Securite

Comment securiser un site WordPress en 2026 : 15 conseils essentiels

Par MeilleurHebergement.ch ·
Comment securiser un site WordPress en 2026 : 15 conseils essentiels

Comment securiser un site WordPress en 2026 : 15 conseils essentiels

WordPress est la cible numero un des cyberattaques en raison de sa popularite. Comme le souligne la page officielle sur la securite de WordPress, le coeur du CMS est audite regulierement, mais les extensions tierces restent le maillon faible. En 2026, les attaques automatisees par bots sont plus sophistiquees que jamais, utilisant parfois l’intelligence artificielle pour identifier et exploiter les failles. La bonne nouvelle : en appliquant ces 15 mesures de securite, vous protegerez efficacement votre site contre la grande majorite des menaces.

1. Maintenir WordPress, les themes et les plugins a jour

Les mises a jour sont la premiere ligne de defense. La majorite des piratages exploitent des failles connues et deja corrigees dans des versions plus recentes.

Ce qu’il faut faire

  • Activez les mises a jour automatiques mineures de WordPress (activees par defaut)
  • Mettez a jour les plugins et themes des qu’une nouvelle version est disponible
  • Verifiez la compatibilite avant de faire une mise a jour majeure (WordPress 6.x vers une nouvelle version majeure)
  • Supprimez les plugins et themes inutilises, meme s’ils sont desactives

En 2026, WordPress 6.7 propose un systeme de mises a jour automatiques ameliore qui peut gerer les plugins et themes egalement. Activez-le dans Tableau de bord > Mises a jour.

Pourquoi c’est critique

Selon les rapports de securite WordPress de 2025, plus de 90 % des sites piratees utilisaient des plugins ou themes obsoletes. Une seule extension non mise a jour peut compromettre l’ensemble de votre site.

2. Utiliser des mots de passe forts et uniques

Un mot de passe faible est une porte ouverte pour les attaques par force brute.

Regles a suivre

  • Minimum 16 caracteres
  • Melange de majuscules, minuscules, chiffres et symboles
  • Jamais le meme mot de passe sur plusieurs sites
  • Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass)

Changez le mot de passe de tous les comptes administrateurs si vous suspectez une compromission, y compris les acces FTP, base de donnees et panneau de controle de l’hebergeur.

Cadenas de securite numerique pour la protection de sites WordPress

3. Activer l’authentification a deux facteurs (2FA)

L’authentification a deux facteurs ajoute une couche de protection decisive. Meme si un attaquant obtient votre mot de passe, il ne pourra pas se connecter sans le second facteur.

Plugins recommandes

  • Two Factor : plugin officiel, leger, prend en charge TOTP (Google Authenticator, Authy), cles de securite FIDO2 et codes de secours
  • WP 2FA : interface plus conviviale, possibilite d’imposer le 2FA a tous les utilisateurs

Privilegiez une application TOTP (comme Authy ou Google Authenticator) plutot que les codes par SMS, qui sont vulnerables aux attaques par SIM swapping.

4. Installer un plugin de securite complet

Un plugin de securite agit comme un gardien permanent de votre site.

Wordfence Security

Wordfence est le plugin de securite le plus populaire pour WordPress :

  • Pare-feu applicatif (WAF) au niveau de l’application
  • Scan de malwares et fichiers modifies
  • Protection contre le brute force avec limitation des tentatives de connexion
  • Blocage par pays et par IP
  • Alertes en temps reel

La version gratuite est deja tres complete. La version Premium (environ 120 USD/an) ajoute les regles de pare-feu en temps reel et un scan de malwares plus frequent.

Sucuri Security

Sucuri offre une approche differente :

  • Scan de malwares externe (ne charge pas votre serveur)
  • Surveillance de l’integrite des fichiers
  • Notifications de securite
  • Le service premium inclut un CDN/WAF au niveau DNS, tres efficace

Quel plugin choisir ?

Wordfence est ideal si vous voulez une solution tout-en-un geree directement dans WordPress. Sucuri est preferable si vous souhaitez un WAF au niveau DNS pour bloquer les attaques avant qu’elles n’atteignent votre serveur.

N’installez jamais deux plugins de securite complets en meme temps : ils entreront en conflit.

5. Configurer des sauvegardes automatiques

La securite absolue n’existe pas. Des sauvegardes regulieres vous permettront de restaurer votre site en cas de piratage.

Bonnes pratiques

  • Sauvegardez quotidiennement (fichiers + base de donnees)
  • Stockez les sauvegardes sur un emplacement externe (cloud, autre serveur)
  • Testez regulierement la restauration
  • Conservez au moins 30 jours d’historique

Pour un guide complet sur les strategies de sauvegarde, consultez notre article comment sauvegarder son site web.

6. Mettre en place un pare-feu applicatif (WAF)

Un WAF filtre le trafic malveillant avant qu’il n’atteigne votre site.

Types de WAF

  • WAF au niveau de l’application : Wordfence, iThemes Security (fonctionne dans WordPress)
  • WAF au niveau DNS : Cloudflare, Sucuri Firewall (filtre le trafic avant le serveur)
  • WAF au niveau du serveur : ModSecurity sur Apache (configure par l’hebergeur)

Un WAF au niveau DNS est la solution la plus efficace car il bloque les attaques avant qu’elles ne consomment les ressources de votre serveur. Cloudflare propose un plan gratuit avec des protections de base, et son plan Pro (environ 20 USD/mois) inclut un WAF complet.

Pour comprendre comment un CDN comme Cloudflare peut renforcer votre securite, lisez notre article qu’est-ce qu’un CDN.

7. Configurer les headers HTTP de securite

Les en-tetes HTTP de securite indiquent au navigateur comment se comporter avec votre site, reduisant les risques d’attaques XSS, clickjacking et injection de contenu. Pour approfondir ces notions, consultez le guide OWASP sur la securite des applications web, la reference mondiale en matiere de securite applicative.

Headers essentiels

Ajoutez ces lignes dans votre fichier .htaccess (Apache) ou dans la configuration Nginx :

# Protection contre le clickjacking
Header always set X-Frame-Options "SAMEORIGIN"

# Protection contre le MIME-type sniffing
Header always set X-Content-Type-Options "nosniff"

# Politique de referrer
Header always set Referrer-Policy "strict-origin-when-cross-origin"

# Content Security Policy (adaptez selon vos besoins)
Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline' fonts.googleapis.com; font-src fonts.gstatic.com; img-src 'self' data:;"

# Permissions Policy
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"

# Strict Transport Security (HSTS)
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

La politique CSP (Content-Security-Policy) doit etre adaptee a votre site. Testez-la en mode Content-Security-Policy-Report-Only avant de l’appliquer definitivement.

Verifier vos headers

Utilisez le site securityheaders.com pour scanner votre site et verifier que tous les headers sont correctement configures. Visez un score A ou A+.

Tableau de bord WordPress avec parametres de securite et plugins

8. Desactiver XML-RPC

XML-RPC est un protocole ancien qui permet la communication entre WordPress et des applications externes. Il est souvent exploite pour des attaques par force brute amplifiee (un seul appel peut tester des centaines de mots de passe) et des attaques DDoS via pingback.

Comment desactiver XML-RPC

Methode 1 : via .htaccess

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

Methode 2 : via un plugin

La plupart des plugins de securite (Wordfence, iThemes Security) incluent une option pour desactiver XML-RPC.

Methode 3 : via functions.php

add_filter( 'xmlrpc_enabled', '__return_false' );

Si vous utilisez l’application mobile WordPress ou Jetpack, vous aurez besoin de XML-RPC. Dans ce cas, limitez l’acces plutot que de le desactiver completement.

9. Changer le prefixe des tables de la base de donnees

Par defaut, WordPress utilise le prefixe wp_ pour toutes les tables. Changer ce prefixe complique les attaques par injection SQL automatisees.

Lors d’une nouvelle installation, modifiez le prefixe dans wp-config.php :

$table_prefix = 'mh26_';

Pour un site existant, utilisez un plugin comme “Brozzme DB Prefix” ou modifiez manuellement les noms de tables et les references dans les options.

10. Limiter les tentatives de connexion

Les attaques par force brute testent des milliers de combinaisons identifiant/mot de passe. Limiter les tentatives de connexion bloque ces attaques.

Configuration recommandee

  • Maximum 3 tentatives avant blocage
  • Blocage de 30 minutes apres 3 echecs
  • Blocage de 24 heures apres 5 blocages successifs
  • Notification par email en cas de blocage

Wordfence et Limit Login Attempts Reloaded gerent cela efficacement. Certains hebergeurs comme Infomaniak integrent egalement une protection anti-brute-force au niveau du serveur. Consultez notre avis Infomaniak pour en savoir plus.

11. Deplacer ou proteger la page de connexion

La page de connexion WordPress (/wp-login.php ou /wp-admin/) est la cible principale des attaques automatisees.

Options disponibles

  • Changer l’URL de connexion : le plugin WPS Hide Login permet de modifier l’URL (ex. : /mon-acces-secret)
  • Proteger par mot de passe : ajoutez une authentification HTTP basique via .htaccess pour une double protection
  • Restreindre par IP : si vous avez une IP fixe, limitez l’acces a wp-admin a votre IP uniquement

12. Desactiver l’editeur de fichiers integre

WordPress inclut un editeur de code dans l’administration qui permet de modifier les fichiers des themes et plugins. Si un attaquant accede a votre administration, cet editeur lui permet d’injecter du code malveillant.

Ajoutez cette ligne dans wp-config.php :

define( 'DISALLOW_FILE_EDIT', true );

Pour aller plus loin, vous pouvez aussi empecher l’installation de plugins et themes via l’interface :

define( 'DISALLOW_FILE_MODS', true );

13. Surveiller l’integrite des fichiers

La surveillance de l’integrite des fichiers detecte toute modification non autorisee de vos fichiers WordPress.

Ce qu’il faut surveiller

  • Les fichiers du coeur de WordPress (wp-includes/, wp-admin/)
  • Les fichiers .php dans wp-content/uploads/ (ne devrait jamais en contenir)
  • Les fichiers .htaccess et wp-config.php
  • Les modifications inattendues dans les fichiers de themes et plugins

Wordfence et Sucuri proposent tous deux un scan d’integrite des fichiers. Configurez un scan quotidien et activez les alertes par email.

14. Securiser la base de donnees

Mesures essentielles

  • Utilisez un mot de passe fort pour l’utilisateur de la base de donnees
  • Limitez les privileges : l’utilisateur WordPress n’a besoin que des droits SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER, DROP et INDEX
  • Desactivez l’acces distant a MySQL si vous n’en avez pas besoin
  • Sauvegardez regulierement la base de donnees separement des fichiers

Proteger wp-config.php

Le fichier wp-config.php contient les informations de connexion a la base de donnees. Protegez-le :

<Files wp-config.php>
    Order Allow,Deny
    Deny from all
</Files>

Vous pouvez egalement deplacer wp-config.php un niveau au-dessus de la racine web. WordPress le trouvera automatiquement.

15. Utiliser HTTPS partout et forcer la redirection

En 2026, HTTPS n’est plus optionnel. Tous les navigateurs modernes signalent les sites HTTP comme non securises, et Google penalise les sites sans HTTPS dans ses resultats de recherche.

Verifications

  • Obtenez un certificat SSL/TLS gratuit via Let’s Encrypt (inclus chez la plupart des hebergeurs)
  • Forcez la redirection HTTP vers HTTPS dans .htaccess :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
  • Ajoutez ces lignes dans wp-config.php :
define( 'FORCE_SSL_ADMIN', true );
  • Verifiez qu’il n’y a pas de contenu mixte (ressources HTTP sur une page HTTPS) avec l’outil de developpement de votre navigateur

Pour configurer correctement votre domaine et votre certificat SSL, consultez notre guide configurer un nom de domaine et les DNS.

Checklist de securite WordPress 2026

Voici un resume des actions a realiser, par ordre de priorite :

  1. Mettre a jour WordPress, themes et plugins
  2. Utiliser des mots de passe forts et uniques
  3. Activer l’authentification a deux facteurs
  4. Installer un plugin de securite (Wordfence ou Sucuri)
  5. Configurer des sauvegardes automatiques
  6. Forcer HTTPS et HSTS
  7. Desactiver XML-RPC
  8. Limiter les tentatives de connexion
  9. Configurer les headers HTTP de securite
  10. Desactiver l’editeur de fichiers integre
  11. Proteger wp-config.php et .htaccess
  12. Changer le prefixe des tables
  13. Surveiller l’integrite des fichiers
  14. Mettre en place un WAF
  15. Deplacer ou proteger la page de connexion

Que faire si votre site a ete pirate ?

Si malgre toutes ces precautions votre site est compromis :

  1. Ne paniquez pas et ne supprimez rien tout de suite
  2. Mettez le site en maintenance pour proteger vos visiteurs
  3. Changez tous les mots de passe (WordPress, FTP, base de donnees, hebergeur)
  4. Scannez le site avec Wordfence ou Sucuri pour identifier les fichiers infectes
  5. Restaurez une sauvegarde saine si vous en avez une
  6. Mettez tout a jour (WordPress, plugins, themes, PHP)
  7. Nettoyez manuellement si necessaire (supprimez les fichiers suspects, verifiez la base de donnees)
  8. Contactez votre hebergeur : il peut vous aider a identifier la faille et proposer des scans supplementaires

FAQ

WordPress est-il un CMS securise ?

Oui, le coeur de WordPress est audite et mis a jour regulierement par une large communaute de developpeurs. La majorite des failles proviennent de plugins ou themes tiers mal maintenus, ou de mauvaises pratiques (mots de passe faibles, mises a jour negligees). En appliquant les mesures de ce guide, vous reduisez considerablement les risques.

Quel est le meilleur plugin de securite pour WordPress en 2026 ?

Wordfence Security reste la reference pour la plupart des sites. Il offre un pare-feu, un scanner de malwares et une protection anti-brute-force dans un seul plugin. Pour les sites a fort trafic, Sucuri Firewall (solution premium avec WAF au niveau DNS) offre une protection supplementaire sans impacter les performances du serveur.

Faut-il payer pour securiser WordPress ?

Non, les versions gratuites de Wordfence et Two Factor offrent une protection solide pour la majorite des sites. Les versions premium apportent des fonctionnalites supplementaires (regles de pare-feu en temps reel, support prioritaire) qui sont surtout utiles pour les sites professionnels ou e-commerce.

Comment savoir si mon site WordPress a ete pirate ?

Les signes les plus courants sont : des redirections vers des sites tiers, des pages ou articles inconnus, des fichiers suspects dans le repertoire uploads, des performances degradees, des alertes de Google Search Console, ou des emails d’alerte de votre plugin de securite. Effectuez un scan regulier pour detecter les anomalies rapidement.

A quelle frequence faut-il mettre a jour WordPress ?

Appliquez les mises a jour mineures (securite) immediatement, idealement via les mises a jour automatiques. Pour les mises a jour majeures, attendez quelques jours apres la sortie pour vous assurer de la stabilite, puis mettez a jour apres avoir effectue une sauvegarde complete. Les plugins et themes doivent etre mis a jour des que possible apres verification de compatibilite.

#wordpress #securite #piratage #protection