La sécurité WordPress est le sujet le plus sous-estimé par les propriétaires de sites — jusqu’au jour où leur site se retrouve hacké, blacklisté par Google, ou utilisé pour envoyer du spam. Mis à jour avril 2026.
En 2026, plus de 50 000 sites WordPress sont compromis chaque jour selon le Wordfence Threat Intelligence Report 2025. La bonne nouvelle : 90 % des piratages exploitent des vulnérabilités connues et évitables. Les 12 actions présentées ici sont classées par impact décroissant et peuvent être appliquées sans compétences avancées en développement.
Points clés à retenir :
- 90 % des piratages WordPress exploitent des vulnérabilités corrigées mais non mises à jour
- La mise à jour régulière (core, plugins, thème) est l’action la plus efficace — à faire chaque semaine
- Un mot de passe administrateur de moins de 12 caractères donne accès à votre site en moins de 2 heures par force brute
- L’authentification à deux facteurs (2FA) bloque 99,9 % des attaques par credential stuffing selon Microsoft (2023)
- Sans sauvegarde journalière externe, une restauration après piratage coûte entre 300 $ et 1 500 $ en heures de travail
Pourquoi WordPress est-il si souvent ciblé par les pirates ?
WordPress représente 43 % de tous les sites web en 2026, ce qui en fait la cible de choix pour les attaques automatisées. Les bots scannent en permanence des millions d’URL à la recherche de plugins obsolètes, de pages de connexion exposées ou de comptes administrateurs avec des mots de passe faibles. La plateforme elle-même est solide — c’est l’écosystème de plugins tiers qui concentre l’essentiel des failles.
Selon une étude de l’Open Web Application Security Project (OWASP WordPress Security Testing Guide, 2024), les vecteurs d’attaque les plus fréquents sont :
- Plugins vulnérables : 97 % des failles connues en 2025 proviennent de plugins, non du core WordPress
- Mots de passe faibles : attaques par force brute et credential stuffing via des listes de mots de passe volés
- Hébergement mutualisé mal configuré : un site voisin compromis peut contaminer le vôtre
- Thèmes nulled : thèmes ou plugins piratés qui contiennent des backdoors dès l’installation
Les 12 actions concrètes pour sécuriser votre site WordPress en 2026
1. Mettez à jour WordPress, les plugins et le thème chaque semaine
Chaque mise à jour de plugin ou de thème corrige des failles de sécurité — souvent publiées publiquement dans le changelog. Tant que votre site tourne sur une version ancienne, ces failles sont exploitables par n’importe quel bot. La cadence recommandée est hebdomadaire, avec une sauvegarde avant chaque mise à jour.
Activez les mises à jour automatiques du core WordPress (Administration → Réglages → Mises à jour) pour les releases mineures de sécurité (ex. : 6.5.1 → 6.5.2). Pour les plugins, préférez une validation manuelle hebdomadaire afin d’éviter les rares cas de plugin mal mis à jour qui casse le site. Pour automatiser de façon sécurisée, un plan de maintenance WordPress inclut cette vérification avec sauvegarde préalable.
2. Utilisez des mots de passe longs et uniques pour chaque compte
Un mot de passe de 8 caractères alphanumériques peut être cracké en 39 minutes par un GPU standard en 2026 (source : Hive Systems Password Table 2025). Un mot de passe de 16 caractères aléatoires prendrait plusieurs siècles. La différence est radicale et le changement prend moins de 2 minutes.
Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password) pour générer et stocker un mot de passe unique par service. Ne réutilisez jamais le même mot de passe sur WordPress et votre hébergeur — une fuite sur l’un compromet automatiquement l’autre.
3. Activez l’authentification à deux facteurs (2FA) sur wp-admin
L’authentification à deux facteurs bloque 99,9 % des attaques par credential stuffing selon Microsoft (rapport Azure Active Directory 2023). Même si votre mot de passe est volé via une fuite de données tierce, le pirate ne peut pas se connecter sans le second facteur (code TOTP envoyé sur votre téléphone).
Pour WordPress, installez WP 2FA (plugin gratuit) ou configurez directement le 2FA via un plugin de sécurité comme Solid Security (anciennement iThemes Security). La configuration prend 5 minutes. Imposez-le à tous les comptes avec le rôle Éditeur ou supérieur.
4. Limitez les tentatives de connexion sur /wp-login.php
Sans protection, un bot peut tenter des milliers de combinaisons identifiant/mot de passe par heure sur votre page de connexion. La simple limitation à 5 tentatives par heure par IP stoppe la quasi-totalité des attaques automatisées.
Solid Security, Wordfence et Loginizer gèrent cette fonctionnalité. En parallèle, renommez l’URL de connexion (ex. : /connexion-admin/ au lieu de /wp-login.php) pour éliminer les scans automatiques basés sur l’URL par défaut.
5. Installez un plugin de sécurité actif
Un plugin de sécurité actif surveille en temps réel les modifications de fichiers, les tentatives d’intrusion et les malwares. Il n’est pas suffisant seul — il s’utilise en complément des autres mesures — mais il permet de détecter une compromission en quelques minutes plutôt qu’en plusieurs semaines.
| Plugin | Scan malware | Pare-feu WAF | 2FA inclus | Prix |
|---|---|---|---|---|
| Wordfence Free | Oui (délai 30j) | Oui (règles 30j) | Non | Gratuit |
| Wordfence Premium | Oui (temps réel) | Oui (temps réel) | Non | ~99 USD/an |
| Solid Security Pro | Oui | Oui | Oui | ~99 USD/an |
| Sucuri Platform | Oui | Oui (CDN WAF) | Non | ~199 USD/an |
6. Configurez des sauvegardes automatiques externes quotidiennes
Une sauvegarde stockée sur le même serveur que votre site ne vous protège pas : si le serveur est compromis, la sauvegarde l’est aussi. Les sauvegardes doivent être externes (Amazon S3, Google Drive, Backblaze) et quotidiennes pour les sites actifs. Conservez au minimum 30 jours d’historique.
UpdraftPlus (version gratuite) permet de programmer des sauvegardes automatiques vers Google Drive en 10 minutes. BlogVault et Jetpack Backup offrent une restauration en un clic avec historique complet — utile si vous n’avez pas accès au wp-admin après un piratage. Une restauration professionnelle après piratage sans sauvegarde coûte entre 300 $ et 1 500 $ selon la complexité, avec parfois des données définitivement perdues.
7. Vérifiez les permissions des fichiers et dossiers
Des permissions trop permissives (777 sur des fichiers PHP) permettent à un attaquant ayant accès à un compte shell d’exécuter du code malveillant. Les permissions recommandées par WordPress.org sont 644 pour les fichiers et 755 pour les dossiers — soit les valeurs par défaut sur la grande majorité des hébergeurs sérieux.
Vérifiez via votre gestionnaire de fichiers FTP ou cPanel. Si vous trouvez des fichiers en 777, corrigez-les immédiatement. Le fichier wp-config.php (qui contient vos identifiants de base de données) doit être en 440 ou 400 sur les serveurs qui le permettent.
8. Désactivez l’édition de fichiers depuis wp-admin
Par défaut, WordPress permet à un administrateur d’éditer les fichiers PHP du thème et des plugins directement depuis le tableau de bord. Si un pirate obtient l’accès à votre wp-admin, cette fonctionnalité lui permet d’injecter du code malveillant sans avoir besoin d’accès FTP.
Désactivez cette fonctionnalité en ajoutant cette ligne dans wp-config.php :
define('DISALLOW_FILE_EDIT', true);9. Utilisez un certificat SSL et forcez le HTTPS
Un site sans SSL transmet les mots de passe en clair sur le réseau — n’importe qui sur le même Wi-Fi peut les intercepter. En 2026, Let’s Encrypt offre des certificats SSL gratuits activables en un clic chez la quasi-totalité des hébergeurs. Il n’y a aucune raison de ne pas l’utiliser.
Après activation du SSL, forcez la redirection HTTPS dans WP Rocket (option « Forcer HTTPS ») ou via une règle .htaccess. Vérifiez qu’aucune ressource n’est chargée en HTTP (mixed content) avec l’extension Chrome HTTPS Everywhere ou l’outil en ligne SSLLabs.
10. Supprimez les plugins et thèmes inutilisés
Un plugin désactivé mais non supprimé reste lisible sur le serveur et peut contenir des failles exploitables — même désactivé. En 2025, plusieurs attaques massives ont ciblé des plugins inactifs avec plus de 100 000 installations affectées simultanément (source : Wordfence). La règle est simple : si vous ne l’utilisez pas, supprimez-le.
Faites l’audit de vos plugins deux fois par an. Supprimez également le thème Twenty Twenty-X installé par défaut si vous utilisez un autre thème — il reste une surface d’attaque inutile. L’assistance WordPress que nous proposons inclut cet audit dans chaque intervention de maintenance.
11. Protégez wp-config.php et désactivez l’affichage des erreurs PHP
Le fichier wp-config.php contient les identifiants de votre base de données, les clés secrètes d’authentification et les paramètres critiques du site. Son exposition, même partielle, est une faille majeure. Deux mesures complémentaires : bloquer l’accès direct via .htaccess et déplacer le fichier un niveau au-dessus de la racine WordPress si votre hébergeur le permet.
En parallèle, assurez-vous que WP_DEBUG est réglé sur false en production. Un site qui affiche ses erreurs PHP en clair révèle la structure de ses répertoires, les noms de plugins et parfois des chemins absolus — autant d’informations utiles pour un attaquant. Pour aller plus loin sur ce sujet, consultez notre guide de performance et sécurité.
12. Changez le préfixe de table de base de données (si wp_ par défaut)
Le préfixe de table wp_ est utilisé par défaut par WordPress depuis sa création. Les injections SQL automatisées ciblent systématiquement ce préfixe. Le changer ne supprime pas la vulnérabilité SQL injection en elle-même, mais il réduit l’efficacité des attaques opportunistes automatisées qui ne testent que le préfixe standard.
Cette modification doit être faite lors de l’installation ou via un plugin spécialisé (Solid Security gère la migration en toute sécurité). Ne tentez pas de modifier le préfixe manuellement sur un site existant sans sauvegarde complète préalable — une erreur peut rendre votre site inaccessible.
Comment vérifier si votre site WordPress a déjà été compromis ?
Un site hacké ne se signale pas toujours avec une page défacée ou un message d’erreur évident. Dans 70 % des cas, le propriétaire ignore la compromission pendant plusieurs semaines, pendant lesquelles le site est utilisé pour du spam, du phishing ou du minage de cryptomonnaie (source : Sucuri SiteCheck Report 2024).
Signes à surveiller immédiatement :
- Google Search Console affiche des avertissements de sécurité ou des URLs inconnues dans le rapport « Couverture »
- Le site est blacklisté par Google (message « Ce site est peut-être dangereux » dans Chrome)
- Votre hébergeur suspend le compte ou envoie une alerte d’abus
- Des fichiers PHP inconnus apparaissent dans les dossiers wp-content ou wp-includes
- Le trafic chute brutalement sans raison visible dans Google Analytics
En cas de doute, utilisez notre service de nettoyage de site hacké : audit complet du code, suppression des malwares et remise en liste blanche Google.
FAQ — Sécurité WordPress
Est-ce que WordPress est sécurisé par défaut ?
Le core WordPress maintenu par la WordPress Foundation est audité régulièrement et considéré comme sûr. Ce sont les plugins et thèmes tiers qui concentrent 97 % des failles connues. Une installation WordPress sans plugins serait techniquement sécurisée — mais inutilisable pour la grande majorité des projets.
Dois-je changer l’URL de connexion /wp-login.php ?
Changer l’URL de connexion réduit le volume d’attaques automatisées qui ciblent spécifiquement /wp-login.php, mais ce n’est pas une mesure de sécurité en soi. Si un pirate connaît déjà votre nouvelle URL, la protection disparaît. C’est une mesure complémentaire utile, pas un substitut aux mesures fondamentales (2FA, mots de passe forts, limitation des tentatives).
Quel est le meilleur plugin de sécurité WordPress en 2026 ?
Solid Security Pro et Wordfence Premium sont les deux références en 2026. Solid Security est préférable si vous gérez plusieurs sites (licence multi-sites plus abordable) et souhaitez le 2FA intégré. Wordfence est plus connu pour la qualité de son pare-feu en temps réel et la profondeur de ses rapports de scan. Les deux sont incompatibles entre eux — n’installez pas les deux simultanément.
À quelle fréquence dois-je scanner mon site pour des malwares ?
Un scan hebdomadaire est suffisant pour la plupart des sites. Pour les sites e-commerce ou ceux qui traitent des données sensibles, un scan quotidien automatique (Wordfence Premium ou Sucuri) est recommandé. Le scan manuel seul n’est pas suffisant — seul un scan automatique détecte les infections peu après leur apparition.
Mon site a été hacké, que faire en premier ?
Première étape : mettez le site hors ligne (mode maintenance ou suspension) pour stopper la propagation du malware et protéger vos visiteurs. Deuxième étape : restaurez la dernière sauvegarde saine connue en environnement isolé pour identifier ce qui a changé. Si vous n’avez pas de sauvegarde récente, un service de nettoyage professionnel est indispensable pour ne pas supprimer par erreur du contenu légitime. Notre service de nettoyage site hacké couvre l’ensemble de la procédure.
Faut-il payer pour un plugin de sécurité WordPress ?
La version gratuite de Wordfence protège efficacement un site personnel ou vitrine. Les fonctionnalités premium (règles de pare-feu en temps réel, scan immédiat des nouvelles failles) deviennent nécessaires dès que le site génère un chiffre d’affaires ou traite des données clients. Pour un site e-commerce, le coût annuel du plugin (~99 USD) est négligeable face au coût moyen d’un incident de sécurité.
Pour un accompagnement complet — audit, configuration et surveillance mensuelle — découvrez nos tarifs de maintenance WordPress ou demandez un devis adapté à votre situation.
