Table des matières:
Pourquoi la sécurité WordPress est une priorité absolue
Chaque jour, des milliers de sites WordPress sont attaqués. Vulnérabilités de plugins, mots de passe faibles, hébergement non sécurisé : les failles sont nombreuses. Pourtant, sécuriser un site WordPress contre les hackers n’est pas si complexe si vous suivez une méthode structurée. Dans cet article, vous découvrirez les actions essentielles à mettre en place dès maintenant.
Les bases : ce qu’il faut faire immédiatement
1. Choisir un hébergement de qualité
Un hébergeur fiable est votre première ligne de défense. Optez pour un hébergeur qui propose :
- Des sauvegardes automatiques quotidiennes
- Un pare-feu applicatif (WAF)
- Une détection des malwares
- Un certificat SSL gratuit (Let’s Encrypt)
Évitez les hébergements mutualisés bon marché qui mutualisent trop de sites sur un même serveur.
2. Mettre à jour WordPress, thèmes et plugins
Les mises à jour corrigent des failles de sécurité. Activez les mises à jour automatiques pour les versions mineures de WordPress et vérifiez régulièrement les mises à jour de vos plugins et thèmes. Supprimez ceux qui ne sont plus maintenus.
3. Utiliser des mots de passe robustes
Un mot de passe fort doit comporter au moins 12 caractères, mélange de lettres majuscules et minuscules, chiffres et symboles. Utilisez un gestionnaire de mots de passe comme LastPass ou 1Password. Changez le préfixe de la table WordPress (wp_) lors de l’installation pour éviter les attaques par injection SQL.
Renforcer l’authentification et les accès
4. Activer l’authentification à deux facteurs (2FA)
Le 2FA ajoute une couche de sécurité : même si un mot de passe est volé, l’attaquant ne peut pas se connecter sans le second facteur. Utilisez des plugins comme Google Authenticator ou Wordfence.
5. Limiter les tentatives de connexion
Les attaques par force brute tentent de deviner votre mot de passe en essayant des milliers de combinaisons. Installez un plugin comme Limit Login Attempts Reloaded pour bloquer après quelques échecs.
6. Gérer les utilisateurs avec précaution
Supprimez les comptes inutilisés. Attribuez le rôle le plus restrictif possible (Abonné plutôt que Administrateur). Évitez le nom d’utilisateur ‘admin’ qui est trop courant.
Protéger les fichiers et la base de données
7. Configurer le fichier wp-config.php
Déplacez le fichier wp-config.php à la racine du site, au-dessus du dossier public_html si possible. Définissez des clés de sécurité uniques (définies dans le fichier) en utilisant le générateur officiel de WordPress.
8. Sécuriser le dossier wp-content
Empêchez l’exécution de scripts PHP dans les dossiers d’upload en ajoutant cette ligne dans un fichier .htaccess :
<Files *.php>
deny from all
</Files>Protégez également le fichier .htaccess lui-même.
9. Désactiver l’édition de fichiers dans l’admin
Ajoutez cette ligne dans wp-config.php :
define('DISALLOW_FILE_EDIT', true);Cela empêche les hackers d’altérer vos fichiers via l’interface d’administration.
Utiliser des plugins de sécurité
| Plugin | Fonctionnalités clés | Prix |
|---|---|---|
| Wordfence Security | Pare-feu, scanner de malwares, 2FA, blocage IP | Gratuit + Premium |
| Sucuri Security | Audit de sécurité, liste noire, monitoring | Gratuit + Premium |
| iThemes Security | Force brute, 2FA, vérification des fichiers | Gratuit + Pro |
| All In One WP Security | Pare-feu, login, base de données | Gratuit |
Choisissez un plugin réputé et bien maintenu. Évitez d’en installer plusieurs qui pourraient entrer en conflit.
Sauvegardes : votre filet de sécurité
Même avec une protection maximale, une faille peut survenir. Des sauvegardes régulières vous permettent de restaurer votre site rapidement. Planifiez des sauvegardes automatiques quotidiennes de votre base de données et hebdomadaires de vos fichiers. Stockez-les sur un serveur distant (Dropbox, Google Drive, Amazon S3).
Surveillance et réaction en cas d’attaque
10. Mettre en place un monitoring
Utilisez des outils comme Google Search Console ou des plugins de sécurité pour être alerté en cas de modification suspecte. Vérifiez régulièrement les logs d’accès.
11. Que faire si votre site est piraté ?
- Changez immédiatement tous les mots de passe (admin, FTP, base de données).
- Restaurez une sauvegarde propre.
- Analysez le site avec un scanner de malwares.
- Supprimez les fichiers et utilisateurs malveillants.
- Mettez à jour tout ce qui peut l’être.
Erreurs courantes à éviter
- Utiliser des thèmes et plugins nullés (piratés) : ils contiennent souvent des backdoors.
- Négliger les sauvegardes : sans sauvegarde, une attaque peut être fatale.
- Ignorer les alertes de sécurité : une notification de plugin n’est pas un spam.
- Laisser des comptes inactifs : chaque compte est une porte d’entrée potentielle.
Questions fréquentes sur la sécurité WordPress
Mon site WordPress est-il vraiment une cible pour les hackers ?
Oui. Les hackers automatisent leurs attaques et ciblent tous les sites, petits ou grands. Un site non sécurisé peut être utilisé pour envoyer du spam, héberger des fichiers illégaux ou rediriger vos visiteurs.
Quel est le meilleur plugin de sécurité WordPress ?
Wordfence est souvent recommandé pour sa gratuité et ses fonctionnalités complètes. Sucuri est excellent pour le monitoring. Le meilleur plugin est celui que vous configurez correctement.
Dois-je utiliser un pare-feu pour mon site WordPress ?
Oui, un pare-feu bloque les requêtes malveillantes avant qu’elles n’atteignent votre site. Vous pouvez utiliser un pare-feu applicatif (WAF) via un plugin ou au niveau de l’hébergement (Cloudflare, Sucuri).
Comment savoir si mon site a été piraté ?
Signes : ralentissement, redirections étranges, contenu inconnu, alertes de Google, fichiers modifiés sans votre intervention. Utilisez un scanner comme Wordfence pour détecter les malwares.
Faut-il cacher la version de WordPress utilisée ?
Oui, cela complique le travail des hackers qui cherchent des failles spécifiques à une version. Vous pouvez le faire via un plugin ou en modifiant le fichier functions.php.
Les sauvegardes suffisent-elles à protéger mon site ?
Non, elles permettent de restaurer mais n’empêchent pas l’attaque. La sécurité est une combinaison de prévention, de détection et de récupération.
Passez à l’action dès maintenant
Sécuriser un site WordPress contre les hackers n’est pas une option, c’est une nécessité. Commencez par les actions les plus simples : mettez à jour vos plugins, changez vos mots de passe et installez un plugin de sécurité. Ensuite, renforcez progressivement votre protection avec le 2FA, les sauvegardes et le monitoring. N’attendez pas d’être victime d’une attaque pour agir. Votre site et vos visiteurs comptent sur vous.
Photo by Luke Porter on Unsplash
J’ai essayé de déplacer wp-config.php mais mon site a planté. Une astuce ?
Pour déplacer wp-config.php, placez-le dans le dossier parent de public_html (un niveau au-dessus). Si vous utilisez un hébergement mutualisé, vérifiez que le chemin est correct. Parfois, les hébergeurs ne le permettent pas.
Merci pour les astuces sur le fichier .htaccess. Est-ce que ces modifications peuvent casser mon site si je ne suis pas un expert ?
Si vous n’êtes pas à l’aise, faites une sauvegarde du fichier .htaccess avant modification. Les lignes suggérées sont standard et sans danger, mais testez toujours sur un environnement de staging si possible.
Merci pour ce guide très complet ! Une question : est-ce que le plugin Wordfence est vraiment suffisant pour la sécurité ou faut-il en cumuler plusieurs ?
Bonjour, Wordfence est un excellent plugin tout-en-un avec pare-feu et scanner de malwares. Il n’est pas nécessaire d’en cumuler plusieurs, car cela peut ralentir votre site. Veillez simplement à bien le configurer.
J’ai un petit site vitrine, est-ce que je dois vraiment m’inquiéter des hackers ?
Oui, même les petits sites sont ciblés par des attaques automatisées. La sécurité minimale (mises à jour, mots de passe forts, sauvegardes) est essentielle pour tous.
Super article ! Pour le 2FA, tu recommandes plutôt une app comme Google Authenticator ou une solution par SMS ?
Google Authenticator est plus sécurisé que le SMS, car les SMS peuvent être interceptés. Utilisez une app d’authentification, c’est fiable et gratuit.