• Accueil
  • Blogue
  • Sécurité WordPress : 10 mesures pour protéger votre site contre les pirates en 2026

Sécurité WordPress : 10 mesures pour protéger votre site contre les pirates en 2026

Publié par Pascal Couturier le 9 juillet 2024 (Mis à jour le 10 mars 2026)
Sécurité Wordpress

WordPress propulse plus de 43 % des sites web dans le monde. C’est sa plus grande force — et sa principale vulnérabilité. Cette popularité en fait la cible numéro un des pirates informatiques : des milliers de sites WordPress sont compromis chaque jour, dont une grande majorité appartenant à des PME qui pensaient que leur site était « trop petit pour être intéressant ».

La bonne nouvelle : la plupart des piratages sont évitables. Ils exploitent des failles connues et documentées — des plugins obsolètes, des mots de passe faibles, des configurations par défaut jamais modifiées. Ce guide vous donne les 10 mesures concrètes pour sécuriser votre site WordPress efficacement, sans être développeur.

Pourquoi WordPress est une cible privilégiée

Les pirates n’ont pas de préférence personnelle pour WordPress. Ils utilisent des scripts automatisés qui scannent des millions de sites à la recherche de failles connues — peu importe la taille du site, son secteur ou son trafic. Votre site de PME est aussi susceptible d’être ciblé qu’un grand portail e-commerce.

Les motivations des pirates :

  • Injecter des redirections vers des sites malveillants ou frauduleux
  • Utiliser votre serveur pour envoyer du spam en masse
  • Installer un ransomware ou chiffrer vos données
  • Voler des données personnelles (emails, mots de passe, données de paiement)
  • Référencer du contenu illicite sur votre domaine pour profiter de votre autorité SEO

Les vecteurs d’attaque les plus fréquents

Vecteur d’attaqueFréquence
Plugins et thèmes vulnérables~56 % des piratages
Mots de passe faibles (brute force)~16 %
Core WordPress obsolète~8 %
Hébergement mal configuré~8 %
Autres (backdoors, injections SQL)~12 %

Source : Wordfence Threat Intelligence Report 2025

La première ligne de défense commence donc avant même d’installer un plugin de sécurité : le choix de votre hébergement WordPress.

Avant tout : l’importance de l’hébergement

Un hébergement WordPress de qualité intègre des protections au niveau serveur qu’aucun plugin ne peut reproduire : pare-feu réseau, isolation des comptes, détection d’intrusion, versions PHP à jour et certificat SSL inclus.

Sur un hébergement mutualisé bas de gamme, si un site voisin est compromis, votre site peut l’être aussi — même si vous avez fait tout le reste correctement. C’est ce qu’on appelle la contamination entre comptes.

Un hébergement WordPress géré configure et maintient ces protections pour vous : PHP toujours à jour, HTTPS forcé, sauvegardes quotidiennes et pare-feu applicatif actif. C’est le socle sur lequel reposent toutes les autres mesures de sécurité.

Les 10 mesures de sécurité WordPress essentielles

1. Maintenir WordPress, les plugins et les thèmes à jour

C’est la mesure la plus impactante et la plus négligée. Chaque mise à jour de plugin corrige potentiellement des failles de sécurité documentées — ce qui signifie qu’une fois la faille publiée, les pirates disposent d’un guide d’attaque pour tous les sites qui n’ont pas encore mis à jour.

À faire :

  • Activer les mises à jour automatiques pour le core WordPress (WordPress Admin → Tableau de bord → Mises à jour → activer les mises à jour automatiques)
  • Mettre à jour manuellement les plugins et thèmes au moins une fois par semaine
  • Supprimer les plugins et thèmes désactivés mais non supprimés — ils restent des vecteurs d’attaque même inactifs

Note : avant toute mise à jour majeure, effectuez une sauvegarde WordPress complète. Une mise à jour peut causer des incompatibilités.

2. Utiliser des mots de passe forts et uniques

Les attaques par force brute testent des milliers de combinaisons de mots de passe par minute sur la page /wp-login.php. Un mot de passe faible est compromis en quelques minutes.

Standards minimaux :

  • Minimum 16 caractères
  • Combinaison de lettres majuscules, minuscules, chiffres et caractères spéciaux
  • Unique pour chaque site (ne jamais réutiliser un mot de passe)

Utilisez un gestionnaire de mots de passe — Bitwarden (gratuit, open source) ou 1Password — pour générer et stocker des mots de passe complexes sans avoir à les mémoriser.

Appliquer cette règle à tous les comptes WordPress : administrateur, éditeur, auteur. Un compte éditeur compromis peut permettre l’injection de contenu malveillant.

3. Activer l’authentification à deux facteurs (2FA)

Le 2FA ajoute une couche de protection décisive : même si un pirate obtient votre mot de passe, il ne peut pas se connecter sans le second facteur (code généré par une application sur votre téléphone).

Plugin recommandé : WP 2FA (gratuit, par l’équipe de WP White Security)

Configuration :

  1. Installer et activer WP 2FA
  2. Suivre l’assistant de configuration
  3. Télécharger Google Authenticator ou Authy sur votre téléphone
  4. Scanner le QR code affiché
  5. Tester la connexion avec le code généré

Appliquez le 2FA à tous les comptes administrateur sans exception.

4. Changer l’URL de connexion par défaut

L’URL /wp-login.php est identique sur tous les sites WordPress — les bots la connaissent par cœur et la ciblent en permanence. Changer cette URL réduit drastiquement le volume d’attaques brute force.

Plugin recommandé : WPS Hide Login (gratuit, léger)

Choisissez une URL non évidente (pas /admin, /login ou /connexion) et notez-la soigneusement — si vous l’oubliez, vous perdez l’accès à votre tableau de bord.

5. Limiter les tentatives de connexion

Par défaut, WordPress autorise un nombre illimité de tentatives de connexion. Un outil d’attaque brute force peut en effectuer des milliers par minute. Limiter ces tentatives bloque l’attaque dès les premiers essais infructueux.

Plugin recommandé : Limit Login Attempts Reloaded (gratuit)

Configuration recommandée :

  • Blocage après 3 tentatives échouées
  • Durée du blocage : 20 minutes pour la première infraction, 24h pour les suivantes
  • Notifier l’administrateur par email à chaque blocage

6. Installer et configurer Wordfence Security

Wordfence est le plugin de sécurité WordPress le plus utilisé au monde — plus de 4 millions d’installations actives. Il combine un pare-feu applicatif, un scanner de malwares et une surveillance en temps réel.

Installation :

  1. WordPress Admin → Extensions → Ajouter → rechercher Wordfence Security
  2. Installer et activer
  3. Entrer votre adresse email pour recevoir les alertes
  4. Lancer le scan initial

Configuration recommandée :

Pare-feu (Firewall) :

  • Mode : Étendu (nécessite une modification du fichier .htaccess — Wordfence vous guide)
  • Activer la protection contre les bots malveillants
  • Activer le blocage des pays si votre clientèle est exclusivement québécoise

Scanner :

  • Sensibilité : Élevée
  • Planifier un scan automatique quotidien
  • Activer la vérification des fichiers core contre les versions officielles

Alertes email à activer :

  • Nouvelle connexion administrateur
  • Utilisateur bloqué
  • Nouveau malware détecté
  • Plugin ou thème avec vulnérabilité connue

Version gratuite vs Premium : la version gratuite offre une protection solide mais les signatures de menaces sont mises à jour avec un délai de 30 jours. La version Premium (~119$/an) reçoit les mises à jour en temps réel — recommandée pour les sites e-commerce ou les sites manipulant des données sensibles.

7. Installer un certificat SSL et forcer HTTPS

Le SSL chiffre les communications entre votre visiteur et votre serveur. Sans SSL, les données transmises via vos formulaires (coordonnées, mots de passe, données de paiement) circulent en clair sur le réseau.

Vérification : votre site affiche-t-il un cadenas dans la barre d’adresse du navigateur et une URL en https:// ?

Si votre hébergeur n’inclut pas le SSL gratuitement, changez d’hébergeur — c’est un standard minimal en 2026. Notre hébergement WordPress inclut le certificat SSL Let’s Encrypt avec renouvellement automatique.

Forcer HTTPS via .htaccess :

RewriteEngine On                                                   
 RewriteCond %{HTTPS} off                                                      
 RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ajoutez ce bloc en haut de votre fichier .htaccess, avant les règles WordPress existantes.

8. Sauvegarder régulièrement votre site

Une sauvegarde récente est votre filet de sécurité ultime en cas de piratage. Si votre site est compromis, une restauration depuis une sauvegarde saine est souvent plus rapide et plus fiable que de tenter de nettoyer manuellement un site infecté.

Consultez notre guide complet sur la sauvegarde WordPress pour configurer Duplicator et automatiser vos backups vers Google Drive.

Fréquence minimale recommandée : quotidienne, avec rétention de 14 jours.

9. Protéger le fichier wp-config.php

wp-config.php contient les identifiants de connexion à votre base de données — c’est le fichier le plus sensible de votre installation WordPress. Deux protections simples à mettre en place :

Déplacer wp-config.php un niveau au-dessus de la racine :

WordPress cherche ce fichier automatiquement dans le répertoire parent. Déplacez-le de /public_html/wp-config.php vers /wp-config.php — les navigateurs ne peuvent pas y accéder directement.

Bloquer l’accès via .htaccess :

<files wp-config.php>
  order allow,deny
  deny from all
  </files>

10. Désctiver l’édition de fichiers depuis le tableau de bord

Par défaut, WordPress permet aux administrateurs de modifier directement les fichiers de thème et de plugin depuis le tableau de bord (Apparence → Éditeur). Si un pirate accède à un compte administrateur, il peut injecter du code malveillant en quelques secondes.

Désactivez cette fonctionnalité en ajoutant cette ligne dans wp-config.php :

define( 'DISALLOW_FILE_EDIT', true );

Checklist de sécurité WordPress — récapitulatif

MesurePrioritéPlugin / Outil
Mises à jour WordPress, plugins, thèmesCritiqueManuel ou maintenance gérée
Mots de passe forts + gestionnaireCritiqueBitwarden, 1Password
Authentification 2FACritiqueWP 2FA
Wordfence SecurityCritiqueWordfence
SSL + HTTPS forcéCritiqueHébergeur + .htaccess
Sauvegardes quotidiennes hors-siteCritiqueDuplicator
Limiter les tentatives de connexionImportantLimit Login Attempts
Changer l’URL de connexionImportantWPS Hide Login
Protéger wp-config.phpImportant.htaccess
Désactiver l’éditeur de fichiersRecommandéwp-config.php

 

Mon site WordPress est piraté : que faire ?

Malgré toutes les précautions, un piratage peut survenir. Voici la procédure à suivre, dans l’ordre.

Étape 1 — Isoler le site immédiatement

Activez le mode maintenance WordPress pour empêcher vos visiteurs d’être exposés au contenu malveillant ou aux redirections infectées. Si votre tableau de bord est inaccessible, contactez votre hébergeur pour suspendre temporairement le site.

Étape 2 — Changer tous les mots de passe

En priorité :

  • Mot de passe de tous les comptes WordPress (Admin, Éditeurs)
  • Mot de passe FTP
  • Mot de passe de la base de données (dans cPanel ou phpMyAdmin)
  • Mot de passe email associé au domaine

Étape 3 — Restaurer depuis une sauvegarde saine

Si vous disposez d’une sauvegarde datant d’avant le piratage, c’est la solution la plus rapide et la plus fiable. Restaurez cette version propre, puis appliquez immédiatement toutes les mesures de sécurité listées dans ce guide.

Étape 4 — Scanner et nettoyer si pas de sauvegarde

Si vous n’avez pas de sauvegarde récente utilisable :

  1. Lancez un scan Wordfence complet (ou installez-le s’il n’est pas encore en place)
  2. Vérifiez les fichiers modifiés récemment via FTP — triez par date de modification et comparez les fichiers suspects aux versions officielles
  3. Vérifiez la base de données dans phpMyAdmin pour détecter des injections dans les contenus ou les options WordPress
  4. Réinstallez le core WordPress depuis wp-admin → Tableau de bord → Mises à jour → Réinstaller

Attention : nettoyer un site WordPress piraté sans sauvegarde est une opération technique et risquée. Si vous n’êtes pas à l’aise avec FTP et phpMyAdmin, faites appel à un professionnel — une intervention rapide limite les dégâts SEO (Google peut désindexer ou afficher un avertissement sur un site compromis).

Étape 5 — Identifier et corriger la faille initiale

Inutile de nettoyer si la porte d’entrée reste ouverte. Identifiez comment le pirate est entré :

  • Un plugin vulnérable ? Supprimez-le et cherchez une alternative
  • Un mot de passe faible ? Renforcez tous les comptes
  • Un thème abandonné ? Supprimez-le
  • Un hébergement mal configuré ? Migrez vers un hébergement WordPress sécurisé

Sécurité avancée : pour aller plus loin

En-têtes de sécurité HTTP

Les en-têtes HTTP renforcent la sécurité au niveau du navigateur. Ajoutez ces directives dans votre .htaccess :

# Protection contre le clickjacking
  Header always set X-Frame-Options "SAMEORIGIN"

  # Protection XSS
  Header always set X-XSS-Protection "1; mode=block"

  # Empêcher le sniffing de type MIME
  Header always set X-Content-Type-Options "nosniff"

  # Référent contrôlé
  Header always set Referrer-Policy
  "strict-origin-when-cross-origin"

Vérifiez votre score avec securityheaders.com.

=== Restreindre l’accès à wp-admin par IP ===

Si vous accédez toujours à votre tableau de bord depuis les mêmes adresses IP (bureau, domicile), vous pouvez bloquer l’accès à wp-admin depuis toutes les autres IP :

<limit GET POST PUT>
  Order Deny,Allow
  Deny from All
  Allow from [VOTRE-IP]
  </limit>

Remplacez [VOTRE-IP] par votre adresse IP fixe. Attention : si votre IP change (connexion mobile, télétravail), vous perdrez l’accès — testez avant de déployer.

Désactiver XML-RPC si non utilisé

XML-RPC est une interface de WordPress utilisée notamment par l’application mobile WordPress et Jetpack. Si vous n’utilisez pas ces outils, désactivez-la — elle est régulièrement ciblée pour des attaques brute force amplifiées.

<files xmlrpc.php>
  Order Deny,Allow
  Deny from All
  </files>

 

La sécurité WordPress, c’est un processus continu — pas une case à cocher

Nos forfaits de maintenance WordPress incluent la surveillance de sécurité, les mises à jour hebdomadaires de plugins et thèmes, les sauvegardes quotidiennes hors-site et une intervention prioritaire en cas d’incident.

Et si vous cherchez un hébergement WordPress sécurisé dès le départ, notre hébergement WordPress intègre un pare-feu serveur, PHP à jour, SSL inclus et isolation des comptes.

Questions fréquentes

WordPress est-il sécurisé de base ?

Le core WordPress est maintenu par une équipe de sécurité dédiée et corrige rapidement les failles découvertes. Le problème vient rarement du core lui-même — il vient des plugins, des thèmes et des configurations négligées. Un WordPress bien configuré et maintenu à jour est une plateforme fiable.

Wordfence gratuit suffit-il pour une PME ?

Pour la grande majorité des PME, oui. La version gratuite offre un pare-feu applicatif, un scanner de malwares et une surveillance des connexions. La principale limitation est le délai de 30 jours sur les nouvelles signatures de menaces. Passez à la version Premium si votre site traite des données sensibles ou des paiements en ligne.

Combien de temps faut-il pour sécuriser un site WordPress ?

Appliquer les 10 mesures de ce guide prend environ 2 à 3 heures pour quelqu’un qui n’est pas développeur. La majorité du temps est consacrée à la configuration de Wordfence et du 2FA. Une fois en place, la maintenance de sécurité se résume à quelques minutes par semaine pour vérifier les mises à jour.

Mon site est petit et peu connu. Les pirates peuvent-ils vraiment le cibler ?

Oui, systématiquement. Les attaques automatisées ne ciblent pas des sites spécifiques — elles scannent des plages d’adresses IP à la recherche de versions de plugins vulnérables. Un site avec 100 visiteurs par mois est aussi exposé qu’un site avec 100 000 visiteurs.

Comment savoir si mon site WordPress a déjà été piraté ?

Signes révélateurs : redirections inattendues vers d’autres sites, avertissement Google « Ce site peut endommager votre ordinateur », chute soudaine du trafic organique, nouveaux comptes administrateurs inconnus, emails de spam envoyés depuis votre domaine. Lancez un scan Wordfence immédiatement si vous observez l’un de ces symptômes.

La sécurité WordPress et la conformité à la Loi 25 sont-elles liées ?

En partie. La Loi 25 exige de protéger les renseignements personnels collectés via votre site. Un site WordPress sécurisé (SSL, mises à jour, contrôle des accès) contribue à répondre à cette obligation. Consultez notre guide sur la Loi 25 pour les obligations spécifiques.

Nous pouvons faire avancer votre entreprise! Laissez-nous vous aider.

    On s’essaye, mais vous pourriez peut-être aussi aimer ces articles

    Elementor, Divi ou sur mesure ?
    4 raisons pour laquelle notre agence Web n'utilise pas Elementor ou Divi pour concevoir un Site Web
    Dans le monde en évolution rapide du développement web, la sélection des outils et des technologies est primordiale pour la réussite d'un projet. Chez Agence Chocolat, nous avons pris la décision...
    Lire l'article
    9 erreurs à éviter
    9 erreurs à éviter dans la conception et la refonte de votre site web
    La conception et la refonte de votre site web peuvent sembler être une tâche intimidante, mais cela ne doit pas forcément être le cas.En évitant certaines erreurs courantes, vous pouvez non...
    Lire l'article
    Montagne russe avec la mention turbo au dessus
    Comment réduire le TTFB (Time To First Byte) de son site Wordpress
    Vous voulez améliorer les performances de votre site WordPress et réduire le temps de chargement de la première requête (TTFB) ?Beaucoup de gens négligent l'aspect serveur lorsqu'ils...
    Lire l'article
    Photographie de Montreal et Farine Five Roses
    Conception site web à Montréal : Plus qu'une expertise technique
    La présence en ligne est cruciale dans le monde numérique d'aujourd'hui, et la conception d'un site web à Montréal est l'un des premiers pas pour établir une visibilité en ligne efficace. Dans...
    Lire l'article