Sécurité WordPress : protéger son site durablement
En bref — WordPress propulse plus de 40 % du web : c'est devenu la cible privilégiée des attaques automatisées, qui visent presque toujours les extensions et thèmes vulnérables, jamais le cœur lui-même. Pour sécuriser un site WordPress, l'essentiel tient en quelques réflexes : tenir le cœur, les thèmes et les plugins à jour ; imposer des mots de passe forts avec double authentification ; limiter les tentatives de connexion ; passer tout le site en HTTPS ; sauvegarder automatiquement hors serveur ; placer un pare-feu applicatif (WAF) ; choisir un hébergeur sérieux et supprimer tout ce qui ne sert plus. Un seul plugin de sécurité bien réglé (Wordfence, Solid Security) suffit. Et si le pire arrive, un plan de réaction clair fait toute la différence.
La plupart des dirigeants que j'accompagne croient que leur petit site WordPress n'intéresse personne. C'est précisément ce qui les expose : les pirates ne vous connaissent pas, ils connaissent la faille de l'extension que vous n'avez pas mise à jour depuis huit mois. Aucune attaque ciblée, aucun génie du clavier : juste un robot qui passe et qui trouve une porte ouverte parmi des millions d'autres.
Dans ce guide, je détaille pourquoi WordPress concentre autant d'attaques, à quoi ressemblent réellement les menaces (force brute, injections, malwares, plugins obsolètes) et, surtout, les bonnes pratiques concrètes qui éliminent l'écrasante majorité des incidents. Vous repartirez avec une marche à suivre claire, y compris pour le scénario que personne n'aime envisager : un site déjà piraté.
Pourquoi WordPress concentre autant d'attaques
Le succès de WordPress est sa première faiblesse. En propulsant plus de 40 % de tous les sites du web, il offre aux attaquants un retour sur investissement imbattable : une seule faille exploitable peut toucher des centaines de milliers de sites à la fois. Personne ne s'acharne sur votre site en particulier ; un robot teste un million d'adresses par heure et s'arrête sur celles qui répondent « oui » à la mauvaise question.
Soyons clairs sur un point essentiel : le cœur de WordPress est solide. Il est audité, corrigé vite et mis à jour automatiquement pour les versions mineures. Le danger ne vient quasiment jamais de lui. Il vient de l'écosystème : près de 60 000 extensions et des milliers de thèmes, écrits par des développeurs aux compétences très inégales. C'est là, dans le plugin gratuit installé puis oublié, que se cachent l'immense majorité des brèches.
Plugins et thèmes : la vraie surface d'attaque
Chaque extension ajoute du code qui s'exécute sur votre serveur — donc une porte potentielle. Une étude récurrente du secteur attribue plus de 90 % des vulnérabilités WordPress aux plugins et aux thèmes, et une très faible part au cœur. Le pire profil : l'extension abandonnée par son auteur, qui ne recevra plus jamais de correctif, ou le thème « premium » récupéré gratuitement sur un site douteux (un thème nulled), souvent livré avec une porte dérobée préinstallée.
Ce qu'un site piraté devient réellement
Un WordPress compromis sert rarement à vous nuire frontalement. Le plus souvent, il devient un outil silencieux : relais d'envoi de spam, hébergeur de pages de phishing imitant une banque, redirecteur qui envoie vos visiteurs vers des sites frauduleux, ou nœud d'un réseau de minage. Vous ne voyez rien — jusqu'au jour où votre hébergeur suspend le compte, où Google affiche « Ce site risque d'endommager votre ordinateur », ou où vos e-mails atterrissent tous en spam.
Les quatre menaces qui visent réellement WordPress
Avant de défendre, il faut savoir contre quoi. Sur le terrain, l'immense majorité des incidents WordPress que je nettoie relèvent de quatre familles d'attaques. Les comprendre, c'est déjà la moitié du travail : chaque menace a sa parade précise.
1. La force brute sur la page de connexion
C'est l'attaque la plus banale et la plus constante. Des robots martèlent l'adresse /wp-login.php en testant des milliers de couples identifiant / mot de passe, souvent en commençant par le classique « admin ». Tant qu'aucune limite ne les arrête, ils peuvent essayer indéfiniment. Un mot de passe faible ou réutilisé tombe en quelques minutes. La parade : double authentification, limitation des tentatives et suppression du compte « admin » générique.
2. Les injections via une extension mal codée
Les injections SQL et les failles XSS (cross-site scripting) exploitent un plugin ou un thème qui ne filtre pas correctement les données saisies. L'attaquant glisse du code à travers un champ de formulaire, un paramètre d'URL ou un commentaire, et obtient l'accès à la base de données ou l'exécution de scripts dans le navigateur de vos visiteurs. Ces failles ne se voient pas à l'œil nu : elles vivent dans le code des extensions, d'où l'importance vitale des mises à jour.
3. Les malwares et portes dérobées
Une fois entré, l'attaquant dépose des fichiers PHP malveillants — souvent un shell caché dans le dossier des médias ou maquillé en fichier de thème. Cette porte dérobée lui permet de revenir même après que vous ayez changé les mots de passe. Le site se met alors à injecter des liens invisibles, à rediriger certains visiteurs ou à envoyer du spam en masse. C'est l'infection la plus pénible à nettoyer, car elle se réinstalle si une seule trace est oubliée.
4. Les extensions et thèmes obsolètes ou « nulled »
C'est, de très loin, la première porte d'entrée. Une faille publiée par un éditeur devient publique le jour même : les robots l'exploitent dans les heures qui suivent sur tous les sites qui n'ont pas appliqué le correctif. Pire encore, les thèmes et plugins « premium » téléchargés gratuitement sur des sites pirates (versions nulled) sont régulièrement livrés avec une porte dérobée déjà en place. Économiser 49 € de licence peut coûter une refonte complète.
Les sites WordPress que je récupère après un piratage ont presque tous le même point commun : un tableau de bord rempli de notifications de mise à jour rouges, ignorées depuis des mois, et trois ou quatre extensions installées « pour essayer » puis jamais désactivées. La sécurité ne se perd pas dans une attaque sophistiquée, elle se perd dans la négligence ordinaire.
Driss Redouane, expert web indépendant — ReydenWeb
Les bonnes pratiques qui verrouillent un WordPress
Inutile de viser le niveau d'une banque. Pour un site professionnel, l'écrasante majorité des incidents serait évitée avec une poignée de réflexes. Voici, dans l'ordre de priorité où je les applique, les mesures qui font réellement la différence sur la sécurité WordPress.
Tenir le cœur, les thèmes et les plugins à jour
C'est la mesure numéro un, et de loin. Activez les mises à jour automatiques du cœur de WordPress et des extensions de confiance. Pour les plugins critiques (boutique, formulaires), planifiez une mise à jour mensuelle testée d'abord sur une copie de préproduction afin d'éviter toute casse. Et profitez de chaque passage pour supprimer ce qui ne sert plus : une extension désactivée mais toujours présente reste vulnérable.
Mots de passe forts et double authentification (2FA)
Bannissez « admin / motdepasse123 ». Imposez des mots de passe longs et uniques, stockés dans un gestionnaire (Bitwarden, 1Password), et activez la double authentification sur tous les comptes administrateurs. C'est la mesure la plus rentable de toutes : même un mot de passe ayant fuité ailleurs devient inutilisable sans le second facteur. Supprimez aussi le compte « admin » par défaut au profit d'un identifiant unique.
Limiter les tentatives de connexion
Bloquer temporairement une adresse IP après quelques échecs de connexion suffit à neutraliser les attaques par force brute : le robot abandonne et passe à la cible suivante. Tous les bons plugins de sécurité proposent ce réglage. On peut aller plus loin en protégeant directement la page wp-login.php par un mot de passe serveur, ou en masquant l'adresse de connexion : moins de robots la trouvent, moins ils l'attaquent.
Droits, rôles et principe du moindre privilège
Chaque utilisateur doit avoir le rôle WordPress minimal nécessaire : un rédacteur n'a pas besoin du rôle Administrateur, le profil Auteur ou Éditeur suffit. Moins il y a de comptes à privilèges élevés, plus la surface d'attaque se réduit. Faites le ménage des accès dès qu'un prestataire ou un collaborateur quitte le projet, et n'utilisez jamais un compte administrateur pour rédiger au quotidien.
HTTPS, sauvegardes et pare-feu applicatif
Passez tout le site en HTTPS : le certificat Let's Encrypt est gratuit, automatique, et chiffre les identifiants saisis sur la page de connexion. Mettez en place des sauvegardes automatiques quotidiennes (fichiers + base de données), stockées hors du serveur du site : c'est votre filet de sécurité absolu en cas de piratage. Enfin, un pare-feu applicatif (WAF) filtre le trafic malveillant avant qu'il n'atteigne WordPress et bloque les schémas d'attaque connus.
Un hébergement sérieux, pas le moins cher
L'hébergeur est votre première ligne de défense. Un hébergement mutualisé bas de gamme isole mal les sites entre eux et tarde à appliquer les correctifs serveur. Privilégiez un hébergeur reconnu (o2switch, Infomaniak, OVHcloud, ou un infogéreur WordPress spécialisé) qui propose isolation des comptes, version PHP récente, sauvegardes serveur et pare-feu. C'est l'approche que je retiens systématiquement quand je mets en place la sécurisation d'un site ou d'une application.
Faut-il un plugin de sécurité, et lequel ?
Un plugin de sécurité regroupe en un seul tableau de bord plusieurs des mesures vues plus haut : pare-feu, limitation des connexions, 2FA, scan de fichiers. Il est utile, mais soyons honnête sur son rôle : il complète les mises à jour et les sauvegardes, il ne les remplace pas. Un site bourré de plugins abandonnés ne sera pas sauvé par un énième plugin par-dessus.
Trois références dominent l'écosystème. Wordfence est le plus complet en version gratuite : pare-feu applicatif, scanner de malwares et alertes détaillées. Solid Security (ex-iThemes) mise sur la simplicité de configuration et couvre l'essentiel sans noyer l'utilisateur. Sucuri joue dans une autre catégorie : son pare-feu s'interpose en amont du serveur (côté cloud) et son offre inclut le nettoyage en cas d'infection avérée.
Une règle absolue : n'installez qu'un seul plugin de sécurité à la fois. Deux pare-feu qui tournent en parallèle entrent en conflit, ralentissent le site et créent des faux positifs ingérables. Et gardez la mesure en tête : chaque extension est aussi une surface d'attaque supplémentaire. La meilleure sécurité reste un site épuré, tenu à jour, avec le strict nécessaire — pas une accumulation d'outils censés se protéger les uns les autres.
Pour situer l'ampleur du phénomène, le service de surveillance de réputation Google Safe Browsing recense en permanence des dizaines de milliers de sites compromis servant des contenus malveillants — une part considérable tourne sous WordPress, précisément faute de ces réflexes de base.
Mon site WordPress est piraté : que faire ?
La panique est le pire conseiller. Un piratage se traite méthodiquement, dans un ordre précis. Voici la marche à suivre que j'applique sur chaque intervention de nettoyage, étape par étape.
La procédure pas à pas
- Contenir. Mettez le site en maintenance (ou hors ligne) pour stopper la propagation et protéger les visiteurs des contenus malveillants.
- Changer tous les accès. Mots de passe administrateurs, FTP/SFTP, base de données et espace hébergeur — tous, sans exception — puis révoquez les comptes utilisateurs inconnus.
- Restaurer une sauvegarde saine. Si vous disposez d'une copie antérieure à l'infection, c'est la voie la plus sûre et la plus rapide.
- Nettoyer à défaut de sauvegarde. Scannez le site, supprimez les fichiers PHP suspects et les portes dérobées, réinstallez un cœur WordPress propre depuis la source officielle.
- Corriger la cause. Mettez tout à jour, supprimez les extensions nulled ou abandonnées : sinon, la réinfection est quasi certaine.
- Surveiller et déclarer. Surveillez les journaux quelques jours, demandez un nouvel examen à Google Safe Browsing, et notifiez la CNIL sous 72 h si des données personnelles ont fuité.
La checklist sécurité WordPress à cocher
Et pour ne plus en arriver là, voici le point de contrôle que je reprends sur chaque site que j'audite. Passez-le en revue sur le vôtre : si une seule ligne reste sans réponse, c'est déjà un chantier à ouvrir.
- Le cœur, le thème actif et toutes les extensions sont à jour, et les plugins inutilisés ont été supprimés.
- Aucun thème ni plugin « nulled » n'est installé ; tout provient de sources officielles.
- Les comptes administrateurs ont des mots de passe forts et la double authentification activée ; le compte « admin » par défaut a été supprimé.
- La limitation des tentatives de connexion est en place sur la page
wp-login.php. - Le site est entièrement en HTTPS, sans contenu mixte ni avertissement de navigateur.
- Des sauvegardes automatiques quotidiennes existent, stockées hors serveur et déjà testées en restauration.
- Un pare-feu applicatif (WAF) et un unique plugin de sécurité bien réglé sont actifs.
- Chaque utilisateur dispose du rôle WordPress minimal nécessaire, et les accès des anciens prestataires ont été révoqués.
Comment j'aborde la sécurité WordPress
Quand je conçois ou je reprends un site WordPress, la sécurité n'est pas une option ajoutée à la fin : je l'intègre dès le cadrage. HTTPS, hébergement sérieux, sauvegardes automatiques, double authentification et un plugin de sécurité unique sont en place avant même la mise en ligne, pas bricolés dans l'urgence après une alerte.
Comme je travaille seul, vous avez un interlocuteur unique qui connaît votre site dans le détail : pas de ticket renvoyé d'un service à l'autre, pas de zone grise sur « qui s'occupe des mises à jour ». Je vous explique chaque mesure dans un langage clair, sans vous noyer sous le jargon technique.
Pour les sites existants, je commence par un état des lieux à partir de la checklist ci-dessus, puis je priorise selon le risque réel. Inutile de tout faire d'un coup : on traite d'abord ce qui expose le plus — extensions obsolètes, absence de 2FA, pas de sauvegarde — puis on installe une routine d'entretien tenable dans le temps. Et si votre site est déjà compromis, j'interviens aussi pour le nettoyer et le remettre en ligne proprement.
Questions fréquentes
Creuser le sujet
Sécurisation de site & d'application
Audit, durcissement, nettoyage après piratage : mon offre dédiée pour mettre votre site à l'abri.
Création & maintenance WordPress
Concevoir, reprendre et entretenir un WordPress propre, rapide et sécurisé dès le premier jour.
Bien choisir son hébergement web
L'hébergeur est la première ligne de défense d'un site. Les critères qui comptent vraiment pour la sécurité.
Check-list avant mise en ligne
Tout ce qu'il faut verrouiller, sécurité comprise, avant d'ouvrir un site au public.
WordPress ou site sur-mesure ?
Quand WordPress reste le bon choix, quand le sur-mesure s'impose, et ce que ça change pour la sécurité.
Une idée à concrétiser ?
Échangeons.
