WordPress fait tourner plus de 40 % du web. Cette popularité est une force, mais aussi la raison pour laquelle c’est le CMS le plus ciblé au monde par les attaques automatisées. Bots, scanners de vulnérabilités, tentatives de brute force, injections via plugins mal maintenus : chaque jour, des dizaines de milliers de sites sont testés, et une partie cède.
La bonne nouvelle, c’est que la très grande majorité des piratages WordPress sont évitables. Ils exploitent presque toujours les mêmes failles : un plugin pas à jour, un mot de passe trop simple, une absence de double authentification, un accès admin trop exposé.
Ce guide vous donne la méthode complète pour sécuriser un site WordPress en 2026, qu’il s’agisse d’un blog personnel, d’un site vitrine d’entreprise, d’un site institutionnel ou d’une boutique en ligne. Chez Webalia, nous sécurisons et maintenons ce type de sites tous les jours depuis plus de dix ans. Tout ce que vous allez lire est issu de ce que nous appliquons concrètement chez nos clients.
Votre site est déjà piraté ?
Cet article traite de la prévention. Si votre site est actuellement compromis et que vous devez réagir en urgence, consultez notre guide dédié.
Webalia peut vous accompagner pour mettre en place la maintenance de votre site.
Pourquoi WordPress est-il autant ciblé par les attaques ?
Avant d’entrer dans la technique, il faut comprendre pourquoi la sécurité WordPress est un sujet à part entière.
Le CMS est gratuit, ouvert, et représente une part énorme du web.
Résultat : les attaquants automatisés concentrent leurs efforts dessus, car chaque faille découverte peut être exploitée à grande échelle.
D’après les rapports de sécurité publiés par Sucuri , WordPress reste, année après année, le CMS le plus représenté parmi les sites nettoyés, principalement en raison de son poids sur le marché et de son immense écosystème de plugins et de thèmes tiers.
Les données publiées dans le rapport annuel Patchstack sur la sécurité WordPress vont dans le même sens : la grande majorité des vulnérabilités exploitées chaque année proviennent de l’écosystème tiers (plugins et thèmes) plutôt que du cœur WordPress lui-même, qui est, à jour, l’un des logiciels les plus audités au monde.
Autrement dit : WordPress n’est pas intrinsèquement peu sûr. Ce qui est vulnérable, c’est ce qu’on ajoute autour.
Les 10 règles fondamentales pour sécuriser un site WordPress
Voici les 10 mesures de base qui, appliquées correctement, évitent l’immense majorité des piratages. On les détaille ensuite section par section.
- Maintenir WordPress, le thème et tous les plugins à jour
- Supprimer tout plugin ou thème inutilisé
- Utiliser un plugin de sécurité reconnu et maintenu
- Activer la double authentification (2FA) sur tous les comptes admin
- Mettre en place des mots de passe forts et uniques
- Limiter les tentatives de connexion et changer l’URL de login
- Mettre en place des sauvegardes externes automatiques
- Durcir wp-config.php et .htaccess
- Choisir un hébergement fiable avec isolation et pare-feu
- Mettre en place une surveillance continue
Aucune de ces mesures, prise isolément, n’est suffisante. C’est leur combinaison qui crée une vraie défense efficace et sans faille.
Mises à jour : la première ligne de défense
La quasi-totalité des piratages que nous traitons chez Webalia ont un point commun : un composant n’était pas à jour. Ça peut être le cœur WordPress, un thème, ou un plugin, souvent un vieux plugin oublié, encore installé mais plus maintenu.
Ce qu’il faut garder à jour
- Le cœur WordPress : toujours en dernière version majeure et mineure
- Le thème actif et uniquement le thème actif (supprimer les autres)
- Tous les plugins actifs dès qu’une mise à jour est disponible
- PHP : viser au minimum PHP 8.1, idéalement PHP 8.3 ou 8.4 en 2026
Les bonnes pratiques de mise à jour
- Activer les mises à jour automatiques pour les correctifs de sécurité
- Tester les mises à jour majeures sur un environnement de staging quand c’est possible
- Garder un plan de rollback (sauvegarde fraîche avant toute mise à jour majeure)
- Ne jamais laisser un site en version « Auto-updates disabled » sans suivi humain
Un site WordPress qui n’a pas été mis à jour depuis six mois est, statistiquement, un site déjà à risque.
Supprimer ce qui ne sert pas (et éviter le nulled)
Chaque plugin et chaque thème installé est une porte d’entrée potentielle, même désactivé. Un thème que vous n’utilisez plus peut contenir une faille qu’un attaquant exploitera sans que vous vous en rendiez compte.
La règle est simple :
- Un seul thème actif, tous les autres supprimés
- Zéro plugin désactivé qui traîne dans l’admin
- Aucun plugin ou thème « nulled » (version piratée d’un plugin payant) : c’est la cause numéro 1 des infections récurrentes que nous voyons passer
- Tout plugin qui n’a pas été mis à jour par son développeur depuis plus de 12 mois est à considérer comme abandonné et doit être remplacé
Sécuriser l’administration WordPress
L’administration (wp-admin et wp-login.php) est la cible principale des attaques par brute force. Chaque site WordPress, même tout nouveau, se fait tester dans l’heure qui suit sa mise en ligne. Il faut donc la durcir.
Les règles de base
- Ne jamais utiliser admin comme nom d’utilisateur, c’est la première cible de tous les bots
- Créer un compte admin dédié, et utiliser un compte éditeur pour la rédaction quotidienne
- Mots de passe longs (20+ caractères), uniques, stockés dans un gestionnaire (1Password, Bitwarden, KeePass)
- Changer l’URL de connexion : /wp-login.php → /votre-url-personnalisee/. Ce seul changement élimine 90 % des tentatives automatisées
Limiter les tentatives de connexion
C’est non négociable. Tous les plugins de sécurité sérieux proposent cette fonction. Sans limitation, un bot peut tester des milliers de mots de passe par minute. Avec limitation, il est bloqué au bout de 5 essais.
Activer l’authentification à deux facteurs (2FA)
La 2FA rend quasi inutile une fuite de mot de passe. Même si un attaquant obtient vos identifiants, il ne pourra pas se connecter sans le code généré sur votre téléphone.
Les solutions recommandées en 2026 :
- Wordfence Login Security (gratuit, intégré à Wordfence)
- WP 2FA
- Two Factor Authentication (de Plugin Contest)
- Les solutions intégrées aux plugins de sécurité tout-en-un (Solid Security, Shield Security)
⚠️ À ne plus utiliser en 2026 : iThemes Security a été renommé Solid Security. Les plugins Keyy et RapID Secure Login ne sont plus maintenus.
Les meilleurs plugins de sécurité WordPress en 2026
Un plugin de sécurité bien configuré remplace 80 % de la complexité technique. Voici les solutions que nous recommandons et utilisons chez Webalia en 2026.
Tableau comparatif des 5 plugins de référence
| Plugin | Type | Points forts | Gratuit | Premium |
| Wordfence | Tout-en-un | Pare-feu, scan malware, 2FA, blocage IP | Oui | 149 $/an/site |
| Solid Security (ex-iThemes) | Tout-en-un | 30+ options de durcissement, interface claire | Oui | 99 $/an/site |
| Patchstack | Veille CVE | Surveillance vulnérabilités, patch virtuel | Oui | 89 €/an/site |
| Sucuri Security | Scan + WAF cloud | Pare-feu au niveau DNS, anti-DDoS | Oui | 199 $/an/site |
| Shield Security | Tout-en-un | Audit trail, bot detection avancée | Oui | 129 $/an/site |
Notre recommandation selon le cas
- Site vitrine simple : Wordfence gratuit + sauvegardes externes suffisent
- Site e-commerce WooCommerce : Wordfence Premium ou Solid Security Pro + Sucuri WAF
- Site multi-auteurs ou institutionnel : Wordfence Premium + Patchstack (pour la veille CVE)
- Site avec historique de piratage : Sucuri WAF (pare-feu cloud en amont) + Wordfence
Attention à ne jamais installer deux plugins de sécurité en même temps : ils entrent en conflit et dégradent les performances. Un seul suffit — le reste est complémentaire.
Sauvegardes : l’assurance-vie non négociable
Une sauvegarde, c’est ce qui vous sauvera le jour où rien d’autre n’a marché. C’est aussi la seule vraie garantie que vous ne perdrez pas votre site. Et pourtant, c’est la mesure de sécurité la plus souvent absente ou mal configurée sur les sites que nous auditons.
Les règles d’une bonne stratégie de sauvegarde
- Automatisée (jamais manuelle)
- Externe au serveur (si l’hébergeur tombe, la sauvegarde tombe aussi)
- Chiffrée en cas de stockage cloud
- Testée régulièrement — une sauvegarde qu’on n’a jamais restaurée n’est pas une sauvegarde
- Fréquence adaptée : quotidienne pour un e-commerce ou un site actif, hebdomadaire pour un site statique
- Rétention minimale de 30 jours pour pouvoir remonter à une version saine en cas de piratage découvert tardivement
Les outils recommandés
- UpdraftPlus (gratuit, stockage cloud illimité, standard du marché)
- BlogVault (payant, très complet, restauration en un clic)
- Solutions natives de l’hébergeur (o2switch, Infomaniak, OVH Pro proposent des sauvegardes serveur fiables)
- Duplicator (utile surtout pour la migration)
Durcir wp-config.php et .htaccess
Quelques lignes ajoutées à ces deux fichiers renforcent très sensiblement la sécurité. Ce sont des ajustements techniques, mais bien documentés et accessibles.
Dans wp-config.php
- Désactiver l’édition de fichiers depuis l’admin :
define(‘DISALLOW_FILE_EDIT’, true);
- Désactiver l’installation/mise à jour via l’admin si vous gérez tout en Git :
define(‘DISALLOW_FILE_MODS’, true);
- Régénérer les clés SALT régulièrement via api.wordpress.org/secret-key/1.1/salt
- Masquer la version WordPress et empêcher l’affichage des erreurs PHP en production
Dans .htaccess
- Bloquer l’accès direct à wp-config.php
- Bloquer l’accès à xmlrpc.php si vous n’en avez pas l’usage (cible classique des attaques brute force)
- Désactiver la navigation dans les répertoires (Options -Indexes)
- Bloquer l’exécution de PHP dans /wp-content/uploads/
Permissions de fichiers
- 644 pour les fichiers
- 755 pour les dossiers
- 600 pour wp-config.php
Des permissions trop larges (777 par exemple) sont l’une des premières choses qu’un attaquant exploite.
Sécuriser l’hébergement : souvent la vraie différence
Un bon hébergeur fait gagner énormément en sécurité, sans aucun plugin. Un mauvais hébergeur annule les efforts que vous faites sur le site lui-même.
Ce qu’un hébergeur sérieux doit vous offrir en 2026 :
- Isolation entre comptes (pas de mutualisation partagée où un site peut en contaminer un autre)
- Sauvegardes serveur automatiques avec restauration accessible
- Pare-feu applicatif (WAF) au niveau de l’infrastructure
- Protection anti-DDoS incluse
- Mises à jour PHP régulières et versions modernes disponibles
- SSL/TLS gratuit via Let’s Encrypt
- Support réactif en cas d’incident de sécurité
- Logs d’accès disponibles pour investigation
Les hébergeurs français reconnus pour leur sérieux sur ces points : o2switch, Infomaniak, OVH Pro, Kinsta, WP Engine (pour les sites WordPress premium).
Un hébergement low-cost à 2 €/mois n’offre presque jamais ces garanties. Économiser sur l’hébergement coûte toujours plus cher que ce qu’on pensait économiser.
SSL, HTTPS et chiffrement
Un site sans HTTPS en 2026 n’est plus concevable. Au-delà du signal « sécurisé » dans le navigateur, HTTPS chiffre tout ce qui transite entre votre visiteur et le serveur — y compris les mots de passe.
- Certificat Let’s Encrypt : gratuit, automatisé, suffit dans 99 % des cas
- Redirection systématique HTTP → HTTPS via .htaccess
- HSTS activé pour empêcher les downgrades d’attaque
- Mixed content traqué et corrigé (aucune image ou ressource en HTTP sur une page HTTPS)
Surveillance continue : savoir avant que ça casse
La dernière couche de sécurité, c’est la capacité à détecter un problème avant qu’il ne devienne une crise. Un site surveillé correctement vous prévient en quelques minutes d’un changement anormal.
Ce qu’il faut surveiller :
- Uptime (UptimeRobot, BetterUptime, StatusCake — version gratuite suffit)
- Changements de fichiers (intégré à Wordfence et Solid Security)
- Activité admin (connexions, créations de comptes, modifications de contenus sensibles)
- Présence de malware (scan quotidien automatisé)
- Apparition du site dans les listes noires (VirusTotal, Google Safe Browsing)
- Performances et anomalies serveur (pics de CPU, emails sortants inhabituels)
Et si malgré tout, votre site est piraté ?
Aucune stratégie de sécurité n’est parfaite. Même avec toutes les mesures ci-dessus, un incident reste possible : faille zero day, erreur humaine, compromission d’un fournisseur tiers. Ce qui change, c’est votre capacité à réagir vite.
Si vous constatez un comportement anormal — redirections, publicités non installées, compte admin inconnu, alerte hébergeur — ne tentez pas de bricoler avant d’avoir suivi une procédure claire.
Consultez notre guide dédié : Site WordPress piraté : que faire pour le nettoyer et le restaurer
Combien coûte la sécurisation d’un site WordPress ?
La sécurité peut se jouer sur deux budgets distincts : l’intervention ponctuelle et la maintenance récurrente.
Fourchettes de prix 2026
| Prestation | Budget indicatif | Fréquence |
| Audit de sécurité ponctuel | 300 à 800 € | 1 fois |
| Sécurisation initiale (durcissement + configuration plugin) | 400 à 1 200 € | 1 fois |
| Forfait maintenance sécurité mensuelle | 50 à 200 € / mois | récurrent |
| Maintenance premium (e-commerce, site critique) | 150 à 500 € / mois | récurrent |
| Monitoring + alertes 24/7 | inclus dans forfait | récurrent |
Chez Webalia, nous proposons des forfaits de maintenance WordPress qui incluent les mises à jour, la surveillance, les sauvegardes externes, la sécurisation continue et une intervention rapide en cas d’incident. C’est presque toujours moins cher qu’une seule intervention d’urgence sur un site piraté.
Faut-il sécuriser soi-même ou confier la sécurité à une agence ?
Vous pouvez gérer la sécurité vous-même si
- Vous êtes à l’aise avec FTP, SSH et un peu de PHP
- Vous suivez réellement les mises à jour chaque semaine
- Votre site est simple et à faibles enjeux business
- Vous prenez le temps de tester vos sauvegardes
Il est préférable de confier la sécurité à une agence si
- Votre site génère du chiffre d’affaires ou des leads
- Vous avez un site e-commerce (WooCommerce, Shopify hybride, etc.)
- Vous gérez des données personnelles soumises au RGPD
- Vous n’avez tout simplement pas le temps de surveiller le site chaque semaine
- Vous avez déjà subi un piratage et vous voulez éviter la récidive
Chez Webalia, nous accompagnons des dizaines de sites WordPress en maintenance sécurité continue. Notre mission : éviter le piratage plutôt que d’avoir à le réparer.
Découvrir nos forfaits maintenance
Foire aux questions — Sécurité WordPress
Comment bien sécuriser son site WordPress ?
En appliquant les 10 règles de base : mises à jour régulières, plugin de sécurité reconnu, 2FA activée, mots de passe forts, limitation des tentatives de connexion, sauvegardes externes automatiques, durcissement de wp-config.php, hébergement fiable, HTTPS et surveillance continue. Aucune mesure isolée ne suffit : c’est la combinaison qui crée une vraie protection.
Quel est le meilleur plugin de sécurité WordPress en 2026 ?
Il n’y a pas de meilleur plugin universel. Wordfence reste la référence pour la plupart des sites grâce à son exhaustivité et à sa version gratuite très complète. Solid Security (ex-iThemes) est une excellente alternative. Sucuri est le plus efficace sur les sites à fort enjeu grâce à son pare-feu cloud. Patchstack complète utilement les autres en apportant une veille vulnérabilités.
WordPress est-il sûr ?
Oui, WordPress à jour est l’un des logiciels open source les plus audités au monde. La quasi-totalité des piratages WordPress proviennent de composants tiers (plugins, thèmes) pas à jour, de mots de passe compromis, ou d’un manque de durcissement côté serveur, jamais du cœur WordPress lui-même quand il est maintenu.
Wordfence gratuit est-il suffisant pour sécuriser un site WordPress ?
Pour un site vitrine ou un blog simple, oui. La version gratuite de Wordfence inclut pare-feu, scan malware, protection brute force et 2FA. La version Premium n’apporte un vrai bénéfice que sur les sites e-commerce ou les sites très exposés, grâce à ses règles en temps réel et son support.
Comment sécuriser wp-admin ?
En cumulant plusieurs mesures : ne pas utiliser admin comme nom d’utilisateur, mots de passe longs et uniques, 2FA activée, limite des tentatives de connexion, URL de login personnalisée, et idéalement restriction d’accès par IP si vous travaillez depuis un nombre limité de lieux.
Pourquoi mon site WordPress se fait-il pirater en boucle ?
Trois causes classiques : un plugin ou thème nulled qui réintroduit la faille à chaque nettoyage, une porte dérobée (backdoor) qui n’a pas été repérée lors du nettoyage précédent, ou une sauvegarde infectée restaurée à chaque incident. Le bon réflexe est de tout réinstaller depuis zéro sur une base saine et de corriger la faille d’origine.
Un site WordPress à jour peut-il quand même être piraté ?
Oui, mais c’est beaucoup plus rare. Les piratages de sites parfaitement à jour exploitent généralement des failles zero day (inconnues au moment de l’attaque), des identifiants compromis par ailleurs, ou des configurations serveur trop permissives. Les mises à jour ne garantissent pas 100 % de sécurité, mais elles éliminent plus de 90 % des risques courants.
Combien coûte la sécurisation d’un site WordPress par une agence ?
Une sécurisation initiale seule coûte en moyenne entre 400 et 1 200 €. Un forfait de maintenance sécurité récurrente démarre autour de 40 €/mois pour un site simple et peut monter à 500 €/mois pour un e-commerce ou un site critique. Dans tous les cas, c’est largement moins coûteux qu’une seule intervention d’urgence sur un site déjà piraté.
Conclusion : la sécurité WordPress est un processus, pas un projet
Sécuriser un site WordPress n’est pas une action ponctuelle qu’on fait une fois pour toutes. C’est un processus continu : un plugin mis à jour aujourd’hui sera peut-être vulnérable dans trois mois, un mot de passe solide aujourd’hui pourrait fuiter demain via un autre service.
Les sites que nous voyons tenir dans la durée, sans incident, ont tous un point commun : quelqu’un s’en occupe régulièrement. Pas beaucoup de temps chaque semaine, mais régulièrement.
Que vous choisissiez de gérer la sécurité vous-même ou de la confier à une agence, l’essentiel est de ne pas la traiter comme un sujet qu’on règle une fois et qu’on oublie. Pour aller plus loin, la documentation officielle WordPress sur le durcissement de la sécurité (en anglais, ) reste la référence maintenue par le cœur du projet.
Besoin d’un audit ou d’un accompagnement maintenance sécurité ? Notre équipe WordPress à Strasbourg est à votre disposition. 👉Demander un audit : Voir nos forfaits maintenance :
