Envelope Phone

Comment améliorer la sécurité d’un site WordPress

Un bouclier avec le logo de wordpress
  • 24 juillet 2025
  • 11 minutes

Parmi les arguments des anti-WordPress, on retrouve régulièrement les soi-disant problèmes de sécurité liés à l’utilisation de ce CMS. Pourtant, la plateforme est l’une des plus sécurisées et des plus suivies du marché. Cette fausse idée est en grande partie du à sa popularité qui en fait forcément une cible de choix pour les pirates, mais aussi et surtout à la méconnaissance de ses utilisateurs en termes de sécurité.

Pour autant, WordPress étant la solution numéro 1 sur le marché de la conception de site web, il est évident que cela nécessite une attention particulière, puisque pour des pirates, cet outil web est une cible de choix, justement car beaucoup de gens sans connaissances techniques l’utilisent.

Nous allons tenter ici de vous donner quelques clés et conseils pour savoir comment sécuriser au mieux votre site WordPress, car heureusement, les solutions ne manquent pas entre protection de l’hébergement, sauvegardes, protection par fichier htaccess, blocage de la page connexion…

Pourquoi VOUS DEVEZ vous occuper de la sécurité de votre site WordPress

WordPress occupe aujourd’hui une place importante parmi les solutions de conception de site internet disponibles, avec plus de 40% de sites web utilisant le CMS. Et c’est ce qui le rend malheureusement très attractif auprès des pirates.

Il suffit qu’un ou plusieurs plugins soient vulnérables pour rendre immédiatement attaquables des milliers, voire des centaines de milliers de sites Internet.

N’ayez donc pas le réflexe de vous dire « je suis un petit artisan avec peu de visibilité, ça n’intéressera pas des pirates ». Car, dans l’absolu, ces derniers se fichent de savoir qui vous êtes ou ce que vous faites. Votre site est une opportunité, quel que soit sa taille.

Par ailleurs, les attaques sont souvent menées en masse sur un grand nombre de sites. Vous pourriez donc être dans le lot, sans même être visé en particulier.

Quels sont les risques et attaques fréquentes sur WordPress ?

Les menaces pèsent principalement sur les éléments vulnérables et souvent négligés. Les attaques peuvent prendre plusieurs formes : attaque directe sur l’hébergement, attaque par bruteforce, exploitation d’une faille sur un plugin ou sur WordPress en lui-même, ajout de backdoor PHP…

Attaques par force brute

Un classique. Cela consiste, pour les pirates, à deviner les identifiants de l’utilisateur possédant les droits d’administration de votre site. Pour cela, ils disposent de robots qui testent des milliers de combinaisons en espérant trouver un mot de passe. Sans limitation, l’outil peut tourner pendant des jours sans que vous vous en rendiez compte.

La mise en place d’une protection du panneau d’accès à l’administration et l’utilisation de mots de passe forts permettent de fortement freiner cette attaque, par exemple en installant un plugin « anti brute force »

Exploitation de failles dans les extensions et thèmes

Si WordPress est un outil CMS très pratique, car il permet d’ajouter ou d’enlever très facilement des fonctionnalités ou de changer de design en quelques clics, cela n’est pas sans conséquence sur la sécurité.

Entre des plugins douteux, abandonnés ou tout simplement pas à jour dans leur dernière version, il y a de nombreuses possibilités de faille sur ces derniers. C’est même souvent la première cause d’infection. 

Panneau de mise à jour de wordpress
WordPress vous signale, à la connexion au back-office, quand des mises à jour sont à effectuer.

Il en est de même pour les thèmes, qui tous comme les plugins, peuvent faire l’objet de failles de sécurité.

Dans les deux cas, il est fortement recommandé :

  • De privilégier des thèmes et plugins fiables.
  • De maintenir à jour vers la dernière version ces derniers pour bénéficier des mises à jour correctives et limiter les « portes d’entrée ».

L’injection de code malveillant (malware, scripts, etc.)

Un autre type d’attaque consiste à cibler directement la base de données avec l’injection SQL, qui permet de voler, par exemple, les informations du compte administrateur.

Certains scripts insérés malicieusement sur le site (via un formulaire par exemple) permettent aussi de créer des backdoors (souvent des fichiers PHP sur l’espace de stockage de votre site sur l’hébergement), des portes dérobées qui permettent aux pirates de revenir quand ils le veulent sur votre site, même si vous tentez de sécuriser WordPress.

Certains outils et plugins permettent par exemple de scanner votre installation de WordPress, un peu comme le ferait un antivirus, pour détecter des fichiers inhabituels.

L’hébergement, une option en plus pour pirater votre site

Moins souvent, le piratage d’un site WordPress est dû à une faiblesse dans la sécurité de l’hébergement ou du serveur dédié que vous utilisez. 

Assurez-vous donc de bien sécuriser votre serveur et notamment l’accès FTP, SSH et Mysql : anti brute-force, log avec alerte… Là aussi les solutions ne manquent pas.

Parmi les bonnes pratiques de sécurité et de configuration concernant ce sujet, on notera :

  • De privilégier une configuration qui sépare fichiers système et contenus téléversés par les utilisateurs.
  • De désactiver l’affichage des erreurs PHP pour éviter les révélations d’informations techniques.
  • De limiter les ports ouverts et contrôler l’installation de nouveaux scripts côté serveur.
  • De vérifier fréquemment les signatures de fichiers pour détecter les modifications suspectes (avec un plugin de sécurité par exemple).

Vous l’aurez compris, la sécurité ne se limite pas à WordPress seul. Vous aurez beau l’avoir sécurisé, si un défaut de configuration est présent chez l’hébergeur, cela ne servira à rien.

Quelles sont les conséquences possibles en cas de piratage ?

Si les motivations d’un piratage de site web WordPress peuvent être aléatoires, les conséquences elles peuvent être importantes si vous ne réagissez pas rapidement.

Impact sur votre référencement

Dans certains cas et selon le type d’attaque choisi, il se peut que votre site web perde en visibilité sur les moteurs de recherche comme Google. En effet, ce dernier, via ses robots, peut détecter des éléments inhabituels et anormaux. Dans ce cas et pour protéger ses utilisateurs, Google peut décider de dégrader votre visibilité, voire d’afficher un message d’avertissement dans les résultats de recherche, pour indiquer qu’il à un risque à visiter votre site web.

Impact sur votre réputation

Une des plus anciennes techniques de piratage est le déphasage. Cela consiste non seulement à pirater l’accès à l’administration du site, mais aussi à remplacer le contenu de votre site par un autre : un message politique, une critique de votre entreprise…

Imaginez ce que penseront les visiteurs de votre site s’ils tombent sur une tête de mort en page d’accueil au lieu du contenu habituel ? Ils pourraient tout simplement que le site est mort ou auront en tout cas l’impression d’un manque de sérieux, d’une entreprise qui ne sait pas sécuriser son site web et qui ne réagit pas face à cette situation.

Impact sur votre activité

Si vous avez lu les deux précédents paragraphes, il est assez évident de comprendre que, si votre référencement est dégradé par Google et que vos visiteurs ont une impression négative en visitant votre site WordPress, cela va impacter votre activité, car vous aurez forcément moins de prospects qui vous contacteront via ce dernier.

L’impact d’un piratage ne se limite donc pas à un aspect visuel, cela atteint potentiellement directement le chiffre d’affaires de votre entreprise, surtout si ce canal d’acquisition est important pour vous (par exemple sur un site e-commerce).

Les bonnes pratiques de sécurité à mettre en place sur WordPress

Si le sujet de la sécurité sur WordPress peut paraitre complexe, en réalité, quelques bonnes pratiques permettent de limiter grandement les risques.

Effectuer les mises à jour

Garder WordPress, ainsi que toutes les extensions et thèmes installées, toujours à jour est la règle d’or. Les mises à jour régulières contiennent la plupart du temps des correctifs pour combler les dernières failles découvertes. Un site laissé sans entretien accumule assez vite les points faibles exploitables.

Si possible, activer la mise à jour automatique là où c’est proposé évite d’oublier les modules importants. Attention toutefois à vérifier la compatibilité des extensions critiques avant chaque changement majeur.

Prévoir des sauvegardes

Le risque 0 n’existant pas en informatique, des sauvegardes régulières du site et de sa base de données sont tout simplement obligatoires. En cas d’attaque ou de problème technique, cela vous permettra de restaurer une version saine et de limiter l’impact du piratage.

Si les hébergeurs proposent souvent ce service, nous vous recommandons fortement de prévoir une seconde sauvegarde de votre côté.

L’incident du datacenter de Strasbourg d’OVH a mis en évidence que vous ne pouvez pas vous reposer totalement sur votre fournisseur / hébergeur.

Changer l’url de connexion au back-office

Via un module ou une règle dans votre fichier .htaccess, modifier l’url d’accès de votre back-office (par défaut /wp-admin sur tous les WordPress) vous protégera d’une grosse partie des tentatives de brute-force sur votre site. C’est probablement la première chose que testera une personne mal intentionnée sur votre site.

Utiliser la double authentification pour accéder au back-office

A l’image de Facebook, Des smartphones ou d’autres services, vous pouvez opter pour un système de double authentification. En plus de votre mot de passe habituel, il vous sera demandé de saisir un code supplémentaire qui vous sera fourni par SMS ou E-mail.

double authentification wordpress
Protégez-vous avec une double authentification

Bloquer les attaques par bruteforce

La règle d’or en sécurité étant qu’un pirate a toujours un temps d’avance sur vous et donc qu’il ne faut donc jamais se reposer sur ses lauriers, il convient d’anticiper la possibilité qu’un robot finisse un jour par passer le recaptcha.

Pour cela, configurer un anti brute-force qui bloquera l’adresse IP au bout de XX tentatives est une bonne pratique incontournable. Des tas de modules existent pour cela sur le répertorie de plugins WordPress.

Utiliser un certificat SSL/HTTPS

Activer le protocole HTTPS via l’installation d’un certificat SSL met directement à l’abri des interceptions de données sensibles. La navigation entre visiteurs et site est alors chiffrée, ce qui renforce également la confiance de vos visiteurs (grâce au petit cadenas dans la barre d’adresse du navigateur).

Aujourd’hui, toutes les formules d’hébergement incluent ce service de base. Si vous ne l’avez pas encore activé sur votre site, il est tout à fait possible de le faire en quelques clics via votre fournisseur et en modifiant la config de WordPress.

Pour vivre heureux, vivons cachés

Vous utilisez WordPress mais est-ce utile de le faire savoir ?

Commencez par supprimer tout lien de crédit éventuel dans le footer par exemple.

Sachez également que WordPress fournit dans son code une information précieuse pour les pirates : sa version. Pourquoi est-ce un problème ? Parce que si vous n’avez pas mis à jour votre site, un pirate pourrait exploiter une faille découverte avec la version qui tourne actuellement sur votre site.

Un bout de code d'un site wordpress affichant la version du CMS
Comment trouver facilement la version de WordPress installée.

Faites donc en sorte de supprimer au maximum les traces de WordPress. Même s’il reste toujours possible de savoir que le site utilise le CMS, moins vous donnerez d’informations sur votre site et mieux vous serez protégé.

Faire preuve de bon sens

Sécuriser son site c’est bien, vous sécuriser c’est mieux.

Commencez par utiliser un mot de passe compliqué pour votre site et non le nom de votre animal de compagnie, histoire de ne pas faciliter la tâche à une personne mal intentionnée.

Assurez-vous par ailleurs de sécuriser vos différents périphériques (pc, smartphone, tablette…) Un pirate pourrait très bien finir par accéder à votre site s’il a réussi à rentrer sur l’une de vos machines.

Munissez-vous d’un bon antivirus et d’un bon pare-feu.

En résumé 

Voici une liste synthétique des actions et des solutions à votre disposition pour sécuriser votre site :

Action recommandéeEfficacitéNiveau de difficulté
Mises à jour régulièresHauteFacile
Sauvegardes/backupsEssentielleMoyenne
Installation de plugins/extensions de sécuritéHauteFacile
Utilisation de mots de passe fortsTrès élevéeFacile
Activation du certificat SSL/HTTPSÉlevéeFacile à moyenne
Protection de l’accès adminÉlevéeMoyenne
Suppression des éléments inutilesMoyenneFacile
Gestion des utilisateurs et permissionsHauteMoyenne
Choix d’un hébergement sécuriséTrès élevéeVariable

Attention néanmoins. Malgré toutes ces possibilités, il vaut mieux partir du principe que les pirates ont toujours une longueur d’avance. Il est donc conseillé de prévoir des solutions pour les situations les plus difficiles : piratage du site, prise de contrôle de l’hébergement. Et de prévoir un plan de reprise d’activité, un élément trop souvent négligé dans les entreprises.

L'auteur
Image de Charles Berthommé

Charles Berthommé

Fondateur de l’agence API Studio en 2015 puis We & You en 2021, je construis et édite des sites web depuis 20 ans.

Sur le même sujet
Une question ? Besoin d'informations ?
03 67 30 02 36
API Studio On The Net
Facebook Linkedin Instagram