Retour au blog
Sécurité 8 avril 2026 · 8 min de lecture
Illustration WPTechCare pour sécuriser son site WordPress en 10 étapes

Comment sécuriser son site WordPress en 10 étapes

WordPress représente 43% des sites web mondiaux, ce qui en fait la cible numéro 1 des hackers. Voici les 10 actions concrètes à mettre en place dès aujourd'hui pour protéger votre site.

W
Wilfried — WPTechCare
Expert WordPress freelance en France · 10 ans d'expérience

⚠️ Avant de commencer : Faites toujours une sauvegarde complète de votre site WordPress avant d'appliquer des modifications de sécurité.

Étape 1 — Mettre à jour WordPress, thèmes et plugins

C'est la règle d'or. 90% des sites WordPress piratés avaient des composants obsolètes. Chaque mise à jour corrige des failles de sécurité connues. Activez les mises à jour automatiques pour le core WordPress et les plugins de confiance. C'est exactement ce que couvre une maintenance WordPress mensuelle.

Étape 2 — Utiliser des mots de passe forts et uniques

Un mot de passe administrateur WordPress doit faire au minimum 16 caractères, avec des majuscules, minuscules, chiffres et symboles. Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password) pour ne pas les oublier. Ne réutilisez jamais un mot de passe sur plusieurs services.

Étape 3 — Installer un plugin de sécurité (Wordfence)

Wordfence Security est le plugin de sécurité WordPress le plus populaire. Il intègre un firewall applicatif (WAF), un scanner de malwares et un système de détection des intrusions. Configurez-le pour bloquer les IPs après plusieurs tentatives de connexion échouées.

Étape 4 — Activer le SSL (HTTPS)

Un certificat SSL est indispensable. Il chiffre les communications entre votre serveur et vos visiteurs. Aujourd'hui, tous les hébergeurs sérieux proposent Let's Encrypt gratuitement. Sans HTTPS, Google pénalise votre référencement et les navigateurs affichent « Site non sécurisé ».

Étape 5 — Changer l'URL de connexion WordPress

Par défaut, votre wp-admin est accessible à votresite.fr/wp-admin. Les bots attaquent cette URL en permanence. Avec le plugin WPS Hide Login, changez cette URL en quelque chose d'imprévisible comme /connexion-privee-2026.

Étape 6 — Activer l'authentification à deux facteurs (2FA)

Même avec un mot de passe volé, le hacker ne peut pas se connecter sans le second facteur. Installez WP 2FA ou utilisez la fonction 2FA de Wordfence. Liez-le à une application comme Google Authenticator ou Authy.

Étape 7 — Mettre en place des sauvegardes automatiques

Une sauvegarde ne vaut rien si elle n'est pas testée. Utilisez UpdraftPlus pour automatiser les sauvegardes vers un stockage externe (Google Drive, Dropbox, S3). Planifiez : sauvegarde quotidienne des fichiers, sauvegarde hebdomadaire complète. Testez la restauration au moins une fois par mois.

Étape 8 — Limiter les tentatives de connexion

Par défaut, WordPress autorise un nombre illimité de tentatives de connexion. Activez la limitation avec Wordfence ou le plugin Limit Login Attempts Reloaded. Bloquez automatiquement les IPs après 5 tentatives échouées.

Étape 9 — Vérifier les permissions des fichiers

Les permissions incorrectes sont une faille majeure. Les standards WordPress recommandent :

  • Dossiers : 755
  • Fichiers : 644
  • wp-config.php : 440 ou 400

Vérifiez via votre gestionnaire FTP ou cPanel.

Étape 10 — Supprimer les thèmes et plugins inutilisés

Un thème ou plugin désactivé mais présent sur votre serveur peut toujours être exploité. Supprimez tout ce que vous n'utilisez pas. Gardez aussi le nombre de plugins au minimum — chaque plugin supplémentaire est une surface d'attaque potentielle.

Service Urgence WordPress

Votre site est déjà compromis ?

Si votre site WordPress est piraté, en erreur ou hors ligne, j'interviens en moins de 2 heures, 7j/7 dès 9h. Diagnostic, correction, hardening et compte-rendu inclus.

Intervention urgente — 250 € Service Sécurité WordPress →

Paiement sécurisé Stripe · Réponse 7j/7 dès 9h · Compte-rendu inclus

1
💬 Besoin d'aide WordPress ?