Votre site WordPress peut être vulnérable sans que vous le sachiez. Cet article couvre 20 indices de risque répartis en deux catégories : les failles de configuration qui invitent les attaques (identifiant admin, préfixe wp_, page de connexion par défaut) et les symptômes d’un piratage déjà en cours (redirections, comptes inconnus, fichiers suspects). Pour chaque indice, une solution concrète et immédiate.
Pas le temps ? Faites-le analyser par l'IA
30 000 sites WordPress piratés chaque jour. Le chiffre vient de Sophos et il fait froid dans le dos. Mais la plupart de ces piratages exploitent des failles connues, documentées, prévisibles — et surtout évitables.
En tant que formateur WordPress depuis 2012 et co-créateur de WPS Hide Login (un plugin créé précisément pour contrer les attaques brute-force sur wp-login.php), j’ai audité des centaines de sites. Les mêmes erreurs reviennent systématiquement. Voici les 20 indices qui doivent vous alerter — et quoi faire pour chacun.
Partie 1 — Votre configuration invite les attaques
Ces indices signifient que votre site est mal configuré et représente une cible facile pour les attaques automatisées.
Attention : Avant d’appliquer les correctifs ci-dessous, effectuez une sauvegarde complète de votre site (fichiers + base de données). Un correctif mal appliqué peut casser votre site.
1. Vous utilisez l’identifiant "admin"
WordPress propose "admin" par défaut à la création. Les robots de brute-force le savent et le testent en premier, avec des milliers de combinaisons de mots de passe.
Correctif : Créez un nouvel utilisateur administrateur avec un identifiant unique (mélange de lettres et de caractères). Reconnectez-vous avec ce nouveau compte, puis supprimez le compte "admin" en transférant son contenu au nouveau.
2. Votre administrateur a l’ID 1
Le premier utilisateur WordPress reçoit l’ID 1. Un attaquant peut découvrir votre identifiant en tapant votresite.com/?author=1. Si votre identifiant s’affiche dans l’URL, c’est un problème.
Correctif : Bloquez les scans d’auteurs via le .htaccess et changez le "Nom à afficher publiquement" dans votre profil.
3. Tous vos utilisateurs sont administrateurs
Sur un site avec une équipe, donner les droits admin à tout le monde multiplie les risques. Un seul compte compromis = accès total.
Correctif : Attribuez le rôle minimum nécessaire. Un rédacteur n’a pas besoin d’installer des plugins. Un contributeur n’a pas besoin de publier. Utilisez Auteur, Éditeur, Contributeur ou Abonné selon les besoins réels.
4. L’email admin est utilisé dans les formulaires de contact
L’adresse email du compte administrateur peut servir d’identifiant de connexion. Si vous l’utilisez comme destinataire visible de vos formulaires, vous l’exposez publiquement.
Correctif : Utilisez une adresse email distincte pour les fonctions de contact (contact@, info@) et une adresse séparée pour l’administration WordPress.
5. L’identifiant de connexion s’affiche publiquement
Par défaut, WordPress affiche l’identifiant de connexion comme nom d’auteur. Désastreux en termes de sécurité.
Correctif : Dans Utilisateurs → Votre profil, modifiez le champ "Nom à afficher publiquement". Choisissez votre prénom, nom complet ou un pseudonyme — tout sauf l’identifiant de connexion.
6. Votre page de connexion est l’URL par défaut
L’URL wp-login.php est connue de tous. Les bots la martèlent 24h/24 avec des tentatives de connexion automatisées.
WPS Hide Login — v1.9.18 — ⭐ 4.8/5 (2 100+ avis) — 2 000 000+ installations — Télécharger sur WordPress.org
Correctif : Changez l’URL de connexion avec WPS Hide Login. C’est un plugin que j’ai co-créé et qui pèse moins de 15 Ko — il remplace simplement l’URL d’accès sans modifier les fichiers WordPress.
7. Aucune limitation des tentatives de connexion
Sans limitation, un attaquant peut tester des milliers de combinaisons identifiant/mot de passe sans être bloqué.
WPS Limit Login — v1.5.9.2 — ⭐ 4.9/5 (83+ avis) — 100 000+ installations — Télécharger sur WordPress.org
Correctif : Installez WPS Limit Login pour bloquer les IP après un nombre défini de tentatives échouées. 3 à 5 tentatives est un bon réglage.
8. Le préfixe de base de données est "wp_"
Le préfixe par défaut wp_ est connu de tous. En cas d’injection SQL, l’attaquant sait exactement comment s’appellent vos tables (wp_users, wp_options).
Correctif : Changez le préfixe lors de l’installation. Sur un site existant, utilisez le plugin Brozzme DB Prefix — mais faites une sauvegarde de la base de données d’abord. C’est une opération délicate.
9. Le fichier wp-config.php n’est pas protégé
Ce fichier contient les identifiants de votre base de données et les clés de chiffrement des cookies. S’il est accessible, c’est game over.
Correctifs :
- Bloquer l’accès via le .htaccess
- Générer des clés SALT aléatoires via le générateur officiel
- Permissions du fichier : 644 (pas 777, jamais)
10. WordPress, plugins ou thème ne sont pas à jour
Chaque mise à jour corrige des failles. Un site avec WordPress 6.2 en mars 2026, c’est 2 ans de vulnérabilités non corrigées. Les failles de chaque version sont publiques — un attaquant n’a qu’à consulter le changelog.
Correctif : Mettez tout à jour régulièrement. Activez les mises à jour automatiques mineures de WordPress (elles sont activées par défaut). Pour les plugins, vérifiez chaque semaine.
11. Vous utilisez un thème gratuit téléchargé hors du répertoire officiel
Les thèmes "nulled" (versions piratées de thèmes premium) sont truffés de backdoors. Vous installez littéralement la porte d’entrée du pirate.
Correctif : Utilisez uniquement des thèmes du répertoire officiel WordPress ou achetez les licences légitimes chez les développeurs.
12. Des thèmes inactifs traînent sur votre serveur
Un thème inactif reste sur le serveur. Si une faille est découverte dans ce thème, votre site est vulnérable — même si vous ne l’utilisez pas.
Correctif : Supprimez tous les thèmes inactifs sauf un thème par défaut (Twenty Twenty-Five) comme filet de sécurité.
Partie 2 — Votre site est peut-être déjà compromis
Ces indices sont des symptômes post-piratage. Si vous en repérez un seul, votre site est probablement déjà compromis.
13. Redirections vers des sites inconnus
Vous tapez l’URL de votre site et vous atterrissez sur une page de casino, de pharmacie en ligne ou de phishing. Parfois la redirection ne se déclenche que sur mobile ou uniquement pour les visiteurs venant de Google (pas quand vous tapez l’URL directement).
Action : Scannez avec Wordfence. Vérifiez le .htaccess (un code de redirection malveillant y est souvent injecté). Vérifiez aussi wp-config.php et les fichiers index.php à la racine et dans /wp-content/.
14. Des comptes administrateurs inconnus apparaissent
Allez dans Utilisateurs → Tous les utilisateurs et filtrez par "Administrateur". Si vous voyez des comptes que personne n’a créés — surtout avec des noms aléatoires ou des emails @mail.ru — votre site est compromis.
Action : Supprimez immédiatement ces comptes. Changez les mots de passe de TOUS les administrateurs légitimes. Régénérez les clés SALT.
15. Chute soudaine du trafic dans Google Analytics
Si votre trafic organique chute brutalement sans raison apparente, vérifiez si Google a blacklisté votre site. Tapez site:votresite.com dans Google — si les résultats disparaissent ou affichent "Ce site peut être compromis", vous êtes dans la liste noire.
Action : Vérifiez dans Google Search Console la section "Problèmes de sécurité". Nettoyez le site, puis demandez un réexamen à Google.
16. Des fichiers suspects apparaissent en FTP
Connectez-vous en FTP et inspectez la racine, /wp-content/ et /wp-includes/. Cherchez des fichiers qui n’ont rien à y faire :
cache.php,shell.php,x.php,wp-login-new.php- Des fichiers PHP avec des noms aléatoires (
a1b2c3.php) - Des fichiers modifiés récemment alors que vous n’avez rien touché
Action : Ne les supprimez pas avant de les avoir examinés (ou faites-en une copie). Scannez avec Wordfence qui compare chaque fichier avec la version officielle WordPress.
17. Du contenu étranger apparaît sur vos pages
Texte en japonais ou chinois sur votre blog (le "Japanese Keyword Hack"), liens de spam dans le footer, publicités que vous n’avez pas placées. Ces injections sont souvent invisibles pour les administrateurs connectés — elles ne s’affichent que pour les visiteurs non authentifiés ou les crawlers Google.
Action : Testez votre site en navigation privée ou avec l’outil "Explorer comme Google" dans la Search Console. Vérifiez la base de données (table wp_posts) pour des contenus injectés.
18. Le site envoie des emails de spam
Votre hébergeur vous signale un envoi massif d’emails, ou vos emails légitimes partent en spam. Un pirate utilise votre serveur pour envoyer du spam — votre IP et votre domaine se retrouvent blacklistés.
Action : Vérifiez si votre domaine est blacklisté sur MX Toolbox. Scannez les fichiers à la recherche de scripts d’envoi (souvent dans /wp-content/uploads/).
19. Des tâches cron suspectes tournent en arrière-plan
Les pirates ajoutent parfois des tâches planifiées (cron jobs) pour recréer leurs backdoors même après un nettoyage. Vérifiez vos cron WordPress avec le plugin WP Crontrol — des tâches au nom cryptique ou avec des callbacks inconnus sont suspectes.
20. Le navigateur ou Google affiche un avertissement
Un écran rouge "Ce site contient des logiciels malveillants" dans Chrome ou Firefox, ou un avertissement dans les résultats Google. Ça signifie que Google Safe Browsing a détecté du code malveillant sur votre site.
Action : Nettoyez le site, vérifiez dans la Search Console section "Problèmes de sécurité", puis soumettez une demande de réexamen. Comptez 1 à 3 jours pour la levée du blocage après nettoyage.
Conseil : Pour un audit de sécurité complet, consultez notre guide Sécuriser WordPress : le guide complet et notre article sur les failles de sécurité des plugins WordPress.
Tableau récapitulatif : indices, gravité et actions
| Indice | Gravité | Action immédiate |
|---|---|---|
| Identifiant "admin" | 🟠 Haute | Créer un nouveau compte admin |
| Page wp-login accessible | 🟠 Haute | Installer WPS Hide Login |
| Pas de limitation connexion | 🟠 Haute | Installer WPS Limit Login |
| wp-config non protégé | 🔴 Critique | Bloquer via .htaccess |
| WordPress/plugins pas à jour | 🔴 Critique | Mettre à jour immédiatement |
| Préfixe BDD "wp_" | 🟡 Moyenne | Changer le préfixe |
| Thèmes inactifs | 🟡 Moyenne | Supprimer les inutilisés |
| Redirections suspectes | 🔴 Critique | Scanner et nettoyer d’urgence |
| Comptes admin inconnus | 🔴 Critique | Supprimer + changer tous les mots de passe |
| Fichiers suspects en FTP | 🔴 Critique | Scanner avec Wordfence |
| Contenu étranger (spam SEO) | 🔴 Critique | Vérifier base de données + fichiers |
| Avertissement Google | 🔴 Critique | Nettoyer + demander réexamen GSC |
Questions fréquentes
Comment savoir si mon site WordPress a été piraté ?
Les signes les plus courants sont : des redirections vers des sites inconnus, des comptes administrateurs que personne n’a créés, du contenu étranger (texte en japonais, liens de spam), une chute de trafic dans Google Analytics, ou un avertissement "site malveillant" dans le navigateur.
WordPress est-il facilement piratable ?
Le cœur de WordPress est sécurisé et régulièrement audité. 96 % des piratages exploitent des plugins non mis à jour, des mots de passe faibles ou des configurations par défaut non sécurisées — pas des failles dans WordPress lui-même.
Que faire en premier si mon site est piraté ?
Mettez le site en maintenance, changez tous les mots de passe (WordPress, FTP, base de données), scannez les fichiers avec Wordfence ou Sucuri, vérifiez la base de données pour du code malveillant, et régénérez les clés SALT dans wp-config.php.
Faut-il payer un expert pour nettoyer un site piraté ?
Si vous n’êtes pas à l’aise avec la vérification des fichiers serveur, la base de données et la suppression de malwares, oui. Un nettoyage incomplet laisse des backdoors que le pirate réutilisera. Les services professionnels (Sucuri, Wordfence Care) coûtent entre 150 et 500 € selon la gravité.
Comment empêcher un piratage récurrent ?
Après nettoyage, installez un plugin de sécurité (Wordfence ou Solid Security), changez l’URL de connexion (WPS Hide Login), limitez les tentatives de connexion (WPS Limit Login), mettez tout à jour régulièrement et supprimez les plugins/thèmes non utilisés.
Google a blacklisté mon site, combien de temps pour être réindexé ?
Après avoir nettoyé le site et soumis une demande de réexamen via Google Search Console, comptez 1 à 3 jours ouvrés. Si Google détecte encore du code malveillant, la demande sera rejetée — nettoyez plus en profondeur et redemandez.
Une sauvegarde suffit-elle pour restaurer un site piraté ?
Seulement si la sauvegarde date d’avant le piratage. Les backdoors peuvent être présentes pendant des semaines avant d’être activées. Restaurer une sauvegarde infectée ne résout rien. Vérifiez toujours la date de première compromission dans les logs serveur avant de restaurer.
Ces 7 templates, je les donne en formation payante. Ici, ils sont gratuits.
Sécurité, SEO, performance, contenu, maintenance — les outils que j'utilise en formation et en audit, avec les prompts IA pour aller 10x plus vite.
- 01Workflow contenu anti-IA
- 02Framework SEO Title/Meta/H1
- 03Audit Express 30 points
- 04Blindage sécurité 10 étapes
- 05PageSpeed 90+ sans plugin
- 06Calendrier maintenance IA
- 07Plan d'action 90 jours
1 email / 2 jours pendant 14 jours. Désabonnement en 1 clic.
Analyser avec l'IA
Partager
