Comment sécuriser un WordPress ?
Sécuriser un WordPress avec les bons réglages, plugins et réflexes pour limiter les piratages, protéger vos données et restaurer vite sans stress en 2026.
Un site WordPress mal protégé est une porte d’entrée classique pour le piratage, le spam ou le détournement de contenu. La bonne nouvelle, c’est qu’on peut réduire fortement le risque avec une méthode simple : sécuriser l’hébergement, les accès, les extensions et les sauvegardes.
En 2026, la meilleure stratégie n’est pas de chercher le plugin miracle. Il faut surtout enlever les points faibles les plus fréquents, puis mettre en place des routines de contrôle qui tiennent dans la durée.
Ce qu’il faut protéger en priorité
Avant de parler d’outils, il faut savoir ce que vous défendez. Un WordPress ne contient pas seulement des pages et des articles : il donne accès à votre marque, à vos formulaires, à vos commandes si vous vendez en ligne, et parfois à des données clients.
Les quatre zones les plus sensibles
- L’accès d’administration : c’est la porte d’entrée principale.
- Le code du site : thèmes, plugins et fichiers du cœur WordPress.
- La base de données : comptes, contenus, réglages, commandes, formulaires.
- Les sauvegardes : elles sont votre assurance de sortie de crise.
Si l’une de ces zones faiblit, tout le reste peut suivre. C’est pour cela qu’une approche sérieuse ne se limite jamais à changer un mot de passe ou à installer une extension.
Commencer par les fondations techniques
Choisir un hébergeur qui prend la sécurité au sérieux
Votre hébergement compte autant que WordPress lui-même. Un bon hébergeur doit proposer au minimum :
- un certificat TLS gratuit ou facile à activer ;
- des sauvegardes automatiques ;
- une surveillance serveur et des correctifs réguliers ;
- une isolation correcte entre comptes clients ;
- un accès simple aux journaux et aux restaurations.
Si vous gérez un site professionnel, évitez les offres d’appel trop limitées. Une économie de quelques euros par mois peut coûter beaucoup plus cher au premier incident.
Activer le HTTPS partout
Le certificat TLS chiffre les échanges entre le navigateur et votre site. C’est indispensable pour protéger les identifiants, les formulaires et les données transmises.
À faire concrètement :
- Activez le certificat sur le domaine principal et les sous-domaines utiles.
- Forcez la redirection de HTTP vers HTTPS.
- Vérifiez que toutes les URL internes pointent bien vers la version sécurisée.
- Contrôlez qu’aucun contenu mixte ne subsiste, notamment des images ou scripts chargés en HTTP.
Sur la plupart des hébergements, un certificat Let’s Encrypt suffit largement pour démarrer. Si votre activité est sensible ou si vous avez besoin d’un support renforcé, un certificat payant peut se justifier, mais ce n’est pas ce qui sécurise le plus votre site.
Mettre à jour sans attendre
Les attaques exploitent très souvent des failles déjà corrigées. C’est pourquoi les mises à jour du cœur WordPress, des thèmes et des plugins restent la mesure la plus rentable.
Bon réflexe :
- activez les mises à jour automatiques pour les correctifs mineurs ;
- vérifiez rapidement les mises à jour majeures avant de les lancer sur un site critique ;
- supprimez les extensions et thèmes inactifs au lieu de les laisser dormir ;
- privilégiez les plugins maintenus récemment et compatibles avec votre version de WordPress.
Le vrai danger n’est pas seulement le logiciel obsolète. C’est surtout le plugin abandonné qui reste installé pendant des mois parce qu’il pourrait servir un jour.
Verrouiller l’administration WordPress
Renforcer les identifiants et les accès
Le piratage le plus banal reste le mot de passe faible ou réutilisé. Utilisez un gestionnaire de mots de passe et imposez des identifiants longs, uniques et aléatoires.
Les comptes administrateur doivent rester rares. Si plusieurs personnes interviennent sur le site, attribuez le rôle le plus bas possible : éditeur, auteur ou contributeur selon le besoin réel.
Ajoutez ensuite une double authentification. C’est l’une des protections les plus efficaces pour bloquer l’accès même si le mot de passe a fuité.
Limiter les tentatives de connexion
Un attaquant essaie souvent des centaines de combinaisons sur la page de connexion. Bloquer ou ralentir ces essais réduit fortement le risque.
Vous pouvez mettre en place :
- un blocage après plusieurs échecs ;
- un CAPTCHA ou une vérification invisible ;
- une alerte par e-mail en cas de connexion suspecte ;
- une restriction d’accès IP si vous êtes seul à administrer le site.
Désactiver l’éditeur de fichiers
WordPress permet par défaut de modifier certains fichiers depuis l’administration. Pour un site de production, mieux vaut désactiver cette fonction afin d’éviter qu’un compte compromis puisse injecter du code directement.
C’est une mesure simple, mais elle réduit la gravité d’une intrusion.
Réduire la surface d’attaque
Supprimer ce qui ne sert pas
Chaque extension supplémentaire ajoute une possibilité de faille. Faites régulièrement le tri dans :
- les plugins inactifs ;
- les thèmes non utilisés ;
- les comptes supprimés mais toujours présents ;
- les anciens formulaires ou pages de test.
Un WordPress bien sécurisé est souvent un WordPress plus léger.
Vérifier le fichier wp-config.php et les permissions
Certaines protections se jouent au niveau des fichiers. Les recommandations classiques restent utiles :
- permissions de fichiers raisonnables, souvent 644 pour les fichiers et 755 pour les dossiers ;
- clés de sécurité WordPress à jour dans
wp-config.php; - accès à la base de données limité à l’utilisateur nécessaire ;
- pas de sauvegardes publiques laissées dans le répertoire web.
Si vous partez de zéro, vous pouvez aussi changer le préfixe des tables de base de données. Cela gêne surtout les attaques opportunistes. En revanche, ce n’est pas une vraie barrière de sécurité à lui seul.
Désactiver xmlrpc.php si vous n’en avez pas besoin
Le fichier XML-RPC sert à certaines fonctions distantes, mais il est aussi fréquemment ciblé pour des attaques par force brute ou des usages détournés.
Si vous n’utilisez ni l’application mobile WordPress ni un outil qui en dépend, vous pouvez le désactiver. Si vous en avez besoin, laissez-le actif mais protégez l’accès autrement.
Choisir les bons outils sans surcharger le site
Les plugins de sécurité sont utiles s’ils répondent à un besoin clair. Ils ne remplacent pas une hygiène de base, mais ils apportent un pare-feu applicatif, des alertes, des scans et du blocage automatique.
| Mesure | À quoi elle sert | Priorité | Remarque |
|---|---|---|---|
| HTTPS / TLS | Chiffrer les échanges | Très élevée | À activer dès la mise en ligne |
| Mises à jour régulières | Corriger les failles connues | Très élevée | Cœur, thèmes et plugins |
| Double authentification | Bloquer l’accès volé | Très élevée | Surtout sur les comptes admin |
| Sauvegardes automatiques | Revenir en arrière vite | Très élevée | À tester régulièrement |
| Pare-feu applicatif | Filtrer les attaques courantes | Élevée | Un seul plugin bien choisi suffit |
| Surveillance des fichiers | Détecter les modifications suspectes | Élevée | Utile sur site professionnel |
Comment choisir un plugin de sécurité
Regardez trois critères :
- la réputation de l’éditeur ;
- la fréquence des mises à jour ;
- la lisibilité des alertes et des logs.
Un bon outil doit vous aider à comprendre ce qui se passe, pas seulement à produire des notifications. Sur un petit site, un plugin comme Wordfence, Solid Security ou Sucuri peut couvrir l’essentiel. Mais installez-en un seul, configurez-le correctement, puis surveillez les alertes.
Sauvegarder comme si une panne allait arriver
Appliquer la règle 3-2-1
La règle 3-2-1 reste une base très solide :
- 3 copies de vos données ;
- 2 supports différents ;
- 1 copie hors du serveur principal.
Concrètement, gardez au minimum une sauvegarde sur votre hébergement, une autre dans un espace externe, et une copie récente hors ligne ou chez un prestataire distinct.
Tester les restaurations
Une sauvegarde qui n’a jamais été testée n’est pas une garantie. Vérifiez régulièrement que vous pouvez restaurer :
- les fichiers du site ;
- la base de données ;
- les médias ;
- la configuration des extensions essentielles.
Faites au moins un test de restauration complète après une mise à jour majeure ou avant une période commerciale importante.
Surveiller et réagir sans attendre
La sécurité n’est pas un chantier ponctuel. C’est une routine légère mais régulière.
Les signaux qui doivent vous alerter
- une baisse brutale du trafic ou des redirections bizarres ;
- des comptes administrateur inconnus ;
- des plugins qui se réinstallent ou se réactivent seuls ;
- des modifications de fichiers sans explication ;
- des e-mails de connexion inhabituels.
Dès qu’un doute apparaît, consultez les journaux de connexion, vérifiez les fichiers récemment modifiés et contrôlez les comptes utilisateurs.
Mettre en place un rythme simple
Un bon rythme de base peut ressembler à ceci :
- chaque semaine : mises à jour et vérification rapide des alertes ;
- chaque mois : contrôle des comptes, plugins et sauvegardes ;
- chaque trimestre : test de restauration et audit des accès ;
- après chaque incident : changement des mots de passe et revue des permissions.
Les erreurs fréquentes à éviter
Miser sur une seule protection
Beaucoup de sites sont protégés par un seul mot de passe fort ou par un plugin. C’est insuffisant. La sécurité fonctionne par couches.
Garder des extensions inutilisées
Un plugin désactivé mais toujours présent reste une cible. Si vous ne l’utilisez plus, supprimez-le.
Oublier les comptes et les accès
Quand un collaborateur part, son compte doit être supprimé ou rétrogradé immédiatement. Même logique pour l’accès à l’hébergement, à la base de données et à la messagerie liée au site.
Ne jamais tester les sauvegardes
Le jour où le site tombe, vous n’avez pas le temps d’apprendre à restaurer. Le test doit se faire avant la crise.
Par quoi commencer cette semaine
Si vous voulez sécuriser un WordPress sans vous disperser, suivez cet ordre :
- Activez le HTTPS si ce n’est pas déjà fait.
- Mettez à jour WordPress, les thèmes et les plugins.
- Supprimez les extensions et thèmes inutilisés.
- Changez les mots de passe faibles et activez la double authentification.
- Vérifiez vos sauvegardes et faites un test de restauration.
- Installez un seul plugin de sécurité si vous avez besoin de pare-feu et d’alertes.
Conclusion
Sécuriser un WordPress ne demande pas une architecture compliquée, mais de la méthode. Les attaques exploitent surtout les oublis : mises à jour repoussées, mots de passe faibles, comptes trop nombreux et sauvegardes absentes.
Commencez par les bases, puis ajoutez une couche de surveillance. Si vous ne deviez retenir qu’une règle, ce serait celle-ci : mieux vaut un WordPress simple, à jour et sauvegardé qu’un site suréquipé mais mal entretenu.
Questions fréquentes
Un certificat SSL suffit-il à sécuriser un WordPress ?
Non. Le certificat SSL, aujourd'hui plutôt appelé TLS, chiffre les échanges entre le visiteur et votre site, mais il ne protège ni vos mots de passe faibles ni vos extensions vulnérables. C'est une base indispensable, pas une protection complète. Pour un WordPress solide, ajoutez les mises à jour, la double authentification, des sauvegardes et un contrôle strict des accès.
Faut-il installer un plugin de sécurité sur WordPress ?
Souvent oui, mais un seul plugin bien configuré suffit généralement. Il peut ajouter un pare-feu applicatif, du blocage de tentatives de connexion, des alertes et des scans de fichiers. En revanche, empiler plusieurs extensions de sécurité crée parfois des conflits et alourdit le site. Choisissez un outil fiable et complétez-le avec des mesures de base.
Comment savoir si mon site WordPress a été piraté ?
Des redirections étranges, des comptes administrateur inconnus, des plugins qui se réinstallent seuls, du spam ou une chute brutale du trafic sont des signaux d'alerte. Vérifiez aussi les fichiers récemment modifiés et les journaux de connexion si votre hébergeur les fournit. En cas de doute, isolez le site, changez les mots de passe et restaurez une sauvegarde saine.
Quelle est la première chose à faire si mon WordPress est compromis ?
Coupez l'accès au site si possible, puis changez immédiatement les mots de passe WordPress, hébergement, base de données et messagerie. Ensuite, identifiez la porte d'entrée probable : plugin vulnérable, mot de passe faible, compte volé ou hébergement mal sécurisé. Si vous avez une sauvegarde saine antérieure à l'attaque, restaurez-la seulement après avoir corrigé la faille.