Sécuriser WordPress : le guide complet (2026)

WordPress fait tourner 43% du web. Cette popularité en fait la cible n°1 des attaques automatisées. Chaque jour, des milliers de bots scannent les sites WordPress à la recherche de failles connues, de plugins abandonnés et de mots de passe faibles.

En tant que co-créateur de WPS Hide Login (2M+ installations) et WPS Limit Login (100K+ installations), je vois les stats d’attaques de première main. Un site WordPress non protégé reçoit en moyenne 50 à 100 tentatives de connexion par force brute par jour. Un site bien configuré ? Zéro.

Voici les mesures de sécurité classées par priorité — des fondamentaux que tout le monde devrait appliquer jusqu’aux durcissements avancés pour les plus exigeants.

Sécuriser les accès à votre WordPress

La porte d’entrée de votre site, c’est la page de connexion. C’est aussi la première cible des hackers. Quatre mesures à appliquer immédiatement.

Des mots de passe blindés

Un mot de passe WordPress doit faire 16 caractères minimum, mélanger majuscules, minuscules, chiffres et symboles. « MonChat2024 » se casse en quelques secondes. « kP$9mL#2vR&xQ7jN » résiste des millénaires.

Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) pour générer et stocker des mots de passe uniques. Un par service. Jamais le même mot de passe pour votre WordPress et votre boîte email — si l’un tombe, l’autre tient.

Masquer la page de connexion

Par défaut, /wp-admin/ et /wp-login.php sont accessibles par tous. Des milliers de bots frappent sur ces URLs chaque jour, 24h/24. La solution la plus simple : changer l’URL de connexion.

WPS Hide Login est un plugin que j’ai co-créé. Il remplace /wp-login.php par une URL de votre choix (par exemple /mon-acces-secret/). Les bots qui frappent sur /wp-admin/ reçoivent une 404. Zéro config, un seul réglage. Détail complet dans notre tutoriel WPS Hide Login.

Limiter les tentatives de connexion

Même avec une URL cachée, un attaquant déterminé peut découvrir votre page de connexion. La deuxième ligne de défense : bloquer les tentatives répétées.

Après 3 échecs de connexion, l’adresse IP est bloquée pendant 20 minutes. Après 4 blocages, c’est 24 heures. Contre les attaques par force brute, c’est radical — le bot abandonne et passe au site suivant. Tutoriel complet : WPS Limit Login.

Activer l’authentification à deux facteurs (2FA)

Le 2FA ajoute une étape après le mot de passe : un code temporaire généré par une application (Google Authenticator, Authy). Même si un hacker vole votre mot de passe, il ne peut pas se connecter sans votre téléphone. Consultez notre guide complet sur la 2FA WordPress pour la mise en place étape par étape.

Le plugin Two Factor (développé par WordPress.org) est le plus fiable. Il supporte TOTP (application), email, clé de sécurité WebAuthn et codes de secours. Gratuit, léger, officiel.

Protéger les fichiers et la base de données

La sécurité WordPress ne se limite pas à la page de connexion. Les fichiers sur votre serveur et votre base de données MySQL sont des cibles tout aussi critiques.

Verrouiller wp-config.php

Le fichier wp-config.php contient vos identifiants de base de données en clair. Si un attaquant y accède, il contrôle tout. Deux protections :

Permissions fichier — passez wp-config.php en 440 (lecture seule pour le propriétaire et le groupe) ou 400. Jamais 644, encore moins 777.

Protection .htaccess — ajoutez ce bloc dans votre fichier .htaccess :

<Files wp-config.php>
  Order Allow,Deny
  Deny from all
</Files>

Régénérer les clés SALT

Les clés de sécurité SALT dans wp-config.php chiffrent les cookies de session. Si elles sont compromises (ou si elles n’ont jamais été changées depuis l’installation), un attaquant peut forger des sessions admin.

Générez de nouvelles clés sur api.wordpress.org/secret-key/1.1/salt/ et remplacez les lignes correspondantes dans wp-config.php. Tous les utilisateurs connectés seront déconnectés — c’est normal et souhaitable après un incident de sécurité.

Changer le préfixe de la base de données

Par défaut, les tables WordPress utilisent le préfixe wp_. Ce préfixe est connu de tous les scripts d’attaque par injection SQL. Le changer complique considérablement les attaques automatisées.

Si votre site est déjà en production, utilisez le plugin Brozzme DB Prefix qui modifie le préfixe en un clic (base de données + wp-config.php). Sur une nouvelle installation, choisissez un préfixe aléatoire dès le départ (ex : wpf7x_).

Bloquer la navigation dans les dossiers

Par défaut, taper votresite.com/wp-content/uploads/ dans un navigateur affiche la liste de tous vos fichiers. Ajoutez dans votre .htaccess :

Options All -Indexes

Et pour protéger le .htaccess lui-même :

<Files .htaccess>
  Order Allow,Deny
  Deny from all
</Files>

Désactiver l’éditeur de fichiers intégré

WordPress permet de modifier les fichiers PHP des plugins et du thème directement depuis le back-office (Apparence > Éditeur). Si un attaquant accède à votre admin, il peut injecter du code malveillant en 30 secondes. Désactivez cette fonctionnalité dans wp-config.php :

define('DISALLOW_FILE_EDIT', true);

Maintenir WordPress à jour

Les plugins obsolètes sont la première cause de piratage WordPress. Pas les mots de passe faibles, pas les failles du core — les plugins. Selon le rapport Wordfence 2025, 93% des failles exploitées viennent de plugins ou thèmes non mis à jour.

Le core WordPress

Les mises à jour mineures (6.9.1 → 6.9.2) se font automatiquement et corrigent des failles de sécurité. Ne les désactivez jamais. Les mises à jour majeures (6.9 → 7.0) nécessitent un test préalable — faites un backup avant, puis mettez à jour. Notre guide pour mettre à jour WordPress détaille la procédure.

Les plugins

Vérifiez chaque semaine dans Tableau de bord > Mises à jour. Un plugin pas mis à jour depuis plus de 2 ans ? Remplacez-le. Le bandeau « Ce plugin n’a pas été testé avec les 3 dernières versions majeures de WordPress » est un signal d’alarme. Consultez notre guide pour mettre à jour vos plugins WordPress.

Les thèmes

Même logique. Gardez votre thème actif + un thème par défaut (Twenty Twenty-Five) comme filet de sécurité. Supprimez tous les autres. Et mettez à jour votre thème dès qu’une nouvelle version est disponible.

PHP

PHP 8.1 est le minimum en 2026. PHP 7.4 est en fin de vie depuis novembre 2022 — plus aucun patch de sécurité. Vérifiez votre version dans Outils > Santé du site et montez en version depuis le panneau de votre hébergeur.

Installer un firewall et un scanner de sécurité

Les mesures précédentes sont de la prévention. Un firewall et un scanner ajoutent une couche de détection active — ils repèrent et bloquent les attaques en temps réel.

Wordfence — le plus populaire

Wordfence combine un firewall applicatif (WAF), un scanner de malware et un module de protection contre la force brute. La version gratuite est déjà très complète. La version Premium (119$/an) ajoute les règles de firewall en temps réel et le blocage IP par pays.

Ce que j’apprécie : le scanner compare vos fichiers avec le dépôt WordPress.org et signale toute modification suspecte. Un fichier PHP ajouté dans /wp-content/uploads/ ? Wordfence le détecte immédiatement. Notre tutoriel complet Wordfence vous guide dans la configuration.

Sucuri — la sentinelle externe

Sucuri Security (v2.6, 900K+ installations) prend une approche différente : surveillance d’intégrité des fichiers, audit des actions admin et alertes par email. Le service Sucuri Firewall (payant) ajoute un WAF cloud qui filtre le trafic avant qu’il n’atteigne votre serveur — efficace contre les DDoS.

Les en-têtes de sécurité HTTP

Les headers de sécurité sont souvent oubliés. Ils protègent contre le clickjacking, le sniffing de type MIME et les injections XSS. Les indispensables pour WordPress :

X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=(), geolocation=()

Ajoutez-les dans votre .htaccess ou via un mu-plugin. Pour un guide complet, consultez notre article sur les en-têtes de sécurité indispensables pour WordPress.

Sauvegarder et surveiller

La sécurité parfaite n’existe pas. Si votre site est compromis malgré toutes ces mesures, la seule chose qui vous sauve, c’est un backup récent et propre.

Sauvegardes automatiques

Un backup par semaine minimum — base de données ET fichiers. Stockez les backups hors du serveur (cloud, disque externe). Un backup stocké uniquement sur le serveur compromis ne sert à rien.

UpdraftPlus est le plugin de backup le plus fiable : planification automatique, envoi vers Google Drive / Dropbox / S3, restauration en un clic. Chez O2switch, JetBackup conserve 28 jours de snapshots — une couche de protection supplémentaire.

Surveiller les fichiers modifiés

Wordfence et Sucuri scannent automatiquement les fichiers modifiés. Mais vous pouvez aussi vérifier manuellement : connectez-vous en FTP et triez les fichiers par date de modification. Un fichier PHP modifié hier dans /wp-content/uploads/ ? C’est louche. Un fichier wp-load-config.php à la racine ? C’est un webshell.

Suivre les alertes de failles

Abonnez-vous aux alertes de sécurité WordPress :

• Blog Wordfence — publie les failles des plugins populaires en quasi temps réel
• Patchstack — base de données publique des vulnérabilités WordPress
• WPScan — scanner et base CVE spécialisée WordPress

Passer en HTTPS

En 2026, un site sans HTTPS est impensable. Google le pénalise dans les résultats de recherche, Chrome affiche « Non sécurisé » et les données de vos utilisateurs transitent en clair.

La bonne nouvelle : les certificats SSL sont gratuits (Let’s Encrypt) et activés en un clic chez la plupart des hébergeurs. Chez O2switch, c’est dans cPanel > SSL/TLS > Let’s Encrypt.

Après activation, forcez HTTPS dans wp-config.php :

define('FORCE_SSL_ADMIN', true);

Et ajoutez la redirection HTTP → HTTPS dans votre .htaccess. Notre guide complet pour passer WordPress en HTTPS couvre tous les pièges (contenu mixte, URLs en dur dans la BDD, etc.).

Durcissements avancés

Ces mesures ne sont pas indispensables pour tout le monde, mais elles ajoutent des couches de protection supplémentaires pour les sites sensibles (e-commerce, données personnelles, sites institutionnels).

Désactiver XML-RPC

XML-RPC (/xmlrpc.php) est un ancien protocole de communication WordPress. Il est exploité pour des attaques par force brute amplifiées (une seule requête peut tester des centaines de mots de passe). Si vous n’utilisez pas l’app WordPress mobile ni Jetpack, désactivez-le :

<Files xmlrpc.php>
  Order Allow,Deny
  Deny from all
</Files>

Restreindre l’API REST

L’API REST WordPress expose par défaut la liste des utilisateurs (/wp-json/wp/v2/users). Un attaquant peut récupérer les logins de tous vos admins. Bloquez cet endpoint pour les utilisateurs non connectés avec un mu-plugin :

add_filter('rest_endpoints', function($endpoints) {
    if (!is_user_logged_in()) {
        unset($endpoints['/wp/v2/users']);
        unset($endpoints['/wp/v2/users/(?P[\d]+)']);
    }
    return $endpoints;
});

Masquer la version de WordPress

Votre version WP apparaît dans le code source et dans le fichier readme.html à la racine. Supprimez ce fichier et ajoutez dans functions.php :

remove_action('wp_head', 'wp_generator');

Choisir un hébergement sécurisé

L’hébergeur est le premier rempart. Un mutualisé à 2€/mois ne vous protège pas contre les attaques sur les sites voisins du même serveur. Choisissez un hébergement WordPress de qualité avec isolation des comptes, pare-feu serveur et support réactif en cas d’incident.

Sur wpformation.com, j’utilise O2switch depuis 2015 — hébergeur français, isolation CageFS, ModSecurity, backups JetBackup 28 jours. Pour un hébergement WordPress managé avec gestion de la sécurité côté serveur, des solutions comme Kinsta ou WP Engine prennent en charge les mises à jour et le monitoring pour vous.

Si votre site est déjà compromis

Malgré toutes les précautions, un piratage peut arriver. Pas de panique — il existe une procédure claire pour nettoyer et remettre en route un WordPress piraté.

Consultez notre guide complet : WordPress piraté ou hacké : comment bien réagir et réparer.

Et pour évaluer votre niveau de risque avant qu’il ne soit trop tard : 16 indices qui laissent penser que votre WordPress court le risque d’être hacké.

Quel est le plugin de sécurité le plus efficace pour WordPress ?

Wordfence est le plus complet en version gratuite : firewall applicatif, scanner de malware, protection force brute, monitoring des fichiers modifiés. Pour une protection WAF en amont du serveur, Sucuri Firewall (payant) est la référence. Les deux sont compatibles avec la plupart des hébergeurs. Pour la protection de la page de connexion spécifiquement, WPS Hide Login (changement d’URL) + WPS Limit Login (blocage tentatives) forment un duo léger et efficace.

Comment savoir si mon WordPress a été piraté ?

Les signes les plus courants : redirections vers des sites inconnus, pages de spam dans l’index Google (vérifiez dans la Search Console), fichiers PHP inconnus dans wp-content/uploads/, utilisateurs administrateurs que vous n’avez pas créés, ralentissement soudain du site (scripts de minage), alerte de votre hébergeur pour surconsommation de ressources. Wordfence ou Sucuri scannent ces indicateurs automatiquement.

Les mises à jour automatiques de WordPress sont-elles sûres ?

Les mises à jour mineures automatiques (6.9.1 → 6.9.2) ne contiennent que des correctifs de sécurité et de bugs. Elles ne cassent quasiment jamais un site. Ne les désactivez pas. Pour les mises à jour majeures (6.9 → 7.0), WordPress demande votre validation — faites un backup complet avant, testez sur un staging si possible, puis mettez à jour.

Le 2FA est-il vraiment nécessaire sur WordPress ?

Si votre site gère des données utilisateur, du e-commerce ou du contenu professionnel, oui. Le 2FA bloque 99% des attaques par mot de passe volé (phishing, fuites de bases de données). Le plugin Two Factor (officiel WordPress.org) est gratuit et ajoute moins d’une seconde au processus de connexion. Pour un blog personnel sans données sensibles, ce n’est pas indispensable mais reste recommandé.

Faut-il un certificat SSL payant ou Let’s Encrypt suffit ?

Let’s Encrypt suffit pour 99% des sites WordPress. Le chiffrement est identique à un certificat payant. Les certificats EV (barre verte avec le nom de l’entreprise) n’existent plus dans les navigateurs modernes. La seule raison d’acheter un certificat payant : une obligation contractuelle ou réglementaire spécifique. Chez O2switch, Let’s Encrypt s’active en un clic dans cPanel.

WordPress est-il vraiment sécurisé ?

Le core WordPress est audité par une équipe dédiée et subit des pentests réguliers. Les failles du core sont rares et corrigées en quelques jours. Le problème vient des plugins et thèmes tiers : 93% des vulnérabilités exploitées en 2025 provenaient de plugins, pas du core. Un WordPress à jour avec des plugins maintenus et bien configuré est aussi sûr que n’importe quel CMS.

Comment sécuriser un site WooCommerce ?

WooCommerce gère des données de paiement et des données personnelles — les enjeux sont plus élevés. En plus de toutes les mesures de cet article, ajoutez : HTTPS obligatoire sur tout le site (pas juste le checkout), authentification 2FA pour tous les gestionnaires de boutique, logs d’activité (plugin WP Activity Log), conformité RGPD pour le stockage des données clients, et passerelle de paiement PCI-DSS (Stripe, PayPal — jamais de stockage de CB sur votre serveur).