Duplicator Duplicateur
Duplicator Duplicateur
Annonce de la mise en scène en un clic et des restaurations cloud à distance pour des changements audacieux, sans conséquences

Annonce de la mise en scène en un clic et des restaurations cloud à distance pour des changements audacieux, sans conséquences

Arrêtez de casser votre site en direct. La mise en scène en un clic et les restaurations cloud à distance de Duplicator vous permettent de tester les changements et de récupérer même si votre serveur est complètement hors service !

Continue Reading →
Sécurité WordPress

Checklist de sécurité WordPress : Guide étape par étape pour protéger votre site

· · 24 min read ·
Written By: avatar de l'auteur Joella Dunn
avatar de l'auteur Joella Dunn
Joella is a writer with years of experience in WordPress. At Duplicator, she specializes in site maintenance — from basic backups to large-scale migrations. Her ultimate goal is to make sure your WordPress website is safe and ready for growth.
See Full Bio
·
Reviewed By: avatar de l'évaluateur John Turner
avatar de l'évaluateur John Turner
John Turner is the President of Duplicator. He has over 20+ years of business and development experience and his plugins have been downloaded over 25 million times.
See Full Bio

Le délai médian entre la divulgation publique d'une vulnérabilité WordPress et les attaques automatisées ciblant les sites sur le web est désormais de 5 heures. Pas des jours. Cinq heures.

Ce n'est pas un risque théorique. Rien qu'en 2025, les chercheurs ont découvert 11 334 nouvelles vulnérabilités dans l'écosystème WordPress — un bond de 42 % par rapport à l'année précédente.

Environ 13 000 sites WordPress sont compromis chaque jour. Lorsqu'une petite entreprise est touchée, le coût moyen de récupération s'élève à 14 500 $. Cela comprend la suppression des logiciels malveillants, le temps d'intervention d'urgence des développeurs et les mois de travail nécessaires pour annuler les liens de spam injectés et les pénalités Google.

Je gère des sites WordPress depuis des années et j'ai suivi toutes les étapes de ce guide sur mes propres installations. Certaines prennent cinq minutes. Quelques-unes sont plus complexes. Toutes valent la peine d'être effectuées avant que quelque chose ne tourne mal.

Voici ce que vous retirerez de ce guide :

  • Les plugins sont la véritable menace. 91 % des vulnérabilités WordPress se trouvent dans les plugins et les thèmes, pas dans le cœur. Les maintenir à jour et supprimer ceux que vous n'utilisez pas est votre habitude la plus importante.
  • Un WAF seul ne vous sauvera pas. Les pare-feu d'applications Web standards n'ont bloqué que 12 % des attaques spécifiques à WordPress en 2025. Vous avez besoin de couches, pas d'un seul outil.
  • Les sauvegardes sont votre filet de sécurité lorsque tout le reste échoue. Une sauvegarde que vous pouvez restaurer en quelques minutes modifie le coût réel d'un piratage.
  • La fenêtre d'exploitation de 5 heures est réelle. Une fois qu'une vulnérabilité est publique, les attaques automatisées commencent rapidement. La correction ne peut pas attendre.
  • 46 % des vulnérabilités n'ont pas de correctif développeur au moment de leur divulgation. Les mises à jour sont importantes, mais la surveillance l'est tout autant.
  • La récupération après piratage suit un ordre spécifique. La plupart des listes de contrôle l'ignorent. Nous le couvrons étape par étape, y compris comment vous reconnecter lorsque vous êtes bloqué hors de wp-admin.

Table des matières

WordPress est-il sécurisé ?

Oui, WordPress est fondamentalement sécurisé. La plateforme principale est maintenue par une équipe de sécurité dédiée, et en 2025, seulement 6 vulnérabilités ont été trouvées dans le cœur de WordPress — toutes de faible priorité.

Le risque n'est pas WordPress lui-même. C'est l'écosystème qui l'entoure.

Les plugins et les thèmes représentent la majorité des vulnérabilités WordPress. 46 % de ces vulnérabilités n'avaient pas de correctif développeur au moment de leur divulgation. Cela signifie que même la mise à jour au moment où un correctif est publié ne vous protège pas contre près de la moitié de ce qui est activement exploité.

Les plugins abandonnés sont particulièrement risqués. Si un plugin n'a pas été mis à jour depuis 6 mois ou plus, c'est une surface d'attaque connue sans personne pour le maintenir.

Le cœur de WordPress n'est pas le point faible. Vos plugins le sont.

Pourquoi la sécurité de WordPress est-elle importante ?

Un site piraté n'est pas seulement un problème technique. C'est un problème commercial.

Lorsque les attaquants compromettent un site WordPress, ils injectent généralement des liens de spam, redirigent les visiteurs, volent des données utilisateur ou installent des portes dérobées pour un accès futur.

Google peut signaler le site comme dangereux. Votre fournisseur d'hébergement peut le mettre hors ligne. Si vous gérez une boutique en ligne, les données des clients pourraient être compromises.

En 2025, plus de 11 000 nouvelles vulnérabilités WordPress ont été enregistrées. C'est plus de 30 par jour.

Le coût moyen de récupération pour une petite entreprise est de 14 500 $, et ce chiffre n’inclut pas les mois de travail nécessaires pour récupérer les classements de recherche après que des liens de spam injectés aient déclenché une pénalité manuelle de Google.

La réputation de votre site, la confiance de vos visiteurs et votre trafic organique sont en jeu.

Votre liste de contrôle de sécurité WordPress

En tant que débutant, vous vous demandez peut-être : par où commencer ?

J’ai créé une liste de contrôle de sécurité WordPress complète pour vous ! Parcourez simplement chaque étape et à la fin, vous aurez un site entièrement sécurisé.

Liste de contrôle rapide de sécurité WordPress :

  • Trouver un hébergeur sécurisé : Choisissez un hébergement avec des protocoles de sécurité robustes, des certificats SSL, des pare-feu et des sauvegardes régulières
  • Sauvegarder votre site Web : Utilisez des plugins comme Duplicator pour automatiser les sauvegardes cloud et protéger vos données
  • Mettre à jour les logiciels : Gardez le noyau, les plugins et les thèmes WordPress à jour pour corriger les vulnérabilités
  • Supprimer les plugins et thèmes inutilisés : Supprimez les logiciels inactifs pour éliminer les failles de sécurité potentielles
  • Utiliser des mots de passe forts : Créez des mots de passe uniques et complexes avec des caractères mixtes et évitez les phrases courantes
  • Mettre à jour l’accès administrateur : Limitez les utilisateurs administrateurs, supprimez les comptes inactifs et attribuez des privilèges minimaux
  • Masquer la page de connexion WordPress : Personnalisez votre URL de connexion pour empêcher les attaques par force brute
  • Surveiller l’activité des utilisateurs : Suivez les actions des utilisateurs pour identifier les violations de sécurité et les modifications indésirables
  • Installer un plugin de sécurité WordPress : Utilisez des outils comme Sucuri pour l’analyse des logiciels malveillants et les notifications de sécurité
  • Utiliser un pare-feu d’application Web (WAF) : Bloquez le trafic malveillant avec des pare-feux au niveau DNS ou applicatif
  • Analyser à la recherche de logiciels malveillants : Vérifiez régulièrement votre site à la recherche de virus et de menaces avec des plugins de sécurité
  • Passer au SSL/HTTPS : Activez les certificats SSL pour chiffrer les données entre les utilisateurs et votre serveur
  • Changer votre nom d’utilisateur : Évitez les noms d’utilisateur prévisibles comme « admin » pour réduire les vulnérabilités de connexion
  • Mettre à jour les autorisations de fichiers : Définissez les autorisations appropriées (755 pour les dossiers, 644 pour les fichiers) pour contrôler l’accès
  • Désactiver l’édition de fichiers : Désactivez l’éditeur de fichiers WordPress pour empêcher les pirates d’injecter du code malveillant
  • Désactiver l’exécution de fichiers PHP : Bloquez l’exécution des fichiers PHP dans les répertoires de téléchargement pour arrêter les attaques
  • Limiter les tentatives de connexion : Restreignez le nombre d’essais de connexion à partir d’une seule adresse IP
  • Utiliser l’authentification à deux facteurs : Ajoutez une étape de vérification supplémentaire avec des codes mobiles pour la sécurité de la connexion
  • Changer le préfixe de la base de données WordPress : Remplacez le préfixe par défaut « wp_ » pour rendre les noms de table plus difficiles à deviner
  • Protéger par mot de passe les pages d’administration et de connexion : Ajoutez une couche de mot de passe supplémentaire avant que les utilisateurs n’atteignent l’écran de connexion
  • Désactiver l’indexation et la navigation dans les répertoires : Masquez le contenu des répertoires pour empêcher la visualisation des fichiers
  • Désactiver XML-RPC : Désactivez cette API pour empêcher les pirates d’exploiter les vulnérabilités de devinettes de mots de passe
  • Déconnecter les utilisateurs inactifs : Déconnectez automatiquement les utilisateurs inactifs pour éviter le détournement de session
  • Masquer votre version de WordPress : Supprimez les numéros de version du code source pour éviter les attaques ciblées
  • Restaurer votre site après des piratages : Utilisez des outils de sauvegarde avec récupération après sinistre (Duplicator Pro) pour restaurer rapidement les sites compromis

1. Trouvez un hébergeur web sécurisé

Choisir un hébergeur Web est plus que de simplement vérifier le prix. Ce dont vous avez besoin, c’est d’un hébergeur passionné par la sécurité.

Recherchez un hébergeur Web qui offre les derniers protocoles de sécurité. Leurs serveurs doivent être entretenus et à jour. C’est aussi formidable s’il dispose d’un pare-feu robuste et propose des certificats SSL. 

Et enfin, découvrez si l’hébergeur Web propose des sauvegardes régulières et des restaurations de site. Vous espéreriez ne jamais avoir besoin de ce filet de sécurité, mais il est bon d’en avoir un, juste au cas où.

Si vous avez actuellement un plan d’hébergement mutualisé, vous voudrez peut-être passer à un hébergement WordPress géré. Avec un hébergeur mutualisé, vous partagerez les ressources avec d’autres sites. Si quelqu’un sur votre serveur a une faille de sécurité, cela pourrait également affecter votre site Web.

Cependant, des hébergeurs mutualisés réputés comme Bluehost, Hostinger et SiteGround vous protégeront de nombreux problèmes de sécurité de base.

Une fois que vous avez trouvé un hébergeur WordPress sécurisé, voici comment migrer votre site vers le nouveau serveur

2. Sauvegardez votre site web

Lorsque vous créez votre site Web, vous serez probablement ravi d’écrire de nouveaux articles de blog ou de vendre des produits. Cependant, vous devrez également sauvegarder régulièrement votre site.

Les sauvegardes sont une police d’assurance pour votre contenu numérique. Elles vous permettent de restaurer votre site dans son état d’origine si quelque chose se passe mal.

Duplicator est un plugin de sauvegarde qui facilite la création de copies de votre site. Il prend en charge les sauvegardes automatiques et le stockage cloud, vous ne perdrez donc jamais de données.

Plugin Duplicator Pro
Commencez avec Duplicator

Il est souvent préférable de stocker les sauvegardes sur un serveur cloud séparé pour une couche de sécurité supplémentaire. De cette façon, vos sauvegardes ne seront pas perdues en cas de problème de serveur.

Avec Duplicator, vous pouvez sauvegarder votre site dans le cloud. Connectez simplement votre service de stockage cloud préféré et sélectionnez-le lorsque vous créez une sauvegarde. Il dispose même de son propre stockage cloud personnalisé conçu pour les sauvegardes WordPress : Duplicator Cloud.

Nouvel emplacement de stockage Duplicator Cloud

Vous pourrez personnaliser les données enregistrées dans la sauvegarde. Ainsi, vous pouvez facilement sauvegarder uniquement votre base de données, votre médiathèque ou d'autres données si nécessaire.

Sauvegarde personnalisée

Votre site Web est constamment mis à jour avec du nouveau contenu, vous devrez donc le sauvegarder régulièrement. Heureusement, Duplicator vous permet d'automatiser les sauvegardes.

Sauvegardes planifiées Duplicator

En configurant des planifications, vous n'aurez jamais à vous soucier des sauvegardes manuelles ! Votre site sera constamment sécurisé contre tout problème car vous pourrez simplement revenir en arrière lorsque ceux-ci se produiront.

En plus de Duplicator, il existe de nombreux autres plugins de sauvegarde que vous pouvez utiliser. UpdraftPlus, Jetpack et BlogVault sont des options populaires. 

3. Mettez à jour les logiciels

Les mises à jour logicielles jouent un rôle crucial dans la sécurité de WordPress. Elles n'ajoutent pas seulement des fonctionnalités supplémentaires, mais corrigent également les vulnérabilités potentielles. 

WordPress installera automatiquement les mises à jour mineures. Mais vous devrez installer manuellement toutes les versions majeures. 

Trouvez la page Mises à jour et effectuez les mises à jour de votre logiciel de base, de vos plugins et de vos thèmes.

Mettre à jour le logiciel WordPress

Les mises à jour de sécurité se produisent tout le temps, vous devrez donc y prêter attention. Pour votre commodité, vous pouvez également les automatiser. 

Cependant, je vous recommande de tester d'abord les nouvelles versions de WordPress, des plugins et des thèmes sur un site de staging. Cela vous aide à éviter tout conflit logiciel qui se produit parfois après des mises à jour défectueuses.

4. Supprimez les plugins et thèmes inutilisés

Nettoyer votre site peut lui donner un bon coup de pouce en matière de sécurité. Il est conseillé de supprimer tous les thèmes et plugins WordPress que vous n'utilisez pas activement. 

C'est parce que les pirates peuvent utiliser des plugins et des thèmes obsolètes pour accéder à votre site Web. En supprimant les logiciels inactifs, vous renforcerez la sécurité de votre WordPress. 

Besoin d'une règle générale ? Si vous ne l'avez pas utilisé au cours des six derniers mois, dites-lui adieu. C'est un moyen simple d'optimiser votre site WordPress et d'améliorer sa sécurité. 

5. Utilisez des mots de passe forts

Un bon mot de passe doit être unique, imprévisible et connu de vous seul. Nous vous recommandons d'utiliser un mélange de lettres majuscules et minuscules, de chiffres et de symboles. 

Nouveau mot de passe WordPress

N'oubliez pas que « Password123 » est une erreur de débutant ! C'est comme laisser la clé de votre maison sous le paillasson – inviter pratiquement les cybermenaces potentielles à une visite de site.

Lors des attaques par force brute, les pirates ou les robots essaieront de deviner votre mot de passe. Ils essaieront des options populaires jusqu'à ce qu'ils réussissent. Ainsi, plus votre mot de passe est complexe, mieux c'est. 

En dehors de cela, évitez d'utiliser toute information identifiable vous concernant. N'utilisez pas votre nom, votre date de naissance ou le nom de votre animal de compagnie (peu importe à quel point ils pourraient être adorables).

Essayez de ne pas utiliser le même mot de passe pour tous vos sites et utilisateurs. Tout comme vous n'utiliseriez pas la même clé pour votre maison, votre voiture et votre bureau, gardez vos clés numériques variées pour éviter une violation de la sécurité.

Envisagez d'utiliser un gestionnaire de mots de passe comme LastPass pour stocker vos mots de passe en toute sécurité. Il peut générer automatiquement des options fortes et simplifier le processus de connexion.

6. Limiter l'accès administrateur

En matière de sécurité WordPress, la mise à jour de votre accès administrateur est indispensable. Cette étape rend votre site moins vulnérable aux intrusions ou piratages indésirables. 

Tout d'abord, limitez le nombre d'utilisateurs ayant le rôle « administrateur ». Avoir plusieurs utilisateurs administrateurs peut présenter un risque de sécurité. Assurez-vous de n'avoir que quelques administrateurs de confiance. 

Ensuite, vérifiez régulièrement votre liste d'utilisateurs, en supprimant tous les comptes qui ne sont plus utilisés. Cela réduit le risque que des comptes dormants soient exploités par des pirates. 

Enfin, attribuez le moins de privilèges nécessaires pour un rôle utilisateur. Tout le monde n'a pas besoin d'un accès administrateur.

Un utilisateur doit avoir suffisamment de droits pour faire son travail, mais pas plus. Cela minimise la possibilité de dommages si ce compte est piraté.

Si vous n'êtes pas sûr des utilisateurs qui devraient obtenir un certain accès, lisez ce guide sur les rôles et permissions des utilisateurs WordPress.

7. Masquez la page de connexion WordPress

Chaque jour, vous utilisez la page de connexion pour accéder à votre site WordPress. Tous les sites WordPress ont des pages de connexion qui se terminent par wp-admin ou wp-login. Ainsi, des utilisateurs malveillants pourraient accéder au vôtre et en abuser. 

Cacher votre page de connexion WordPress peut protéger votre site contre les tentatives de piratage. Lorsque les pirates ne trouvent pas la page de connexion, ils ne peuvent pas essayer d'attaques par force brute pour ouvrir votre tableau de bord d'administration.

Certains plugins peuvent vous aider à y parvenir facilement, comme WPS Hide Login. Vous pouvez simplement personnaliser votre URL de connexion afin que vous seul sachiez où elle se trouve.

Plugin WPS Hide Login

8. Surveillez l'activité des utilisateurs

Lorsque votre site a beaucoup d'utilisateurs, l'un d'eux peut être piraté ou partager ses identifiants de connexion avec la mauvaise personne. Si le compte utilisateur a un accès administrateur, vos thèmes, plugins ou paramètres pourraient être modifiés.

Pour identifier la violation de sécurité, vous pourriez surveiller l'activité des utilisateurs. Vous identifierez quel utilisateur a effectué la modification indésirable et la supprimerez rapidement de votre site.

Le plugin Activity Log vous aide à suivre vos utilisateurs WordPress. Il vous fournit un journal complet de ce qui s’est passé et quand.

Tableau de bord du journal d'activité

Si quelque chose se produit, vous pouvez filtrer le journal par gravité de l’activité, utilisateur et plage de dates. Vous découvrirez comment renforcer votre sécurité afin que vos données soient plus sûres la prochaine fois.

Filtre de date du journal d'activité

Cela peut être particulièrement utile si vous gérez un multisite WordPress. Vous pourriez avoir une tonne de propriétaires de sites Web, d’auteurs, d’éditeurs et d’autres utilisateurs différents. Il est important de savoir exactement quel utilisateur a causé une vulnérabilité.

9. Installez un plugin de sécurité WordPress

Les plugins de sécurité font exactement ce que vous attendez d'eux : ils ajoutent une sécurité supplémentaire à votre site. Ils sont conçus pour identifier et résoudre les vulnérabilités potentielles. Par exemple, ils fournissent des analyses de sécurité régulières, une protection par pare-feu et un filtrage du spam. 

L'un des meilleurs plugins de sécurité WordPress est Sucuri Security. Cet outil offre une analyse des logiciels malveillants à distance, des notifications de sécurité et des solutions après piratage.

Plugin de sécurité Sucuri

En utilisant Sucuri, vous pouvez facilement renforcer votre sécurité. Dans les paramètres de Durcissement, vous pouvez activer un pare-feu, désactiver les éditeurs de plugins et de thèmes, masquer votre version de WordPress, et plus encore.

Renforcement de la sécurité Sucuri

C'est un moyen simple pour les débutants d'améliorer la sécurité de votre WordPress. De plus, il existe une version gratuite sur WordPress.org !

Wordfence est une autre option solide avec un pare-feu robuste et une grande base de données de vulnérabilités. Choisissez-en un et exécutez-le de manière cohérente.

10. Utilisez un pare-feu d'application web (WAF)

Un pare-feu d'application Web (WAF) est un outil qui surveille et filtre le trafic entrant vers votre site Web. Il aide à protéger votre site WordPress contre les menaces telles que l'injection SQL et le cross-site scripting (XSS).

Un pare-feu peut dissuader de nombreuses menaces cybernétiques courantes. Il agit comme une barrière protectrice entre votre site et tout le trafic entrant, bloquant les requêtes malveillantes.

Voici les différents types de pare-feu :

  • Pare-feu au niveau DNS : envoie et évalue le trafic via des serveurs proxy cloud
  • Pare-feu au niveau de l'application : plugins de pare-feu qui évaluent le trafic une fois qu'il atteint votre serveur

Sucuri offre le moyen le plus simple de configurer un pare-feu sur votre site Web WordPress. C'est un outil si efficace qu'il a aidé WPBeginner à bloquer 450 000 cyberattaques en seulement 3 mois.

Avec Sucuri, vous éviterez les logiciels malveillants, les attaques DDoS, les attaques par force brute et d'autres problèmes de sécurité. 

11. Analysez les logiciels malveillants

Analyser régulièrement votre site Web à la recherche de logiciels malveillants est une partie cruciale du maintien de la sécurité de votre WordPress. Des plugins populaires tels que Wordfence et Sucuri peuvent vous aider dans cette tâche. 

Ces outils de sécurité sont spécifiquement conçus pour trouver et éliminer toute menace potentielle sur votre site Web. Ils surveillent activement votre site Web, vous alertant rapidement de toute activité suspecte et fournissent des solutions pour leur suppression.

Sucuri dispose également d'un vérificateur de logiciels malveillants gratuit. En entrant l'URL de votre site Web, vous découvrirez s'il y a des virus.

Scanner de logiciels malveillants Sucuri

12. Passez au SSL/HTTPS

SSL (Secure Sockets Layer) est un protocole qui chiffre les données entre le navigateur d'un utilisateur et votre serveur. Il rend plus difficile pour les cyberattaquants d'intercepter et de voler des données.

Lorsque vous activez le SSL, l'URL de votre site utilise HTTPS (Hypertext Transfer Protocol Secure). Ceci est indiqué par une icône de cadenas à côté de votre domaine dans la fenêtre du navigateur.

Pour passer à HTTPS, vous devrez acheter et installer un certificat SSL sur votre serveur. De nombreux hébergeurs proposent un certificat SSL gratuit via Let's Encrypt. Après cela, assurez-vous que votre site WordPress utilise HTTPS dans ses paramètres et ses URL. 

Si vous n'avez pas encore de certificat SSL, voici comment en configurer un !

13. Changez votre nom d'utilisateur

Utiliser « admin » comme nom d'utilisateur est une pratique courante, mais c'est l'une des erreurs de sécurité WordPress graves que vous voulez éviter. Cela donne la moitié de vos informations de connexion aux attaquants.

Pour aider à sécuriser votre site Web, envisagez de changer votre nom d'utilisateur pour quelque chose de moins prévisible et de plus unique. 

Rendez-vous sur votre tableau de bord WordPress et créez un nouvel utilisateur avec des privilèges d'administrateur. Une fois que vous avez fait cela, déconnectez-vous et reconnectez-vous en tant que nouvel administrateur.

Ensuite, supprimez l'ancien utilisateur « admin ». Assurez-vous de transférer tout le contenu de l'utilisateur supprimé vers le nouveau. C'est aussi simple que ça. 

14. Mettez à jour les permissions des fichiers

Les permissions de fichiers régulent qui peut lire, écrire et exécuter vos fichiers. Des permissions mal configurées pourraient offrir une porte ouverte aux intrus.

Voici les paramètres que nous recommandons d'utiliser :

  • 755 pour les dossiers et sous-dossiers
  • 644 pour tous les fichiers

Gardez à l'esprit que la correction des permissions de fichiers et de dossiers peut être complexe sans expérience technique. En cas de doute, il est toujours préférable de consulter votre fournisseur d'hébergement ou un développeur expérimenté.

15. Désactiver la modification des fichiers

Le tableau de bord WordPress permet aux administrateurs de modifier les fichiers PHP des plugins et des thèmes. Cela peut être utile mais aussi dangereux.

Si un pirate informatique accède à votre tableau de bord, il peut abuser de l'éditeur de fichiers pour insérer du code malveillant dans vos fichiers WordPress. Pour éviter cette menace de sécurité, vous devriez désactiver l'édition de fichiers en ajustant votre fichier wp-config.php.

Bien que cela semble technique, c'est en fait un processus simple. Accédez à votre installation WordPress via FTP et localisez le fichier wp-config.php. Ouvrez ce fichier et ajoutez l'extrait de code suivant : 

define( 'DISALLOW_FILE_EDIT', true );

Une fois le fichier enregistré, les paramètres mis à jour commencent à fonctionner immédiatement pour protéger contre le code malveillant. 

Faites cela uniquement si vous êtes d'accord pour modifier les fichiers de votre site Web. En cas de doute, demandez de l'aide à un expert. 

16. Désactiver l'exécution des fichiers PHP

Désactiver l'exécution de fichiers PHP dans certains répertoires WordPress est une étape clé pour protéger votre site. Si cela n'est pas fait, cela ouvre une passerelle aux attaques malveillantes. 

Les pirates peuvent profiter de cette faille en déployant des fichiers PHP dans votre dossier de téléchargements ou d'autres répertoires. Ces fichiers peuvent ensuite exécuter du code malveillant, compromettant ainsi votre site Web.

Pour résoudre ce problème, vous pouvez désactiver l'exécution de fichiers PHP dans tous les répertoires qui n'en ont pas besoin (comme /wp-content/uploads/). 

Ouvrez un éditeur de texte et collez ce code :

<Files *.php>

deny from all

</Files>

Nommez le fichier .htaccess et ajoutez-le au dossier uploads

17. Limitez les tentatives de connexion

Comme je l'ai mentionné précédemment, les robots pourraient essayer d'accéder à votre site en essayant de se connecter encore et encore. Pour garder votre site en sécurité, définissez une limite au nombre d'essais de connexion qui peuvent provenir d'une seule adresse IP.

En limitant les tentatives de connexion, vous réduirez les chances d'une attaque par force brute réussie. Bien que WordPress autorise des connexions illimitées, vous pouvez définir une limite avec un plugin comme Limit Login Attempts Reloaded.

Plugin Limit Login Attempts Reloaded

Limit Login Attempts Reloaded bloquera une adresse IP après un certain nombre de tentatives de connexion infructueuses. Vous pouvez créer un temps de verrouillage personnalisé et recevoir automatiquement des e-mails sur les nouveaux blocages. 

18. Utilisez l'authentification à deux facteurs

L'authentification à deux facteurs (2FA) ajoute une couche de protection supplémentaire à votre site WordPress. En plus de votre mot de passe, vous avez besoin d'un code de vérification qui est généralement envoyé sur votre téléphone portable. 

Ce système de double vérification renforce la sécurité, rendant difficile pour les pirates de s'introduire. Même s'ils déchiffrent votre mot de passe, ils ont toujours besoin du code de vérification. 

WP 2FA est un plugin qui configure rapidement l'authentification à deux facteurs sur votre site WordPress. Il générera des codes de connexion pour les applications d'authentification comme Google Authenticator ou Authy. Les utilisateurs saisissent un code en plus de leur mot de passe.

Plugin WP 2FA

Avec cette fonctionnalité, les pirates ou les robots ne peuvent pas accéder à votre site même s'ils obtiennent votre mot de passe. Il y a une étape supplémentaire pour les connexions, qui ne peut pas être facilement accédée. 

19. Changez le préfixe de la base de données WordPress

WordPress attribue un préfixe à vos tables de base de données. Le préfixe par défaut est wp_.

S'il est laissé par défaut, les pirates peuvent facilement deviner vos noms de table. Il est donc conseillé de le changer.

Cependant, ce n'est pas très facile pour les débutants. Et, vous pourriez finir par casser votre site.

Si vous êtes sûr de vouloir continuer, suivez ce guide sur comment changer correctement le préfixe de la base de données WordPress

20. Protégez par mot de passe les pages d'administration et de connexion

Une autre façon de protéger vos pages de connexion WordPress est d'ajouter une protection par mot de passe à votre répertoire d'administration. Chaque fois que quelqu'un essaie d'accéder à la zone d'administration, il devra entrer un mot de passe avant même de voir une page de connexion.

Admin WP protégé par mot de passe

Pour activer la protection par mot de passe de l'administrateur, vous pouvez utiliser la confidentialité du répertoire de cPanel. Cela vous permettra de protéger votre répertoire d'administration sans utiliser de code.

Confidentialité du répertoire Bluehost

21. Désactivez l'indexation et la navigation dans les répertoires

La navigation dans les répertoires peut être un point faible dans la sécurité de votre site Web. Si cette fonctionnalité est activée, n'importe qui peut voir le contenu des répertoires de votre site Web. Les pirates pourraient en profiter s'ils voient des fichiers présentant des vulnérabilités. 

Pour résoudre ce problème, ajoutez une simple ligne de code en bas de votre fichier .htaccess

Options -Indexes

Cela empêche les gens de parcourir les dossiers de votre site et protège les fichiers cachés.

22. Désactivez XML-RPC

Depuis WordPress 3.5, XML-RPC est une API WordPress principale. Elle permet aux développeurs d'utiliser des applications distantes pour mettre à jour WordPress.

XML-RPC vous permet d'utiliser des applications mobiles pour publier des articles de blog. Il permet également de connecter votre site à des services tiers comme Zapier. 

Cette fonctionnalité WordPress permet à d'autres applications de communiquer avec votre site Web. Mais, elle crée également une faille de sécurité que les pirates peuvent utiliser. 

Si quelqu'un essaie de pirater votre page de connexion, il effectue des tentatives de connexion séparées. Avec XML-RPC, les pirates pourraient utiliser une fonction system.multicall pour deviner des milliers d'options de mot de passe en seulement environ 20 à 50 requêtes.

Ainsi, désactiver XML-RPC peut vous aider à éviter les cybermenaces potentielles.

23. Déconnexion des utilisateurs inactifs

Les connexions non surveillées peuvent devenir une porte d'entrée pour un accès non autorisé. Leur session pourrait être détournée. C'est pourquoi votre site bancaire vous déconnecte après un certain temps.

Il est préférable que votre site WordPress déconnecte automatiquement les utilisateurs lorsqu'ils sont inactifs. Cela peut réduire considérablement les risques de problèmes.

Vous pouvez utiliser des plugins comme Inactive Logout pour automatiser ce processus. Avec ce plugin gratuit, vous définirez des périodes d'inactivité.

Plugin de déconnexion inactif

Cela vous permettra également de personnaliser les messages de déconnexion de session. Vous informerez les utilisateurs lorsqu'ils seront déconnectés pour cause d'inactivité. 

Paramètres de déconnexion inactifs

24. Masquer votre version de WordPress

Par défaut, votre code source affichera la version WordPress de votre site.

Version WordPress du code source

Exposer votre dernière version de WordPress peut sembler inoffensif, mais cela pourrait mettre votre site en danger. Les pirates utilisent ces informations pour exploiter les vulnérabilités de sécurité connues dans des versions spécifiques. 

Il existe de nombreuses façons de masquer votre version de WordPress, mais nous vous recommandons d'utiliser WPCode. Ce plugin d'extraits de code dispose d'un extrait prédéfini pour supprimer votre numéro de version WordPress.

Plugin WPCode

Tout ce que vous aurez à faire est de rechercher l'extrait et de l'utiliser. 

Supprimer la version WordPress du snippet WPCode

Ensuite, activez le nouvel extrait !

Activer le snippet WPCode qui masque la version WP

25. Restaurer votre site après des piratages

Même si vous faites tout correctement, un pirate pourrait pénétrer sur votre site Web et causer des dommages. Si cela se produit, vous devrez être préparé. 

Restaurer votre site WordPress après un piratage peut sembler décourageant. Mais c'est facile avec les bons outils.

Duplicator Pro est un plugin de sauvegarde WordPress qui restaure votre site en quelques secondes. Après un piratage, trouvez la sauvegarde la plus récente et sans erreur, puis cliquez sur le bouton Restaurer à côté.

Restaurer la sauvegarde

Certains pirates peuvent vous bloquer l'accès à votre tableau de bord d'administration WordPress. Pour éviter cela, assurez-vous de mettre en place une récupération d'urgence à l'avance.

Créez une sauvegarde complète de votre site. Ensuite, cliquez sur l'icône de la maison bleue à côté.

Icône de reprise après sinistre

Une fois que vous aurez configuré la récupération d'urgence, Duplicator vous fournira un lien de récupération et un fichier lanceur. L'un ou l'autre restaurera immédiatement votre site après une cyberattaque.

Options de reprise après sinistre

Personnellement, je préfère le lien de récupération. Il vous suffit d'ouvrir une fenêtre de navigateur et de la coller. Cela ouvrira l'assistant de récupération Duplicator (sans avoir besoin de votre tableau de bord).

Reprise après sinistre

Pour sécuriser votre site Web, enregistrez le lien de récupération ou le fichier lanceur dans un endroit sûr. Il devra être hors site, juste au cas où votre site Web tomberait en panne. 

Si vous souhaitez vous assurer que vous avez supprimé toutes les portes dérobées et autres vulnérabilités de sécurité, lisez ce tutoriel sur comment réparer un site WordPress piraté

FAQ sur la sécurité WordPress

Comment sécuriser un site WordPress ?

Pour sécuriser votre site WordPress, utilisez un hébergeur Web sûr, automatisez les sauvegardes, maintenez les logiciels à jour et surveillez l'accès des utilisateurs. Pour des problèmes de sécurité plus complexes, n'hésitez pas à demander à un expert.

Ai-je vraiment besoin d'un plugin de sécurité pour WordPress ?

Un plugin de sécurité aide à protéger votre site contre les menaces courantes. Je le recommande aux débutants car vous pourrez renforcer votre sécurité sans toucher au code. Sucuri Security est une excellente option si vous débutez ou si vous souhaitez une approche sans intervention pour la sécurité de votre site. 

WordPress a-t-il des vulnérabilités ?

La plateforme principale est bien entretenue. En 2025, seulement 6 vulnérabilités ont été trouvées dans le cœur de WordPress, toutes de faible gravité. Le véritable risque réside dans l’écosystème des plugins et des thèmes. En 2025, 11 334 nouvelles vulnérabilités ont été signalées dans les plugins et thèmes WordPress — 91 % du total.

Quel est le plus grand danger pour la sécurité d'un site WordPress ?

Plugins obsolètes ou abandonnés. Ils sont le point d’entrée de la majorité des attaques réussies. Garder chaque plugin à jour et supprimer tout ce que vous n’utilisez pas activement ferme le vecteur d’attaque le plus courant. Pour les plugins sans correctif disponible, un WAF spécifique à WordPress avec correction virtuelle est votre meilleure protection.

Le gouvernement américain utilise-t-il WordPress ?

Oui. Les agences fédérales, les gouvernements des États et les sites municipaux à travers les États-Unis fonctionnent sous WordPress. Le site Web de la Maison Blanche a utilisé WordPress, tout comme des dizaines de domaines .gov. L’utilisation par le gouvernement ne rend pas une plateforme intrinsèquement sécurisée — cela signifie que la plateforme est capable de répondre aux exigences de sécurité lorsqu’elle est correctement configurée. Les mêmes pratiques que celles décrites dans ce guide s’appliquent, quel que soit celui qui gère le site.

Quel est l’inconvénient d’utiliser WordPress ?

Le principal inconvénient est la charge de maintenance. WordPress nécessite des mises à jour régulières du cœur, des plugins et des thèmes, et le fait de sauter ces mises à jour est la cause la plus fréquente de violations. L'écosystème des plugins est également une situation à double tranchant : les plugins vous offrent de la flexibilité, mais chacun que vous ajoutez élargit votre surface d'attaque. Les performances, les conflits de plugins et la courbe d'apprentissage pour la personnalisation avancée sont d'autres plaintes courantes, bien qu'aucune ne soit unique à WordPress.

Quelles sont les vulnérabilités courantes dans WordPress ?

Les types de vulnérabilités les plus fréquemment exploités dans WordPress sont le contrôle d'accès défaillant, le cross-site scripting (XSS) et l'injection SQL. Ceux-ci sont presque tous introduits par les plugins, pas par le cœur. Des identifiants faibles ou réutilisés restent un point d'entrée majeur. Le parcours de répertoire, la gestion non sécurisée des téléchargements de fichiers et les composants obsolètes avec des CVE non corrigés complètent la liste. Wordfence et Patchstack publient tous deux des bases de données de vulnérabilités mises à jour si vous souhaitez suivre ce qui est activement exploité.

Pourquoi WordPress est-il si vulnérable ?

Principalement en raison de sa taille et de son ouverture. WordPress alimente environ 43 % de tous les sites Web, ce qui en fait la cible la plus précieuse pour les attaques automatisées. Parce qu'il est open source, la base de code est lisible publiquement — n'importe qui peut l'étudier pour y trouver des faiblesses. L'écosystème des plugins ajoute des dizaines de milliers de contributeurs de code tiers avec des pratiques de sécurité variables. Rien de tout cela ne rend WordPress unique en danger, mais cela signifie que la plateforme attire une attention plus soutenue de la part des attaquants que les alternatives plus petites.

Votre dernière ligne de défense : une sauvegarde que vous pouvez restaurer

Aucune liste de contrôle de sécurité n'est parfaite. Les plugins présentent des vulnérabilités zero-day. Les fournisseurs d'hébergement sont piratés. Les membres de l'équipe sont victimes de phishing. La question n'est pas seulement de savoir comment prévenir les attaques, mais ce qui arrive à votre site lorsqu'une attaque réussit.

Un processus de sauvegarde testé change la donne. Si vous pouvez restaurer votre site en quelques minutes à partir d'une sauvegarde propre, un piratage est une perturbation mineure. Sans cela, c'est potentiellement un problème de 14 500 $.

Plus de 1,5 million de professionnels WordPress utilisent Duplicator pour les sauvegardes et la reprise après sinistre. Sauvegardes cloud automatisées, restauration en un clic depuis le stockage cloud et un lien de récupération qui fonctionne même lorsque wp-admin est complètement verrouillé — c'est le seul outil que je mettrais sur cette liste avant tout autre.

Commencez avec Duplicator

Si ce guide vous a fait réfléchir à la résilience globale de votre site, ces articles valent la peine d'être lus ensuite.

avatar de l'auteur
Joella Dunn Content Writer
Joella is a writer with years of experience in WordPress. At Duplicator, she specializes in site maintenance — from basic backups to large-scale migrations. Her ultimate goal is to make sure your WordPress website is safe and ready for growth.
See Full Bio
icône de réseau social
beginner wordpress wordpress maintenance wordpress security
Our content is reader-supported. If you click on certain links we may receive a commission.
Obtenir Duplicator - Économisez 50 %

Ressources populaires

Website Backup Speed: Why Your Backups Are Slow and How to Fix Them
Introducing Duplicator Pro 4.5.10 – New Dashboard Widget, Custom Recovery Folders, and More
WordPress 101: How to Back Up a WordPress Site for Peace of Mind
How to Migrate a WordPress Site (Beginner’s Guide for 2026)
Creating a Perfect Copy: How to Clone a WordPress Site Safely

Recevez des conseils et des ressources gratuits directement dans votre boîte de réception, avec plus de 10 000 autres personnes

Suivez-nous

Ne laissez pas une autre journée passer sans protection

Chaque heure sans sauvegardes WordPress appropriées met votre site en danger • Chaque migration WordPress retardée vous coûte en performance et en croissance

Get Duplicator Now
Plugin Duplicator

Attendez ! Ne manquez pas votre
offre exclusive !

En tant que client , bénéficiez de 60 % de réduction

Essayez Duplicator gratuitement sur votre site — découvrez pourquoi plus de 1,5 million de professionnels WordPress nous font confiance. Mais n'attendez pas — cette réduction exclusive de 60 % n'est disponible que pour un temps limité.

or
Get 60% Off Duplicator Pro Now →

Nous vous redirigerons pour installer Duplicator sur votre site WordPress. Jamais de spam.