Introduction
Vous avez créé votre site WordPress. Il est en ligne, il fonctionne, vous en êtes fier. Maintenant, une question inconfortable : est-ce qu’il est sécurisé ?
Pour la plupart des entrepreneurs qui lancent leur premier site, la sécurité n’est pas une priorité. On pense « je suis une petite entreprise, personne ne va s’attaquer à moi ». Et c’est exactement ce que les pirates comptent sur vous pour penser.
La réalité est plus brutale : les attaques contre les sites WordPress sont rarement ciblées. Ce sont des robots automatisés qui scannent le web en permanence, testent des milliers de sites par heure, et s’engouffrent dans la première faille venue. Votre taille ne vous protège pas. Votre ancienneté non plus. Ce qui vous protège, ce sont les bons réflexes — appliqués dès le départ.
WordPress propulse aujourd’hui plus de 40 % des sites web dans le monde. C’est sa force — et sa cible. Cette popularité en fait le CMS le plus attaqué de la planète, pas parce qu’il est fondamentalement peu sûr, mais parce qu’il est partout, et que beaucoup de ses utilisateurs négligent les bases.
Ce guide est là pour que vous ne fassiez pas partie de cette statistique.
Pourquoi les sites WordPress se font pirater — et ce que ça coûte vraiment
Avant les réflexes, un peu de contexte. Comprendre pourquoi les sites sont attaqués aide à comprendre pourquoi les protections fonctionnent.
Les raisons d'une attaque
Les pirates n’en ont pas nécessairement après vos données personnelles ou votre argent. Les motivations les plus fréquentes sont plus prosaïques :
L’injection de spam et de liens. Votre site est utilisé pour héberger des liens vers des sites frauduleux ou des pages de phishing, invisibles pour vous mais indexés par Google. Résultat : votre référencement s’effondre et votre domaine est blacklisté.
L’envoi de mails frauduleux. Votre serveur est détourné pour envoyer des milliers d’emails de spam à l’insu de votre hébergeur — jusqu’à ce que votre compte soit suspendu.
Le vol de données clients. Si vous gérez une boutique WooCommerce, des données de commande, des adresses email et parfois des informations de paiement transitent par votre site. Ce sont des données précieuses sur le marché noir.
Le ransomware. Dans les cas les plus graves, le site est chiffré et une rançon est demandée pour le restaurer.
Ce que ça coûte vraiment
Au-delà du côté technique, un site piraté a des conséquences très concrètes sur votre activité :
- Votre site hors ligne = des ventes perdues, des clients qui tombent sur un message d’erreur
- Votre domaine blacklisté par Google = des semaines pour récupérer votre positionnement
- Votre réputation entachée si des clients reçoivent des mails frauduleux en votre nom
- Des heures — parfois des jours — pour nettoyer, restaurer et sécuriser après coup
Le nettoyage d’un site piraté coûte entre 200 et 2 000 € si vous faites appel à un professionnel. Les réflexes préventifs présentés ici sont gratuits ou quasi-gratuits. Le calcul est vite fait.
Réflexe 1 : Choisissez un hébergeur sérieux — c'est la fondation de tout
La sécurité de votre site commence avant même d’installer WordPress. Elle commence chez votre hébergeur.
Un hébergement bon marché sur un serveur partagé mal configuré, sans pare-feu ni surveillance active, c’est une invitation pour les attaquants. À l’inverse, un hébergeur sérieux vous offre une première couche de protection que vous n’aurez pas à gérer vous-même.
Ce que doit proposer un bon hébergeur WordPress
Un certificat SSL inclus. Le fameux cadenas dans la barre d’adresse — qui transforme votre URL en https://. Sans lui, les données échangées entre votre site et vos visiteurs circulent en clair sur le réseau. Aujourd’hui, tout hébergeur sérieux inclut un certificat SSL gratuit (via Let’s Encrypt) dans ses offres. Si le vôtre ne le fait pas, changez d’hébergeur.
Des sauvegardes automatiques quotidiennes. Idéalement conservées pendant au moins 14 jours, accessibles en un clic depuis votre interface d’administration. C’est votre filet de sécurité ultime.
Un pare-feu applicatif (WAF). Certains hébergeurs spécialisés WordPress (WP Serveur, Kinsta, WP Engine, O2Switch en France) intègrent un pare-feu qui filtre les requêtes malveillantes avant même qu’elles atteignent votre site.
Des mises à jour de l’environnement serveur. PHP, MySQL, les logiciels serveur doivent être maintenus à jour par l’hébergeur. Vérifiez que votre hébergeur fait tourner une version récente de PHP (8.1 minimum en 2024).
⚠️ Le réflexe à adopter dès maintenant : connectez-vous à votre interface d’hébergement et vérifiez que votre SSL est actif, que des sauvegardes automatiques sont configurées, et que votre version de PHP est à jour. Si vous ne trouvez pas ces informations, contactez le support de votre hébergeur.
Réflexe 2 : Sécurisez l'accès à votre tableau de bord
La page de connexion WordPress (/wp-admin ou /wp-login.php) est la cible numéro un des attaques par force brute — des robots qui testent automatiquement des milliers de combinaisons identifiant/mot de passe jusqu’à trouver la bonne.
Quatre actions simples réduisent ce risque de façon drastique.
Changez l'identifiant "admin"
Par défaut, beaucoup d’installations WordPress créent un compte avec l’identifiant admin. C’est le premier identifiant que les robots testent. Si le vôtre s’appelle encore admin, créez immédiatement un nouveau compte administrateur avec un identifiant unique, transférez-y vos contenus, et supprimez l’ancien.
Utilisez un mot de passe fort — vraiment fort
Un mot de passe fort pour WordPress, c’est : au moins 16 caractères, mélange de majuscules, minuscules, chiffres et symboles, sans aucun mot du dictionnaire ni information personnelle. WordPress génère lui-même un mot de passe fort lors de la création de compte — utilisez-le, et stockez-le dans un gestionnaire de mots de passe (Bitwarden, 1Password, ou le trousseau de votre navigateur).
« Le nom de mon chat suivi de ma date de naissance » n’est pas un mot de passe fort.
Activez l'authentification à deux facteurs (2FA)
Même avec un mot de passe solide, le 2FA ajoute une couche indispensable : même si quelqu’un obtient votre mot de passe, il lui faudra aussi accéder à votre téléphone pour se connecter. L’extension WP 2FA (gratuite) permet de l’activer en quelques minutes.
Limitez les tentatives de connexion
Par défaut, WordPress autorise un nombre illimité de tentatives de connexion. Un robot peut en tester des millions sans être bloqué. L’extension Limit Login Attempts Reloaded (gratuite) bloque automatiquement une adresse IP après un nombre défini d’échecs. C’est l’une des protections les plus efficaces contre les attaques par force brute.
💡 Bonus : vous pouvez aussi changer l’URL de connexion par défaut (
/wp-login.php) pour une URL personnalisée via des extensions comme WPS Hide Login. Moins les robots trouvent la porte, moins ils peuvent frapper dessus.
Réflexe 3 : Mettez à jour — systématiquement, sans exception
C’est le réflexe le plus simple et le plus négligé. La grande majorité des sites WordPress piratés l’ont été à cause d’une extension, d’un thème ou d’un cœur WordPress non mis à jour.
Pourquoi ? Parce que les mises à jour corrigent des failles de sécurité. Quand une faille est corrigée et publiée, les pirates le savent aussi — et ils se précipitent sur les sites qui n’ont pas encore appliqué la mise à jour. L’intervalle entre la publication d’une mise à jour et les premières attaques exploitant l’ancienne faille est parfois inférieur à 48 heures.
Ce qu'il faut mettre à jour
Le cœur WordPress : la mise à jour majeure annuelle et les mises à jour mineures de sécurité qui paraissent régulièrement. Les mises à jour mineures peuvent être activées en automatique sans risque.
Toutes vos extensions : chaque extension installée est une surface d’attaque potentielle. Une extension non maintenue par son développeur depuis plus d’un an est un risque. Désinstallez ce que vous n’utilisez pas — chaque extension inactive est une faille potentielle inutile.
Votre thème : même logique. Mettez à jour votre thème actif, et supprimez les thèmes inactifs que vous avez peut-être installés pour tester.
La règle de la mise à jour
Fixez-vous un rendez-vous hebdomadaire — le lundi matin, le vendredi en fin de journée, peu importe — pour vérifier et appliquer les mises à jour disponibles. Cinq minutes par semaine suffisent. Et sauvegardez toujours avant de mettre à jour (voir réflexe suivant).
⚠️ Attention aux extensions abandonnées : dans le tableau de bord WordPress, une extension qui n’a pas été mise à jour depuis plus de 2 ans et qui n’est plus compatible avec les dernières versions de WordPress est un signal d’alarme. Cherchez une alternative maintenue activement.
Réflexe 4 : Sauvegardez — avant que ça n'arrive
La sauvegarde, c’est votre plan B. Pas votre plan A. Votre plan A, c’est tout ce qui précède. Mais même avec les meilleures protections, personne n’est à l’abri d’un problème — une mise à jour qui casse le site, une erreur de manipulation, une attaque sophistiquée.
Sans sauvegarde récente, un problème grave peut signifier recommencer votre site de zéro. Avec une sauvegarde d’hier, c’est une heure de travail pour restaurer.
La règle des 3-2-1
La règle de sauvegarde de référence, simple à retenir :
- 3 copies de vos données
- Sur 2 supports différents
- Dont 1 hors site (cloud, serveur distant)
En pratique pour un site WordPress :
Votre hébergeur fait des sauvegardes automatiques ? C’est votre première copie. Mais ne vous en contentez pas — si votre hébergeur est compromis, vos sauvegardes peuvent l’être aussi.
Une extension de sauvegarde comme UpdraftPlus (gratuite, excellente) permet de programmer des sauvegardes automatiques envoyées directement vers Google Drive, Dropbox ou Amazon S3. C’est votre deuxième copie, hors site.
Une sauvegarde manuelle avant chaque intervention importante (mise à jour majeure, modification du thème, installation d’une nouvelle extension).
💡 Test de restauration : une sauvegarde que vous n’avez jamais testée est une sauvegarde dont vous ne savez pas si elle fonctionne. Une fois par trimestre, testez la restauration de votre sauvegarde sur un environnement de test. Vous serez beaucoup plus serein si vous en avez besoin pour de vrai.
Réflexe 5 : Installez un plugin de sécurité
Un bon plugin de sécurité WordPress joue le rôle d’un système d’alarme : il surveille en permanence ce qui se passe sur votre site, détecte les anomalies et vous alerte avant que la situation ne dégénère.
Les options recommandées
Wordfence Security (version gratuite très complète) : pare-feu applicatif, scanner de malwares, surveillance des tentatives de connexion, alertes par email. C’est la référence — plus de 4 millions d’installations actives.
Solid Security (anciennement iThemes Security) : très bon pour durcir la configuration WordPress — masquer la version, protéger les fichiers sensibles, détecter les changements de fichiers.
Sucuri Security : excellent pour la surveillance et la détection d’intrusion. La version premium inclut un CDN avec pare-feu intégré.
Ce qu'un plugin de sécurité fait pour vous
- Scanner vos fichiers à la recherche de malwares connus
- Surveiller les modifications de fichiers (un fichier modifié sans raison est souvent le signe d’une intrusion)
- Bloquer les adresses IP suspectes
- Vous alerter par email en cas d’événement anormal
- Vérifier que votre site n’est pas blacklisté par Google ou les antivirus
⚠️ N’installez pas plusieurs plugins de sécurité simultanément : ils peuvent entrer en conflit et ralentir significativement votre site. Choisissez-en un, configurez-le bien, et faites-lui confiance.
Réflexe 6 : Gérez vos extensions avec rigueur
Les extensions WordPress sont à la fois sa grande force et sa principale vulnérabilité. Il en existe plus de 60 000 dans le répertoire officiel — de qualité très inégale.
Les règles d'or des extensions
Moins, c’est plus. Chaque extension installée est du code supplémentaire sur votre site, une surface d’attaque potentielle, et une source possible de conflit. N’installez que ce dont vous avez vraiment besoin.
Vérifiez avant d’installer. Dans le répertoire WordPress, regardez : la note (4 étoiles minimum), le nombre d’installations actives (100 000+ c’est rassurant), la date de la dernière mise à jour (moins de 6 mois), et la compatibilité avec votre version de WordPress.
Supprimez ce que vous n’utilisez pas. Une extension désactivée mais toujours installée reste un vecteur d’attaque. Désactiver ne suffit pas — supprimez.
Méfiez-vous des extensions premium piratées. Les sites qui proposent des extensions payantes gratuitement (« nulled plugins ») injectent presque systématiquement du code malveillant. C’est l’une des sources d’infection les plus courantes. N’installez jamais une extension premium en dehors des canaux officiels.
Réflexe 7 : Configurez les permissions de fichiers correctement
C’est le réflexe le plus technique de cette liste — mais il peut être vérifié en quelques minutes via votre hébergeur ou un plugin de sécurité.
Les fichiers et dossiers de votre site WordPress ont des « permissions » qui définissent qui peut les lire, les modifier ou les exécuter. Des permissions trop larges permettent à un attaquant — ou à un script malveillant — de modifier des fichiers critiques.
Les permissions recommandées
- Fichiers : 644 (lecture pour tous, écriture uniquement pour le propriétaire)
- Dossiers : 755 (lecture et navigation pour tous, écriture uniquement pour le propriétaire)
- wp-config.php : 600 ou 640 (lecture restreinte au maximum — ce fichier contient vos identifiants de base de données)
La plupart des plugins de sécurité (Wordfence, Solid Security) vérifient ces permissions automatiquement et vous alertent si quelque chose est mal configuré.
Réflexe 8 : Surveillez et auditez régulièrement
Un site sécurisé, ce n’est pas un site qu’on configure une fois et qu’on oublie. C’est un site qu’on surveille.
Le tableau de bord de santé WordPress
WordPress intègre depuis la version 5.1 un outil natif souvent ignoré : Outils > Santé du site. Il analyse votre configuration et vous donne une liste de points à améliorer, classés par priorité. Consultez-le au moins une fois par mois.
Google Search Console
Gratuite, indispensable pour tout site professionnel. Google Search Console vous alerte si votre site est détecté comme malveillant, si des pages inattendues apparaissent dans l’index, ou si votre site est pénalisé. Ces alertes sont souvent le premier signe d’une intrusion.
Les logs d'accès
Votre hébergeur vous donne accès aux logs de votre serveur. En cas de comportement anormal (lenteur soudaine, erreurs inhabituelles), ces logs permettent d’identifier l’origine du problème. Ce n’est pas un outil du quotidien, mais savoir où les trouver peut vous faire gagner un temps précieux en cas de crise.
🎓 Gérez votre WordPress en toute confiance — Formation DIGITEA
Maîtriser la sécurité de son site WordPress, c’est une compétence. Comme toutes les compétences, elle s’apprend — et une fois acquise, elle vous protège durablement sans que vous ayez à payer quelqu’un à chaque problème.
Chez DIGITEA – Centre de Formation, nous accompagnons artisans, e-commerçants, restaurateurs et indépendants qui veulent gérer leur site WordPress avec autonomie et sérénité — de la création à la maintenance, en passant par la sécurité.
Notre formation WordPress couvre notamment :
✅ Comprendre l’architecture WordPress et ses composants clés
✅ Configurer son site avec les bons réglages de sécurité dès le départ
✅ Choisir, installer et gérer ses extensions en toute sécurité
✅ Mettre en place une stratégie de sauvegarde fiable et automatisée
✅ Surveiller son site et réagir vite en cas d’anomalie
✅ Maintenir son site à jour sans casser ce qui fonctionne
✅ Optimiser les performances — parce qu’un site rapide est aussi un site mieux protégé
La formation est éligible aux financements professionnels (OPCO selon votre statut) — contactez-nous pour connaître vos droits et les démarches.
Parce qu’un site WordPress bien géré, c’est un site qui travaille pour votre entreprise — pas contre elle.
