Sucuri SiteCheck<\/strong> permet de scanner l’aspect visible du site (malware connu, blacklists, version WordPress expos\u00e9e). Il ne remplace pas un audit complet c\u00f4t\u00e9 serveur, mais constitue un bon point de d\u00e9part.<\/p>\n<\/p>\n
Les 10 mesures essentielles pour s\u00e9curiser WordPress en 2026<\/h2>\n
Ces dix mesures constituent le socle minimal de s\u00e9curit\u00e9 pour tout site WordPress professionnel. Elles sont pr\u00e9sent\u00e9es dans l’ordre logique d’application, du plus impactant au plus technique.<\/p>\n
1. Mises \u00e0 jour : la r\u00e8gle des 72 heures<\/h3>\n
Le d\u00e9lai entre la publication d’un correctif de s\u00e9curit\u00e9 WordPress et l’exploitation active de la faille par des robots automatis\u00e9s est en moyenne inf\u00e9rieur \u00e0 72 heures. Pendant ce laps de temps, les attaquants analysent le diff du correctif pour identifier pr\u00e9cis\u00e9ment la vuln\u00e9rabilit\u00e9 corrig\u00e9e, puis construisent leurs vecteurs d’attaque.<\/p>\n
Ce que je recommande \u00e0 mes clients :<\/strong> activer les mises \u00e0 jour automatiques pour le c\u0153ur WordPress (au minimum pour les versions mineures et de s\u00e9curit\u00e9), et planifier une v\u00e9rification hebdomadaire des plugins et th\u00e8mes. Sur les sites \u00e0 fort trafic o\u00f9 une mise \u00e0 jour peut casser une fonctionnalit\u00e9, je maintiens un environnement de staging o\u00f9 chaque mise \u00e0 jour est test\u00e9e avant d\u00e9ploiement en production.<\/p>\nUne r\u00e8gle simple : si vous voyez une mise \u00e0 jour marqu\u00e9e \u00ab\u00a0s\u00e9curit\u00e9\u00a0\u00bb dans votre tableau de bord, appliquez-la dans les 24 heures, sans attendre votre prochaine session de maintenance planifi\u00e9e.<\/p>\n
2. Mots de passe forts et authentification \u00e0 deux facteurs (2FA)<\/h3>\n
Un mot de passe de 12 caract\u00e8res combinant majuscules, minuscules, chiffres et symboles r\u00e9siste math\u00e9matiquement pendant plusieurs milliards d’ann\u00e9es \u00e0 une attaque par force brute \u2014 m\u00eame avec une puissance de calcul moderne. \u00c0 l’inverse, un mot de passe de 8 caract\u00e8res compos\u00e9 uniquement de lettres minuscules peut \u00eatre crack\u00e9 en quelques heures.<\/p>\n
Le 2FA (authentification \u00e0 deux facteurs) ajoute un deuxi\u00e8me verrou : m\u00eame si un attaquant obtient votre mot de passe \u2014 via phishing, fuite de donn\u00e9es ou force brute \u2014 il lui est impossible de se connecter sans le code \u00e9ph\u00e9m\u00e8re g\u00e9n\u00e9r\u00e9 par votre application. Les solutions recommand\u00e9es sont Google Authenticator<\/strong>, Authy<\/strong> ou 2FAS<\/strong> (alternative open source).<\/p>\nLe plugin WP 2FA<\/strong> permet d’activer cette protection sur WordPress en moins de cinq minutes et de l’imposer \u00e0 tous les comptes administrateurs.<\/p>\n3. Limiter les tentatives de connexion<\/h3>\n
Par d\u00e9faut, WordPress autorise un nombre illimit\u00e9 de tentatives de connexion. Cette absence de limite est le carburant des attaques par force brute automatis\u00e9es. Le plugin Limit Login Attempts Reloaded<\/strong> (plus de 800 000 installations actives) corrige ce probl\u00e8me en bloquant automatiquement toute adresse IP apr\u00e8s un nombre configurable d’\u00e9checs \u2014 g\u00e9n\u00e9ralement 5 tentatives.<\/p>\nConfiguration recommand\u00e9e :<\/strong> 5 tentatives maximum, blocage de 20 minutes au premier d\u00e9passement, blocage de 24 heures au second. Ces valeurs neutralisent la quasi-totalit\u00e9 des attaques automatis\u00e9es sans p\u00e9naliser les utilisateurs l\u00e9gitimes qui oublient leur mot de passe.<\/p>\nAller plus loin : d\u00e9placer l’URL de connexion WordPress de \/wp-admin<\/code> vers une URL personnalis\u00e9e (ex. \/connexion-site<\/code>) via le plugin WPS Hide Login<\/strong> rend votre tableau de bord invisible aux robots qui balaient les URLs standards.<\/p>\n4. Choisir le bon plugin de s\u00e9curit\u00e9<\/h3>\n
Deux solutions font r\u00e9f\u00e9rence en 2026 pour la s\u00e9curit\u00e9 WordPress tout-en-un :<\/p>\n
\n- Wordfence Security :<\/strong> pare-feu applicatif, scanner de malware, d\u00e9tection d’intrusion en temps r\u00e9el, blocage d’IP g\u00e9ographique. La version gratuite est d\u00e9j\u00e0 tr\u00e8s compl\u00e8te pour les TPE. La version Premium ajoute la mise \u00e0 jour des signatures de menaces en temps r\u00e9el (contre 30 jours de d\u00e9lai en version gratuite).<\/li>\n
- Solid Security<\/strong> (anciennement iThemes Security) : durcissement en un clic, d\u00e9tection de modifications de fichiers, protection de la page de connexion, 2FA int\u00e9gr\u00e9. Interface plus accessible pour les utilisateurs non-techniciens.<\/li>\n<\/ul>\n
Mon conseil terrain :<\/strong> n’installez pas les deux simultan\u00e9ment \u2014 ils entrent en conflit sur certaines fonctions. Choisissez l’un ou l’autre selon votre niveau technique. Wordfence pour ceux qui veulent des donn\u00e9es d\u00e9taill\u00e9es, Solid Security pour une configuration rapide et guid\u00e9e.<\/p>\n5. SSL\/HTTPS : indispensable en 2026<\/h3>\n
Le HTTPS chiffre l’int\u00e9gralit\u00e9 des \u00e9changes entre le navigateur de vos visiteurs et votre serveur. Concr\u00e8tement, cela signifie qu’un attaquant qui intercepterait le trafic r\u00e9seau ne verrait qu’une suite de caract\u00e8res illisibles \u2014 et non les mots de passe, num\u00e9ros de carte bancaire ou donn\u00e9es de formulaire en clair.<\/p>\n
En 2026, un site sans HTTPS est p\u00e9nalis\u00e9 par Google dans les r\u00e9sultats de recherche, signal\u00e9 comme \u00ab\u00a0non s\u00e9curis\u00e9\u00a0\u00bb par Chrome et Firefox, et bloqu\u00e9 par certains antivirus. Votre h\u00e9bergeur propose presque certainement un certificat Let’s Encrypt gratuit, activable en un clic depuis votre panneau de gestion.<\/p>\n
Apr\u00e8s activation du certificat, v\u00e9rifiez que WordPress force bien le HTTPS en ajoutant ces lignes dans wp-config.php<\/code> :<\/p>\ndefine('FORCE_SSL_ADMIN', true);\nif (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false)\n $_SERVER['HTTPS'] = 'on';<\/code><\/pre>\n6. Sauvegardes externalis\u00e9es et test\u00e9es<\/h3>\n
Une sauvegarde stock\u00e9e sur le m\u00eame serveur que le site qu’elle est cens\u00e9e prot\u00e9ger est inutile en cas de piratage ou de d\u00e9faillance mat\u00e9rielle. La r\u00e8gle des 3-2-1 s’applique ici : 3 copies des donn\u00e9es, sur 2 supports diff\u00e9rents, dont 1 hors site (cloud ou FTP externe).<\/p>\n
Fr\u00e9quence recommand\u00e9e :<\/strong><\/p>\n\n- Site e-commerce ou blog actif : sauvegarde quotidienne de la base de donn\u00e9es, hebdomadaire pour les fichiers.<\/li>\n
- Site vitrine sans mise \u00e0 jour fr\u00e9quente : sauvegarde hebdomadaire suffisante.<\/li>\n<\/ul>\n
Les plugins UpdraftPlus<\/strong> ou BackWPup<\/strong> permettent d’automatiser ces sauvegardes vers Google Drive, Dropbox ou Amazon S3. Point critique souvent n\u00e9glig\u00e9 :<\/strong> testez vos sauvegardes au moins une fois par trimestre en effectuant une restauration r\u00e9elle sur un environnement de test. Une sauvegarde non test\u00e9e est une sauvegarde dont on ne sait pas si elle fonctionne.<\/p>\n7. Durcissement WordPress (Hardening)<\/h3>\n
Le durcissement consiste \u00e0 r\u00e9duire la surface d’attaque de WordPress en d\u00e9sactivant les fonctionnalit\u00e9s inutiles et en restreignant les acc\u00e8s superflus. Voici les actions les plus impactantes :<\/p>\n
\n- D\u00e9sactiver l’\u00e9diteur de fichiers dans l’administration :<\/strong> cette fonction permet \u00e0 n’importe quel compte administrateur compromis de modifier directement les fichiers PHP du site. Ajoutez dans
wp-config.php<\/code> : define('DISALLOW_FILE_EDIT', true);<\/code><\/li>\n- D\u00e9sactiver l’ex\u00e9cution PHP dans le r\u00e9pertoire uploads :<\/strong> ce r\u00e9pertoire ne devrait jamais contenir de fichiers PHP ex\u00e9cutables. Cr\u00e9ez un fichier
.htaccess<\/code> dans \/wp-content\/uploads\/<\/code> avec : <Files *.php> deny from all <\/Files><\/code><\/li>\n- Supprimer le fichier readme.html :<\/strong> il indique la version exacte de WordPress install\u00e9e, information pr\u00e9cieuse pour un attaquant.<\/li>\n
- D\u00e9sactiver l’API XML-RPC si non utilis\u00e9e :<\/strong> ce protocole h\u00e9rit\u00e9 est r\u00e9guli\u00e8rement exploit\u00e9 pour des attaques par force brute amplifi\u00e9es. D\u00e9sactivez-le via votre plugin de s\u00e9curit\u00e9 ou via
.htaccess<\/code>.<\/li>\n<\/ul>\n8. Pare-feu applicatif (WAF)<\/h3>\n
Un pare-feu applicatif web (WAF) analyse le trafic entrant avant qu’il n’atteigne WordPress et bloque les requ\u00eates malveillantes connues \u2014 injections SQL, tentatives XSS, scans de vuln\u00e9rabilit\u00e9s. C’est la diff\u00e9rence entre un vigile qui v\u00e9rifie les identit\u00e9s \u00e0 l’entr\u00e9e et une porte non gard\u00e9e.<\/p>\n
Deux niveaux de WAF existent :<\/p>\n
\n- WAF au niveau du plugin<\/strong> (Wordfence, Solid Security) : fonctionne \u00e0 l’int\u00e9rieur de WordPress. Efficace, mais la requ\u00eate malveillante a d\u00e9j\u00e0 atteint votre serveur avant d’\u00eatre bloqu\u00e9e.<\/li>\n
- WAF DNS (Cloudflare, Sucuri)<\/strong> : filtre le trafic en amont, avant m\u00eame qu’il n’arrive sur votre h\u00e9bergeur. Plus robuste, mais n\u00e9cessite de faire pointer votre DNS vers le service. La version gratuite de Cloudflare offre d\u00e9j\u00e0 une protection WAF de base tout \u00e0 fait comp\u00e9tente pour un site de TPE.<\/li>\n<\/ul>\n
9. Surveillance continue et alertes<\/h3>\n
La d\u00e9tection pr\u00e9coce d’une intrusion est aussi importante que sa pr\u00e9vention. Sans surveillance active, un malware peut rester en place pendant des semaines ou des mois, pendant lesquels il collecte des donn\u00e9es, envoie des spams ou infecte les visiteurs.<\/p>\n
Ce qu’il faut surveiller :<\/strong><\/p>\n\n- Modifications de fichiers PHP (comparaison avec checksums de r\u00e9f\u00e9rence)<\/li>\n
- Nouveaux comptes administrateurs cr\u00e9\u00e9s sans action de votre part<\/li>\n
- Ajout de plugins ou th\u00e8mes inconnus<\/li>\n
- Pics de trafic anormaux vers
\/wp-login.php<\/code> ou \/xmlrpc.php<\/code><\/li>\n- Pr\u00e9sence dans les blacklists Google, Spamhaus ou Surbl<\/li>\n<\/ul>\n
Wordfence envoie des alertes email en temps r\u00e9el pour chacun de ces \u00e9v\u00e9nements. Google Search Console signale \u00e9galement les probl\u00e8mes de s\u00e9curit\u00e9 d\u00e9tect\u00e9s par le moteur \u2014 activez les notifications email dans votre compte GSC.<\/p>\n
10. Gestion des utilisateurs et des r\u00f4les WordPress<\/h3>\n
Chaque compte utilisateur WordPress est un vecteur d’attaque potentiel. Un compte compromis avec un r\u00f4le Administrateur donne un acc\u00e8s complet au site ; un compte \u00c9diteur ne peut modifier que le contenu. Le principe du moindre privil\u00e8ge consiste \u00e0 donner \u00e0 chaque utilisateur exactement les droits dont il a besoin \u2014 pas plus.<\/p>\n
Actions concr\u00e8tes :<\/strong><\/p>\n\n- Supprimer le compte \u00ab\u00a0admin\u00a0\u00bb par d\u00e9faut s’il existe encore \u2014 c’est le premier login test\u00e9 par les robots.<\/li>\n
- Auditer la liste des utilisateurs tous les trimestres : supprimer les comptes inactifs depuis plus de 90 jours.<\/li>\n
- Ne jamais utiliser un compte Administrateur pour la r\u00e9daction quotidienne \u2014 cr\u00e9er un compte \u00c9diteur distinct \u00e0 cet usage.<\/li>\n
- Activer le 2FA en priorit\u00e9 sur tous les comptes ayant un r\u00f4le Administrateur ou \u00c9diteur.<\/li>\n<\/ul>\n
<\/p>\n
Durcissement avanc\u00e9 : wp-config.php, .htaccess et permissions fichiers<\/h2>\n
Ce niveau de s\u00e9curit\u00e9 s’adresse aux utilisateurs \u00e0 l’aise avec la gestion de fichiers via FTP ou le panneau d’h\u00e9bergement. Ces configurations sont celles que j’applique syst\u00e9matiquement lors d’un audit de s\u00e9curit\u00e9 client avant de remettre le site en production.<\/p>\n
Prot\u00e9ger wp-config.php<\/h3>\n
Le fichier wp-config.php<\/code> contient vos identifiants de base de donn\u00e9es, vos cl\u00e9s secr\u00e8tes et vos param\u00e8tres de configuration. Bloquez tout acc\u00e8s direct depuis un navigateur en ajoutant dans votre .htaccess<\/code> racine :<\/p>\n<files wp-config.php>\norder allow,deny\ndeny from all\n<\/files><\/code><\/pre>\nRestreindre l’acc\u00e8s \u00e0 wp-admin<\/h3>\n
Si votre adresse IP est fixe (connexion professionnelle, VPN d\u00e9di\u00e9), vous pouvez restreindre l’acc\u00e8s \u00e0 \/wp-admin<\/code> \u00e0 cette seule IP. Remplacez VOTRE_IP<\/code> par votre adresse r\u00e9elle :<\/p>\n<Directory \/wp-admin>\norder deny,allow\ndeny from all\nallow from VOTRE_IP\n<\/Directory><\/code><\/pre>\nMasquer la version de WordPress<\/h3>\n
La version de WordPress est affich\u00e9e par d\u00e9faut dans le code source. Ajoutez cette ligne dans le fichier functions.php<\/code> de votre th\u00e8me enfant (Apparence > \u00c9diteur de fichiers du th\u00e8me) :<\/p>\nremove_action('wp_head', 'wp_generator');<\/code><\/pre>\nPermissions de fichiers recommand\u00e9es<\/h3>\n
Via FTP ou votre panneau d’h\u00e9bergement, v\u00e9rifiez que les permissions sont correctement configur\u00e9es :<\/p>\n
\n- Fichiers PHP : 644<\/strong><\/li>\n
- R\u00e9pertoires : 755<\/strong><\/li>\n
wp-config.php<\/code> : 600<\/strong> (lecture uniquement par le propri\u00e9taire)<\/li>\n- R\u00e9pertoire
\/wp-content\/uploads\/<\/code> : 755<\/strong> maximum, jamais 777<\/li>\n<\/ul>\n<\/p>\n
Que faire si votre site WordPress est pirat\u00e9 ?<\/h2>\n
Malgr\u00e9 toutes les pr\u00e9cautions, une compromission reste possible \u2014 notamment si vous reprenez un site existant dont l’historique de s\u00e9curit\u00e9 est inconnu. Les signes d’un piratage WordPress sont souvent discrets au d\u00e9but :<\/p>\n
\n- Votre site affiche un message inconnu ou est remplac\u00e9 par une page d’un tiers.<\/li>\n
- Google Search Console signale des URLs suspectes index\u00e9es ou une alerte de s\u00e9curit\u00e9.<\/li>\n
- Votre h\u00e9bergeur a suspendu votre compte pour activit\u00e9 malveillante ou envoi de spam.<\/li>\n
- Vos visiteurs sont redirig\u00e9s automatiquement vers un autre site (souvent visible uniquement sur mobile ou via Google).<\/li>\n
- Des fichiers PHP inconnus apparaissent dans
\/wp-content\/uploads\/<\/code> ou \u00e0 la racine.<\/li>\n<\/ul>\n