🔐 Sécuriser WordPress : 10 bonnes pratiques essentielles à appliquer dès maintenant

WordPress est la plateforme la plus utilisée au monde, ce qui en fait une cible privilégiée pour les pirates. Heureusement, avec quelques bonnes pratiques, tu peux considérablement réduire les risques d’intrusion, de piratage ou de perte de données.

Dans cet article, je te donne 10 conseils techniques pour renforcer la sécurité de ton site WordPress, que tu sois débutant ou un administrateur confirmé.

1. 🔄 Garde WordPress, les thèmes et plugins à jour

C’est la base : plus de 60 % des sites piratés utilisent une version obsolète de WordPress.

Va dans Tableau de bord > Mises à jour régulièrement
Active les mises à jour automatiques pour les extensions critiques
Supprime les plugins/thèmes inutilisés (ils sont aussi exploitables)

💡 Un plugin non activé mais présent reste vulnérable !

2. 🔐 Utilise des mots de passe complexes et uniques

Génère des mots de passe avec Bitwarden ou KeePassXC
Évite les combinaisons classiques (admin123, qwerty, etc.)
Change le mot de passe admin tous les 3 à 6 mois

👉 Active la double authentification (2FA) avec le plugin WP 2FA ou Wordfence Login Security.

3. 🚫 Ne conserve pas « admin » comme nom d’utilisateur

Le compte « admin » est la première cible des attaques par force brute.

Crée un nouvel utilisateur avec des droits « Administrateur »
Connecte-toi avec ce nouveau compte
Supprime l’utilisateur « admin »

4. 🛡️ Installe un plugin de sécurité fiable

Voici 2 références gratuites :

✅ Wordfence Security

Pare-feu applicatif (WAF)
Scanner de malwares
Blocage d’IP suspectes

✅ iThemes Security

Masquage URL de connexion
Protection contre les attaques par force brute
Vérification de l’intégrité du système

5. 🔐 Sécurise la page de connexion

La page wp-login.php est l’une des plus visitées par les bots malveillants.

➕ Astuce : masque la page avec le plugin WPS Hide Login

Change l’URL /wp-login.php en /monadminsecret
Réduit fortement le nombre de tentatives de connexion

6. 🧱 Limite les tentatives de connexion

Avec un plugin comme Limit Login Attempts Reloaded :

Blocage temporaire après X tentatives
Notifie l’admin en cas de tentative de brute force
Compatible avec les systèmes de cache

7. 🔄 Effectue des sauvegardes automatiques régulières

Un site peut être piraté à tout moment. Il est essentiel d’avoir des sauvegardes automatiques (fichiers + base de données) hors serveur.

Plugins recommandés :

UpdraftPlus (gratuit, cloud-friendly)
BackWPup
WPvivid Backup

📦 Stocke tes sauvegardes sur Google Drive, Dropbox ou Amazon S3.

8. 🔐 Désactive l’éditeur de fichiers dans le back-office

Par défaut, WordPress permet de modifier les fichiers PHP depuis le tableau de bord, ce qui représente un risque majeur.

Ajoute cette ligne dans ton fichier wp-config.php :

define('DISALLOW_FILE_EDIT', true);

9. 🧬 Active les permissions de fichiers correctes

Les droits d’accès aux fichiers sur ton serveur doivent être :

Fichiers : 644
Dossiers : 755
Fichier wp-config.php : 400 ou 440

💡 Évite de donner les droits 777, même temporairement.

10. 🔎 Surveille ton site avec un scanner de sécurité

Tu peux scanner ton site manuellement ou automatiquement à la recherche de logiciels malveillants avec :

VirusTotal
Sucuri SiteCheck
Le scanner intégré de Wordfence

🎁 Bonus : hébergement sécurisé + HTTPS

Choisis un hébergeur WordPress sécurisé (o2switch, Kinsta, Infomaniak…)
Active HTTPS avec un certificat SSL (souvent inclus gratuitement)
Redirige toutes les pages HTTP vers HTTPS (via .htaccess ou plugin Really Simple SSL)

📌 Résumé des 10 bonnes pratiques

Action	Impact sécurité
Mises à jour régulières	🔥 Élevé
MDP fort + 2FA	🔥 Élevé
Changer nom « admin »	🔥 Élevé
Plugin de sécurité (Wordfence, etc.)	🔥 Élevé
Page de connexion masquée	✅ Moyen
Limite de connexion	✅ Moyen
Sauvegardes automatiques	✅ Moyen
Éditeur désactivé	✅ Moyen
Permissions de fichiers optimisées	🔒 Fort
Scanner régulier	✅ Préventif