Wordfence : le guide complet du plugin de sécurité WordPress (2026)

J’ai utilisé Wordfence pendant des années sur WPFormation — quand le site tournait encore en WordPress traditionnel. Chaque matin, je recevais mes alertes par mail : tentatives de brute force bloquées, fichiers modifiés, IPs bannies. Le jour où j’ai basculé en architecture headless, Wordfence n’avait plus sa place côté frontend. Mais pour un WordPress classique ? C’est un pilier.

Et les chiffres parlent d’eux-mêmes. En 2024, Wordfence a bloqué 54 milliards de requêtes malveillantes et 55 milliards d’attaques par mot de passe sur l’ensemble de son réseau. Leur flux de Threat Intelligence, alimenté par 5 millions de sites et une base de 44 000 signatures malware, détecte les menaces en temps réel — c’est le plus grand réseau de renseignement sécurité WordPress au monde. Quand une vulnérabilité apparaît sur un plugin populaire, Defiant le sait en quelques heures.

Le problème, c’est que la plupart des guides Wordfence en français datent de 2022 ou se contentent de survoler l’interface. Ici, on va plus loin : configuration optimale du pare-feu, scanner de malware, 2FA, blocage IP et pays, gestion multi-sites avec Wordfence Central, et surtout — ce qu’aucun concurrent ne couvre — que faire concrètement si votre site est piraté. En tant que formateur WordPress certifié Qualiopi et co-créateur de WPS Hide Login (2 millions d’installations), la sécurité WordPress, c’est mon quotidien depuis 2012.

Wordfence Security n’est pas un simple antivirus. C’est une suite de sécurité complète : pare-feu applicatif (WAF), scanner de malware, protection de la page de connexion, authentification à deux facteurs, surveillance du trafic en temps réel et journal d’audit. Le tout développé par Defiant, une équipe 100 % dédiée à la sécurité WordPress depuis 2012.

Qu’est-ce que Wordfence Security ?

Wordfence est un plugin de sécurité WordPress tout-en-un. Avec plus de 5 millions d’installations actives et 406 millions de téléchargements, c’est de loin le plus utilisé dans sa catégorie. Il protège votre site sur trois niveaux :

• Prévention : pare-feu applicatif (WAF) qui bloque les attaques avant qu’elles n’atteignent WordPress
• Détection : scanner qui compare vos fichiers aux originaux de WordPress.org et détecte les malwares
• Réaction : alertes email, blocage d’IPs, journal d’audit pour comprendre ce qui s’est passé

La version gratuite est déjà solide. La différence avec Premium ? Un décalage de 30 jours sur les signatures de malware et les règles de pare-feu. Les utilisateurs Premium reçoivent les protections en temps réel ; les utilisateurs gratuits les obtiennent 30 jours plus tard. Pendant une attaque zero-day, ce délai compte. En temps normal, pas tant que ça.

Wordfence s’appuie aussi sur le Wordfence Security Network : un réseau collaboratif alimenté par les données de millions de sites protégés. Quand un site du réseau détecte une nouvelle IP malveillante ou un nouveau pattern d’attaque, l’information est partagée avec l’ensemble des utilisateurs. C’est un effet de réseau massif — plus il y a de sites sous Wordfence, plus la détection est rapide pour tout le monde.

Installation et première configuration

L’installation est classique — rien de sorcier.

1. Dans votre tableau de bord WordPress, allez dans Extensions → Ajouter
2. Recherchez Wordfence Security
3. Cliquez sur Installer puis Activer

À l’activation, Wordfence vous demande deux choses : votre adresse email pour les alertes de sécurité, et si vous acceptez les conditions d’utilisation. Entrez une adresse que vous consultez vraiment — c’est par là que vous serez prévenu en cas de problème.

Si vous avez une licence Premium, entrez votre clé dans Wordfence → All Options → General Wordfence Options → Wordfence License.

Le tableau de bord Wordfence

Le dashboard centralise tout. En un coup d’œil, vous voyez :

• Le statut du pare-feu (activé/optimisé, pourcentage de protection)
• Le dernier scan et ses résultats
• Les attaques bloquées sur les dernières 24h/7j/30j
• Les notifications en attente (mises à jour, vulnérabilités détectées)
• Le journal d’audit (nouveau depuis la version 8.0, novembre 2024)

C’est dense. Trop dense, même, pour quelqu’un qui découvre la sécurité WordPress. Mon reproche principal : Wordfence affiche tout d’un coup, sans hiérarchie claire. Mais une fois qu’on a compris la logique, on y revient naturellement.

Pour vous faire une idée en images, voici la présentation officielle de Wordfence par l’équipe Defiant — 15 minutes qui couvrent l’essentiel de la configuration initiale :

Configurer le pare-feu (WAF)

Le pare-feu de Wordfence est un WAF (Web Application Firewall) qui filtre le trafic HTTP avant qu’il n’atteigne votre code WordPress. Il bloque les injections SQL, les attaques XSS, les tentatives d’inclusion de fichiers, et les exploits connus sur les plugins vulnérables.

Point important : c’est un pare-feu applicatif (plugin-level), pas un pare-feu DNS. La différence ? Un pare-feu DNS (comme celui de Sucuri ou Cloudflare) intercepte le trafic avant qu’il n’atteigne votre serveur. Le WAF de Wordfence, lui, s’exécute sur votre serveur. Concrètement : chaque requête HTTP arrive quand même chez votre hébergeur, mais Wordfence la filtre avant qu’elle n’atteigne WordPress. Avantage : pas de dépendance à un service tiers. Inconvénient : votre serveur absorbe quand même le trafic malveillant.

Les deux modes de protection

Wordfence propose deux niveaux de pare-feu, tous deux gratuits :

Mode	Comment ça marche	Protection
Basic WordPress Protection	Wordfence se charge comme un plugin classique, après le noyau WordPress	Bonne — bloque la majorité des attaques courantes
Extended Protection (recommandé)	Wordfence s’exécute avant WordPress, les plugins et le thème via auto_prepend_file	Optimale — intercepte les menaces qui exploitent du code chargé avant WP

Pour passer en Extended Protection : allez dans Wordfence → Firewall → Manage Firewall, puis cliquez sur Optimize the Wordfence Firewall. Le plugin vous demandera de télécharger une sauvegarde de votre fichier .htaccess avant d’appliquer la modification.

Mode apprentissage et faux positifs

Après l’activation, le pare-feu entre en mode apprentissage pendant 7 jours. Il observe le trafic légitime de votre site pour éviter les faux positifs. Pendant cette période, il ne bloque rien — il apprend.

Règles en temps réel vs différé

C’est LA distinction entre gratuit et Premium pour le pare-feu. Quand l’équipe Defiant découvre une nouvelle vulnérabilité WordPress (plugin, thème, core), elle crée une règle de pare-feu pour la bloquer. Les utilisateurs Premium reçoivent cette règle immédiatement. Les utilisateurs gratuits l’obtiennent 30 jours plus tard.

En pratique : si un plugin populaire a une faille critique exploitée activement, les sites Premium sont protégés le jour même, les sites gratuits restent exposés pendant un mois. C’est l’argument commercial principal de Wordfence — et il est légitime.

Rate limiting : freiner les bots agressifs

Le pare-feu inclut un système de rate limiting (limitation de débit) souvent négligé. Vous le trouverez dans Wordfence → All Options → Rate Limiting. Il permet de limiter le nombre de requêtes par minute par IP, et de définir des actions automatiques quand un seuil est dépassé.

Ma configuration recommandée :

• If anyone’s requests exceed : 240 per minute → Throttle it
• If a crawler’s page views exceed : 120 per minute → Block it
• If a human’s page views exceed : 60 per minute → Throttle it
• If 404s for known vulnerable URLs exceed : 15 per minute → Block it

Le scanner de malware

Le scanner de Wordfence compare chaque fichier de votre installation WordPress (core, thèmes, plugins) avec les originaux du dépôt WordPress.org. Avec ses 44 000+ signatures malware (la plus grosse base du marché WordPress), il détecte :

• Les fichiers modifiés (backdoors, injections de code)
• Les malwares connus (base de signatures Defiant)
• Les URLs malveillantes dans votre contenu
• Le spam SEO injecté (liens cachés, redirections)
• Les plugins et thèmes avec des vulnérabilités connues
• Les fichiers suspects dans /wp-content/uploads/ (shell PHP déguisés en images)

Lancer un scan et interpréter les résultats

Allez dans Wordfence → Scan et cliquez sur Start New Scan. Le scan prend entre 2 et 15 minutes selon la taille de votre site. Sur un hébergement mutualisé avec beaucoup de fichiers, ça peut monter à 30 minutes.

Les résultats sont classés par sévérité :

• 🔴 Critical : malware confirmé, fichier backdoor, vulnérabilité exploitée — agir immédiatement
• 🟠 High : fichier modifié, plugin vulnérable — à traiter rapidement
• 🟡 Medium/Low : fichiers inconnus, avertissements — à vérifier

Pour chaque problème, Wordfence propose une action : Repair (remplace le fichier par l’original), Delete (supprime le fichier suspect), ou Ignore (faux positif). Utilisez Repair pour les fichiers core/plugin modifiés — c’est la méthode la plus sûre.

Les trois niveaux de scan

Dans les options du scanner (Wordfence → All Options → Scan Options), vous pouvez choisir entre :

• Limited Scan : rapide, consomme peu de ressources — pour les hébergements mutualisés limités
• Standard Scan (par défaut) : équilibre entre profondeur et performance
• High Sensitivity : analyse approfondie, peut générer des faux positifs — à utiliser si vous suspectez une compromission

Même logique que le pare-feu : les signatures de malware arrivent en temps réel pour Premium, avec 30 jours de décalage en gratuit.

Protection de la page de connexion

La page /wp-login.php est la cible n°1 des bots. Wordfence la protège sur trois fronts.

Protection brute force

Wordfence limite les tentatives de connexion et verrouille les comptes après X échecs. Les réglages par défaut sont trop permissifs. Voici ce que je recommande :

• Lock out after X login failures : 5 (au lieu de 20)
• Lock out after X forgot password attempts : 3
• Count failures over what time period : 4 heures
• Lock out for how long : 4 heures minimum
• Immediately lock out invalid usernames : activé — bloque les bots qui testent admin, administrator, etc.

Ces réglages se trouvent dans Wordfence → All Options → Brute Force Protection.

Authentification à deux facteurs (2FA)

Bonne nouvelle : la 2FA est gratuite dans Wordfence depuis mai 2019 (version 7.3.1). Et c’est du TOTP standard — compatible avec Google Authenticator, Authy, 1Password ou n’importe quelle app d’authentification.

Pour l’activer : Wordfence → Login Security, scannez le QR code avec votre application, entrez le code de vérification, et téléchargez les codes de récupération. Fait. Ça prend 2 minutes et c’est la mesure de sécurité la plus efficace que vous puissiez prendre.

Pour aller plus loin sur le sujet, consultez notre article dédié : comment activer la 2FA sur WordPress.

reCAPTCHA v3

Wordfence intègre reCAPTCHA v3 de Google sur la page de connexion et d’inscription. C’est invisible pour l’utilisateur — pas de les fameux feux de signalisation. Rendez-vous dans Wordfence → Login Security → Settings → reCAPTCHA et entrez vos clés Google reCAPTCHA v3.

Combiné à la 2FA et à la protection brute force, votre page de connexion devient quasi impénétrable. Si vous voulez aller encore plus loin, pensez à masquer votre URL de connexion avec WPS Hide Login.

Blocage IP et Country Blocking

Wordfence permet de bloquer des IPs individuelles, des plages d’IPs, et des pays entiers. Le blocage IP de base est gratuit. Le Country Blocking est réservé à Premium.

Blocage IP manuel

Rendez-vous dans Wordfence → Firewall → Blocking. Vous pouvez bloquer :

• Une IP précise (ex: 185.234.218.1)
• Une plage CIDR (ex: 185.234.218.0/24 pour bloquer 256 IPs d’un coup)
• Un pattern d’user-agent (pour bloquer un bot spécifique)
• Un referrer (pour bloquer le trafic venant d’un site malveillant)

En pratique, le blocage manuel sert surtout quand vous repérez dans le Live Traffic une IP qui fait du brute force et que le rate limiting ne suffit pas. Wordfence bloque déjà automatiquement les IPs les plus agressives — le blocage manuel est un complément.

Wordfence inclut aussi un outil WHOIS intégré : cliquez sur n’importe quelle IP dans le Live Traffic ou les résultats de scan, et vous obtenez les informations du propriétaire du réseau (FAI, pays, plage d’IPs). Pratique pour savoir si vous bloquez une IP isolée ou tout un datacenter de bots.

Country Blocking (Premium)

Si 90 % de vos visiteurs viennent de France, Belgique et Suisse, pourquoi accepter des requêtes depuis des pays d’où vous ne recevez que des attaques ? Le Country Blocking permet de bloquer l’accès à votre site par pays entier.

Deux options :

• Block access to the entire site : bloque tout accès (pages publiques + admin)
• Block access to the login form only : autorise la navigation mais bloque les tentatives de connexion

La deuxième option est la plus utilisée. Elle réduit drastiquement les tentatives de brute force sans impacter le SEO (Googlebot n’est bloqué par aucune des deux options — Wordfence le détecte et le laisse passer).

Live Traffic : surveiller votre site en temps réel

La fonctionnalité Live Traffic affiche toutes les requêtes HTTP qui arrivent sur votre site, en temps réel. Humains, bots, crawlers, tentatives d’attaque — tout y passe.

C’est fascinant — et un peu flippant — de voir le volume de requêtes malveillantes qui ciblent un WordPress standard. En une journée, vous verrez des centaines de tentatives sur /xmlrpc.php, /wp-login.php, et des URLs de plugins avec des vulnérabilités connues.

Concrètement, le Live Traffic est utile pour :

• Diagnostiquer un problème : voir quelle requête génère une erreur 500 ou un comportement anormal
• Identifier les bots agressifs : IPs qui font des centaines de requêtes par minute
• Vérifier un blocage : confirmer qu’une IP ou un pays est bien bloqué
• Comprendre une attaque : voir exactement ce que le hacker essaie de faire
• Repérer les scans de vulnérabilités : bots qui testent systématiquement des URLs de plugins connus pour leurs failles

Configurer les alertes email

Par défaut, Wordfence envoie beaucoup d’emails. Genre, vraiment beaucoup. Chaque IP bloquée, chaque scan terminé, chaque mise à jour détectée. Au bout de 48h, vous ne lisez plus rien — et c’est là que vous ratez l’alerte importante.

La configuration se fait dans Wordfence → All Options → Email Alert Preferences. Voici ce que je recommande de garder activé — et de désactiver :

À garder :

• ✅ Email me when Wordfence is automatically updated
• ✅ Alert on critical scan results
• ✅ Alert when an administrator signs in from a new device or location
• ✅ Alert when a non-admin user signs in (si vous avez des contributeurs)
• ✅ Alert me when someone is locked out from login

À désactiver :

• ❌ Alert on non-critical scan results (trop de bruit)
• ❌ Alert when an IP address is blocked (des dizaines par jour)
• ❌ Alert when the Wordfence Web Application Firewall is turned off
• ❌ Alert on scan completion (vous savez quand vous lancez un scan)

Vous pouvez aussi limiter le nombre d’alertes par heure dans Maximum email alerts to send per hour. Mettez 5 ou 10 — au-delà, c’est du spam que vous ne lirez pas.

Wordfence Central : gérer plusieurs sites

Si vous gérez 2 sites WordPress ou plus, Wordfence Central est un vrai gain de temps. C’est un tableau de bord centralisé accessible sur wordfence.com/central qui regroupe les alertes, les résultats de scan et le statut de sécurité de tous vos sites en un seul endroit.

La bonne nouvelle : Wordfence Central est gratuit, même pour les utilisateurs de la version Free. Pas de limite de sites. Vous connectez chaque site depuis Wordfence → All Options → General → Wordfence Central en générant un token de connexion.

Ce que vous pouvez faire depuis Central :

• Voir d’un coup d’œil quels sites ont des alertes critiques
• Lancer un scan à distance sur n’importe quel site
• Gérer les templates de configuration (appliquer la même config à 10 sites)
• Recevoir un résumé email consolidé au lieu de 10 emails séparés
• Configurer des alertes multi-canaux : email, SMS, Slack ou Discord — par niveau de sévérité
• Inviter des membres d’équipe avec des rôles dédiés (Teams) — déléguer la gestion sécurité sans partager les accès admin

Pour les agences ou les freelances qui maintiennent un parc de sites, Central est indispensable. J’aurais aimé l’avoir plus tôt — à l’époque où je gérais une dizaine de WordPress pour des clients via WPServeur, je jonglais entre autant d’onglets qu’il y avait de sites.

Import/Export des paramètres

Une fonctionnalité sous-estimée. Wordfence permet d’exporter toute votre configuration dans un fichier, puis de l’importer sur un autre site. Pratique si vous venez de passer 30 minutes à configurer le pare-feu, le rate limiting, les alertes email, la protection brute force — et que vous avez un deuxième site à sécuriser.

Rendez-vous dans Wordfence → All Options, tout en haut : boutons Import/Export Options. L’export génère un token. Copiez-le, allez sur votre autre site, et importez-le. C’est tout.

Wordfence gratuit vs Premium : quel plan choisir ?

Wordfence propose quatre formules. Voici ce que vous payez — et ce que vous obtenez réellement.

Plan	Prix/an/site	Ce que ça ajoute	Pour qui
Free	0 €	WAF + scanner + 2FA + brute force + Live Traffic (règles différées 30j)	Blogs, sites perso, petits sites
Premium	$149 (~138 €)	Règles temps réel + IP blocklist + Country blocking + Support ticket	Sites pro, e-commerce, sites à trafic
Care	$590 (~545 €)	Nettoyage malware par un analyste (heures ouvrées) + audit log 60j	Entreprises sans équipe technique
Response	$1 250 (~1 155 €)	Réponse en 1h, 24/7/365 + audit log 90j	Sites critiques, e-commerce gros volume

Mon avis. Pour 90 % des sites WordPress francophones, la version gratuite suffit. Le délai de 30 jours est un risque théorique, pas un risque quotidien — les vulnérabilités zero-day exploitées massivement restent rares. Si vous gérez un e-commerce ou un site avec des données sensibles, Premium à $149/an est un investissement raisonnable. Care et Response sont des assurances pour les entreprises qui ne peuvent pas se permettre le moindre temps d’arrêt.

Les réductions volume commencent à 2 licences : $136/site (2-4 sites), $127 (5-9), $118 (10-14), $112 (15+). Si vous gérez plusieurs sites WordPress, le calcul devient vite intéressant.

Que faire si votre WordPress est piraté ?

C’est la section que personne ne couvre — et celle dont vous aurez besoin le jour où ça arrivera. Parce que oui, ça arrive. Même aux sites bien protégés.

Protocole de nettoyage avec Wordfence

Voici la marche à suivre, étape par étape :

1. Ne paniquez pas. Ne supprimez rien. Un fichier infecté est une preuve — vous en aurez besoin pour comprendre comment le hacker est entré.
2. Faites une sauvegarde complète du site en l’état (fichiers + BDD). Oui, même infecté. C’est votre scene de crime.
3. Installez ou mettez à jour Wordfence à la dernière version. Si le plugin est déjà installé, tant mieux.
4. Lancez un scan High Sensitivity : Wordfence → Scan → Options → High Sensitivity. C’est le mode le plus agressif.
5. Analysez les résultats : pour chaque fichier signalé Critical ou High, cliquez sur See how the file has changed pour voir exactement ce qui a été modifié.
6. Réparez les fichiers core et plugins : utilisez Repair pour remplacer les fichiers modifiés par les originaux de WordPress.org. Pour les thèmes premium, réinstallez depuis la source originale.
7. Supprimez les fichiers inconnus : les fichiers qui n’appartiennent à aucun plugin/thème connu et qui contiennent du code obfusqué (base64, eval, gzinflate) → supprimez-les.
8. Changez TOUS les mots de passe : WordPress (tous les admins), FTP, BDD, hébergeur, email associé.
9. Vérifiez les comptes utilisateurs : un hacker crée souvent un compte admin discret. Supprimez tout compte que vous ne reconnaissez pas.
10. Régénérez les clés de sécurité (AUTH_KEY, SECURE_AUTH_KEY, etc.) dans wp-config.php via le générateur officiel WordPress.
11. Relancez un scan pour confirmer que le site est propre.
12. Soumettez une révision à Google (via Search Console) si votre site a été signalé comme dangereux.

Comment identifier le point d’entrée

Le scan ne suffit pas — il faut comprendre comment le hacker est entré pour éviter que ça se reproduise. Les causes les plus fréquentes :

• Plugin ou thème vulnérable (70 % des cas) : vérifiez si un de vos plugins avait une CVE publiée au moment de l’attaque
• Mot de passe faible : sans 2FA, un brute force finit toujours par réussir — c’est juste une question de temps
• Hébergement compromis : un autre site sur le même serveur mutualisé a été piraté (contamination croisée)
• Fichier uploadé malveillant : un formulaire d’upload non sécurisé a permis d’envoyer un shell PHP déguisé en image
• Thème ou plugin nulled : les versions piratées de thèmes/plugins premium contiennent presque toujours une backdoor

Le journal d’audit de Wordfence (version 8.0+, novembre 2024) aide considérablement. Il enregistre chaque action sur votre site : connexions, modifications de fichiers, installations de plugins. Détail important : les données de l’audit log sont stockées sur les serveurs Wordfence Central, pas dans votre base de données WordPress. Un attaquant qui compromet votre site ne peut donc pas effacer les traces — c’est un mécanisme anti-tampering rare chez les concurrents. Remontez dans le temps pour identifier l’événement déclencheur.

L’empreinte en base de données : le point noir de Wordfence

C’est le sujet que personne n’ose aborder franchement. Et pourtant, si vous utilisez Wordfence depuis plus de 6 mois, allez jeter un œil à votre base de données via phpMyAdmin. Vous risquez d’avoir une surprise.

Wordfence crée une dizaine de tables MySQL dédiées, toutes préfixées wp_wf. Les plus volumineuses :

• wp_wfHits : chaque requête HTTP loguée par le Live Traffic (la plus grosse de loin)
• wp_wfLogins : toutes les tentatives de connexion (réussies et échouées)
• wp_wfLiveTrafficHuman : trafic identifié comme humain
• wp_wfScanResults : résultats des scans successifs
• wp_wfBlockedIPLog : historique des IPs bloquées
• wp_wfKnownFileList : empreintes des fichiers WordPress connus

Sur un site actif avec le Live Traffic en mode All Traffic, j’ai vu des tables wp_wfHits dépasser les 500 Mo. Cinq cents mégaoctets. Pour un seul plugin. Dans une base de données WordPress qui fait 50 Mo de contenu. Le ratio est absurde.

Les conséquences sont concrètes : sauvegardes plus longues, restaurations plus lentes, exports SQL qui échouent chez certains hébergeurs mutualisés à cause des limites de mémoire PHP.

Pour limiter les dégâts :

• Passez le Live Traffic en Security Only — ça réduit de 80 % le volume de données écrites
• Réduisez la conservation des logs : All Options → General Wordfence Options → Delete Live Traffic and Login Security logs older than X days. Passez à 7 ou 14 jours au lieu de 30
• Videz les IPs bloquées expirées dans Wordfence → Blocking, bouton Clear all expired blocks
• Si vous avez accès à phpMyAdmin, optimisez les tables après avoir réduit les logs pour récupérer de l’espace disque

OPTIMIZE TABLE wp_wfHits;

Désinstallation propre : le piège des tables orphelines

Si vous décidez de quitter Wordfence, la désinstallation n’a rien d’un simple Supprimer. Et c’est là que ça devient vicieux.

AVANT de désactiver le plugin, allez dans All Options → General Wordfence Options et cochez Delete Wordfence tables and data on deactivation. C’est la seule façon propre. Si vous oubliez cette case — et c’est le cas de la majorité des utilisateurs — voici ce qui reste dans votre base de données après la désinstallation :

• Toutes les tables wp_wf* (potentiellement des centaines de Mo de données)
• Des dizaines d’entrées dans la table wp_options (préfixées wordfence_ et wf_)
• Le répertoire /wp-content/wflogs/ (fichiers de configuration du pare-feu)
• La modification auto_prepend_file dans votre .htaccess (Extended Protection)

Pour nettoyer manuellement : ouvrez phpMyAdmin, identifiez toutes les tables préfixées wp_wf (il y en a environ 10-12) et supprimez-les. Pour purger les options résiduelles, exécutez cette requête SQL :

DELETE FROM wp_options WHERE option_name LIKE 'wordfence_%' OR option_name LIKE 'wf_%';

Enfin, supprimez le dossier /wp-content/wflogs/ via FTP et vérifiez que votre .htaccess ne contient plus de lignes liées à auto_prepend_file.

Pour un nettoyage complet de votre base de données WordPress après désinstallation de plugins, consultez notre guide nettoyer sa base de données WordPress.

Les limites de Wordfence (avis d’expert)

Je ne vais pas vous faire un éloge aveugle. Wordfence a des défauts réels, et après des années d’utilisation, je les connais bien.

La consommation de ressources

Wordfence est gourmand. Le scanner consomme du CPU et de la RAM, le Live Traffic écrit en base de données en permanence, et le pare-feu ajoute une couche de traitement à chaque requête. Sur un hébergement mutualisé bas de gamme, ça peut ralentir votre site de manière perceptible.

Trois mesures pour limiter l’impact :

• Passez le Live Traffic en mode Security Only
• Réduisez la fréquence des scans automatiques (1 fois par semaine suffit)
• Utilisez le mode Low resource scanning si votre hébergeur se plaint

La complexité de l’interface

Wordfence a plus de 100 options. Pour un débutant, c’est décourageant. La page All Options ressemble à un cockpit d’avion. Mon conseil : ne touchez qu’aux réglages mentionnés dans cet article — les valeurs par défaut sont sensées pour tout le reste.

Les faux positifs du scanner

Le scanner signale parfois des fichiers légitimes comme suspects — surtout avec les thèmes premium qui modifient des fichiers core, ou les plugins qui utilisent de l’obfuscation pour protéger leur code. En mode High Sensitivity, le taux de faux positifs augmente significativement. Il faut savoir lire les résultats et ne pas supprimer aveuglément.

Le modèle freemium un peu agressif

Wordfence vous rappelle régulièrement que vous êtes en version gratuite. Notifications dans le dashboard, bandeaux en haut des pages, emails de promotion. C’est agaçant, mais on s’y fait. Le plugin reste fonctionnel — c’est juste du marketing un peu insistant.

Wordfence vs les alternatives

Wordfence n’est pas le seul plugin de sécurité WordPress. Voici comment il se positionne face aux principaux concurrents.

Critère	Wordfence	Solid Security (ex-iThemes)	Sucuri	SecuPress
Prix (premium)	$149/an	$99/an	$199/an	69,99 €/an
Type de WAF	Applicatif (plugin-level)	Aucun WAF intégré	Cloud (DNS-level)	Applicatif (plugin-level)
Scanner malware	Oui (signatures Defiant)	Basique (vérification fichiers)	Oui (côté serveur Sucuri)	Oui (35+ points de contrôle)
2FA gratuite	Oui	Oui	Non	Oui (Pro uniquement)
Country blocking	Premium	Non	Oui (tous les plans)	Pro uniquement
Live Traffic	Oui (temps réel)	Non	Non (logs côté cloud)	Non
Made in	USA (Defiant)	USA (StellarWP)	USA (GoDaddy)	France (WP Media)
Nettoyage inclus	Care/Response	Non	Oui (tous les plans)	Non
Impact serveur	Élevé	Faible	Faible (WAF cloud)	Modéré

En résumé. Wordfence est le plus complet en version gratuite — aucun concurrent ne propose un WAF + scanner + 2FA + Live Traffic à 0 €. SecuPress est l’alternative française avec une interface bien plus claire (un vrai point fort pour les débutants). Sucuri excelle si vous voulez un WAF cloud qui absorbe le trafic malveillant avant qu’il n’atteigne votre serveur — mais c’est plus cher et la configuration DNS est technique. Solid Security a perdu de sa pertinence depuis le rachat par StellarWP — pas de WAF intégré, c’est un deal-breaker en 2026.

Pour un comparatif détaillé, consultez notre article SecuPress vs Wordfence.

FAQ

Wordfence ralentit-il mon site WordPress ?

Oui, Wordfence consomme des ressources serveur — c’est le prix d’une protection active. L’impact est généralement négligeable sur un bon hébergement (O2switch, Infomaniak, Kinsta). Sur un mutualisé bas de gamme, passez le Live Traffic en mode Security Only et réduisez la fréquence des scans. Le pare-feu en lui-même ajoute moins de 50 ms par requête.

Wordfence gratuit est-il suffisant pour un site professionnel ?

Pour un site vitrine ou un blog professionnel, oui. La version gratuite inclut le WAF, le scanner, la 2FA et la protection brute force. Le délai de 30 jours sur les signatures est un risque acceptable si vous maintenez vos plugins à jour. Pour un e-commerce avec des transactions financières, investissez dans Premium ($149/an) — le temps réel et la blocklist IP justifient le coût.

Peut-on utiliser Wordfence avec un CDN comme Cloudflare ?

Oui, mais il faut configurer Wordfence pour reconnaître les vraies IPs des visiteurs derrière le CDN. Dans All Options → General Wordfence Options, activez How does Wordfence get IPs et sélectionnez le header approprié (généralement CF-Connecting-IP pour Cloudflare). Sans cette configuration, Wordfence verra toutes les requêtes comme venant de la même IP (celle de Cloudflare) et ne pourra pas bloquer correctement.

Wordfence est-il compatible avec WPS Hide Login ?

Oui. J’ai utilisé les deux ensemble pendant des années sur WPFormation. WPS Hide Login masque l’URL /wp-login.php, et Wordfence protège la page de connexion qu’elle soit à l’URL par défaut ou personnalisée. Assurez-vous simplement que le pare-feu Wordfence est en mode Extended Protection pour une couverture optimale.

Comment désinstaller proprement Wordfence ?

C’est plus compliqué qu’un simple Supprimer. D’abord, allez dans All Options → General Wordfence Options et cochez Delete Wordfence tables and data on deactivation. Ensuite seulement, désactivez et supprimez le plugin. Si vous oubliez cette case, les tables MySQL (préfixées wp_wf) resteront dans votre base de données — potentiellement des centaines de Mo. Il faudra les supprimer manuellement via phpMyAdmin. Vérifiez aussi le répertoire /wp-content/wflogs/, les options wordfence_ et wf_ dans wp_options, et la ligne auto_prepend_file dans votre .htaccess.

Wordfence fonctionne-t-il avec WordPress multisite ?

Oui. En mode multisite, Wordfence est activé au niveau réseau et protège tous les sous-sites. Le tableau de bord et les scans sont centralisés pour le super-admin. Chaque licence Premium couvre un réseau multisite complet, quel que soit le nombre de sous-sites — c’est un avantage significatif par rapport aux plugins qui facturent par sous-site.

Wordfence détecte-t-il les modifications de fichiers en temps réel ?

Non, pas en temps réel. Le scanner s’exécute à intervalles programmés (automatique ou manuel). Entre deux scans, une modification malveillante peut passer inaperçue. C’est pourquoi le pare-feu est votre première ligne de défense (il bloque les attaques avant la modification), et le scanner votre filet de sécurité (il détecte ce qui a pu passer). Avec Premium, l’IP blocklist ajoute une couche préventive supplémentaire.

Combien de tables Wordfence crée-t-il dans ma base de données ?

Wordfence crée environ 10 à 12 tables préfixées wp_wf dans votre base de données MySQL. Les plus volumineuses sont wp_wfHits (logs du Live Traffic), wp_wfLogins (tentatives de connexion) et wp_wfKnownFileList (empreintes des fichiers). Sur un site actif avec le Live Traffic en mode complet, ces tables peuvent atteindre plusieurs centaines de Mo. Passez en mode Security Only et réduisez la durée de conservation des logs pour limiter la croissance.