Depuis plusieurs années, WordPress sert à concevoir des millions de sites Web. Beaucoup d’entre eux stockent des infos privées. En effet, il s’agit souvent des données de paiement des clients e-commerce. Par conséquent, vous devez à tout prix sécuriser WordPress.
WordPress est reconnu par tant d’utilisateurs qu’on imagine ce CMS invulnérable au piratage. Pourtant, la réalité raconte une autre histoire.
En fait, c’est régulièrement contredit, mais pas de panique, c’est tout à fait normal.
Tous les logiciels ont des failles, ainsi WordPress ne fait pas exception. Quand un site WP se fait pirater, le coupable n’est généralement pas le CMS. C’est davantage le webmaster qui gère le site. À vrai dire, les clients ignorent les recommandations pour sécuriser leur site WordPress.
Cybercriminalité
Les experts prévoient plus d’attaques sur les sites WP, car beaucoup n’ont pas fait la mise à jour vers WP 6.0 depuis mai 2025.
En tant qu’agence de création de site WordPress en Suisse, nous entendons souvent “je suis une petite PME”. Cependant, petite ou grande à Lausanne, Fribourg ou Genève, personne n’est épargné !
Pour ce genre de hacking, les pirates visent large avec des attaques automatisées par des robots. À ce propos, la vraie question devient : comment éviter le piratage et sécuriser un site WordPress ?
Nos quatre conseils de sécurité WordPress protégeront votre site en 2025
1. Protégez votre page administrateur
Votre page admin est la première chose à sécuriser contre les cyberattaques. Par conséquent, vous devez la rendre difficilement accessible. Voici 4 actions essentielles pour éviter les mauvaises surprises :
-
Les utilisateurs WP savent comment accéder à la page admin. Il suffit de taper /wp-login.php ou /wp-admin. D’ailleurs, n’importe quel bot ajoutera ce lien à votre URL. Vous devenez alors vulnérable. Afin de commencer à protéger votre site, modifiez le lien de votre page admin. Plusieurs plugins existent pour sécuriser WordPress.
-
Utilisez un système “anti-brute force” qui bloquera votre site après plusieurs tentatives de connexion échouées. Cette protection empêche les attaques forcées. En effet, lorsque quelqu’un essaie d’accéder avec un mot de passe incorrect, la page se bloque. Vous recevrez alors une alerte par email ou SMS. De ce fait, de nombreux plugins spécifiques existent pour renforcer votre site WordPress.
-
Mettez en place une authentification à deux facteurs sur la page admin. En tant qu’administrateur, vous choisissez la méthode. Cela peut être un mot de passe avec code secret, des caractères spéciaux ou un code envoyé sur votre téléphone. Ainsi, cette dernière option garantit que seule la personne ayant le téléphone pourra accéder au site.
-
Actualisez vos mots de passe régulièrement. Mélangez majuscules, minuscules, chiffres et caractères spéciaux. En outre, un mot de passe assez long (minimum 10 caractères) sera quasiment impossible à pirater par force brute.
2. Utilisez un hébergement sécurisé pour WordPress
Pour sécuriser un site sous WordPress, vous devez aller au-delà du simple blocage d’accès. Effectivement, votre site doit être protégé au niveau du serveur web. C’est là que votre hébergeur entre en jeu. Par ailleurs, prenez le temps de chercher un hébergeur fiable comme Infomaniak ou Cloudways.
Idéalement, votre serveur devrait disposer d’un pare-feu et de systèmes de détection d’intrusion. Ces outils protègent votre site dès l’installation de WordPress et pendant son développement. À ce sujet, Cloudflare, même en version gratuite, offre aussi une protection efficace en filtrant directement le trafic.
Avec un hébergement cloud, le fournisseur doit s’assurer que les logiciels sur ses serveurs protègent votre site tout en restant compatibles avec les dernières versions de WordPress.
3. Utilisez WP avec les dernières mises à jour
Pour bien sécuriser un site WordPress, vous devez assurer sa maintenance régulière en mettant à jour toutes les versions.
Comme vous changez l’huile de votre voiture ou tondez votre pelouse, entretenez votre site WordPress. De même, le noyau WordPress, les plugins et les thèmes nécessitent tous des mises à jour fréquentes.
Un rapport de WP White Security a révélé que
« Près de 50 % des failles de WP viennent de plugins ou alors des thèmes non mis à jour ou non corrigés. Les vulnérabilités se répandent vite dans le monde de l’opensource et les personnes qui cherchent à exploiter ces failles savent par où commencer ».
D’après Malcare Security, ce chiffre serait encore plus élevé, atteignant environ 80%. C’est pourquoi WordPress doit être actualisé très souvent. Chaque nouvelle version corrige les bugs et les failles. En effet, WordPress identifie ses vulnérabilités et implémente des protections à chaque mise à jour.
Que vous aimiez ou non les dernières nouveautés de WordPress (oui, je parle de vous, Gutenberg), néanmoins les mises à jour ne sont plus optionnelles pour sécuriser votre site WordPress.
4. Ne pas héberger plusieurs sites WP sur le même serveur Imaginez avoir 4 sites sur votre compte serveur. Trois bénéficient de mises à jour régulières grâce à leur trafic important. Toutefois, n’oubliez pas d’actualiser le dernier pour sécuriser WordPress.
Un bot malveillant peut découvrir les failles des sites obsolètes et accéder au backend de votre serveur. Ensuite, il pourrait télécharger un script pour prendre le contrôle de votre hébergement et pirater toutes vos données.
Pas de panique si vous utilisez un hébergement partagé. Les bons hébergeurs gèrent généralement de petits clusters de serveurs. Cela signifie peu de sites par serveur.
Ainsi, quand une attaque survient, elle touche seulement un petit nombre de sites. Par conséquent, cela réduit considérablement le risque que votre site WordPress soit compromis.
Et pour terminer…
Voici quelques conseils supplémentaires applicables en 2025 pour sécuriser WordPress :
- Choisissez des thèmes WP de qualité, régulièrement mis à jour par leurs créateurs. Avant tout, vérifiez toujours l’historique avant de sélectionner un thème WordPress gratuit.
- Évitez d’utiliser “administrateur” comme nom d’utilisateur. Malheureusement, beaucoup de webmasters WordPress optent pour “admin”. À l’évidence, cela rend l’identifiant facilement devinable sur leur site WordPress.
- Désactivez l’édition et la modification de fichiers directement depuis le tableau de bord WordPress.
