte que vous avez oublié de condamner.
Faites le ménage. Gardez uniquement les plugins et thèmes activement utilisés et régulièrement mis à jour par leur développeur. Si un plugin n’a pas reçu de mise à jour depuis plus d’un an, désinstallez-le et cherchez une alternative maintenue.
5. Le pare-feu applicatif (WAF) : votre bouclier invisible
Un pare-feu applicatif analyse chaque requête qui arrive sur votre site et bloque les tentatives malveillantes avant qu’elles n’atteignent WordPress. C’est comme avoir un vigile à l’entrée qui filtre les visiteurs indésirables.
Je recommande deux solutions complémentaires :
- Cloudflare (gratuit) : Activez-le sur votre nom de domaine. Il offre une protection DDoS basique, un certificat SSL, et des règles de sécurité gérées. Cela prend dix minutes et ne nécessite aucune compétence technique.
- Wordfence ou Sucuri (gratuit) : Installez l’un de ces plugins sur votre WordPress. Ils incluent un firewall interne, un scanner de malwares, et une protection contre les attaques par force brute.
6. Les sauvegardes : votre filet de sécurité ultime
Malgré toutes les précautions, le risque zéro n’existe pas. Si votre site est piraté, une sauvegarde récente et fonctionnelle est la différence entre une après-midi de stress et trois semaines de cauchemar.
Configurez des sauvegardes automatiques quotidiennes avec un plugin comme UpdraftPlus (gratuit). Stockez ces sauvegardes sur un service externe (Google Drive, Dropbox, ou un espace FTP séparé), jamais uniquement sur votre serveur. Testez régulièrement la restauration d’une sauvegarde pour vérifier qu’elle fonctionne.
7. Le fichier wp-config.php : déplacez-le et protégez-le
Le fichier wp-config.php est le cœur sensible de votre installation WordPress. Il contient les identifiants de votre base de données. Par défaut, il se trouve à la racine de votre site. Déplacez-le d’un niveau au-dessus, WordPress saura le trouver, mais un attaquant aura plus de mal à l’atteindre.
Ajoutez également cette ligne dans votre fichier .htaccess pour bloquer l’accès à wp-config.php :
Deny from all(pour les anciens serveurs Apache)- Ou utilisez la configuration équivalente si vous êtes sur Nginx
8. Les permissions de fichiers : qui a le droit de faire quoi
Les fichiers et dossiers de votre serveur ont des permissions qui définissent qui peut les lire, les modifier ou les exécuter. Des permissions trop généreuses sont une aubaine pour un pirate qui a réussi à s’introduire.
Appliquez ces permissions standard :
- Dossiers : 755
- Fichiers : 644
- wp-config.php : 600 (le plus restrictif possible)
9. Le nom d’utilisateur admin : ne soyez pas « admin »
Les attaques par force brute ciblent massivement le nom d’utilisateur « admin ». C’est le premier que les robots testent. Ne leur facilitez pas la tâche.
Si votre compte administrateur s’appelle encore « admin », créez un nouveau compte avec un nom personnalisé, attribuez-lui le rôle administrateur, connectez-vous avec ce nouveau compte, et supprimez l’ancien. WordPress vous proposera d’attribuer tous les contenus de l’ancien compte au nouveau.
10. L’URL de connexion : masquez la porte d’entrée
Par défaut, la page de connexion de WordPress est accessible à l’adresse /wp-admin ou /wp-login.php. Les robots le savent et bombardent cette URL en permanence. Changer cette adresse rend votre site invisible aux attaques automatisées de masse.
Le plugin WPS Hide Login (gratuit, léger) permet de choisir une URL personnalisée, par exemple /mon-acces-securise. C’est simple, efficace, et cela réduit drastiquement le bruit dans vos logs de connexion.
Que faire si votre site WordPress est déjà piraté ?
Si vous constatez les signes d’un piratage (redirections suspectes, fenêtres pop-up, site lent, avertissement Google, apparition de nouveaux comptes admin), gardez votre calme et suivez cette procédure :
- Mettez le site en maintenance pour éviter de contaminer vos visiteurs.
- Changez immédiatement tous les mots de passe : WordPress, FTP, base de données, hébergement.
- Restaurez une sauvegarde propre dont vous êtes certain de la date (antérieure au piratage).
- Mettez à jour WordPress, les plugins et le thème avant de remettre le site en ligne.
- Lancez un scan complet avec Wordfence ou Sucuri pour vérifier qu’aucune trace ne persiste.
- Demandez un réexamen dans Google Search Console si votre site a été blacklisté.
Si vous n’avez pas de sauvegarde et que le site est gravement infecté, contactez un professionnel. Les services de nettoyage de Sucuri ou Wordfence existent en version premium et peuvent vous sauver la mise.
Tableau récapitulatif : votre checklist de sécurité WordPress
| Action | Priorité | Difficulté | Temps estimé |
|---|---|---|---|
| Mot de passe unique et fort | Critique | Facile | 5 minutes |
| Double authentification (2FA) | Critique | Facile | 10 minutes |
| Mises à jour hebdomadaires | Critique | Facile | 15 minutes/semaine |
| Suppression plugins inutilisés | Haute | Facile | 10 minutes |
| Cloudflare + WAF (Wordfence) | Haute | Moyenne | 30 minutes |
| Sauvegardes automatiques | Haute | Facile | 15 minutes |
| Déplacer wp-config.php | Moyenne | Moyenne | 10 minutes |
| Permissions de fichiers | Moyenne | Moyenne | 15 minutes |
| Supprimer le compte « admin » | Moyenne | Facile | 10 minutes |
| Changer l’URL de connexion | Basse | Facile | 10 minutes |
Les erreurs qui donnent un faux sentiment de sécurité
Certaines pratiques sont dangereuses parce qu’elles vous font croire que vous êtes protégé alors que vous ne l’êtes pas. Voici les plus courantes :
- « Mon hébergeur gère la sécurité. » Faux. Votre hébergeur protège le serveur. La sécurité de votre WordPress est sous votre responsabilité.
- « J’ai installé un plugin de sécurité il y a deux ans. » Un plugin non configuré ou non mis à jour ne sert à rien. La sécurité est active, pas passive.
- « Personne ne s’intéresse à mon petit site. » Les attaques sont automatisées. Votre site est scanné en ce moment même par des robots qui ne savent pas qui vous êtes.
- « Je n’ai rien de précieux à protéger. » Votre espace serveur, votre base de données, votre audience et votre SEO ont de la valeur pour un pirate, même si vous ne vous en rendez pas compte.
Conclusion : La sécurité est une habitude, pas un événement
Protéger un site WordPress n’est pas une tâche qu’on accomplit une fois pour toutes. C’est une routine qu’on intègre à sa pratique du web. Les mises à jour, les sauvegardes, la surveillance des logs : ces gestes prennent peu de temps et rapportent une tranquillité d’esprit immense.
Si vous ne deviez retenir que trois actions de ce guide, commencez par celles-ci : la double authentification, les sauvegardes automatiques, et les mises à jour régulières. Ces trois piliers vous protègent contre l’immense majorité des menaces.
Un site WordPress sécurisé, c’est un site qui ranke mieux, qui convertit mieux, et qui ne vous réveille pas en pleine nuit avec un email de votre hébergeur vous informant que votre site a été suspendu. Prenez les devants. Le meilleur moment pour sécuriser votre site, c’était hier. Le deuxième meilleur moment, c’est maintenant.
❓ Questions fréquentes sur la sécurité WordPress
Quel est le meilleur plugin de sécurité WordPress gratuit ?
Wordfence est le plugin de sécurité gratuit le plus complet pour WordPress. Il inclut un pare-feu, un scanner de malwares, une protection contre les attaques par force brute (limitation des tentatives de connexion), et une option de double authentification. La version gratuite suffit largement pour un site vitrine ou un blog. La version premium ajoute des signatures de malwares en temps réel et le support prioritaire.
Faut-il utiliser un thème WordPress payant pour être plus en sécurité ?
Pas nécessairement. Le critère principal n’est pas le prix, mais la maintenance. Un thème gratuit régulièrement mis à jour et téléchargé depuis le répertoire officiel de WordPress est plus sûr qu’un thème premium abandonné par son développeur. Avant d’installer un thème, vérifiez la date de sa dernière mise à jour et lisez les avis récents.
Est-ce que Cloudflare suffit pour protéger mon site WordPress ?
Cloudflare offre une excellente couche de protection (DDoS, SSL, filtrage basique des requêtes malveillantes), mais il ne protège pas contre les failles applicatives de WordPress. Un plugin vulnérable ou un mot de passe faible ne seront pas bloqués par Cloudflare. La sécurité WordPress repose sur une combinaison de protections en couches : Cloudflare pour le périmètre réseau, un plugin comme Wordfence pour l’application, et de bonnes pratiques d’administration.
Comment savoir si mon site WordPress a déjà été piraté ?
Les signes courants sont :
- Votre site redirige vers des pages inconnues.
- Votre navigateur affiche un avertissement « Site trompeur » ou « Site dangereux ».
- Votre trafic SEO chute brutalement sans explication.
- Des pop-ups ou des publicités apparaissent sur votre site alors que vous n’en avez pas installé.
- Des comptes administrateurs inconnus apparaissent dans votre liste d’utilisateurs.
- Votre site est anormalement lent.
- Google Search Console vous envoie un message concernant un problème de sécurité.
À quelle fréquence dois-je faire une sauvegarde de mon site WordPress ?
La fréquence dépend de l’activité de votre site. Pour un blog qui publie un article par semaine, une sauvegarde hebdomadaire suffit. Pour un site e-commerce avec des commandes quotidiennes, une sauvegarde quotidienne est indispensable. Le plugin UpdraftPlus permet de programmer des sauvegardes automatiques et de les envoyer vers un stockage externe (Google Drive, Dropbox, etc.).
