Un site WordPress non sécurisé peut être piraté en moins de 5 minutes après son indexation sur Google. Chaque jour, des milliers de sites sont infectés, défigurés ou purement effacés par des attaques automatisées. La majorité de ces piratages auraient pourtant pu être évités avec des mesures simples.
La sécurité WordPress n’est pas réservée aux grandes entreprises. Un petit blog, une boutique WooCommerce ou un site vitrine sont tout autant dans le viseur des robots malveillants. Selon les rapports de sécurité de 2026, plus de 70% des attaques réussies proviennent de plugins non mis à jour. La protection WordPress doit donc être une priorité absolue. Si vous cherchez une protection au niveau du serveur, consultez notre Guide Complet Htaccess WordPress qui complète parfaitement cet article.
Dans ce guide, je vous donne toutes les clés pour sécuriser votre site, avec des actions concrètes et sans jargon inutile.
Checklist sécurité WordPress (à faire en 15 minutes)
Si vous n’avez pas le temps de tout lire maintenant, appliquez ces 5 actions immédiates :
- Activez la double authentification (2FA) sur tous les comptes administrateurs.
- Installez un plugin de sécurité comme Wordfence pour activer le pare-feu.
- Supprimez les plugins et thèmes inutilisés.
- Mettez à jour WordPress, vos plugins et votre thème.
- Configurez une sauvegarde automatique quotidienne.
Comment les sites WordPress sont réellement piratés en 2026
Comprendre les menaces est la première étape pour s’en protéger. Voici les cinq types d’attaques qui représentent la quasi-totalité des piratages en 2026, présentées sous forme de scénarios concrets.
Attaque : force brute automatisée sur wp-login.php
Scénario : des bots testent des milliers de mots de passe sur votre page de connexion. Ils ciblent particulièrement l’identifiant « admin ».
Solution : utilisez un mot de passe fort (16+ caractères). Activez la double authentification (2FA). Changez l’URL de connexion par défaut. Limitez le nombre de tentatives de connexion avec Wordfence.
Attaque : plugin vulnérable ou obsolète
Scénario : un plugin que vous avez installé il y a six mois n’a pas été mis à jour. Une faille de sécurité est découverte et rendue publique. Un bot scanne le web, trouve votre site, et exploite la faille en quelques secondes.
Solution : mettez à jour vos plugins chaque semaine. Supprimez ceux qui ne sont plus maintenus par leur développeur.
Attaque : injection SQL via formulaire
Scénario : Un attaquant saisit du code malveillant dans votre formulaire de contact ou de recherche. Si votre site ne filtre pas ces entrées, il peut accéder à votre base de données.
Solution : utilisez un pare-feu applicatif (WAF) comme Cloudflare ou Wordfence. Gardez WordPress et vos plugins à jour.
Attaque : énumération des utilisateurs
Scénario : un robot ajoute ?author=1 à la fin de votre URL. WordPress lui révèle le nom d’utilisateur associé à l’ID 1. Il teste ensuite les mots de passe sur ce compte.
Solution : bloquez l’énumération des utilisateurs avec une règle .htaccess. Ne nommez jamais votre compte principal « admin ». Pour toutes les règles .htaccess, notre guide complet des règles Htaccess vous donne tous les codes.
Attaque : accès aux fichiers sensibles via REST API
Scénario : L’API REST de WordPress expose des informations sur vos utilisateurs, vos articles, et votre configuration. Des outils automatisés peuvent l’exploiter pour cartographier votre site.
Solution : restreignez l’accès à l’API REST aux utilisateurs authentifiés si vous n’utilisez pas d’application mobile.
Les 10 commandements de la sécurité WordPress
Voici les mesures pour sécuriser un site WordPress, classées par priorité. Appliquez-les une par une, et votre site deviendra une forteresse dissuasive.
1. Le mot de passe : votre première ligne de défense
Un mot de passe faible est une porte ouverte. Utilisez un mot de passe long (16 caractères minimum), unique et aléatoire pour chaque accès (admin, FTP, base de données). Utilisez un gestionnaire comme Bitwarden pour les générer et les stocker. C’est la base de toute protection WordPress.
2. La double authentification (2FA) : le verrou qui change tout
Activez la double authentification sur tous les comptes administrateurs. Même si un attaquant vole votre mot de passe, il ne pourra pas se connecter. La 2FA bloque 99,9 % des attaques par force brute. Utilisez le plugin sécurité WordPress Wordfence ou une application comme Authy.
3. Les mises à jour : votre hygiène quotidienne
Chaque mise à jour corrige des failles potentielles. Connectez-vous chaque semaine à votre tableau de bord et appliquez les mises à jour disponibles. Activez les mises à jour automatiques pour les versions mineures de WordPress.
4. Les plugins et thèmes inutilisés : supprimez-les
Un plugin désactivé reste un fichier accessible qui peut contenir une faille. Faites le ménage régulièrement. Si un plugin n’a pas été mis à jour depuis plus d’un an, désinstallez-le et cherchez une alternative.
5. Installer un plugin sécurité WordPress avec pare-feu (WAF)
Un pare-feu applicatif bloque les tentatives d’attaque avant qu’elles n’atteignent WordPress. Combinez Cloudflare (gratuit) pour la protection réseau avec un plugin sécurité WordPress comme Wordfence pour la protection applicative. Le certificat SSL inclus est indispensable pour le SEO et la confiance.
6. Les sauvegardes : votre filet de sécurité
Configurez des sauvegardes automatiques quotidiennes avec UpdraftPlus. Stockez-les sur un service externe (Google Drive, Dropbox). Testez la restauration une fois par mois. En cas de piratage, une sauvegarde propre vous sauve des semaines de travail.
7. Le fichier wp-config.php : protégez-le
Ce fichier contient les identifiants de votre base de données. Vous pouvez le déplacer d’un niveau au-dessus de la racine. Attention : cette technique ne fonctionne que sur les serveurs Apache. Sur Nginx ou certains hébergements mutualisés, elle peut casser votre site. Vérifiez auprès de votre hébergeur avant d’agir.
Ajoutez aussi cette règle dans votre .htaccess :
# Protection de wp-config.php
<Files wp-config.php>
Require all denied
</Files>8. Les permissions de fichiers : 755 et 644
Appliquez les permissions suivantes : 755 pour les dossiers, 644 pour les fichiers, et 600 pour wp-config.php. Cela limite ce qu’un pirate peut faire même s’il parvient à s’introduire.
9. Le nom d’utilisateur admin : ne soyez pas « admin »
Supprimez le compte « admin » s’il existe. Créez un nouveau compte avec un nom personnalisé et attribuez-lui le rôle administrateur.
10. L’URL de connexion : masquez la porte d’entrée
Changez l’URL de connexion par défaut avec le plugin WPS Hide Login. Les robots ne trouveront plus votre page de connexion, ce qui réduit considérablement le bruit et les tentatives d’intrusion.
Sécurité WordPress avancée (niveau professionnel)
Pour un site WordPress sécurisé de niveau supérieur, voici quatre techniques de durcissement WordPress avancé.
Limitation des tentatives de connexion
Les plugins comme Wordfence limitent le nombre de tentatives de connexion depuis une même adresse IP. Cette simple mesure neutralise la plupart des attaques par force brute.
Blocage de l’énumération des utilisateurs
Ajoutez cette règle dans votre .htaccess pour empêcher les robots de deviner vos noms d’utilisateurs via l’URL :
# Bloquer l'énumération des utilisateurs
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ - [F,L]Protection de l’API REST WordPress
Si vous n’utilisez pas d’application mobile, restreignez l’accès à l’API REST aux seuls utilisateurs authentifiés. Cela empêche les attaquants d’explorer votre site via cette interface.
Monitoring des fichiers critiques
Surveillez les modifications de vos fichiers sensibles avec Sucuri Security. Toute modification suspecte vous est signalée immédiatement par e-mail.
Que faire si votre site WordPress est déjà piraté ?
- Mettez le site en maintenance.
- Changez tous les mots de passe (WordPress, FTP, base de données, hébergement).
- Restaurez une sauvegarde propre antérieure au piratage.
- Mettez à jour WordPress, les plugins et le thème.
- Lancez un scan complet avec Wordfence ou Sucuri.
- Demandez un réexamen dans Google Search Console si votre site a été blacklisté.
Pour approfondir, consultez la documentation officielle sur le durcissement WordPress.
Tableau récapitulatif : votre checklist de sécurité WordPress
| Action | Priorité | Temps |
|---|---|---|
| Mot de passe unique et fort | Critique | 5 min |
| Double authentification (2FA) | Critique | 10 min |
| Mises à jour hebdomadaires | Critique | 15 min/sem |
| Suppression des plugins inutilisés | Haute | 10 min |
| Cloudflare + WAF (Wordfence) | Haute | 30 min |
| Sauvegardes automatiques | Haute | 15 min |
| Déplacer wp-config.php | Moyenne | 10 min |
| Permissions de fichiers | Moyenne | 15 min |
| Supprimer le compte « admin » | Moyenne | 10 min |
| Changer l’URL de connexion | Basse | 10 min |
Vous voulez sécuriser votre WordPress sans vous prendre la tête ?
Nous appliquons les 10 mesures de ce guide pour vous. Pare-feu, double authentification, sauvegardes automatiques : votre site est protégé en 48h, sans que vous ayez à mettre les mains dans le code.
Conclusion : La sécurité est une habitude, pas un événement
La majorité des sites WordPress piratés en 2026 ne sont pas ciblés personnellement. Ils sont simplement vulnérables. La différence entre un site compromis et un site protégé repose rarement sur des outils avancés, mais sur des bases correctement appliquées.
La double authentification, les sauvegardes automatiques et les mises à jour régulières sont vos trois piliers. Pour une protection encore plus poussée au niveau du serveur, découvrez notre Guide des Règles Htaccess WordPress.
Un site WordPress sécurisé, c’est un site qui ranke mieux, qui convertit mieux, et qui ne vous réveille pas en pleine nuit. Le meilleur moment pour sécuriser votre site WordPress, c’était hier. Le deuxième meilleur moment, c’est maintenant.
❓ Questions fréquentes sur la sécurité WordPress
Quel est le meilleur plugin de sécurité WordPress gratuit ?
Wordfence est le meilleur plugin gratuit de sécurité WordPress. Il inclut un pare-feu, un scanner de malwares et une protection contre les attaques par force brute. La version gratuite suffit pour un site vitrine. D’autres alternatives comme Sucuri Security ou iThemes Security sont également excellentes.
Faut-il un thème WordPress payant pour être en sécurité ?
Non, la sécurité dépend de la maintenance, pas du prix. Un thème gratuit régulièrement mis à jour depuis le répertoire officiel est plus sûr qu’un thème premium abandonné par son développeur. Vérifiez toujours la date de dernière mise à jour avant d’installer un thème.
Est-ce que Cloudflare suffit pour protéger mon site WordPress ?
Non, Cloudflare protège le réseau, pas les failles applicatives de WordPress. Un plugin vulnérable ou un mot de passe faible ne seront pas bloqués par Cloudflare. Combinez-le avec un plugin comme Wordfence et de bonnes pratiques d’administration.
Comment savoir si mon site WordPress a été piraté ?
Les signes courants sont : redirections suspectes, avertissements Google, chute de trafic SEO, pop-ups non désirés, lenteur anormale, apparition de comptes admin inconnus, ou message de Google Search Console. Si vous constatez l’un de ces signes, suivez la procédure de récupération décrite dans ce guide.
À quelle fréquence faire une sauvegarde de mon site WordPress ?
Cela dépend de votre activité. Un blog avec une publication par semaine peut se contenter d’une sauvegarde hebdomadaire. Un site e-commerce avec des commandes quotidiennes nécessite une sauvegarde quotidienne. Utilisez UpdraftPlus pour automatiser et externaliser vos sauvegardes.
