« Mon site WordPress va se faire pirater. » Cette phrase, je l’entends régulièrement. La réponse honnête : oui, votre site est attaqué tous les jours. Non, il ne sera pas piraté pour autant si vous appliquez les bases. WordPress fait tourner près de la moitié du web, donc mécaniquement, c’est la cible numéro un des attaques automatisées. Mais 99 % de ces attaques sont des bots qui scannent en masse, pas des hackers qui s’acharnent personnellement sur votre cabinet ou votre boutique.
Ce guide est calibré pour un artisan, un praticien ou une TPE : pas de tutoriel pointu réservé aux développeurs, pas d’alarmisme, pas de recommandation à 500 €/an. Au programme : comprendre les vraies menaces, mettre en place 7 réflexes essentiels, choisir un plugin gratuit, ajouter quelques bonnes pratiques avancées, et savoir réagir si jamais quelque chose tourne mal. Comptez 30 minutes par mois pour tenir le cap.
1. Pourquoi WordPress est-il une cible privilégiée
Petit rappel utile : un CMS (Content Management System), c’est un système qui permet de créer et gérer un site web sans coder. WordPress, Wix, Shopify, Webflow sont tous des CMS. WordPress en est de loin le plus utilisé.
D’après W3Techs (avril 2026), WordPress fait tourner 42,2 % de tous les sites web, et 59,6 % de ceux dont on connaît le CMS. Cette domination explique l’essentiel : les attaquants ciblent ce qui rapporte. Plus il y a de sites WordPress, plus les bots automatisés sont rentables. C’est une logique de volume, pas une faiblesse de WordPress lui-même.
La distinction qui change tout : votre site est attaqué tous les jours (vrai, pour n’importe quel site WordPress en ligne), mais votre site va être piraté (faux, si vous appliquez les bases décrites dans cet article). La différence se joue sur quelques minutes de mise en place initiale et 30 minutes de maintenance par mois.
2. Les 4 menaces principales (vraies, pas du marketing FUD)
Distinguons les vraies menaces du buzz. Voici ce qui arrive réellement aux sites WordPress en 2026.
Le brute force sur l’admin. Des bots tentent de se connecter en boucle à votre tableau de bord WordPress, en testant des listes d’identifiants (« admin », « administrator », le nom de votre domaine) et de mots de passe courants. Si votre identifiant est « admin » et votre mot de passe est « Cabinet2024 », vous êtes à quelques minutes d’être dedans.
Les failles dans les plugins ou thèmes obsolètes. Un plugin abandonné ou pas mis à jour devient un point d’entrée connu. Selon le rapport Sucuri 2023, 39,1 % des CMS étaient obsolètes au moment de l’infection, et 13,97 % des sites compromis présentaient au moins un plugin ou thème vulnérable. Les plugins les plus exploités en 2023 incluaient Elementor Pro, Freemius Library et Advanced Custom Fields. Les mises à jour ne sont pas un confort, c’est de la sécurité pure.
Les failles dans le cœur WordPress. Beaucoup plus rares en pratique. WordPress est massivement audité et les correctifs sortent vite. Le risque vient surtout du fait de ne pas installer les correctifs. Activer les mises à jour automatiques pour les correctifs mineurs règle ce point.
Le phishing et l’ingénierie sociale. On vous envoie un mail qui ressemble à un message de votre hébergeur ou de WordPress, avec un lien vers une fausse page de connexion. Vous saisissez votre identifiant et votre mot de passe, et l’attaquant les récupère. Ce n’est pas une faille technique, c’est une faille humaine. La double authentification (cf H2 5) est ce qui vous protège dans ce cas-là.
Ce qui n’arrive presque jamais sur un site d’artisan ou de praticien : les attaques ciblées par un humain qui en veut à vous personnellement, les attaques DDoS à grande échelle (qui visent les sites à fort enjeu), et les failles dites « zero day » sur le cœur WordPress (faille inconnue et exploitée avant correctif). Pas la peine de se préparer à des menaces qui ne vous concernent pas en pratique.
3. Les 7 réflexes essentiels à activer dans l’ordre
Voici la base, dans l’ordre où je la mets en place pour mes clients. Chaque point est rapide. Pris ensemble, ils bloquent l’écrasante majorité des attaques automatisées.
Les 7 réflexes de sécurité WordPress. À activer dans l’ordre, du plus rentable au plus subtil.
- Identifiant admin jamais « admin » ni le nom de votre domaine. Les bots testent ces deux options en premier. Si votre identifiant est différent, vous bloquez déjà 90 % des tentatives automatisées.
- Mot de passe long généré par votre navigateur ou un gestionnaire (Bitwarden, 1Password). 16 caractères minimum, avec majuscules, minuscules, chiffres, symboles. Le retenir n’a aucun intérêt : laissez votre gestionnaire le faire.
- HTTPS forcé sur tout le site. C’est ce qui chiffre les échanges entre le visiteur et le site, et c’est aussi un signal de confiance. Avec un certificat Let’s Encrypt gratuit chez tout hébergeur sérieux. Déjà couvert dans l’article installer WordPress chez un hébergeur.
- Mises à jour régulières : cœur WordPress, thème, plugins. Plus de détails dans le H2 6.
- Plugin de sécurité minimal installé dès la première heure. Wordfence en gratuit fait l’affaire pour la majorité des cas. Voir H2 4.
- Sauvegardes automatiques de tout le site (fichiers et base de données). C’est l’assurance-vie : si un jour quelque chose tourne mal, c’est ce qui vous sauve. Voir l’article sur les sauvegardes WordPress.
- Double authentification (2FA) sur les comptes admin. Le geste le plus rentable de toute la liste. Voir H2 5.
4. Les pratiques avancées qui font vraiment la différence
En complément des 7 fondamentaux, trois pratiques légèrement plus techniques mais très rentables. Ce ne sont pas des détails de geek, c’est ce qui blinde un site.
Limiter les tentatives de connexion (Limit Login Attempts). Par défaut, WordPress accepte un nombre illimité de tentatives de connexion. Ce qui est une autoroute pour les bots. La parade : bloquer une adresse IP au bout de 3 tentatives infructueuses, pendant 30 minutes par exemple. Cette fonction est intégrée dans Wordfence et Solid Security. Sinon, le plugin gratuit « Limit Login Attempts Reloaded » fait le job seul.
Masquer l’URL de connexion. Par défaut, votre admin est accessible à votre-site.fr/wp-admin ou votre-site.fr/wp-login.php. Tous les bots le savent. Le plugin gratuit WPS Hide Login (développé par WPServeur, hostier français) permet de remplacer cette URL par quelque chose qui n’appartient qu’à vous, par exemple votre-site.fr/mon-acces. Effet immédiat : les bots qui tapent les URLs WordPress par défaut tombent sur une 404, et arrêtent leur scan.
Désactiver l’éditeur de fichiers dans l’admin. Par défaut, WordPress permet d’éditer les fichiers PHP (le langage du cœur WordPress) directement depuis le tableau de bord. Si un attaquant entre dans l’admin, c’est sa porte d’entrée pour injecter du code malveillant en quelques clics. La parade : ajouter une ligne dans le fichier wp-config.php à la racine du site : define('DISALLOW_FILE_EDIT', true);. Cela désactive l’éditeur de fichiers côté admin. Vous n’en avez quasi jamais besoin de toute façon. La plupart des plugins de sécurité proposent cette option en case à cocher si vous ne voulez pas toucher au code.
5. Choisir un plugin de sécurité
Un plugin de sécurité ajoute plusieurs couches de protection : il scanne régulièrement les fichiers, bloque les IPs malveillantes, peut servir de pare-feu (en anglais « WAF » pour Web Application Firewall, c’est-à-dire une barrière qui filtre le trafic suspect avant qu’il atteigne votre site), et gère la double authentification.
Trois plugins gratuits dominent le marché. Voici le comparatif honnête avant ma recommandation.
| Critère | Wordfence | Solid Security | WP Cerber |
|---|---|---|---|
| Installations actives | 4M+ | 800k+ | 200k+ |
| Pare-feu (WAF) en gratuit | Oui | Non (Pro) | Limité |
| 2FA en gratuit | Oui | Oui | Oui |
| Scan malware en gratuit | Oui | Oui (basique) | Oui |
| Anti-spam intégré | Non | Non | Oui |
| Charge sur le serveur | Lourde | Légère | Moyenne |
| Tarif Pro 2026 | ~119 $/an | ~99 $/an | ~99 $/an |
Ma reco : Wordfence, en gratuit. Pourquoi : c’est le seul des trois qui propose un vrai pare-feu (WAF) en version gratuite. C’est aussi le plus installé (4 millions de sites), donc la communauté est massive et la documentation abondante. La configuration est assistée (un assistant intégré vous guide en 4 étapes), et la version gratuite couvre 95 % des besoins d’un site d’artisan ou de praticien. Le seul vrai point de vigilance : Wordfence est plus lourd que ses concurrents en consommation serveur. Si votre hébergement est très entrée de gamme, Solid Security est une bonne alternative allégée.
Mention rapide : Cloudflare peut compléter votre plugin local. C’est un service cloud qui filtre le trafic avant qu’il arrive sur votre serveur. La version gratuite inclut un pare-feu de base, une protection contre les attaques par déni de service, et un réseau de diffusion qui accélère le site. Configuration plus complexe (changement des serveurs DNS chez votre registrar pour qu’ils pointent vers Cloudflare), mais utile en complément pour les sites qui veulent une couche de protection en amont. Pour un artisan en démarrage, ce n’est pas indispensable.
6. La double authentification (2FA) : le geste le plus rentable
La double authentification ou 2FA (pour « Two-Factor Authentication »), c’est un code temporaire en plus de votre mot de passe. Même si quelqu’un vous vole votre mot de passe, il ne peut pas se connecter sans le code. Et le code change toutes les 30 secondes.
C’est, en 2026, le geste de sécurité avec le meilleur rapport effort/protection. 30 secondes à activer, et vous êtes protégé contre la majorité des scénarios de compromission (phishing, fuite de mot de passe, brute force qui finit par tomber juste). Si vous ne devez activer qu’une seule chose dans cet article, c’est celle-ci.
Comment l’activer concrètement : depuis Wordfence ou Solid Security (option « Two-Factor Authentication » dans le plugin), ou via un plugin dédié comme « WP 2FA ». Côté smartphone, vous installez une application qui génère les codes : Google Authenticator (gratuit), Authy (gratuit), ou directement votre gestionnaire de mots de passe (Bitwarden, 1Password gèrent les 2FA aussi). Vous scannez un QR code une fois, et c’est en place pour toujours. La connexion vous demande maintenant le code à 6 chiffres affiché dans l’application.
7. Les mises à jour : la règle d’or sans tout casser
Selon le rapport Sucuri 2023 déjà cité, l’obsolescence du CMS et des plugins reste l’une des causes majeures d’infection. Les mises à jour ne sont pas un confort esthétique, c’est ce qui ferme les portes que les attaquants connaissent.
Trois choses à mettre à jour : le cœur WordPress, votre thème actif, et tous les plugins installés.
Mises à jour automatiques pour les correctifs mineurs. WordPress propose nativement les mises à jour automatiques pour les correctifs de sécurité mineurs. Activez-les sans hésiter, c’est même la configuration par défaut depuis quelques versions. Pour les plugins, l’option d’auto-update est disponible plugin par plugin dans l’écran Extensions. Bon réflexe : auto-update activé sur les plugins de votre stack stable (Yoast, SEOPress, WPForms, etc.), désactivé sur les plugins critiques (WooCommerce, builder de pages comme Elementor) où vous voulez tester avant.
Mises à jour majeures (versions principales). Pour WordPress 6.x à 7.0, par exemple, ou pour passer Elementor en version majeure, on ne le fait pas en cliquant sans précaution. La procédure : sauvegarde complète du site (cf article sauvegarde WordPress), idéalement test sur un environnement de préproduction (staging) si votre hébergeur en propose, puis mise à jour. Si quelque chose casse, vous restaurez la sauvegarde et vous attendez le correctif.
Rythme conseillé : vérification des mises à jour disponibles 1 fois par semaine ou tous les 15 jours. La plupart se font en 2 minutes. Les mises à jour majeures, prenez 30 minutes de calme et faites-les correctement. Mention rapide : un plugin de sécurité comme Wordfence ajoute une couche de protection sur les ressources serveur, donc l’impact sur les performances est à surveiller. Voir l’article performance WordPress pour le côté vitesse.
8. Détecter et réagir en cas d’attaque (rapide)
Format court : on donne les essentiels, un article dédié suivra plus tard si la demande monte.
Les signes qu’un site WordPress est compromis : redirections étranges (vous tapez votre URL, vous arrivez ailleurs), lenteur soudaine, alerte de Google Search Console « Site compromis » (l’outil de suivi SEO de Google, voir l’article SEO WordPress pour la mise en place), contenu modifié sans votre intervention, mails envoyés depuis votre site marqués en spam, hébergeur qui vous notifie une activité suspecte. Au moindre doute, scannez votre site avec l’outil gratuit en ligne SiteCheck Sucuri (vous tapez l’URL, il analyse en quelques secondes).
Réagir en 5 étapes ordonnées si votre site est effectivement compromis.
- Site en maintenance ou hors ligne le temps du diagnostic. Plugin « WP Maintenance Mode » ou simple page statique mise à la racine via votre hébergeur.
- Scan complet avec votre plugin de sécurité (Wordfence, Solid Security) ou avec SiteCheck Sucuri en externe.
- Restauration d’une sauvegarde antérieure à l’attaque. C’est pour ça que les sauvegardes sont l’assurance-vie de tout : voir l’article sauvegarde WordPress.
- Changement de tous les mots de passe : admin WordPress, base de données (depuis l’interface de votre hébergeur), FTP, et email associé au compte admin.
- Vérification des comptes utilisateurs. Un compte admin que vous n’avez pas créé = signe classique de compromission. Supprimez les comptes inconnus.
Si l’attaque persiste après restauration, ou si vous ne savez pas par où commencer, faites appel à un professionnel. Sucuri propose un service de remediation payé (autour de 200 $/site/an) pour les sites compromis.
9. FAQ rapide
Combien de temps consacrer à la sécurité par mois ?
Une fois la mise en place initiale faite (1-2 heures pour activer les 7 réflexes + plugin), comptez 30 minutes par mois pour vérifier les mises à jour disponibles, regarder le journal d’activité de votre plugin de sécurité et lancer un scan complet. C’est tout.
Faut-il un certificat SSL payant ?
Non. Le certificat SSL gratuit Let’s Encrypt fourni par tous les hébergeurs sérieux (PlanetHoster, O2Switch, OVH) suffit pour un site d’artisan ou de praticien. Les certificats SSL « EV » (Extended Validation, plusieurs centaines d’euros par an) ne se justifient que pour les sites bancaires ou les e-commerces à très gros volume.
Mon hébergeur garantit-il la sécurité ?
Non, pas au sens où vous l’imaginez. L’hébergeur sécurise l’infrastructure (les serveurs, le réseau, l’isolation des comptes). Vous restez responsable de la sécurité applicative : votre WordPress, vos plugins, vos comptes, vos sauvegardes. C’est comme un appartement : le bailleur sécurise l’immeuble, mais c’est à vous de fermer votre porte à clé.
Et si mon site est tout petit, ai-je vraiment besoin de tout ça ?
Oui. Les bots ne regardent pas la taille de votre site, ils scannent automatiquement. Un site avec 50 visiteurs par mois est attaqué autant qu’un site avec 50 000 visiteurs. Les 7 réflexes de cet article prennent 1-2 heures à mettre en place, puis 30 minutes par mois. C’est largement rentable.
En résumé
WordPress est mécaniquement la cible numéro un des attaques sur le web, parce qu’il fait tourner près de la moitié des sites. Mais 99 % des attaques sont automatisées et bloquables avec les bases : identifiant admin original, mot de passe long généré, HTTPS, mises à jour, plugin de sécurité gratuit, sauvegardes, double authentification.
En complément : limiter les tentatives de connexion, masquer l’URL de connexion avec WPS Hide Login, désactiver l’éditeur de fichiers dans l’admin. Ces trois pratiques avancées sont accessibles à tout artisan ou praticien méthodique.
Mon conseil de fin : la sécurité, c’est un cap dans la durée, pas un projet à finir. 30 minutes par mois pour vérifier les MAJ, regarder le journal d’activité du plugin et lancer un scan, et vous êtes l’un des 99 % qui ne se feront pas pirater. Si vous voulez déléguer ce travail de mise en place et de suivi récurrent, parlons-en.
