Comment sécuriser son site wordpress contre les piratages et les malwares avec des bonnes pratiques et des extensions fiables

Votre site WordPress travaille pour vous 24h/24 : il génère des contacts, des ventes, de la crédibilité. Mais il a un point faible : la sécurité. Et le jour où il tombe à cause d’un piratage ou d’un malware, vous le sentez passer tout de suite : plus de leads, plus de référencement, parfois même une alerte “site dangereux” dans Google.

La bonne nouvelle : sécuriser un site WordPress n’est ni réservé aux développeurs, ni forcément compliqué. Avec quelques bonnes pratiques solides et quelques extensions bien choisies, vous pouvez réduire très fortement les risques d’attaque.

Pourquoi votre site WordPress intéresse autant les pirates

Avant de parler plugins, il faut comprendre le contexte. Un pirate ne s’acharne pas sur votre site “pour vous”. Il attaque des milliers de sites en même temps, de façon automatisée, à la recherche :

• de failles connues sur des thèmes ou plugins non mis à jour ;
• de mots de passe faibles (classique “admin / 123456”) ;
• de formulaires mal protégés ;
• d’anciens fichiers oubliés sur le serveur.

Et il ne cherche pas seulement à “casser” votre site. Dans 80% des cas que je rencontre chez mes clients, le but est plutôt de :

• installer discrètement un script pour envoyer du spam ;
• ajouter des pages cachées pour le référencement de sites douteux ;
• rediriger une partie de votre trafic vers d’autres sites ;
• héberger du contenu illégal ou malveillant.

Résultat : vous perdez en référencement, en crédibilité, et vous mettez parfois vos visiteurs en danger sans même le savoir.

L’objectif de cet article : vous donner une méthode simple et actionnable pour sécuriser votre site WordPress, sans tomber dans la paranoïa ni les usines à gaz.

Commencer par les fondamentaux (et arrêter les failles “évidentes”)

Je commence toujours par là lors d’un audit de sécurité. Avant de parler extensions de sécurité, il faut fermer les portes grandes ouvertes.

Voici les points à vérifier en priorité.

1. Mises à jour régulières

C’est la base absolue. La majorité des piratages que je vois exploitent :

• un plugin non mis à jour depuis des mois ;
• un thème obsolète ;
• une vieille version de WordPress.

À mettre en place :

• Activez les mises à jour automatiques au moins pour les plugins et le core WordPress les plus critiques.
• Supprimez les thèmes et plugins que vous n’utilisez plus (ne les laissez pas “désactivés” indéfiniment).
• Prévoyez un passage régulier (1 fois par semaine par exemple) pour vérifier et valider les mises à jour importantes.

2. Mots de passe et comptes utilisateurs

Un site piraté sur trois que je récupère est lié à un mot de passe faible ou partagé trop largement.

• Utilisez des mots de passe longs (au moins 12 caractères) et uniques.
• Interdisez “admin” comme identifiant principal.
• Supprimez les comptes inutiles (anciens prestataires, stagiaires, etc.).
• Attribuez le bon rôle : tout le monde n’a pas besoin d’être “Administrateur”.

Un bon réflexe : installez un gestionnaire de mots de passe (LastPass, Bitwarden, 1Password…) pour vous et vos équipes. Cela règle 80% des problèmes de mots de passe.

3. Sauvegardes fiables et testées

Sécurité et sauvegarde vont ensemble. Un site parfaitement “blindé” mais sans backup solide reste un risque business.

• Mettez en place des sauvegardes automatiques (fichiers + base de données).
• Stockez-les à l’extérieur de votre hébergement (Google Drive, Dropbox, Amazon S3…).
• Testez une restauration sur un site de test au moins une fois : mieux vaut découvrir un problème maintenant que le jour du piratage.

Sans sauvegarde testée, chaque mise à jour et chaque attaque potentielle devient un pari dangereux.

Durcir l’accès à votre administration WordPress

La porte d’entrée la plus attaquée reste votre page de connexion : /wp-login.php ou /wp-admin. Des robots tentent en permanence de deviner vos identifiants (attaques par “brute force”).

Quelques mesures très simples réduisent radicalement ce risque.

1. Limiter les tentatives de connexion

• Bloquez une IP après X tentatives de connexion ratées.
• Envoyez-vous une alerte en cas d’activité suspecte.
• Affichez un message générique (ne dites pas si c’est l’identifiant ou le mot de passe qui est incorrect).

Beaucoup d’extensions de sécurité le proposent (Wordfence, iThemes Security, All In One WP Security & Firewall…).

2. Changer l’URL de connexion

Ce n’est pas une protection “magique”, mais cela évite une bonne partie des attaques automatisées qui ciblent la page de connexion par défaut.

• Utilisez une extension pour définir une URL de connexion personnalisée (par exemple avec WPS Hide Login).
• Réservez cette info aux personnes qui doivent se connecter.

3. Activer la double authentification (2FA)

C’est l’un des meilleurs leviers de sécurité aujourd’hui. Même si votre mot de passe fuitait, il faudrait encore le code unique généré sur votre téléphone.

• Installez une extension qui gère la 2FA (Wordfence, iThemes Security, miniOrange, etc.).
• Activez-la au moins pour les comptes administrateurs et éditeurs.
• Utilisez une app comme Google Authenticator, Authy ou Microsoft Authenticator.

Sur les sites à fort enjeu business (boutique WooCommerce, site générant beaucoup de leads), j’impose la 2FA à tous les administrateurs.

Durcir WordPress “sous le capot”

Une partie du travail se joue dans la configuration technique. L’idée n’est pas de tout faire vous-même si vous n’êtes pas à l’aise, mais de savoir ce qui doit être en place.

1. Droits sur les fichiers et répertoires

Sur un hébergement bien configuré, c’est souvent déjà correct, mais à vérifier :

• Les dossiers sont généralement en 755.
• Les fichiers sont généralement en 644.
• Le fichier wp-config.php ne doit pas être accessible en écriture par tout le monde.

Votre hébergeur ou votre webmaster peut valider cette configuration.

2. Désactiver l’éditeur de fichiers dans l’admin

WordPress permet par défaut de modifier les fichiers de thème et de plugin directement dans l’interface d’administration. C’est pratique… pour un pirate qui a réussi à se connecter.

À faire :

• Ajoutez cette ligne dans votre wp-config.php : define( 'DISALLOW_FILE_EDIT', true );

Ainsi, même en cas de compromission d’un compte admin, la modification directe du code sera plus difficile.

3. Protéger l’accès à wp-admin au niveau serveur (optionnel)

Sur certains sites sensibles, je vais plus loin en ajoutant une protection par mot de passe au niveau du serveur (via .htaccess ou l’interface de l’hébergeur). Résultat : pour atteindre simplement la page de connexion, il faut déjà passer une première authentification.

C’est un peu plus technique, mais très efficace.

Choisir des extensions de sécurité fiables (sans transformer le site en usine à gaz)

Bonne nouvelle : vous n’avez pas besoin d’installer 15 plugins de sécurité. Au contraire, trop de plugins peuvent créer des conflits ou ralentir le site.

L’approche que j’utilise : un “noyau” de sécurité + un plugin de sauvegarde + éventuellement un outil de scan spécifique si besoin.

1. Une extension de sécurité “tout-en-un”

Quelques solutions éprouvées :

• Wordfence Security : très complet, avec pare-feu, scan de fichiers, blocage d’IP, 2FA, etc. Un peu lourd sur certains hébergements basiques, mais très solide.
• iThemes Security (Solid Security) : bonne approche pédagogique, propose des réglages par niveau, notifications claires. Intéressant pour les utilisateurs non techniques.
• All In One WP Security & Firewall : gratuit, assez complet, bien pour des sites qui démarrent ou des budgets serrés.

Attention à ne pas activer toutes les options “au maximum” sans comprendre. Testez les réglages progressivement, surtout les règles de pare-feu qui peuvent parfois bloquer des fonctionnalités légitimes (formulaires, AJAX, etc.).

2. Une extension de sauvegarde fiable

Quelques références que j’utilise régulièrement :

• UpdraftPlus : très utilisé, permet de planifier des sauvegardes vers des stockages externes (Drive, Dropbox…).
• WPvivid Backup : simple, efficace, restauration facile, pratique pour les migrations.
• BackupBuddy (payant) : plutôt orienté pros et agences.

Sur un site qui génère du chiffre d’affaires, je recommande :

• au moins une sauvegarde quotidienne de la base de données ;
• au moins une sauvegarde hebdomadaire des fichiers ;
• la conservation de plusieurs versions (7 à 30 jours suivant la criticité).

3. Outils spécialisés anti-malwares

Si votre site a déjà été piraté, ou s’il a été signalé par Google ou votre hébergeur, un outil spécialisé peut être utile :

• MalCare : scan externe, nettoyage assez automatisé, pratique pour les non techniques.
• Sucuri Security : service de sécurité complet, avec firewall via CDN, scan, nettoyage.

Attention : aucun scanner ne voit tout à 100%. Sur des infections complexes, un nettoyage manuel reste parfois nécessaire (comparaison de fichiers, analyse de la base de données, etc.).

Limiter les failles liées aux thèmes, plugins et formulaires

Beaucoup d’attaques passent par des extensions tierces. Logique : votre site repose sur des briques développées par des dizaines d’équipes différentes.

1. Choisir des thèmes et plugins sérieux

• Préférez les thèmes/plugins régulièrement mis à jour (regardez la date de la dernière mise à jour dans le dépôt officiel).
• Évitez les plugins “premium” téléchargés gratuitement sur des sites douteux (nulled) : ils sont souvent truffés de malwares.
• Réduisez le nombre de plugins au strict nécessaire.

Lors d’un audit, je pose presque toujours la même question : “Ce plugin, est-ce qu’il vous sert vraiment encore ?”. On en désactive/supprime souvent 20 à 30% sans perte fonctionnelle.

2. Sécuriser les formulaires

Formulaires de contact, d’inscription, de commentaire… tous acceptent des données en entrée. Mal protégés, ils peuvent servir à :

• injecter du code (XSS, injections SQL) ;
• envoyer du spam via votre serveur ;
• déclencher des envois massifs d’e-mails.

Points à vérifier :

• Utilisez des extensions reconnues (Gravity Forms, Contact Form 7, WPForms, Fluent Forms…).
• Activez une protection antispam (reCAPTCHA, honeypot, Akismet…).
• Limitez le nombre d’envois possibles par IP sur certains formulaires sensibles.

Mettre l’hébergement à contribution

On parle souvent des plugins, moins de l’hébergeur. Pourtant, l’infrastructure compte beaucoup. Un bon hébergeur peut bloquer une partie des attaques avant même qu’elles n’atteignent WordPress.

À vérifier avec votre hébergeur :

• Protection DDoS de base (anti attaques par déni de service).
• Certificat SSL activé (votre site doit être accessible en HTTPS uniquement).
• Système de sauvegarde côté serveur (en complément des vôtres, pas à la place).
• Version de PHP récente et maintenue à jour.
• Pare-feu applicatif (WAF) côté serveur ou via un service type Cloudflare.

Sur certains projets, activer Cloudflare avec un niveau de protection adapté permet de filtrer une grosse partie du trafic malveillant, de soulager le serveur et de gagner en performance.

Savoir réagir en cas de piratage

Même avec toutes les précautions du monde, le risque zéro n’existe pas. L’important est aussi de savoir quoi faire si le pire arrive.

Les signaux fréquents d’un site compromis :

• Votre site redirige parfois vers d’autres domaines, surtout sur mobile.
• Des pages bizarres apparaissent dans Google (souvent en japonais, pharma, casino…).
• Votre hébergeur vous prévient de fichiers infectés.
• Google affiche un avertissement “Ce site peut être piraté” ou “Ce site risque d’endommager votre ordinateur”.

Plan d’action de base :

• Changez immédiatement tous les mots de passe (hébergement, FTP, base de données, comptes admin WordPress).
• Faites une sauvegarde complète de l’état actuel (même infecté), pour référence et analyse.
• Si vous avez une sauvegarde saine récente, envisagez une restauration complète.
• Sinon, utilisez un scanner et, si nécessaire, faites-vous accompagner pour un nettoyage manuel.
• Une fois propre, durcissez la sécurité (ce que nous avons vu plus haut) pour éviter une rechute.

Point important : après un piratage, pensez à vérifier vos comptes Google Search Console et Analytics pour s’assurer que rien d’anormal n’a été modifié (propriétés, filtres, accès utilisateurs).

Plan d’action simple pour sécuriser votre WordPress dès maintenant

Pour terminer de façon très concrète, voici une check-list actionnable que j’utilise souvent en début de mission. Vous pouvez vous en inspirer pour votre propre site.

Étape 1 – Hygiène de base

• Mettre à jour WordPress, les thèmes et tous les plugins.
• Supprimer les plugins et thèmes inutilisés.
• Changer les mots de passe de tous les comptes admins et vérifier les rôles.
• Mettre en place un plugin de sauvegarde avec stockage externe et test de restauration.

Étape 2 – Protection de l’accès

• Installer une extension de sécurité fiable (Wordfence, iThemes, AIOWPS…).
• Limiter les tentatives de connexion et activer les alertes.
• Mettre en place la 2FA pour les administrateurs.
• Changer l’URL de connexion si nécessaire.

Étape 3 – Durcissement technique

• Désactiver l’éditeur de fichiers dans l’admin via wp-config.php.
• Vérifier les droits sur les fichiers et dossiers.
• Activer un pare-feu applicatif côté plugin ou via l’hébergeur/Cloudflare.

Étape 4 – Contrôles réguliers

• Planifier une vérification mensuelle des logs de sécurité.
• Surveiller Google Search Console pour repérer d’éventuels contenus piratés.
• Tester le site sur des outils externes (Sucuri SiteCheck, par exemple) de temps en temps.

La plupart de ces actions sont réalisables sans être développeur. Et si certains points vous semblent trop techniques, vous pouvez les déléguer à un prestataire, mais en gardant une chose en tête : la sécurité n’est pas qu’une “case à cocher”, c’est un sujet business. Il protège vos ventes, vos leads, votre référencement et votre image.

L’objectif n’est pas de transformer votre WordPress en bunker impraticable, mais de rendre la vie suffisamment difficile aux attaquants pour qu’ils passent au site suivant. Avec les bonnes pratiques et quelques extensions bien choisies, vous avez déjà 90% du chemin parcouru.