Osyto agence web
Lancer mon projet
Tableau d'administration WordPress

Guide 2026 : Sécuriser WordPress efficacement (sans devenir expert)

Laisser un site WordPress sans protection active est une erreur stratégique. Beaucoup de propriétaires pensent que leur hébergeur web s’occupe de tout ou qu’ils ne sont pas assez importants pour être visés.

Votre site est une ressource. Si vous ne le protégez pas, quelqu’un d’autre l’utilisera. Ce guide est un plan d’action pour protéger votre site, votre chiffre d’affaires et vos données clients.

Note : Ce guide présente les bonnes pratiques essentielles pour une sécurité de base. L’objectif n’est pas de recommander un plugin spécifique, mais de détailler les étapes de vérification indispensables, réalisables manuellement ou via une extension. Chaque site internet est unique et des mesures spécifiques doivent être adaptées selon la complexité de votre projet. Si vous n’êtes pas sûr de vous, ne modifiez pas les fichiers sensibles et demandez un audit professionnel auprès de notre Agence de maintenance WordPress.

Rappel : Avant d’exécuter ces modifications, assurez-vous d’avoir une sauvegarde (backup) récente et disponible.

Pourquoi votre site est une cible (peu importe votre notoriété)

L’idée selon laquelle les pirates visent uniquement les grandes entreprises est fausse. Les attaques ne sont pas forcément personnelles, elles sont automatisées. Des robots scannent le web en permanence pour trouver des vulnérabilités connues. Pour eux, un site d’artisan ou d’une grande entreprise représente la même opportunité technique.

L’objectif des attaquants :

Ils cherchent à prendre le contrôle de votre serveur web pour entre autres :

  • Utiliser votre nom de domaine pour envoyer des spams (courriers indésirables).

  • Héberger des contenus illégaux ou frauduleux à votre insu.

  • Lancer une cyberattaque vers d’autres cibles depuis votre hébergement.

  • Voler des données utilisateurs.

L’impact financier réel

Sécuriser son site WordPress demande de la rigueur. Ne rien faire expose à des coûts bien plus élevés.

Prévention : Un coût fixe pour la maintenance et la configuration, pour que votre activité continue sans interruption.

Les conséquences après un piratage : perte de chiffre d’affaires car le site est inaccessible, frais de nettoyage technique et perte de positions SEO sur Google.

WordPress est le système de gestion de contenu (CMS) le plus utilisé au monde. C’est un outil performant, mais sa popularité en fait une cible prioritaire.

Une fois correctement configuré, il devient cependant très robuste.

Votre hébergement et son environnement

Avant même de toucher à WordPress, la sécurité de votre site commence par votre environnement web. Si la base est fragile, le reste ne pourra pas tenir, peu importe vos protections.

Difficulté : 🟢 🟢 ⚪ ⚪ ⚪ (2/5)

Impact sur la sécurité : 🛡️ 🛡️ 🛡️ 🛡️ 🛡️ Critique

1. Bien choisir son hébergeur web

Un hébergement web bas de gamme regroupe parfois un grand nombre de sites sur le même serveur web. Si un site voisin est infecté par un malware ou subit une attaque, votre site peut en subir les conséquences (ralentissements, panne, voire infection).

Pourquoi c’est important : Un bon hébergeur configure ses serveurs avec des pare-feux stricts et isole chaque client pour qu’un problème chez un voisin ne touche pas votre site.

L’action à effectuer : Choisissez un hébergeur reconnu pour sa fiabilité et sa sécurité, comme O2Switch (français) ou Hostinger. Vérifiez qu’il propose ces options, des sauvegardes automatiques et un support réactif en cas de problème.

2. Utiliser une version de PHP récente pour la performance et la sécurité

WordPress fonctionne grâce au langage de programmation PHP. Comme tout logiciel, il évolue. Les anciennes versions (comme PHP 7.4 ou inférieur) ne reçoivent plus de correctifs de sécurité.

Le risque : Utiliser une version obsolète expose votre site à des vulnérabilités connues que les pirates exploitent facilement. De plus, les versions récentes de PHP sont beaucoup plus rapides, ce qui va améliorer la vitesse de chargement pour vos visiteurs.

Comment faire : Connectez-vous à votre panneau d’hébergement (cPanel ou Hpanel). Cherchez l’option « Sélectionner une version de PHP » ou « Configuration PHP ». Assurez-vous d’utiliser une version supportée et sécurisée (actuellement PHP 8.2 ou 8.3).

Vérifier la compatibilité PHP avec votre version WordPress

3. Le certificat SSL pour passer son site en HTTPS

Le petit cadenas 🔒 dans la barre d’adresse n’est pas une option esthétique. Il sécurise la communication entre le navigateur et le serveur via un certificat SSL disponible gratuitement chez la plupart des hébergeurs.

Pourquoi l’activer :

  • Sécurité : Il protège les données sensibles (mots de passe, formulaires de contact, paiements) contre l’interception.
  • Confiance : Sans SSL, les navigateurs affichent une alerte « Non sécurisé » qui fait fuir vos clients/visiteurs.

Mise en place : Activez-le depuis votre interface d’hébergement. Ensuite, vérifiez dans la barre de lien de votre navigateur et dans les réglages de WordPress (Réglages > Général) que votre adresse commence bien par https://.

Adresse URL du site WordPress depuis l'onglet Réglages > Général

4. Utiliser un CDN pour gagner en sécurité et en vitesse

Un CDN (Content Delivery Network), comme Cloudflare, est un réseau de serveurs répartis dans le monde. Il se place entre internet et votre hébergement.

Les avantages pour vous :

  • Protection : Il masque l’adresse IP réelle de votre serveur, rendant les attaques directes (comme les DDoS) beaucoup plus difficiles.
  • Vitesse : Il stocke une copie de vos images et fichiers pour les servir plus vite à vos visiteurs, où qu’ils soient.

L’action : Pour un site vitrine local, ce n’est pas obligatoire mais fortement recommandé. Pour un site e-commerce ou à fort trafic, c’est une mesure de sécurité essentielle. La version gratuite de Cloudflare est souvent suffisante pour commencer.

Niveau 1 : Comptes et accès

La majorité des incidents de sécurité ne provient pas d’une faille informatique complexe, mais d’une erreur humaine ou d’une négligence. C’est une excellente nouvelle : cela signifie que vous pouvez renforcer la sécurité de votre site immédiatement, sans toucher à une seule ligne de code.

Difficulté : 🟢 ⚪ ⚪ ⚪ ⚪ (1/5)

Risque technique : ⚪ ⚪ ⚪ ⚪ ⚪ 0/5 (Aucun)

1. Une nouvelle boîte email pour l’administration

Beaucoup de propriétaires utilisent leur adresse publique (type contact@votre-site.com) pour le compte administrateur. C’est une erreur. Si cette adresse est affichée sur votre page contact, vous donnez la moitié des identifiants aux pirates.

L’action à effectuer : Créez une adresse email unique dédiée à l’administration de votre site (ex: gestion-site@votre-site.com) et ne l’utilisez nulle part ailleurs. Cela complique considérablement la tâche d’un attaquant qui tenterait de deviner votre login.

2. Gestion des comptes : Admin et Éditeur

Lors de l’installation, WordPress crée souvent un compte « admin » par défaut. C’est le premier identifiant que les robots testent lors d’une attaque par force brute. De plus, utiliser un compte administrateur pour rédiger des articles au quotidien est risqué.

Les bonnes pratiques :

  • Supprimer le compte « admin » : Créez un nouveau compte administrateur avec un nom d’utilisateur personnalisé et complexe. Connectez-vous avec ce nouveau compte, puis supprimez l’ancien compte « admin » en réattribuant le contenu au nouvel utilisateur.
  • Séparer les rôles : Créez un compte avec le rôle « Éditeur » pour vos tâches courantes (rédaction, gestion des commentaires). Réservez le compte administrateur uniquement pour la maintenance technique.

3. Mots de passe : La complexité est obligatoire

Les attaques par force brute consistent à tester des milliers de combinaisons par seconde. Un mot de passe simple sera découvert en quelques minutes.

Comment faire : Utilisez un gestionnaire de mots de passe pour générer une chaîne unique de 16 caractères minimum, mélangeant majuscules, minuscules, chiffres et symboles.

4. Masquer votre identifiant de connexion (Énumération)

Par défaut, une simple manipulation (ajouter /?author=1 à l’URL) permet de voir votre identifiant de connexion.

L’action : Utilisez votre extension de sécurité (Wordfence, SecuPress, etc.) et cochez l’option « Block author scans » ou « Empêcher l’énumération des auteurs ». Cela bloque instantanément ces tentatives de scan.

5. L’Authentification à deux facteurs (2FA) : la double protection

C’est la mesure la plus efficace. Même avec votre mot de passe, un intrus sera bloqué sans le code temporaire envoyé sur votre téléphone.

Mise en place : Installez une extension gratuite comme WP 2FA ou activez le module 2FA dans Wordfence. C’est une étape supplémentaire à la connexion, mais elle sécurise radicalement l’accès à votre tableau de bord.

Niveau 2 : Mises à jour et entretien du site

Une fois les accès utilisateurs sécurisés, il est nécessaire de traiter la partie technique du site. C’est souvent à ce niveau que le manque de rigueur crée des vulnérabilités exploitables par un code malveillant.

Difficulté : 🟢 🟢 ⚪ ⚪ ⚪ (2/5)

Risque technique : 🟠 🟠 🟠 ⚪ ⚪ 3/5 (Attention aux incompatibilités) 

1. Thèmes et Plugins officiels uniquement

WordPress est un logiciel open source avec un écosystème immense, mais n’installez jamais de thème ou d’extension « Premium » trouvés gratuitement sur des sites non officiels.

Le risque : Ces versions piratées (appelées « nulled ») contiennent presque systématiquement des portes dérobées (backdoors). En voulant économiser quelques euros, vous offrez un accès total à votre site web. Utilisez uniquement le répertoire officiel ou les sites des éditeurs reconnus.

2. Suppression des éléments inutilisés

Chaque plugin installé sur votre serveur augmente la surface d’attaque potentielle. Une fonctionnalité que vous n’utilisez pas peut contenir une faille qui servira de porte d’entrée.

Ce qu’il faut faire : Ne vous contentez pas de désactiver les extensions inutiles : supprimez-les définitivement.

Onglet Extensions de l'admin WordPress

Conservez uniquement votre thème actif et un thème par défaut (comme Twenty Twenty-Five) pour le débogage. Supprimez tout le reste.

3. Mises à jour : Pourquoi l’automatique ne suffit pas

Les failles de sécurité proviennent majoritairement de plugins ou de thèmes obsolètes. Les développeurs publient des correctifs, mais si vous ne les installez pas, la faille reste ouverte.

La bonne stratégie :

  • Automatique : Activez les mises à jour automatiques pour les versions mineures de WordPress et les extensions simples.
  • Manuelle : Pour les extensions critiques (WooCommerce, constructeurs de page), effectuez la mise à jour manuellement après avoir vérifié le journal de modification (changelog) et effectué une sauvegarde.

Règle importante : Une extension non mise à jour depuis plus de 6 à 12 mois est un risque. Si elle est abandonnée par son développeur, remplacez-la par une alternative maintenue.

4. Les sauvegardes : Votre solution de secours

En cas de piratage ou d’erreur, votre seule option de survie est une sauvegarde saine.

Attention : stocker la sauvegarde sur le même serveur que le site est inutile si le serveur devient inaccessible.

La méthode avec UpdraftPlus :

  • Sauvegardez régulièrement les fichiers ET la base de données (fréquence quotidienne ou hebdomadaire selon votre activité).
  • Envoyez les données sur un stockage externe (Google Drive, Dropbox, Amazon S3).

Plugin Updraft Plus pour WordPress

La sécurité nécessite un suivi régulier

Consultez notre page Service de maintenance WordPress pour déléguer cette gestion technique.

Niveau 3 : Sécuriser les fichiers et le système

Nous entrons maintenant dans la zone plus technique. Ces actions modifient le comportement interne de WordPress pour le rendre invisible ou impénétrable aux yeux des robots.

Difficulté : 🟠 🟠 🟠 ⚪ ⚪ (3/5)

Risque technique : 🟠 🟠 🟠 🟠⚪ 4/5 (Suivez bien les instructions)

1. Installer un plugin de sécurité

Il est impossible de surveiller votre site manuellement jour et nuit. Vous avez besoin d’une application qui le fait pour vous.

Le choix du meilleur plugin :

Wordfence Security : C’est le plus populaire et probablement le meilleur plugin gratuit (freemium). Il inclut un WAF (pare-feu) qui bloque les menaces en temps réel et un scan qui vérifie si un fichier a été modifié.

Sucuri ou SecuPress : D’excellentes alternatives si vous cherchez quelque chose de plus léger ou français.

L’action : Allez dans « Extensions » > « Ajouter », cherchez Wordfence, cliquez sur « Installer » puis « Activer ».

Plugin de sécurité WordFence

Suivez l’assistant de configuration pour obtenir une clé de licence gratuite. Le tableau de bord du plugin vous donnera immédiatement un rapport sur l’état de santé de votre site.

2. Bloquer les attaques par Force Brute

Une attaque par force brute consiste à essayer des milliers de mots de passe jusqu’à trouver le bon.

Comment limiter les risques : Dans les réglages de sécurité de votre plugin (Wordfence ou autre), cherchez l’option pour limiter les tentatives de connexion.

Exemple de réglage : Bloquez l’adresse IP après 5 tentatives de connexion échouées. Cela stoppe immédiatement les attaques par force brute menées par les robots.

3. Changer le préfixe de la Base de Données

Par défaut, toutes les tables de votre base de données MySQL commencent par « wp_ ». C’est une information connue de tous les pirates, ce qui facilite les injections SQL (une technique pour corrompre votre base).

L’action :Ne le faites pas manuellement si vous n’êtes pas expert. Utilisez une extension de sécurité comme Solid Security (anciennement iThemes Security) ou SecuPress en version Pro.

Ces outils proposent une fonction pour Changer le préfixe des tables. En un clic, « wp_ » deviendra quelque chose comme « x7z9_« , rendant la structure de votre base de données illisible pour un attaquant.

4. Modifier l’accès à wp-admin

Tout le monde sait que pour accéder à l’administration, il faut taper /wp-admin ou /wp-login.php.

L’astuce « Hide » :

Utilisez une petite extension légère comme WPS Hide Login. Elle vous permet de changer cette adresse par un nom que vous seul connaissez (ex: /admin-site-gef5q64).

Réglages de l'extension WPS Hide Login depuis l'admin WordPress

Attention, si vous oubliez votre nouvelle adresse de connexion, vous pourriez être bloqué. Notez-la précieusement !

Les robots qui scannent /wp-admin tomberont sur une page d’erreur 404. Vous allez éviter des milliers de requêtes inutiles et améliorer la sécurité.

5. Désactiver le XML-RPC

Le XML-RPC est une ancienne fonctionnalité de connexion pour applications externes. Aujourd’hui, elle est surtout utilisée pour tester des mots de passe ou lancer des attaques massives (DDoS).(DDoS : Attaque qui submerge le serveur de fausses visites pour rendre le site inaccessible).

Comment faire :

Si vous n’utilisez pas l’application mobile WordPress ou le plugin Jetpack, désactivez-le. La plupart des extensions de sécurité ont une case à cocher pour bloquer le XML-RPC automatiquement. Vous pouvez aussi le faire via le fichier .htaccess (voir section suivante).

6. Désactiver l’éditeur de fichiers (File Edit)

Si un pirate accède à votre tableau de bord, il peut modifier vos fichiers directement via le menu Apparence > Éditeur pour injecter du code malveillant.

La mesure de protection : Désactivez cette fonctionnalité pour interdire toute modification du code depuis l’interface WordPress.

  1. Sauvegardez vos fichiers et votre base de données avant toute manipulation.
  2. Ouvrez votre fichier wp-config.php (via le gestionnaire de fichiers de votre hébergement).
  3. Ajoutez cette ligne de code : define( 'DISALLOW_FILE_EDIT', true ); L’option d’édition disparaît du menu. En cas d’intrusion, le pirate ne pourra pas modifier vos fichiers sources sans un accès direct à votre serveur (FTP/SSH).

Code pour desactiver l'éditeur de fichier dans l'admin WordPress

7. Bloquer les informations techniques (readme.html et licence.txt)

WordPress est livré avec des fichiers comme readme.html ou license.txt qui affichent la version de WordPress que vous utilisez. C’est une information précieuse pour un pirate qui cherche une faille spécifique à une version.

L’action : Votre plugin de sécurité possède souvent une option pour interdire la lecture de ces fichiers. Activez-la pour ne rien divulguer.

Alternative pour les experts : Ajoutez ces lignes dans votre fichier .htaccess à la racine de votre site :

<FilesMatch "^(readme.html|license.txt)"> Order allow,deny Deny from all </FilesMatch>

8. Sécuriser vos formulaires contre le SPAM

Recevoir des dizaines d’emails publicitaires russes ou chinois via votre page contact est une perte de temps et un risque de sécurité (liens de hameçonnage).

La solution invisible : Évitez les captchas classiques (où il faut cliquer sur des feux rouges) qui agacent vos clients. Privilégiez deux méthodes modernes et gratuites :

Le « Pot de miel » (Honeypot) :

Installez une extension comme Honeypot for Contact Form 7 (ou activez l’option intégrée si vous utilisez Elementor Pro ou WPForms). Elle ajoute un champ invisible que seuls les robots remplissent, ce qui les bloque automatiquement.

Cloudflare Turnstile :

Si vous utilisez déjà un plugin de sécurité ou de formulaire avancé, activez l’option Turnstile. C’est une protection gratuite et invisible qui vérifie que le visiteur est humain sans aucune action de sa part.

Niveau 4 : Le code et serveur

Nous arrivons à la dernière étape de ce guide. Ici, nous allons agir directement sur la configuration de votre serveur. Ces manipulations offrent une protection supplémentaire contre des attaques complexes.

Difficulté : 🟠 🟠 🟠 ⚪ ⚪ (3/5)

Risque technique : 🔴 🔴 🔴 🔴⚪ 4/5 (Une erreur de syntaxe ou une mauvaise configuration peut rendre le site indisponible)

Rappel : Avant d’exécuter ces modifications, assurez-vous d’avoir une sauvegarde (backup) récente et disponible.

1. Bloquer l’exploration des dossiers (Options -Indexes)

Par défaut, si un visiteur tape l’adresse d’un dossier sans fichier index (ex: votre-site.com/wp-content/uploads/), le serveur peut afficher la liste de tous vos fichiers. C’est une information précieuse pour un pirate qui fait de la recherche de failles.

Comment y remédier : Vous devez ajouter une ligne de code dans votre fichier .htaccess (situé à la racine de votre hébergement). Ajoutez simplement : Options -Indexes Cela aura pour effet d’afficher une page d’erreur « 403 Forbidden » (Non autorisé) à quiconque tente de lister vos dossiers.

2. Bloquer l’exécution de scripts PHP dans les dossiers Uploads

C’est une menace classique : un pirate parvient à téléverser un fichier nommé image.php dans votre dossier /uploads/. Si le serveur l’autorise à s’exécuter, le pirate prend le contrôle.

La mesure de protection :

Il faut dire au serveur : « Dans ce dossier, tu n’as pas le droit d’exécuter du PHP ». Cela se fait en créant un fichier .htaccess spécifique dans le dossier /wp-content/uploads/ avec la directive deny from all pour les fichiers .php. Ainsi, même si un fichier malveillant passe, il reste inactif.

Remarque : Si le site affiche une erreur 500 après l’ajout, il faut retirer la ligne immédiatement.

3. Les En-têtes de sécurité HTTP (Security Headers)

Rapport analyse des en-tête http

Les en-têtes sont des règles de communication envoyées par votre serveur au navigateur du visiteur. Elles permettent de bloquer certaines catégories d’attaques directement à la source, avant même qu’elles n’atteignent votre site.

Note importante : Ces réglages touchent à la configuration profonde de votre serveur. S’ils sont mal configurés, ils peuvent rendre votre site inaccessible ou bloquer certaines fonctionnalités. C’est une section à manier avec une extrême précaution si vous n’êtes pas familier avec l’administration système.

Les protections clés à vérifier :

  • X-XSS-Protection : Pour bloquer les attaques de type Cross-Site Scripting (XSS) en empêchant l’injection de scripts malveillants.
  • X-Frame-Options : Pour empêcher d’autres sites d’afficher votre contenu dans une fenêtre invisible (iframe), une technique appelée « Clickjacking » utilisée pour voler des clics.
  • X-Content-Type-Options : Elle force le navigateur à respecter le type de fichier envoyé par le serveur, empêchant ainsi un pirate de déguiser un script dangereux en une simple image.
  • Content-Security-Policy (CSP) : C’est le bouclier le plus puissant. Il définit précisément quelles sources de contenu (images, scripts) sont autorisées à s’exécuter sur votre site.
  • Strict-Transport-Security (HSTS) : Pour forcer le navigateur à utiliser uniquement la connexion sécurisée (HTTPS) et interdire tout retour au protocole non sécurisé.

Comment les activer : Ces règles peuvent être ajoutées manuellement dans le fichier de configuration de votre serveur (comme le fichier .htaccess sur Apache). Toutefois, pour plus de simplicité et de sécurité, la plupart des extensions de sécurité WordPress permettent d’activer ces fonctionnalités en un clic.

La sécurité est une maintenance continue

Nous avons couvert l’ensemble des meilleures pratiques pour sécuriser votre site WordPress. Vous avez compris que la sécurité ne se résume pas à installer un plugin. Cela dépend de vos paramètres techniques, mais aussi de votre manière de gérer le site :

  • Un hébergement haut de gamme.
  • Une gestion rigoureuse des accès (mot de passe, 2FA).
  • Une maintenance régulière (mises à jour, nettoyage).
  • Une surveillance active (scan, journal d’activité).

Votre site est-il vraiment protégé ?

Ne restez pas dans le doute. Profitez d’un micro-audit vidéo gratuit de 5 minutes. Nous analysons votre URL et vous envoyons un rapport personnalisé directement par email.

La grande majorité des sites WordPress que nous auditons présentent des failles de sécurité évitables. Vérifiez la robustesse de votre installation dès maintenant.

Il vous suffit de compléter le formulaire suivant :

Note : Cet audit est réalisé par nos experts. Vos données sont traitées avec la plus grande confidentialité.

La configuration technique vous semble complexe ?

Ne prenez pas de risques de sécurité avec votre activité. Nous analysons rapidement votre site et nous vous listons ses failles de sécurité critiques dans une vidéo de 5 minutes.

Demandez votre micro-audit gratuit
Osyto