Contactez-nous aujourd'hui pour un devis gratuit
Satisfaction garantie!
posted bySEO Expert Patrick3/30/2025
Découvrez dans cet article les principales portes d’entrée d’un pirate et comment les verrouiller efficacement.
WordPress est le CMS (Content Management System) le plus utilisé au monde. Malheureusement, sa popularité en fait aussi une cible privilégiée pour les pirates informatiques. Il est donc impératif d’adopter de bonnes pratiques pour protéger votre site et vos visiteurs.
Chaque nouvelle version de WordPress, de thème ou d’extension apporte son lot d’améliorations et de correctifs de sécurité. En ignorant les mises à jour, vous laissez ouvertes des failles déjà connues et documentées publiquement.
43 % de l’ensemble des sites web dans le monde tournent aujourd’hui sous WordPress (Source : W3Techs).
Selon un rapport de Sucuri, 90 % des sites piratés analysés en 2024 utilisaient WordPress.
Le plugin de sécurité Wordfence observe en moyenne plus de 90 000 tentatives d’attaque contre des sites WordPress chaque minute.
WordPress : Activez les mises à jour automatiques pour les versions majeures et mineures, ou mettez-les à jour manuellement dès leur sortie.
Thèmes et extensions : Vérifiez régulièrement vos mises à jour et installez-les sans attendre. Si vous utilisez un thème ou des plugins premium, connectez-vous à votre espace client pour récupérer la dernière version.
Installer des plugins ou des thèmes provenant de sources douteuses (souvent appelés « nulled » ou piratés) est risqué. Ils peuvent contenir des portes dérobées ou du code malveillant.
Sources officielles : Favorisez le répertoire officiel de WordPress (wordpress.org) et les marketplaces reconnues (ThemeForest, CodeCanyon, etc.).
Vérifier la réputation : Lisez les commentaires, les notes, et vérifiez le nombre d’installations actives.
Faire le tri : Supprimez les extensions inutilisées. Chaque plugin représente un risque potentiel supplémentaire.
Les attaques par force brute consistent à tester automatiquement un grand nombre de combinaisons de nom d’utilisateur et de mot de passe. Des identifiants faibles facilitent grandement la tâche des pirates.
Nom d’utilisateur: Évitez admin, administrator, ou toute variante trop évidente.
Mot de passe : Choisissez un mot de passe complexe (majuscules, minuscules, chiffres, symboles) et long (12 caractères ou plus).
Gestionnaires de mots de passe : Pour ne pas avoir à mémoriser ces mots de passe complexes, utilisez des gestionnaires comme Bitwarden, 1Password ou LastPass.
La page de connexion par défaut de WordPress (/wp-admin ou /wp-login.php) est connue de tous, y compris des pirates. Il est donc crucial de la protéger et de surveiller les tentatives de connexion.
Changer l’URL de connexion : Grâce à des plugins tels que WPS Hide Login, vous pouvez personnaliser l’URL pour dérouter les robots et les attaquants.
Limiter le nombre de tentatives de connexion : Avec Limit Login Attempts Reloaded ou d’autres plugins similaires, bloquez l’IP d’un utilisateur après quelques essais erronés.
Activer la double authentification (2FA) : Demandez un code supplémentaire à vos utilisateurs (via Google Authenticator ou SMS) pour renforcer la sécurité, même si un mot de passe venait à être compromis.
Un fichier mal protégé peut permettre à un pirate d’y injecter du code malveillant ou de le rendre inopérant.
Fichiers WordPress : Accordez-leur généralement la permission 644 (lecture/écriture pour le propriétaire, lecture seule pour les autres).
Dossiers WordPress : Donnez-leur la permission 755 (autoriser la lecture et l’exécution à tous, mais l’écriture seulement au propriétaire).
wp-config.php : Restreignez ses permissions à 600 ou 640 pour éviter qu’il ne soit lisible par un autre utilisateur sur le serveur.
Le fichier .htaccess vous permet d’ajouter des règles de sécurité personnalisées, comme bloquer l’accès aux fichiers sensibles ou limiter l’exécution de code dans certains dossiers.
Bloquer l’accès direct à wp-config.php : Ajoutez au .htaccess
order allow,deny deny from all
Protéger le dossier /wp-includes : Empêchez l’exécution de fichiers PHP non autorisés dans ce dossier. Des règles supplémentaires dans le .htaccess renforcent la sécurité.
Des plugins dédiés permettent de scanner régulièrement votre site, de détecter les tentatives d’intrusion et de vous alerter en cas de comportement suspect.
D’après certaines études de sécurité, 52 % des vulnérabilités proviennent de plugins obsolètes ou mal sécurisés (Source : WPScan).
Près de 36 % des administrateurs WordPress ne mettent pas à jour leur site régulièrement, augmentant le risque de se faire pirater (Source : Wordfence Blog).
Wordfence Security : Pare-feu (WAF), blocage d’IP, scan des logiciels malveillants, etc.
iThemes Security : Durcissement de WordPress, détection des fichiers modifiés, journal d’activité des connexions.
Sucuri Security : Surveillance de l’intégrité des fichiers et des répertoires, outil de scan de malware.
En cas d’attaque ou d’incident, il est essentiel de pouvoir restaurer rapidement une version antérieure. Les backups vous offrent une « porte de secours ».
Sauvegardes automatisées : Planifiez les sauvegardes et stockez-les sur un espace externe (cloud, disque dur, autre serveur).
Test de restauration : Assurez-vous de savoir restaurer votre site rapidement. Faire un test de temps en temps peut vous faire gagner un temps précieux.
Un scan régulier vous aide à identifier les failles, les injections de code malveillant, ou tout comportement inhabituel sur votre site.
Plugins de sécurité :Wordfence, iThemes, Sucuri proposent des outils de détection.
Services externes : Utilisez des plateformes comme Sucuri SiteCheck ou VirusTotal pour un second avis.
Même si votre site WordPress est à jour, un serveur mal protégé ou une base de données accessible aux quatre vents restent vulnérables.
Hébergement de confiance : Choisissez un hébergeur réputé, dont l’infrastructure et les pare-feux sont à jour.
SFTP ou SSH : Privilégiez ces protocoles sécurisés au lieu de FTP.
Préfixe de table personnalisé : Évitez le préfixe par défaut wp_, et définissez un mot de passe fort pour la base de données.
Les clés de sécurité sont utilisées pour crypter les sessions et améliorer la protection des cookies de connexion. De mauvaises clés de sécurité facilitent le piratage de sessions.
Regénérer les clés :Utilisez l’outil officiel de WordPress (API Salt) pour créer vos clés et collez-les dans votre fichier wp-config.php.
Mises à jour régulières : Régénérez ces clés de temps en temps pour plus de sécurité.
La sécurité d’un site WordPress est l’affaire de tous : administrateurs, développeurs, hébergeurs…
En suivant ces bonnes pratiques, vous réduisez considérablement les risques de piratage. N’oubliez pas qu’aucun système n’est infaillible.
Restez donc vigilant, informé des nouvelles failles, et assurez-vous de tenir votre site à jour.
Les quelques minutes ou heures investies dans la sécurisation de votre WordPress peuvent vous éviter des pertes bien plus importantes par la suite.
En somme, sécuriser WordPress implique de :
En appliquant l’ensemble de ces conseils, vous construirez un « bouclier » efficace contre la majorité des attaques ciblant WordPress.
This website uses cookies to ensure you get the best experience on our website.