Digital & outils

Comment sécuriser un WordPress ?

Sécuriser un WordPress avec les bons réglages, plugins et réflexes pour limiter les piratages, protéger vos données et restaurer vite sans stress en 2026.

Ordinateur portable affichant le tableau de bord WordPress avec un cadenas et des icônes de sécurité

Un site WordPress mal protégé est une porte d’entrée classique pour le piratage, le spam ou le détournement de contenu. La bonne nouvelle, c’est qu’on peut réduire fortement le risque avec une méthode simple : sécuriser l’hébergement, les accès, les extensions et les sauvegardes.

En 2026, la meilleure stratégie n’est pas de chercher le plugin miracle. Il faut surtout enlever les points faibles les plus fréquents, puis mettre en place des routines de contrôle qui tiennent dans la durée.

Ce qu’il faut protéger en priorité

Avant de parler d’outils, il faut savoir ce que vous défendez. Un WordPress ne contient pas seulement des pages et des articles : il donne accès à votre marque, à vos formulaires, à vos commandes si vous vendez en ligne, et parfois à des données clients.

Les quatre zones les plus sensibles

  • L’accès d’administration : c’est la porte d’entrée principale.
  • Le code du site : thèmes, plugins et fichiers du cœur WordPress.
  • La base de données : comptes, contenus, réglages, commandes, formulaires.
  • Les sauvegardes : elles sont votre assurance de sortie de crise.

Si l’une de ces zones faiblit, tout le reste peut suivre. C’est pour cela qu’une approche sérieuse ne se limite jamais à changer un mot de passe ou à installer une extension.

Commencer par les fondations techniques

Choisir un hébergeur qui prend la sécurité au sérieux

Votre hébergement compte autant que WordPress lui-même. Un bon hébergeur doit proposer au minimum :

  • un certificat TLS gratuit ou facile à activer ;
  • des sauvegardes automatiques ;
  • une surveillance serveur et des correctifs réguliers ;
  • une isolation correcte entre comptes clients ;
  • un accès simple aux journaux et aux restaurations.

Si vous gérez un site professionnel, évitez les offres d’appel trop limitées. Une économie de quelques euros par mois peut coûter beaucoup plus cher au premier incident.

Activer le HTTPS partout

Le certificat TLS chiffre les échanges entre le navigateur et votre site. C’est indispensable pour protéger les identifiants, les formulaires et les données transmises.

À faire concrètement :

  1. Activez le certificat sur le domaine principal et les sous-domaines utiles.
  2. Forcez la redirection de HTTP vers HTTPS.
  3. Vérifiez que toutes les URL internes pointent bien vers la version sécurisée.
  4. Contrôlez qu’aucun contenu mixte ne subsiste, notamment des images ou scripts chargés en HTTP.

Sur la plupart des hébergements, un certificat Let’s Encrypt suffit largement pour démarrer. Si votre activité est sensible ou si vous avez besoin d’un support renforcé, un certificat payant peut se justifier, mais ce n’est pas ce qui sécurise le plus votre site.

Mettre à jour sans attendre

Les attaques exploitent très souvent des failles déjà corrigées. C’est pourquoi les mises à jour du cœur WordPress, des thèmes et des plugins restent la mesure la plus rentable.

Bon réflexe :

  • activez les mises à jour automatiques pour les correctifs mineurs ;
  • vérifiez rapidement les mises à jour majeures avant de les lancer sur un site critique ;
  • supprimez les extensions et thèmes inactifs au lieu de les laisser dormir ;
  • privilégiez les plugins maintenus récemment et compatibles avec votre version de WordPress.

Le vrai danger n’est pas seulement le logiciel obsolète. C’est surtout le plugin abandonné qui reste installé pendant des mois parce qu’il pourrait servir un jour.

Verrouiller l’administration WordPress

Renforcer les identifiants et les accès

Le piratage le plus banal reste le mot de passe faible ou réutilisé. Utilisez un gestionnaire de mots de passe et imposez des identifiants longs, uniques et aléatoires.

Les comptes administrateur doivent rester rares. Si plusieurs personnes interviennent sur le site, attribuez le rôle le plus bas possible : éditeur, auteur ou contributeur selon le besoin réel.

Ajoutez ensuite une double authentification. C’est l’une des protections les plus efficaces pour bloquer l’accès même si le mot de passe a fuité.

Limiter les tentatives de connexion

Un attaquant essaie souvent des centaines de combinaisons sur la page de connexion. Bloquer ou ralentir ces essais réduit fortement le risque.

Vous pouvez mettre en place :

  • un blocage après plusieurs échecs ;
  • un CAPTCHA ou une vérification invisible ;
  • une alerte par e-mail en cas de connexion suspecte ;
  • une restriction d’accès IP si vous êtes seul à administrer le site.

Désactiver l’éditeur de fichiers

WordPress permet par défaut de modifier certains fichiers depuis l’administration. Pour un site de production, mieux vaut désactiver cette fonction afin d’éviter qu’un compte compromis puisse injecter du code directement.

C’est une mesure simple, mais elle réduit la gravité d’une intrusion.

Réduire la surface d’attaque

Supprimer ce qui ne sert pas

Chaque extension supplémentaire ajoute une possibilité de faille. Faites régulièrement le tri dans :

  • les plugins inactifs ;
  • les thèmes non utilisés ;
  • les comptes supprimés mais toujours présents ;
  • les anciens formulaires ou pages de test.

Un WordPress bien sécurisé est souvent un WordPress plus léger.

Vérifier le fichier wp-config.php et les permissions

Certaines protections se jouent au niveau des fichiers. Les recommandations classiques restent utiles :

  • permissions de fichiers raisonnables, souvent 644 pour les fichiers et 755 pour les dossiers ;
  • clés de sécurité WordPress à jour dans wp-config.php ;
  • accès à la base de données limité à l’utilisateur nécessaire ;
  • pas de sauvegardes publiques laissées dans le répertoire web.

Si vous partez de zéro, vous pouvez aussi changer le préfixe des tables de base de données. Cela gêne surtout les attaques opportunistes. En revanche, ce n’est pas une vraie barrière de sécurité à lui seul.

Désactiver xmlrpc.php si vous n’en avez pas besoin

Le fichier XML-RPC sert à certaines fonctions distantes, mais il est aussi fréquemment ciblé pour des attaques par force brute ou des usages détournés.

Si vous n’utilisez ni l’application mobile WordPress ni un outil qui en dépend, vous pouvez le désactiver. Si vous en avez besoin, laissez-le actif mais protégez l’accès autrement.

Choisir les bons outils sans surcharger le site

Les plugins de sécurité sont utiles s’ils répondent à un besoin clair. Ils ne remplacent pas une hygiène de base, mais ils apportent un pare-feu applicatif, des alertes, des scans et du blocage automatique.

MesureÀ quoi elle sertPrioritéRemarque
HTTPS / TLSChiffrer les échangesTrès élevéeÀ activer dès la mise en ligne
Mises à jour régulièresCorriger les failles connuesTrès élevéeCœur, thèmes et plugins
Double authentificationBloquer l’accès voléTrès élevéeSurtout sur les comptes admin
Sauvegardes automatiquesRevenir en arrière viteTrès élevéeÀ tester régulièrement
Pare-feu applicatifFiltrer les attaques courantesÉlevéeUn seul plugin bien choisi suffit
Surveillance des fichiersDétecter les modifications suspectesÉlevéeUtile sur site professionnel

Comment choisir un plugin de sécurité

Regardez trois critères :

  • la réputation de l’éditeur ;
  • la fréquence des mises à jour ;
  • la lisibilité des alertes et des logs.

Un bon outil doit vous aider à comprendre ce qui se passe, pas seulement à produire des notifications. Sur un petit site, un plugin comme Wordfence, Solid Security ou Sucuri peut couvrir l’essentiel. Mais installez-en un seul, configurez-le correctement, puis surveillez les alertes.

Sauvegarder comme si une panne allait arriver

Appliquer la règle 3-2-1

La règle 3-2-1 reste une base très solide :

  • 3 copies de vos données ;
  • 2 supports différents ;
  • 1 copie hors du serveur principal.

Concrètement, gardez au minimum une sauvegarde sur votre hébergement, une autre dans un espace externe, et une copie récente hors ligne ou chez un prestataire distinct.

Tester les restaurations

Une sauvegarde qui n’a jamais été testée n’est pas une garantie. Vérifiez régulièrement que vous pouvez restaurer :

  1. les fichiers du site ;
  2. la base de données ;
  3. les médias ;
  4. la configuration des extensions essentielles.

Faites au moins un test de restauration complète après une mise à jour majeure ou avant une période commerciale importante.

Surveiller et réagir sans attendre

La sécurité n’est pas un chantier ponctuel. C’est une routine légère mais régulière.

Les signaux qui doivent vous alerter

  • une baisse brutale du trafic ou des redirections bizarres ;
  • des comptes administrateur inconnus ;
  • des plugins qui se réinstallent ou se réactivent seuls ;
  • des modifications de fichiers sans explication ;
  • des e-mails de connexion inhabituels.

Dès qu’un doute apparaît, consultez les journaux de connexion, vérifiez les fichiers récemment modifiés et contrôlez les comptes utilisateurs.

Mettre en place un rythme simple

Un bon rythme de base peut ressembler à ceci :

  • chaque semaine : mises à jour et vérification rapide des alertes ;
  • chaque mois : contrôle des comptes, plugins et sauvegardes ;
  • chaque trimestre : test de restauration et audit des accès ;
  • après chaque incident : changement des mots de passe et revue des permissions.

Les erreurs fréquentes à éviter

Miser sur une seule protection

Beaucoup de sites sont protégés par un seul mot de passe fort ou par un plugin. C’est insuffisant. La sécurité fonctionne par couches.

Garder des extensions inutilisées

Un plugin désactivé mais toujours présent reste une cible. Si vous ne l’utilisez plus, supprimez-le.

Oublier les comptes et les accès

Quand un collaborateur part, son compte doit être supprimé ou rétrogradé immédiatement. Même logique pour l’accès à l’hébergement, à la base de données et à la messagerie liée au site.

Ne jamais tester les sauvegardes

Le jour où le site tombe, vous n’avez pas le temps d’apprendre à restaurer. Le test doit se faire avant la crise.

Par quoi commencer cette semaine

Si vous voulez sécuriser un WordPress sans vous disperser, suivez cet ordre :

  1. Activez le HTTPS si ce n’est pas déjà fait.
  2. Mettez à jour WordPress, les thèmes et les plugins.
  3. Supprimez les extensions et thèmes inutilisés.
  4. Changez les mots de passe faibles et activez la double authentification.
  5. Vérifiez vos sauvegardes et faites un test de restauration.
  6. Installez un seul plugin de sécurité si vous avez besoin de pare-feu et d’alertes.

Conclusion

Sécuriser un WordPress ne demande pas une architecture compliquée, mais de la méthode. Les attaques exploitent surtout les oublis : mises à jour repoussées, mots de passe faibles, comptes trop nombreux et sauvegardes absentes.

Commencez par les bases, puis ajoutez une couche de surveillance. Si vous ne deviez retenir qu’une règle, ce serait celle-ci : mieux vaut un WordPress simple, à jour et sauvegardé qu’un site suréquipé mais mal entretenu.

Questions fréquentes

Un certificat SSL suffit-il à sécuriser un WordPress ?

Non. Le certificat SSL, aujourd'hui plutôt appelé TLS, chiffre les échanges entre le visiteur et votre site, mais il ne protège ni vos mots de passe faibles ni vos extensions vulnérables. C'est une base indispensable, pas une protection complète. Pour un WordPress solide, ajoutez les mises à jour, la double authentification, des sauvegardes et un contrôle strict des accès.

Faut-il installer un plugin de sécurité sur WordPress ?

Souvent oui, mais un seul plugin bien configuré suffit généralement. Il peut ajouter un pare-feu applicatif, du blocage de tentatives de connexion, des alertes et des scans de fichiers. En revanche, empiler plusieurs extensions de sécurité crée parfois des conflits et alourdit le site. Choisissez un outil fiable et complétez-le avec des mesures de base.

Comment savoir si mon site WordPress a été piraté ?

Des redirections étranges, des comptes administrateur inconnus, des plugins qui se réinstallent seuls, du spam ou une chute brutale du trafic sont des signaux d'alerte. Vérifiez aussi les fichiers récemment modifiés et les journaux de connexion si votre hébergeur les fournit. En cas de doute, isolez le site, changez les mots de passe et restaurez une sauvegarde saine.

Quelle est la première chose à faire si mon WordPress est compromis ?

Coupez l'accès au site si possible, puis changez immédiatement les mots de passe WordPress, hébergement, base de données et messagerie. Ensuite, identifiez la porte d'entrée probable : plugin vulnérable, mot de passe faible, compte volé ou hébergement mal sécurisé. Si vous avez une sauvegarde saine antérieure à l'attaque, restaurez-la seulement après avoir corrigé la faille.