WordPress est aujourd’hui le CMS le plus utilisé au monde. Sa force ? Sa flexibilité, sa simplicité, sa communauté. Mais sa popularité en fait aussi une cible privilégiée pour les pirates. Et la majorité des piratages WordPress ne sont pas dus à des failles “zero day”, mais à des erreurs évitables de configuration, de négligence ou d’entretien.
Voici une sélection de bonnes pratiques à adopter pour sécuriser efficacement votre site WordPress — sans avoir besoin d’être expert technique.
1. 🔐 Utilisez des mots de passe forts… vraiment forts
C’est la première barrière. Pourtant, combien d’utilisateurs continuent d’utiliser des mots de passe du type “admin123” ou “site2024” ?
Un bon mot de passe :
- contient au moins 12 caractères
- mélange lettres, chiffres, majuscules, symboles
- est unique (ne jamais réutiliser un mot de passe déjà utilisé ailleurs)
Utilisez un gestionnaire de mots de passe (1Password, Bitwarden, LastPass) pour stocker et générer des mots de passe complexes.
2. 👤 Ne laissez jamais “admin” comme identifiant
C’est le premier nom testé dans les attaques par force brute. Lors de l’installation, choisissez un nom d’utilisateur unique. Si vous avez déjà un utilisateur nommé “admin” :
- créez un nouvel utilisateur admin avec un autre identifiant
- connectez-vous avec ce nouveau compte
- supprimez l’ancien
3. 🚫 Limitez les tentatives de connexion
Les attaques par force brute consistent à tester des milliers de combinaisons login/mot de passe. Un simple plugin peut les bloquer :
- WP Limit Login Attempts
- Wordfence
- WP Cerber
Définissez un nombre de tentatives maximal (ex. : 3 à 5) avant blocage temporaire.
4. 🛑 Changez l’URL de connexion par défaut
Tout le monde connaît l’URL de connexion WordPress par défaut : /wp-login.php. C’est comme afficher une porte d’entrée sans serrure.
Des plugins comme WPS Hide Login permettent de changer cette URL en quelques clics. Ce n’est pas une sécurité absolue, mais cela empêche les robots automatisés de la cibler.
5. 🔐 Activez l’authentification à deux facteurs (2FA)
C’est l’un des moyens les plus efficaces de renforcer la sécurité. Même si votre mot de passe est compromis, un pirate ne pourra pas se connecter sans le second facteur (généré sur une application comme Google Authenticator, Authy, ou via un email).
Plugins recommandés :
- WP 2FA
- Wordfence 2FA
- miniOrange 2FA
6. 🔄 Mettez à jour WordPress, les plugins et les thèmes
La majorité des piratages exploitent des failles connues dans des extensions non mises à jour.
À faire absolument :
- Activez les mises à jour automatiques (avec contrôle manuel si besoin)
- Supprimez les plugins/thèmes que vous n’utilisez plus
- Ne conservez pas plusieurs thèmes “au cas où”
- Vérifiez que les plugins sont toujours maintenus par leurs auteurs
7. ❌ N’installez jamais de plugins ou thèmes piratés (“nulled”)
Les extensions piratées sont souvent modifiées pour inclure des backdoors (portes dérobées) qui donnent un accès total à votre site.
Même si elles semblent fonctionner correctement, elles vous exposent à un piratage silencieux.
Toujours préférer :
- le dépôt officiel WordPress
- les développeurs reconnus et actifs
- les versions premium légales et à jour
8. 🧩 Choisissez des plugins réputés
Avant d’installer un plugin, vérifiez :
- Le nombre d’installations actives
- Les avis récents
- La fréquence des mises à jour
- La compatibilité avec votre version de WordPress
Évitez les plugins abandonnés ou avec des avertissements de sécurité.
9. 🧼 Nettoyez votre base de données et vos fichiers
Des fichiers temporaires, des plugins désactivés ou des utilisateurs inactifs peuvent devenir des failles ouvertes.
À faire :
- Supprimer les comptes inactifs ou suspects
- Nettoyer les anciennes révisions d’articles
- Supprimer les thèmes/plugins inutilisés
- Contrôler les fichiers FTP pour repérer d’éventuels ajouts malveillants
10. 🔒 Restreignez les permissions de fichiers
Les fichiers sensibles (wp-config.php, .htaccess, /wp-content/uploads/) doivent avoir des permissions strictes.
Recommandations générales :
- Fichiers : 644
- Dossiers : 755
- Ne jamais laisser un fichier important en 777
Protégez également l’accès aux répertoires par mot de passe ou via .htaccess.
11. 🛡️ Installez un plugin de sécurité
Un plugin dédié permet de surveiller, détecter, et bloquer les comportements suspects. Les meilleurs incluent :
- Wordfence : pare-feu, scanner, alerte par email
- iThemes Security : configuration guidée, protection des points faibles
- WP Cerber : défense contre les attaques par force brute
Ces outils ne remplacent pas les bonnes pratiques, mais ils les complètent efficacement.
12. 💾 Sauvegardez régulièrement
Rien n’est 100 % invulnérable. Une bonne stratégie de sécurité passe aussi par des sauvegardes automatiques, complètes, externes.
En cas de problème, vous pourrez restaurer rapidement une version propre de votre site.
Plugins recommandés :
- UpdraftPlus
- WPvivid Backup
- BlogVault
✅ En résumé
Sécuriser son site WordPress ne demande pas de tout savoir. Il s’agit surtout :
- D’adopter des réflexes simples
- D’éviter les erreurs les plus fréquentes
- De mettre en place un socle technique solide
Le risque zéro n’existe pas, mais 90 % des piratages peuvent être évités avec une maintenance régulière, un peu de vigilance, et quelques bons outils.
Et si vous n’avez pas le temps ou l’envie de tout faire vous-même, faites appel à un professionnel. C’est souvent bien plus économique qu’un nettoyage d’urgence après coup…