L’administration de WordPress, accessible par défaut via /wp-admin ou /wp-login.php, est la porte d’entrée de votre site. Si un pirate y accède, il peut tout faire : modifier vos contenus, injecter du code malveillant, créer de faux comptes, changer vos mots de passe… ou même supprimer l’ensemble du site.
Ce n’est pas un détail technique à ignorer. C’est une zone critique qu’il faut protéger au maximum. Heureusement, il existe des méthodes simples et efficaces pour renforcer la sécurité de votre interface d’administration WordPress.
🚪 Pourquoi l’accès admin est une cible majeure
Chaque jour, des millions de robots automatisés parcourent le web à la recherche de sites WordPress mal protégés. Ils essaient des combinaisons classiques de connexion (admin / 123456), exploitent des failles de plugins, ou testent des URLs connues.
Si votre admin est mal protégée, elle devient rapidement :
- une passoire pour les scripts automatisés
- une porte ouverte pour les attaques par force brute
- un point d’entrée pour des injections PHP ou JavaScript
Et ce qui commence par une simple tentative d’intrusion peut se transformer en piratage complet.
✅ Étape 1 : Choisir un identifiant non prévisible
Par défaut, lors de l’installation de WordPress, beaucoup conservent “admin” comme identifiant principal. C’est une erreur critique.
À faire :
- Créez un nouvel utilisateur avec un identifiant unique
- Donnez-lui les droits d’administrateur
- Supprimez l’ancien compte “admin”
- Attribuez-lui ses anciens contenus pour ne rien perdre
Ne choisissez pas non plus des noms évidents comme votre prénom ou le nom de votre site.
🔑 Étape 2 : Utiliser un mot de passe fort et unique
Cela semble évident, mais une majorité d’utilisateurs continue d’utiliser des mots de passe faibles ou réutilisés. Un bon mot de passe :
- contient au moins 12 caractères
- mélange lettres, chiffres, majuscules et caractères spéciaux
- est différent de vos autres mots de passe
Utilisez un gestionnaire comme Bitwarden, 1Password ou LastPass. Ne conservez jamais un mot de passe en clair dans un fichier texte ou un email.
🔒 Étape 3 : Activer l’authentification à deux facteurs (2FA)
Même avec un mot de passe fort, il suffit qu’il soit volé (phishing, fuite, enregistrement clavier) pour compromettre votre site.
La double authentification (2FA) ajoute une couche de sécurité. Pour se connecter, il faut :
- Le mot de passe
- Un code unique généré sur une application mobile (Google Authenticator, Authy…)
Plugins recommandés :
- WP 2FA (gratuit et simple)
- Wordfence 2FA (intégré au plugin principal)
- miniOrange 2FA
C’est une des protections les plus efficaces contre les intrusions.
🛡️ Étape 4 : Limiter les tentatives de connexion
Les attaques par force brute consistent à essayer des milliers de combinaisons login/mot de passe jusqu’à trouver la bonne. Limiter ces tentatives bloque cette méthode.
Plugins efficaces :
- Limit Login Attempts Reloaded
- WP Cerber
- Wordfence Security
Vous pouvez configurer :
- un nombre max de tentatives avant blocage (3 à 5)
- un blocage temporaire ou définitif de l’IP
- une notification email en cas de tentative
🔁 Étape 5 : Changer l’URL de connexion
L’URL /wp-login.php est connue de tous. Des milliers de robots ciblent cette page chaque jour.
Avec un plugin comme WPS Hide Login, vous pouvez :
- renommer l’URL de connexion (ex :
/mon-espace,/backoffice123) - empêcher les robots d’y accéder
- recevoir moins d’attaques par défaut
Cela n’est pas une protection absolue, mais c’est un bon moyen de réduire les tentatives automatisées.
👥 Étape 6 : Contrôler les rôles et permissions
Ne donnez jamais à un collaborateur plus de droits que nécessaire. WordPress propose plusieurs rôles :
- Administrateur
- Éditeur
- Auteur
- Contributeur
- Abonné
À faire :
- Attribuez le rôle le plus bas suffisant à chaque utilisateur
- Supprimez les comptes inutilisés
- Vérifiez régulièrement les comptes actifs
Utilisez le plugin User Role Editor pour personnaliser les permissions si besoin.
🧭 Étape 7 : Recevoir des alertes de connexion
Vous devez être informé en temps réel si :
- un nouvel utilisateur admin est créé
- une connexion vient d’une localisation inhabituelle
- plusieurs tentatives échouées ont lieu en quelques minutes
La plupart des plugins de sécurité (Wordfence, iThemes, Cerber) permettent de recevoir des notifications par email.
Un simple email d’alerte peut vous éviter une catastrophe.
📁 Étape 8 : Sécuriser les fichiers liés à l’administration
Les fichiers sensibles comme .htaccess, wp-config.php ou même les fichiers du thème actif doivent être protégés.
À faire :
- Restreindre les permissions en lecture/écriture
- Interdire l’accès direct à certains fichiers via
.htaccess - Désactiver l’édition de fichiers dans l’admin via : phpCopierModifier
define('DISALLOW_FILE_EDIT', true);
Cela empêche un attaquant d’injecter du code directement depuis l’interface WordPress s’il parvient à s’y connecter.
📱 Étape 9 : Désactiver l’accès XML-RPC (sauf si nécessaire)
Le fichier xmlrpc.php est une porte utilisée par certains outils (Jetpack, apps mobiles). Mais il est aussi fréquemment visé pour lancer des attaques DDoS ou par force brute.
Si vous ne l’utilisez pas, désactivez-le :
- via un plugin de sécurité
- ou en ajoutant une règle
.htaccess: apacheCopierModifier<Files xmlrpc.php> Order Deny,Allow Deny from all </Files>
✅ En résumé
Protéger son administration WordPress, c’est :
- réduire les points d’entrée pour les pirates
- durcir les accès
- surveiller les connexions
- prévenir plutôt que guérir
Et cela ne prend que quelques heures à mettre en place, pour une tranquillité durable.
🎁 Bonus : Ce que fait un pro pour sécuriser l’admin WordPress
Un professionnel mettra en place :
- un identifiant masqué
- un mot de passe sécurisé stocké de façon chiffrée
- une URL de connexion modifiée
- une double authentification obligatoire
- des limitations d’accès par IP si besoin
- une surveillance en temps réel
- une sauvegarde quotidienne