Avec plus de 43 % des sites web mondiaux propulsés par WordPress en 2025, cette plateforme open source est devenue la cible numéro un des cyberattaques. Selon le rapport annuel de Sucuri, plus de 90 % des sites CMS piratés en 2024 tournaient sous WordPress. Ce chiffre alarmant ne signifie pas que WordPress est intrinsèquement vulnérable — il reflète simplement sa popularité massive. La bonne nouvelle : avec les bonnes pratiques, vous pouvez réduire votre surface d’attaque de plus de 95 %.
Chez HETERACTIS, nous sécurisons et maintenons des dizaines de sites WordPress pour des TPE et PME. Ce guide condense notre expérience terrain en actions concrètes, classées par priorité.
Comprendre les menaces : comment les pirates attaquent votre site
Avant de se défendre, il faut comprendre l’attaquant. Les pirates n’attaquent généralement pas votre site personnellement — ils utilisent des robots automatisés qui scannent des millions de sites à la recherche de failles connues.
Attaques par force brute
Des bots testent des milliers de combinaisons identifiant/mot de passe sur votre page /wp-login.php. En 2024, Wordfence a bloqué en moyenne 4,6 milliards de tentatives de force brute par mois sur l’ensemble de son réseau. Si votre mot de passe est faible, c’est une question de temps avant qu’il soit trouvé.
Exploitation de vulnérabilités connues (CVE)
Chaque fois qu’une faille est découverte dans un plugin ou un thème, elle est publiée dans la base CVE. Les pirates déploient des exploits automatisés dans les 24 à 48 heures suivant la publication. Les sites non mis à jour sont des proies faciles. En 2024, les plugins vulnérables représentaient 56 % des points d’entrée des piratages WordPress.
Injections SQL et XSS
Les formulaires de contact, champs de recherche et commentaires mal protégés permettent d’injecter du code malveillant dans votre base de données (SQL injection) ou dans les pages affichées à vos visiteurs (Cross-Site Scripting). Ces attaques peuvent voler des données utilisateurs ou rediriger vos visiteurs vers des sites frauduleux.
Malwares et backdoors
Une fois qu’un pirate a accès, il installe souvent une porte dérobée (backdoor) dissimulée dans un fichier PHP anodin. Même si vous corrigez la faille initiale, le pirate conserve un accès permanent tant que la backdoor n’est pas détectée et supprimée.
Les 10 mesures de sécurité indispensables
1. Mettre à jour WordPress, thèmes et plugins — systématiquement
C’est la mesure la plus efficace et la plus simple. Les mises à jour corrigent les failles de sécurité connues. Pourtant, selon WPScan, 33 % des sites WordPress utilisent une version obsolète du CMS ou de leurs plugins.
Notre recommandation : activez les mises à jour automatiques mineures de WordPress (activées par défaut depuis WP 5.6). Pour les plugins critiques (formulaires, e-commerce, sécurité), activez également les mises à jour automatiques. Pour les mises à jour majeures, testez d’abord sur un environnement de staging.
2. Renforcer l’authentification
La combinaison « admin / motdepasse123 » est encore terriblement courante. Voici le triptyque d’une authentification solide :
- Nom d’utilisateur unique — jamais « admin », « administrator » ou le nom de domaine
- Mot de passe complexe — 16 caractères minimum, généré par un gestionnaire (Bitwarden, 1Password, KeePass)
- Double authentification (2FA) — via Google Authenticator ou une clé physique FIDO2. Le plugin WP 2FA est gratuit et s’installe en 5 minutes
Avec le 2FA activé, même si votre mot de passe fuite, votre compte reste protégé.
3. Installer et configurer un plugin de sécurité
Un plugin de sécurité agit comme un gardien permanent de votre site. Les trois leaders du marché :
Wordfence Security (notre choix chez HETERACTIS) — pare-feu applicatif (WAF), scanner de malwares en temps réel, blocage IP intelligent, monitoring du trafic. La version gratuite couvre 95 % des besoins. La version Premium ajoute les règles de pare-feu en temps réel et le blocage par pays.
Sucuri Security — orienté détection et nettoyage post-piratage. Excellent scanner côté serveur, monitoring d’intégrité des fichiers, et service de nettoyage inclus dans l’offre payante.
iThemes Security — très complet pour le durcissement (hardening) : modification de l’URL de connexion, détection de changements de fichiers, protection contre la force brute, et planification de sauvegardes.
Configuration minimale recommandée (Wordfence) :
- Activer le pare-feu en mode « Learning » pendant une semaine, puis passer en « Enabled and Protecting »
- Planifier un scan complet quotidien
- Activer le blocage automatique après 5 tentatives de connexion échouées
- Configurer les alertes email pour les événements critiques
- Activer la protection contre la fuite de mots de passe (breached password detection)
4. Sauvegarder régulièrement — et tester la restauration
La sauvegarde est votre assurance vie numérique. Sans elle, un piratage ou une erreur technique peut effacer des mois de travail :
- Fréquence : sauvegarde complète hebdomadaire + sauvegarde de la base de données quotidienne
- Stockage : JAMAIS uniquement sur le même serveur. Exportez vers Google Drive, Dropbox, Amazon S3 ou un NAS local
- Rétention : conservez au minimum 4 semaines de sauvegardes (pour détecter les problèmes latents)
- Test : restaurez une sauvegarde sur un environnement de test au moins une fois par trimestre
Plugins recommandés : UpdraftPlus (gratuit, fiable, multi-destinations) ou BackWPup (très complet en version gratuite).
5. Sécuriser la page de connexion
La page /wp-login.php est la porte d’entrée la plus attaquée de WordPress. Trois mesures pour la blinder :
- Changer l’URL de connexion — WPS Hide Login vous permet de remplacer
/wp-adminpar une URL personnalisée. Les bots qui ciblent/wp-login.phpne trouveront plus rien. - Limiter les tentatives — Limit Login Attempts Reloaded bloque une IP après 3-5 échecs. Wordfence inclut cette fonctionnalité nativement.
- Ajouter un CAPTCHA — reCAPTCHA v3 de Google filtre les robots sans gêner les humains.
6. Choisir un hébergement sécurisé
Votre hébergeur est le fondement de votre sécurité. Un bon hébergeur WordPress doit proposer :
- Certificat SSL gratuit (Let’s Encrypt) — le HTTPS est obligatoire en 2025
- Isolation des comptes — un site piraté sur un serveur mutualisé ne doit pas contaminer les autres
- Pare-feu serveur (ModSecurity, Imunify360) — filtrage au niveau serveur avant même que WordPress ne soit sollicité
- Sauvegardes automatiques quotidiennes avec rétention de 14 à 30 jours
- Support réactif capable d’intervenir en cas d’incident de sécurité
Nos recommandations pour la France : o2switch (excellent rapport qualité/prix, support francophone réactif), OVH (infrastructure solide) ou Infomaniak (éco-responsable, RGPD-friendly).
7. Désactiver l’éditeur de fichiers intégré
WordPress inclut un éditeur de code dans l’admin (Apparence → Éditeur de thème). Si un pirate accède à votre admin, il peut modifier directement les fichiers PHP de votre thème. Désactivez-le en ajoutant cette ligne dans wp-config.php :
define('DISALLOW_FILE_EDIT', true);
Cette simple ligne élimine un vecteur d’attaque majeur sans aucun impact sur votre utilisation quotidienne.
8. Protéger le fichier wp-config.php
Le fichier wp-config.php contient vos identifiants de base de données — c’est le coffre-fort de votre site. Protégez-le :
- Déplacez-le d’un niveau au-dessus de la racine web (WordPress le trouvera automatiquement)
- Ajoutez une règle
.htaccesspour en bloquer l’accès - Régénérez les clés de sécurité (salt keys) via l’API WordPress dédiée
9. Supprimer les thèmes et plugins inutilisés
Chaque plugin installé — même désactivé — est un point d’entrée potentiel. Un plugin désactivé mais vulnérable peut être exploité directement via son fichier PHP. Règle simple : si vous ne l’utilisez pas, supprimez-le. Pas désactivé — supprimé.
Faites un audit trimestriel : listez vos plugins actifs, vérifiez la date de leur dernière mise à jour, et supprimez ceux qui n’ont pas été mis à jour depuis plus de 12 mois (signe d’abandon par le développeur).
10. Surveiller et auditer en continu
La sécurité n’est pas un état — c’est un processus continu. Mettez en place :
- Monitoring uptime — UptimeRobot (gratuit) vous alerte par SMS ou email si votre site tombe
- Scan de malwares — Sucuri SiteCheck (gratuit) ou le scan Wordfence quotidien
- Monitoring d’intégrité — détectez les fichiers modifiés sans votre intervention
- Audit mensuel — vérifiez les utilisateurs, les permissions, les plugins, les fichiers modifiés
- Veille sécurité — abonnez-vous au flux RSS de WPScan ou Wordfence pour être informé des nouvelles vulnérabilités
Que faire si votre site est piraté ? Procédure d’urgence
Malgré toutes les précautions, un piratage peut survenir. Voici la procédure que nous appliquons chez HETERACTIS :
Phase 1 — Confinement (15 minutes)
- Mettez le site en maintenance immédiatement
- Changez tous les mots de passe : WordPress admin, FTP/SFTP, base de données, compte hébergeur
- Révoquez toutes les sessions WordPress actives
Phase 2 — Diagnostic (30-60 minutes)
- Identifiez le point d’entrée via les logs serveur (access.log, error.log)
- Lancez un scan complet avec Wordfence ou Sucuri
- Vérifiez les utilisateurs — recherchez des comptes admin créés par le pirate
- Comparez les fichiers WordPress avec les originaux via WP-CLI
Phase 3 — Restauration (1-2 heures)
- Restaurez depuis une sauvegarde saine antérieure à l’infection
- OU nettoyez manuellement : supprimez les fichiers infectés, réinstallez WordPress core et les plugins
- Mettez tout à jour immédiatement après la restauration
- Scannez à nouveau pour confirmer que le site est propre
Phase 4 — Prévention
- Durcissez la configuration en appliquant les 10 mesures ci-dessus
- Demandez un réexamen à Google si votre site a été blacklisté
- Informez vos utilisateurs si des données personnelles ont pu être compromises (obligation RGPD)
- Documentez l’incident pour éviter qu’il ne se reproduise
Checklist sécurité WordPress
| Action | Priorité | Fréquence |
|---|---|---|
| Mises à jour WordPress + plugins + thèmes | Critique | Hebdomadaire |
| Mots de passe forts + 2FA | Critique | Unique (+ rotation annuelle) |
| Plugin de sécurité (Wordfence) | Critique | Unique |
| Sauvegardes automatiques | Critique | Hebdomadaire (BDD : quotidien) |
| URL de connexion modifiée | Haute | Unique |
| Certificat SSL (HTTPS) | Haute | Unique |
| Éditeur de fichiers désactivé | Haute | Unique |
| wp-config.php protégé | Haute | Unique |
| Plugins/thèmes inutilisés supprimés | Moyenne | Trimestrielle |
| Audit de sécurité complet | Moyenne | Mensuelle |
| Test de restauration de sauvegarde | Moyenne | Trimestrielle |
Investir dans la sécurité, c’est protéger votre business
Un site piraté coûte en moyenne entre 500 et à nettoyer (source : Sucuri), sans compter les pertes de chiffre d’affaires, la chute de référencement et l’atteinte à la réputation. La prévention coûte une fraction de ce montant.
La sécurité WordPress n’est pas une option — c’est un investissement rentable. Les mesures décrites dans ce guide peuvent être mises en place en une demi-journée et vous protégeront contre plus de 95 % des attaques courantes.
Besoin d’un accompagnement professionnel ? Contactez HETERACTIS pour un audit de sécurité complet de votre site WordPress. Nous identifions les failles, mettons en place les protections et assurons une surveillance continue.
