WordPress propulse 43 % des sites du web en 2026, ce qui en fait la cible n°1 des hackers. Chaque mois, des milliers de sites WordPress sont compromis par des bots automatisés qui exploitent des failles connues : plugins obsolètes, mots de passe faibles, fichiers non protégés. La bonne nouvelle : sécuriser un site WordPress est relativement simple si tu suis les 10 bonnes pratiques essentielles. Voici notre guide complet pour dormir tranquille.
Les 10 bonnes pratiques de sécurité WordPress en 2026
1. Mots de passe forts + 2FA
Utilise un mot de passe de 16+ caractères, unique, généré par un gestionnaire (Bitwarden, Proton Pass, 1Password). Active le 2FA (authentification à 2 facteurs) sur ton compte admin via Wordfence, iThemes Security ou WP 2FA.
2. Mises à jour régulières
WordPress core, thèmes et plugins doivent être mis à jour dès qu’une version sécurité sort. Active les mises à jour automatiques pour WordPress core et les plugins critiques. Les failles exploitées sont presque toujours sur des sites non à jour.
3. Plugin de sécurité
Installe Wordfence Security (gratuit) ou iThemes Security. Activation du firewall, scan malware hebdomadaire, blocage automatique des IP suspectes. C’est ta première ligne de défense contre les bots automatisés.
4. Sauvegardes automatiques
Sauvegardes quotidiennes automatiques vers un stockage externe (Dropbox, Google Drive, Amazon S3). UpdraftPlus Free est largement suffisant. La règle 3-2-1 : 3 copies, 2 supports, 1 hors site.
5. SSL gratuit (HTTPS)
SSL Let’s Encrypt gratuit disponible chez tous les hébergeurs sérieux. Configure HTTPS obligatoire, redirige HTTP → HTTPS. Essentiel pour la sécurité des formulaires et pour le SEO Google.
6. Limiter les tentatives de connexion
Bloque les tentatives de brute force sur /wp-login.php : Limit Login Attempts Reloaded (gratuit) bloque les IP après 3-5 échecs. Désactive aussi XML-RPC si tu ne l’utilises pas (via Wordfence).
7. Pas de username « admin »
Ne JAMAIS utiliser « admin » ou « administrator » comme nom d’utilisateur. Crée un user avec un pseudo unique (ex: « lebenteo-admin »). Les bots testent systématiquement « admin » d’abord.
8. Surveiller les connexions
Active les notifications d’email à chaque connexion admin (via Wordfence). Tu seras alerté immédiatement si quelqu’un se connecte depuis une IP inhabituelle. Simple et efficace.
9. Protéger wp-config.php
Déplace wp-config.php d’un dossier vers le haut (hors du dossier web), ou ajoute des règles .htaccess pour bloquer l’accès direct. Contient tes identifiants DB, critique.
10. Supprimer ce qui n’est pas utilisé
Désinstalle les plugins et thèmes non utilisés (ne pas juste désactiver). Chaque plugin installé est une surface d’attaque potentielle. Règle : installe uniquement ce dont tu as vraiment besoin.
Les 3 meilleurs plugins de sécurité WordPress
1. Wordfence Security — le standard
Plugin de sécurité WordPress le plus populaire avec 4 millions+ d’installations. Inclut : firewall, scan de malware, blocage d’IP, 2FA, monitoring en temps réel. Version gratuite suffisante pour 95% des sites. Premium à ~119 $/an pour firewall en temps réel et scan de fichiers core.
2. Solid Security (ex-iThemes)
Alternative plus légère à Wordfence. 30+ fonctionnalités de sécurité : scan de changements, blocage brute force, 2FA, base de données protégée, monitoring des 404. Version gratuite solide, Pro à ~80 $/an. À préférer si Wordfence ralentit ton site.
3. All In One WP Security
Plugin 100% gratuit avec système de points de sécurité (tu gagnes des points en activant des fonctionnalités). Plus technique que Wordfence mais très complet. À préférer si tu es bricoleur WordPress et que tu veux contrôler chaque réglage.
Que faire en cas de piratage WordPress ?
Étape 1 — Identifier l’intrusion : utilise Wordfence → scan complet pour identifier les fichiers modifiés ou ajoutés suspects. Note l’heure approximative du piratage.
Étape 2 — Isoler le site : mets le site en maintenance (plugin Maintenance) pour éviter que les visiteurs soient infectés ou que les bots continuent à exploiter la faille.
Étape 3 — Restaurer une sauvegarde propre : restaure la dernière sauvegarde antérieure au piratage depuis UpdraftPlus ou depuis ton hébergeur. C’est pour ça que les sauvegardes quotidiennes sont essentielles.
Étape 4 — Changer tous les mots de passe : WordPress admin, FTP, base de données MySQL, compte hébergeur, email. Utilise un gestionnaire de mots de passe pour générer des mots de passe forts uniques.
Étape 5 — Identifier la faille : regarde quel plugin ou thème a été exploité (souvent celui non mis à jour depuis longtemps). Supprime-le et remplace par une alternative maintenue.
Étape 6 — Scanner Google Search Console : si ton site a été compromis, Google peut l’avoir blacklisté. Demande une nouvelle vérification depuis Google Search Console.
Étape 7 — Durcir la sécurité : applique les 10 bonnes pratiques ci-dessus pour éviter que ça se reproduise.
Questions fréquentes sécurité WordPress
WordPress est-il vraiment moins sécurisé que les autres CMS ?
Non, pas en soi. WordPress core est audité régulièrement et maintenu par une grande communauté. Les failles viennent presque toujours de : plugins/thèmes tiers mal codés, versions non à jour, mots de passe faibles, hébergement compromis. WordPress est juste la cible n°1 car il propulse 43% du web. Appliqué avec les bonnes pratiques, un site WordPress est aussi sécurisé qu’un site Drupal ou Joomla.
Un hébergement avec WAF suffit-il ?
Non, le WAF (Web Application Firewall) de l’hébergeur est une bonne première ligne de défense mais pas suffisant. Tu dois aussi : mettre à jour tes plugins, utiliser un plugin de sécurité WordPress (Wordfence), faire des sauvegardes automatiques, utiliser 2FA. Le WAF bloque les attaques génériques mais pas les exploits spécifiques à un plugin obsolète. La sécurité WordPress est multicouche.
Combien coûte la sécurité WordPress ?
Budget minimum : 0 € avec Wordfence Free + UpdraftPlus Free + SSL gratuit Let’s Encrypt + bonnes pratiques manuelles. Budget recommandé : ~150 €/an avec Wordfence Premium (~119 $/an) + UpdraftPlus Premium (~70 $/an) pour sauvegardes cloud automatiques. La sécurité WordPress est très accessible financièrement, le vrai coût est en temps et en discipline.
Dois-je changer wp-admin en autre chose ?
Cela dépend. Changer l’URL admin (via Wordfence ou iThemes) protège contre les bots automatisés qui testent /wp-admin et /wp-login.php. Ça réduit le « bruit » des tentatives de connexion mais n’est pas une sécurité absolue (un attaquant déterminé trouvera toujours l’URL). Complémentaire à 2FA et limitation des tentatives, mais pas indispensable si tu as déjà ces protections.
Puis-je récupérer un site piraté sans sauvegarde ?
Oui mais difficile et risqué. Il faut identifier manuellement tous les fichiers compromis, les supprimer, réinstaller WordPress core propre, réinstaller les plugins/thèmes depuis les sources officielles, et espérer que la base de données n’a pas été modifiée. C’est chronophage et il reste toujours un risque de reste d’infection. Moralité : fais des sauvegardes automatiques quotidiennes dès maintenant, avant d’en avoir besoin. UpdraftPlus Free suffit.
Wordfence ralentit-il mon site WordPress ?
Légèrement, oui. Wordfence ajoute du code PHP qui s’exécute à chaque requête pour bloquer les attaques. Sur un hébergement solide, l’impact est imperceptible (< 5% de ralentissement). Sur un hébergement low-cost, l’impact peut atteindre 20% qui se ressent sur les Core Web Vitals. Alternative : Solid Security (anciennement iThemes Security) est plus léger. Ou utilise un hébergeur avec WAF intégré (o2switch, OVHcloud) et un plugin de sécurité plus léger.