Introduction
La sécurité de votre site WordPress n’est pas une option, c’est une nécessité absolue. Chaque jour, des milliers de sites WordPress sont attaqués, piratés, ou infectés par des malwares. Les conséquences peuvent être désastreuses :
- Perte totale de vos données
- Vol d’informations sensibles
- Site utilisé pour envoyer du spam
- Blacklistage par Google
- Perte de confiance des visiteurs
- Coûts de réparation élevés
- Pourquoi WordPress est ciblé par les hackers
- Les 15 mesures de sécurité essentielles à mettre en place immédiatement
- Comment détecter si votre site a été compromis
- Les bonnes pratiques pour maintenir un site sécurisé
- Les outils et plugins de sécurité recommandés
- Un exploit qui fonctionne peut toucher des millions de sites
- De nombreux tutoriels malveillants existent
- Des outils automatisés scannent constamment le web
- Mots de passe faibles (60% des cas)
- Plugins et thèmes obsolètes (30%)
- Hébergement peu sécurisé (5%)
- Erreurs humaines (5%)
- Minimum 16 caractères
- Mélange de majuscules, minuscules, chiffres, symboles
- Pas de mots du dictionnaire
- Pas d’informations personnelles (date de naissance, nom, etc.)
- Bitwarden (gratuit, open source)
- 1Password (payant, très complet)
- LastPass (freemium)
- KeePass (gratuit, local)
- Compte administrateur WordPress
- Compte FTP
- Compte base de données (MySQL)
- Compte hébergeur
- Compte email associé
password,123456,admin,wordpress- Votre nom, prénom, ou date de naissance
- Le même mot de passe partout
- Créez un nouvel utilisateur avec un nom différent :
- Déconnectez-vous
- Reconnectez-vous avec le nouveau compte
- Supprimez l’ancien compte « admin » :
- Wordfence > Login Security
- Trouvez votre compte et cliquez sur Setup 2FA
- Scannez le QR code avec une app d’authentification :
- Entrez le code à 6 chiffres généré
- Sauvegardez les codes de récupération (en cas de perte du téléphone)
- Installez et activez le plugin
- Utilisateurs > Votre profil
- Descendez à la section « Two Factor Authentication »
- Scannez le QR code avec votre app
- Entrez le code de vérification
- Cliquez sur Mettre à jour le profil
- Votre nom d’utilisateur et mot de passe
- Le code à 6 chiffres de votre app (change toutes les 30 secondes)
- Wordfence > All Options
- Section Brute Force Protection
- Lock out after how many login failures : 5 tentatives
- Lock out after how many forgot password attempts : 3 tentatives
- Lockout duration : 4 heures (ou plus)
- Cochez Immediately block the IP pour les attaques évidentes
- Enregistrez les modifications
- Installez et activez Limit Login Attempts Reloaded
- Settings > Limit Login Attempts
- Allowed retries : 3
- Minutes lockout : 20 minutes
- Lockout increase : 60 minutes après 4 lockouts
- Enregistrez
La bonne nouvelle ? La majorité des piratages sont prévisibles et évitables. Les hackers ciblent principalement les sites mal sécurisés avec des failles connues.
Dans cet article, vous découvrirez :
Important : Ce guide couvre les bases indispensables pour débuter. La sécurité est un processus continu, pas une configuration unique.
Pourquoi WordPress est-il ciblé par les hackers ?
La popularité est une arme à double tranchant
WordPress alimente plus de 43% des sites web dans le monde. Cette popularité massive en fait une cible privilégiée pour les hackers :
Les failles ne viennent pas de WordPress lui-même
Il est important de comprendre que WordPress en lui-même est sécurisé. Les piratages proviennent généralement de :
La bonne nouvelle : vous pouvez contrôler tous ces facteurs.
Les 15 mesures de sécurité essentielles
1. Utilisez des mots de passe forts et uniques
Pourquoi c’est critique : Un mot de passe faible est la porte d’entrée la plus facile pour les hackers. Les attaques par force brute (tester des milliers de combinaisons) sont extrêmement courantes.
Ce qu’il faut faire :
Créez un mot de passe fort pour l’admin WordPress :
Exemple de mot de passe fort :
Kx9#mP2@vL7$qR5&wN3!
Utilisez un gestionnaire de mots de passe :
Ces outils génèrent et stockent des mots de passe ultra-sécurisés. Vous n’avez qu’à retenir un seul mot de passe maître.
Mots de passe à changer :
Ne JAMAIS utiliser :
2. Changez le nom d’utilisateur « admin »
Pourquoi c’est critique : Par défaut, de nombreux sites utilisent « admin » comme nom d’utilisateur administrateur. Les hackers le savent et commencent toujours par tester ce nom.
Ce qu’il faut faire :
Si vous créez un nouveau site :
Choisissez un nom d’utilisateur unique lors de l’installation (jamais « admin »).
Si vous avez déjà « admin » :
Vous ne pouvez pas simplement le renommer. Voici la procédure :
– Utilisateurs > Ajouter
– Nom d’utilisateur : choisissez quelque chose d’unique (pas votre vrai nom)
– Email : utilisez une adresse email valide (peut être la même que admin)
– Rôle : Administrateur
– Mot de passe fort
– Cliquez sur Ajouter un utilisateur
– Utilisateurs > Tous les utilisateurs
– Survolez « admin » et cliquez sur Supprimer
– IMPORTANT : Attribuez tout le contenu au nouveau compte
– Confirmez la suppression
3. Activez l’authentification à deux facteurs (2FA)
Pourquoi c’est critique : Même avec un mot de passe volé, un hacker ne pourra pas se connecter sans le second facteur (généralement votre téléphone).
Ce qu’il faut faire :
Méthode 1 : Via Wordfence Security (si installé)
– Google Authenticator (iOS/Android)
– Authy (iOS/Android, plus flexible)
– Microsoft Authenticator (iOS/Android)
Méthode 2 : Plugin dédié
Installez Two Factor Authentication (gratuit) :
À partir de maintenant, à chaque connexion, vous devrez entrer :
Important : Sauvegardez les codes de récupération dans un endroit sûr (gestionnaire de mots de passe).
4. Limitez les tentatives de connexion
Pourquoi c’est critique : Sans limite, un hacker peut tester des milliers de combinaisons de mots de passe automatiquement (attaque brute force).
Ce qu’il faut faire :
Avec Wordfence (recommandé si déjà installé) :
Avec un plugin dédié – Limit Login Attempts Reloaded :
Résultat : Après 3 échecs de connexion, l’adresse IP est bloquée pendant 20 minutes.
5. Masquez la version de WordPress
Pourquoi c’est utile : Afficher votre version de WordPress aide les hackers à identifier si vous êtes vulnérable à des exploits connus.
Ce qu’il faut faire :
Méthode 1 : Plugin de sécurité
Wordfence et iThemes Security masquent automatiquement la version.
Méthode 2 : Manuellement
Ajoutez ce code au fichier functions.php de votre thème enfant :
// Supprimer la version WordPress du head
removeaction('wphead', 'wpgenerator');
// Supprimer la version des RSS feeds
addfilter('thegenerator', 'returnemptystring');
// Supprimer la version des scripts et styles
function removewpversionstrings($src) {
global $wpversion;
parsestr(parseurl($src, PHPURLQUERY), $query);
if (!empty($query['ver']) && $query['ver'] === $wpversion) {
$src = removequeryarg('ver', $src);
}
return $src;
}
addfilter('scriptloadersrc', 'removewpversionstrings');
addfilter('styleloadersrc', 'removewpversionstrings');
Note : Cette mesure seule n’est pas suffisante, mais elle ajoute une couche de protection.
6. Installez un plugin de sécurité complet
Pourquoi c’est critique : Un bon plugin de sécurité automatise et centralise de nombreuses protections.
Ce qu’il faut faire :
Option 1 : Wordfence Security (Recommandé)
Déjà détaillé dans l’article sur les plugins essentiels, voici les paramètres de sécurité spécifiques :
– Activez le « Learning Mode » pendant 1 semaine
– Puis passez en « Enabled and Protecting »
– General Wordfence Options : activez toutes les alertes email
– Firewall Options : laissez les paramètres par défaut (optimisés)
– Brute Force Protection : configurez comme indiqué plus haut
– Scan Options : programmez un scan quotidien à 2h du matin
Option 2 : iThemes Security
Interface plus simple, excellent pour les débutants :
– Changer le préfixe de base de données
– Sauvegarder la base de données
– Forcer HTTPS
– Masquer les informations de connexion
– Activer la détection de modifications de fichiers
Option 3 : Sucuri Security
Excellent scanner et monitoring :
– Activez les alertes email
– Configurez l’audit de sécurité
– Appliquez toutes les options disponibles (un clic chacune)
Conseil : Choisissez UN seul plugin de sécurité complet pour éviter les conflits. Wordfence est le plus populaire et complet.
7. Effectuez des sauvegardes régulières et automatiques
Pourquoi c’est critique : En cas de piratage, corruption, ou erreur, une sauvegarde récente vous permet de restaurer votre site en quelques minutes.
Ce qu’il faut faire :
Utilisez UpdraftPlus (détaillé dans l’article plugins essentiels) :
Configuration de sécurité optimale :
Testez vos sauvegardes :
Au moins une fois par mois, restaurez une sauvegarde sur un site de test pour vérifier qu’elle fonctionne.
Sauvegarde avant modifications importantes :
Avant de :
Créez une sauvegarde manuelle : UpdraftPlus > Backup Now
Stockage multiple :
Pour une sécurité maximale, sauvegardez vers 2 destinations différentes (ex: Dropbox + Google Drive).
8. Maintenez WordPress, plugins et thèmes à jour
Pourquoi c’est critique : Les mises à jour corrigent des failles de sécurité. Un plugin obsolète est une invitation ouverte aux hackers.
Ce qu’il faut faire :
Mises à jour WordPress :
WordPress installe automatiquement les mises à jour de sécurité mineures. Pour les mises à jour majeures :
Mises à jour plugins et thèmes :
Automatiser les mises à jour (recommandé) :
Pour les plugins de confiance, activez les mises à jour automatiques :
Important : Activez les mises à jour auto seulement pour :
Pour les plugins complexes ou personnalisés, testez manuellement.
Désinstallez les plugins/thèmes inutilisés :
Un plugin désactivé peut encore contenir des failles. Si vous ne l’utilisez pas, supprimez-le complètement.
9. Utilisez HTTPS (SSL) partout
Pourquoi c’est critique : HTTPS crypte les données entre le navigateur et votre serveur. Sans HTTPS :
Ce qu’il faut faire :
– Contactez votre hébergeur (la plupart installent Let’s Encrypt gratuitement)
– Visitez https://votresite.fr – un cadenas doit apparaître
– Installez et activez Really Simple SSL
– Cliquez sur Go ahead, activate SSL!
– Tout est configuré automatiquement
– Settings > General
– WordPress Address (URL) : doit commencer par https://
– Site Address (URL) : doit commencer par https://
Ajoutez cette ligne au fichier wp-config.php (avant « That’s all, stop editing! ») :
define('FORCESSLADMIN', true);
Really Simple SSL le fait automatiquement. Pour vérifier :
– Visitez http://votresite.fr (sans le S)
– Vous devez être redirigé vers https://votresite.fr
10. Protégez le fichier wp-config.php
Pourquoi c’est critique : Le fichier wp-config.php contient les informations les plus sensibles de votre site :
Ce qu’il faut faire :
Méthode 1 : Déplacer wp-config.php (recommandé)
WordPress permet de stocker wp-config.php dans le dossier parent :
wp-config.php du dossier /publichtml/ vers / (un niveau au-dessus)Méthode 2 : Protéger par .htaccess
Ajoutez ces lignes au fichier .htaccess à la racine de WordPress :
Order allow,deny
Deny from all
Vérifiez les permissions du fichier :
wp-config.php doit avoir les permissions 440 ou 400 (lecture seule) :
wp-config.php440 ou 400Générez de nouvelles clés de sécurité :
Si votre site existe depuis longtemps, régénérez les salt keys :
wp-config.phpdefine('AUTHKEY'... existantes par les nouvelles11. Désactivez l’édition de fichiers dans le tableau de bord
Pourquoi c’est critique : Par défaut, WordPress permet d’éditer les fichiers PHP directement depuis l’admin. Si un hacker accède à votre admin, il peut injecter du code malveillant.
Ce qu’il faut faire :
Ajoutez cette ligne au fichier wp-config.php (avant « That’s all… ») :
define('DISALLOWFILEEDIT', true);
Après cela :
Si vous devez modifier des fichiers, utilisez FTP ou le gestionnaire de fichiers de l’hébergeur.
12. Changez le préfixe de la base de données
Pourquoi c’est utile : Par défaut, les tables WordPress commencent par wp. Les hackers utilisent des requêtes SQL ciblant wpusers, wpposts, etc. Changer le préfixe complique les attaques par injection SQL.
Ce qu’il faut faire :
ATTENTION : Cette opération est délicate. Faites une sauvegarde complète avant.
Méthode simple : Plugin
xk7 au lieu de wp)Méthode manuelle (avancée) :
wp-config.php : changez $tableprefix = 'wp'; en $tableprefix = 'xk7_';Nouveau site : Définissez un préfixe personnalisé lors de l’installation initiale.
13. Protégez le répertoire wp-admin
Pourquoi c’est utile : Ajouter une couche de protection supplémentaire pour accéder à l’administration.
Ce qu’il faut faire :
Méthode 1 : Protection par mot de passe HTTP
Créez une authentification HTTP (en plus de la connexion WordPress) :
wp-adminMaintenant, pour accéder à /wp-admin, il faut :
Méthode 2 : Limiter par adresse IP
Si vous avez une IP fixe, autorisez seulement votre IP :
Créez un fichier .htaccess dans /wp-admin/ avec :
Order Deny,Allow
Deny from all
Allow from VOTRE.IP.FIXE
Remplacez VOTRE.IP.FIXE par votre adresse IP réelle (trouvez-la sur https://whatismyipaddress.com/).
Inconvénient : Vous ne pourrez accéder qu’avec cette IP (problème si vous voyagez).
14. Désactivez le XML-RPC si non utilisé
Pourquoi c’est utile : XML-RPC permet la publication à distance. C’est pratique mais souvent exploité pour les attaques DDoS et brute force.
Ce qu’il faut faire :
Vérifiez si vous l’utilisez :
XML-RPC est nécessaire pour :
Si vous n’utilisez aucun de ces services, désactivez-le.
Méthode 1 : Plugin
Installez et activez Disable XML-RPC (gratuit). C’est tout !
Méthode 2 : .htaccess
Ajoutez au fichier .htaccess à la racine :
Order Deny,Allow
Deny from all
Méthode 3 : Plugin de sécurité
Wordfence et iThemes Security offrent des options pour bloquer XML-RPC.
15. Surveillez et scannez régulièrement votre site
Pourquoi c’est critique : Détecter rapidement une intrusion limite les dégâts.
Ce qu’il faut faire :
Scanner de sécurité (Wordfence) :
Le scan vérifie :
Monitoring d’activité :
Installez WP Activity Log (gratuit) :
Consultez régulièrement pour détecter des activités suspectes.
Alertes email :
Configurez des alertes pour :
Services externes (bonus) :
Comment détecter si votre site a été piraté
Signes évidents
Signes subtils
Que faire si vous êtes piraté
Checklist de sécurité complète
Imprimez cette checklist et cochez au fur et à mesure :
Configuration initiale :
Maintenance régulière :
Monitoring :
Outils et ressources supplémentaires
Plugins de sécurité recommandés
Tout-en-un :
Spécialisés :
Services de sécurité externes
Sucuri (premium – 199$/an) :
Cloudflare (gratuit/payant) :
WP Engine / Kinsta (hébergement premium) :
Tests de sécurité
Scanner en ligne :
Tests de vulnérabilités :
Conclusion : la sécurité est un processus, pas un état
Sécuriser votre site WordPress n’est pas une tâche unique à cocher et oublier. C’est un processus continu qui demande vigilance et maintenance régulière.
Récapitulatif des actions immédiates
Si vous deviez ne faire que 5 choses maintenant :
Ces 5 actions vous protègent contre 80% des attaques courantes.
La sécurité n’est pas optionnelle
Investir du temps dans la sécurité maintenant vous évite :
Prochaines étapes
Maintenant que vous avez sécurisé votre site :
La sécurité est l’affaire de tous. Un site bien sécurisé vous permet de vous concentrer sur l’essentiel : créer du contenu de qualité et développer votre audience.
Ressources complémentaires
Votre site WordPress est maintenant beaucoup plus sécurisé qu’avant. Continuez à apprendre, à surveiller, et à mettre à jour. La tranquillité d’esprit que procure un site sécurisé n’a pas de prix.
Bon courage, et restez vigilant !