Codes & mots de passe WP, ne pas les oublier ?

Tout utilisateur de site WordPress auto hébergé se doit de retenir un bon nombre d’informations, qu’il s’agisse de logins, emails et autres mots de passe…

Dans le cadre de mes coachings WordPress, très souvent je demande au stagiaire de se tenir prêt et dispo avec tous ses codes sous la main. Si tu es en charge de la gestion de ton WordPress, est-ce que tu connais toutes tes informations d’hébergement, de domaine ou bien encore tes codes FTP, ceux de la base de données ?

Difficile de tout retenir et de tout centraliser !

Ces codes qu’il ne faut surtout pas oublier !

Ces codes sont utiles pour tout, que ce soit pour un transfert, un déménagement ou bien encore pour réparer, sauvegarder ton WordPress, tu en auras toujours besoin!

Bon nombre d’entre nous avait pris l’habitude de stocker ces infos directement dans les mails envoyés par les hébergeurs ou les registars… mais lorsque l’on a plusieurs WordPress à gérer, des dizaines de noms de domaine et plusieurs hébergeurs, difficile de s’y retrouver..!

Sans compter que ces informations sont souvent morcelées en plusieurs emails. Un mail reçu pour se connecter à son hébergement, un autre pour la création de la base de données, etc…

La liste complète des accès WordPress

Beaucoup de gens pensent à l’admin WordPress et oublient tout le reste. Or quand un site plante, c’est rarement l’accès wp-admin qui manque — c’est l’accès FTP pour modifier un fichier, l’accès phpMyAdmin pour réparer la base, ou le registrar pour modifier les DNS.

Voilà la liste des accès à toujours avoir sous la main :

• Admin WordPress — URL de connexion (tu l’as changée avec un plugin type WPS Hide Login, j’espère), identifiant, mot de passe
• FTP/SFTP — Hôte, port, identifiant, mot de passe. Le SFTP est à privilégier, plus sécurisé
• Base de données — Nom de la BDD, identifiant, mot de passe, URL phpMyAdmin
• Hébergeur (cPanel/Plesk) — URL du panneau, identifiant, mot de passe
• Registrar DNS — L’endroit où tu gères tes zones DNS. Souvent différent de l’hébergeur
• Email principal du site — Paramètres SMTP/IMAP, identifiant, mot de passe
• CDN — Cloudflare ou autre, identifiant, token API si tu utilises des appels automatiques
• Certificat SSL — Si tu le gères manuellement (Let’s Encrypt via Certbot), garde la commande de renouvellement quelque part

Les accès secondaires qu’on oublie toujours : les API keys des plugins (Stripe, Mailchimp, reCAPTCHA), et les app passwords WordPress si tu utilises des connexions API tierces. Ils ne sont affichés qu’une seule fois à la création — si tu ne les notes pas, tu dois en régénérer un nouveau.

Un fichier excel pour tout centraliser

Pour ne plus rien oublier et pour trouver l’information rapidement, j’ai donc créé un petit fichier Excel qui me permet de centraliser toutes les informations importantes de mes WordPress. Sur cette feuille, 6 tableaux récapitulent les informations importantes dont j’ai régulièrement besoin:

• Celles de mon nom de domaine (registar, dates début/fin, le prix annuel, lien direct…)
• Les infos hébergement (lien vers ton Cpanel, login, mot de passe, début, fin…)
• Les infos relatives à WordPress (accès au wp-login, login + mdp, BdD WP, préfixe table…)
• Mes accès FTP (hôte, port, identifiant, mot de passe)
• Infos et accès à ma base de données (login, mot de passe, PhpMyAdmin…)
• L’email principale attachée à ce WordPress (pop, smtp, login, mot de passe)

Regrouper toutes mes informations WordPress

Bien sûr la prudence est de mise et ce fichier est crypté sur mon ordinateur. Je pourrais également l’imprimer et le ranger quelque part ou bien encore le placer sur une clé USB. J’évite surtout de placer ce fichier dans un cloud;)

Ce fichier excel me permet de regrouper en un seul fichier toutes les informations de mes WordPress. L’avantage d’utiliser Excel, c’est la gestion des feuilles, je peux donc sur un fichier avoir plusieurs feuilles regroupant mes différents sites WordPress comme le montre l’image ci-après:

Comment gérer ses mots de passe en 2026

Le fichier Excel chiffré, c’est bien. Mais franchement, pour quelqu’un qui gère plusieurs sites, un gestionnaire de mots de passe dédié, c’est mieux.

Bitwarden est gratuit, open source, et synchronisé sur tous tes appareils. La version gratuite couvre largement les besoins d’un indépendant ou d’une petite agence. Si tu veux partager des mots de passe avec une équipe en toute sécurité, la version Teams à quelques euros par mois est honnête. 1Password est l’alternative premium, avec une interface soignée et des fonctionnalités avancées pour les pros.

Bon. La règle de base : ne jamais utiliser le même mot de passe partout. Jamais.

J’ai récupéré des sites de clients qui avaient le même mot de passe partout — admin WordPress, FTP, hébergeur, email. Tout identique. Un seul leak sur n’importe quel service — une vieille inscription sur un forum, une boutique en ligne mal sécurisée — et c’est l’ensemble du château de cartes qui s’effondre. Accès admin compromis, fichiers modifiés, SEO niqué par des liens de spam injectés dans le footer. J’ai vu ça plusieurs fois.

Un gestionnaire de mots de passe génère des mots de passe complexes uniques pour chaque service. Tu n’as plus à les retenir. C’est le deal.

Les clés de sécurité WordPress (wp-config.php)

Il y a un truc que personne ne regarde jamais dans wp-config.php : les SALT keys. Ces huit chaînes de caractères aléatoires servent à chiffrer les cookies d’authentification. Si quelqu’un met la main sur un cookie de session, des SALT keys solides rendent ce cookie inutilisable ailleurs.

Problème : sur la majorité des sites WordPress que j’audite, les SALT keys sont celles générées à l’installation — parfois il y a trois, quatre, cinq ans. Jamais changées.

Les changer est simple. Tu vas sur https://api.wordpress.org/secret-key/1.1/salt/, tu copies le bloc généré, tu remplaces les lignes correspondantes dans ton wp-config.php. Effet immédiat : tous les utilisateurs connectés sont déconnectés (les cookies existants sont invalidés). Pour un site qui a subi une tentative d’intrusion ou une fuite de données, c’est le premier réflexe à avoir.

Les clés de sécurité, c’est le truc que personne ne change jamais. Et c’est exactement pour ça qu’il faut les changer — au moins une fois par an, et après tout incident de sécurité.

Authentification à deux facteurs

Le 2FA, c’est 5 minutes de config pour une protection radicale. Si ton mot de passe admin fuite, sans le second facteur, l’attaquant ne rentre pas.

Deux plugins sérieux pour le 2FA sur WordPress : WP 2FA (gratuit, bien maintenu) et Solid Security (anciennement iThemes Security, intègre le 2FA parmi plein d’autres fonctions).

Pour les codes TOTP (les codes à 6 chiffres qui changent toutes les 30 secondes), oublie l’application Google Authenticator et préfère une app dédiée comme Authy ou Bitwarden Authenticator — elles permettent des sauvegardes, ce que Google Authenticator ne fait pas nativement. Si tu perds ton téléphone sans backup 2FA, c’est une procédure de récupération de compte à faire auprès de chaque service.

Note importante : WordPress génère aussi des "app passwords" depuis la version 5.6. Ce sont des mots de passe séparés pour les connexions API (REST API, XML-RPC). Si tu utilises des outils tiers qui se connectent à ton WP, utilise ces app passwords — pas ton mot de passe principal. Et si tu ne les utilises pas, désactive XML-RPC complètement.

Procédure de récupération

Ça arrive. Mot de passe oublié, email perdue, accès verrouillé. Voilà comment s’en sortir selon les cas.

Mot de passe admin WordPress perdu. Si tu as accès à l’email, le lien de réinitialisation classique suffit. Sinon : phpMyAdmin, table wp_users, champ user_pass — tu remplaces par un hash MD5 d’un nouveau mot de passe, puis tu le changes depuis l’admin une fois connecté.

Accès FTP perdu. Ton hébergeur peut réinitialiser les accès FTP depuis le panneau de contrôle (cPanel, Plesk). Ce n’est pas une procédure compliquée, mais elle nécessite d’avoir accès à l’hébergeur. D’où l’importance de garder ses accès hébergeur dans un endroit distinct et sécurisé.

Email principale perdue. C’est là que ça devient difficile. Si l’email liée à ton compte hébergeur, à ton WordPress et à ton registrar est la même et que tu n’y as plus accès, chaque récupération passe par le support du service concerné — avec vérification d’identité. Ça prend du temps. La solution préventive : toujours configurer un email de secours différent sur chaque service critique.

Ça te tente ? Télécharge-le !

Un moyen simple et efficace pour tout garder sous la main, c’est aussi un fichier que l’on peut facilement imprimer/envoyer pour un client.

Ce modèle est bien sûr à adapter selon tes besoins (perso, clients), tu peux également le modifier et ajouter d’autres informations que tu jugeras importantes.

Tu souhaites le télécharger ? Cliquez sur l’icône Excel ci-dessous (format Excel, 12.5 Ko;)