WordPress est la plateforme la plus utilisée au monde, ce qui en fait une cible privilégiée pour les pirates. Heureusement, avec quelques bonnes pratiques, tu peux considérablement réduire les risques d’intrusion, de piratage ou de perte de données.
Dans cet article, je te donne 10 conseils techniques pour renforcer la sécurité de ton site WordPress, que tu sois débutant ou un administrateur confirmé.
1. 🔄 Garde WordPress, les thèmes et plugins à jour
C’est la base : plus de 60 % des sites piratés utilisent une version obsolète de WordPress.
- Va dans Tableau de bord > Mises à jour régulièrement
- Active les mises à jour automatiques pour les extensions critiques
- Supprime les plugins/thèmes inutilisés (ils sont aussi exploitables)
💡 Un plugin non activé mais présent reste vulnérable !
2. 🔐 Utilise des mots de passe complexes et uniques
- Génère des mots de passe avec Bitwarden ou KeePassXC
- Évite les combinaisons classiques (admin123, qwerty, etc.)
- Change le mot de passe admin tous les 3 à 6 mois
👉 Active la double authentification (2FA) avec le plugin WP 2FA ou Wordfence Login Security.
3. 🚫 Ne conserve pas « admin » comme nom d’utilisateur
Le compte « admin » est la première cible des attaques par force brute.
- Crée un nouvel utilisateur avec des droits « Administrateur »
- Connecte-toi avec ce nouveau compte
- Supprime l’utilisateur « admin »
4. 🛡️ Installe un plugin de sécurité fiable
Voici 2 références gratuites :
✅ Wordfence Security
- Pare-feu applicatif (WAF)
- Scanner de malwares
- Blocage d’IP suspectes
✅ Solid Security (ex: iThemes Security)
- Masquage URL de connexion
- Protection contre les attaques par force brute
- Vérification de l’intégrité du système
5. 🔐 Sécurise la page de connexion
La page wp-login.php est l’une des plus visitées par les bots malveillants.
➕ Astuce : masque la page avec le plugin WPS Hide Login
- Change l’URL
/wp-login.phpen/monadminsecret - Réduit fortement le nombre de tentatives de connexion
6. 🧱 Limite les tentatives de connexion
Avec un plugin comme Limit Login Attempts Reloaded :
- Blocage temporaire après X tentatives
- Notifie l’admin en cas de tentative de brute force
- Compatible avec les systèmes de cache
7. 🔄 Effectue des sauvegardes automatiques régulières
Un site peut être piraté à tout moment. Il est essentiel d’avoir des sauvegardes automatiques (fichiers + base de données) hors serveur.
Plugins recommandés :
- UpdraftPlus (gratuit, cloud-friendly)
- BackWPup
- WPvivid Backup
📦 Stocke tes sauvegardes sur Google Drive, Dropbox ou Amazon S3.
8. 🔐 Désactive l’éditeur de fichiers dans le back-office
Par défaut, WordPress permet de modifier les fichiers PHP depuis le tableau de bord, ce qui représente un risque majeur.
Ajoute cette ligne dans ton fichier wp-config.php :
define('DISALLOW_FILE_EDIT', true);
9. 🧬 Active les permissions de fichiers correctes
Les droits d’accès aux fichiers sur ton serveur doivent être :
- Fichiers :
644 - Dossiers :
755 - Fichier
wp-config.php:400ou440
💡 Évite de donner les droits
777, même temporairement.
10. 🔎 Surveille ton site avec un scanner de sécurité
Tu peux scanner ton site manuellement ou automatiquement à la recherche de logiciels malveillants avec :
- VirusTotal
- Sucuri SiteCheck
- Le scanner intégré de Wordfence
🎁 Bonus : hébergement sécurisé + HTTPS
- Choisis un hébergeur WordPress sécurisé (o2switch, Kinsta, Infomaniak…)
- Active HTTPS avec un certificat SSL (souvent inclus gratuitement)
- Redirige toutes les pages HTTP vers HTTPS (via
.htaccessou plugin Really Simple SSL)
📌 Résumé des 10 bonnes pratiques
| Action | Impact sécurité |
|---|---|
| Mises à jour régulières | 🔥 Élevé |
| MDP fort + 2FA | 🔥 Élevé |
| Changer nom « admin » | 🔥 Élevé |
| Plugin de sécurité (Wordfence, etc.) | 🔥 Élevé |
| Page de connexion masquée | ✅ Moyen |
| Limite de connexion | ✅ Moyen |
| Sauvegardes automatiques | ✅ Moyen |
| Éditeur désactivé | ✅ Moyen |
| Permissions de fichiers optimisées | 🔒 Fort |
| Scanner régulier | ✅ Préventif |