Sécurité WordPress : votre site est une cible
WordPress propulse 43% du web mondial. Cette popularité en fait la cible préférée des hackers. Des milliers de sites WordPress sont piratés chaque jour, souvent à cause de failles évitables.
Les 4 causes principales de piratage WordPress
- Plugins obsolètes (52% des cas) — les failles connues sont exploitées en masse
- Mots de passe faibles (16%) — « admin/admin » est encore trop courant
- Thème vulnérable (11%) — thèmes piratés = souvent infectés
- Hébergement non sécurisé (8%) — serveur partagé mal configuré
Les 15 mesures de sécurité essentielles
Niveau 1 : Les bases (faites-le maintenant)
- Mettez à jour tout : WordPress core, thèmes, plugins
- Supprimez les plugins/thèmes inutilisés (même désactivés)
- Changez le nom d’utilisateur admin (pas « admin »)
- Mot de passe de 14+ caractères unique
- Activez le 2FA avec le plugin WP 2FA ou Wordfence
Niveau 2 : Renforcement
- Installez Wordfence (firewall + scanner gratuit)
- Limitez les tentatives de connexion (Limit Login Attempts)
- Changez l’URL de connexion (/wp-admin → URL personnalisée avec WPS Hide Login)
- Désactivez l’éditeur de fichiers dans wp-config.php
- Protégez wp-config.php
// wp-config.php — désactiver l’éditeur
define(‘DISALLOW_FILE_EDIT’, true);
// .htaccess — protéger wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Niveau 3 : Avancé
- Headers de sécurité (CSP, X-Frame-Options, HSTS)
- Désactivez XML-RPC si vous ne l’utilisez pas
- Sauvegarde automatique quotidienne (UpdraftPlus vers cloud)
- Monitoring : Sucuri ou Wordfence scan planifié
- Certificat SSL avec forçage HTTPS
Plugin de sécurité : Wordfence vs Sucuri
| Critère | Wordfence | Sucuri |
|---|---|---|
| Firewall | Au niveau WordPress (endpoint) | Au niveau DNS (cloud) |
| Scanner | Complet, détecte les malwares | Externe + plugin |
| Prix | Gratuit / Premium 119$/an | Gratuit scanner / Firewall 199$/an |
| Recommandation | Meilleur choix gratuit | Si vous voulez un WAF cloud |
Que faire si votre site est piraté
- Mettez le site en maintenance immédiatement
- Changez tous les mots de passe (WP, FTP, base de données, hébergeur)
- Scannez avec Wordfence pour identifier les fichiers infectés
- Restaurez depuis une sauvegarde saine
- Mettez à jour tout (core, plugins, thèmes)
- Installez un firewall pour prévenir les récidives
- Vérifiez Google Search Console pour d’éventuelles pénalités
Exercice pratique
Sécurisez votre WordPress en 30 minutes
- Mettez à jour WordPress, plugins et thèmes
- Supprimez les plugins et thèmes inutilisés
- Installez Wordfence et lancez un scan
- Activez le 2FA sur votre compte admin
- Configurez UpdraftPlus pour des sauvegardes automatiques
- Changez l’URL de connexion avec WPS Hide Login
