Publié le 23 octobre 2025
par Nicolas – Hebtoweb.com
La plupart des piratages WordPress ne viennent pas de failles complexes, mais d’oublis simples : un mot de passe faible, une mise à jour en retard, une sauvegarde manquante…
Heureusement, il suffit d’appliquer quelques bonnes pratiques pour transformer votre site WordPress en véritable forteresse numérique.
Dans ce guide, découvrez les actions concrètes à mettre en place dès aujourd’hui pour renforcer durablement la sécurité de votre site.
🧠 1. Supprimer le compte “admin” et gérer correctement les rôles
Le premier réflexe de tout pirate est de tenter de se connecter avec admin.
➡️ Supprimez ou renommez ce compte, et créez un nouvel utilisateur administrateur avec un identifiant unique.
Dans Utilisateurs > Tous les utilisateurs :
- Gardez le rôle Administrateur uniquement pour vous.
- Assignez les rôles Éditeur, Auteur ou Contributeur aux autres utilisateurs selon leurs besoins.
- Vérifiez régulièrement la liste des comptes actifs.
💡 Moins il y a d’administrateurs, plus votre site est sûr.
🔑 2. Utiliser des mots de passe forts et l’authentification à deux facteurs
Un mot de passe robuste doit contenir au moins 12 caractères, avec majuscules, minuscules, chiffres et symboles.
Évitez les noms de marque, dates ou prénoms.
🔐 Conseils :
- Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, etc.).
- Activez l’authentification à deux facteurs (2FA) via des plugins comme Wordfence, Google Authenticator ou miniOrange.
- Désactivez la fonction “Se souvenir de moi” sur la page de connexion.
⚠️ En 2025, plus de 70 % des attaques WordPress proviennent encore de mots de passe faibles.
🧱 3. Mettre à jour WordPress, les thèmes et les extensions
Les mises à jour ne servent pas seulement à ajouter des fonctionnalités : elles corrigent des failles de sécurité.
Dans le tableau de bord :
- Activez les mises à jour automatiques pour WordPress et les extensions de confiance.
- Supprimez toute extension non utilisée.
- Vérifiez au moins une fois par semaine les nouvelles versions disponibles.
💡 Une mise à jour manquée = une porte ouverte.
🧩 4. Limiter l’accès au tableau de bord et à la page de connexion
🚪 Restreindre wp-login.php
Utilisez un plugin comme WPS Hide Login pour modifier l’URL de connexion (ex. : votresite.com/mon-acces).
Cela bloque 99 % des tentatives d’attaques par force brute.
🌐 Restreindre l’accès IP
Si possible, autorisez la connexion au tableau de bord uniquement depuis certaines adresses IP (dans .htaccess ou via le pare-feu de votre hébergeur).
🧍 Limiter les tentatives de connexion
Installez un plugin comme Limit Login Attempts Reloaded ou activez la protection intégrée de Wordfence pour bloquer les IP après plusieurs échecs.
🔒 5. Activer le HTTPS et un certificat SSL
Google marque désormais comme “non sécurisés” les sites sans HTTPS.
Assurez-vous d’avoir un certificat SSL valide, souvent inclus gratuitement chez les hébergeurs (Let’s Encrypt, Sectigo…).
Dans votre tableau de bord :
- Installez le plugin Really Simple SSL pour forcer la redirection vers HTTPS.
- Vérifiez que toutes vos ressources (images, scripts, CSS) utilisent bien
https://.
💡 Un site HTTPS protège la transmission des données et améliore le référencement.
🧰 6. Protéger les fichiers sensibles de WordPress
Certains fichiers contiennent des informations critiques : configuration, identifiants, chemins d’accès.
À sécuriser :
wp-config.php: doit être en permission 440, idéalement déplacé un niveau au-dessus du répertoire public..htaccess: ajoutez-y les règles de protection suivantes :
# Interdire l’accès à wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# Bloquer l’accès aux fichiers sensibles
<filesMatch "\.(htaccess|htpasswd|ini|log|conf)$">
order allow,deny
deny from all
</filesMatch>
🧱 Ces quelques lignes bloquent la majorité des scans automatisés.
💾 7. Planifier des sauvegardes automatiques
Aucune sécurité n’est parfaite. En cas de piratage, une sauvegarde récente est votre bouée de sauvetage.
Installez un plugin de sauvegarde fiable :
- UpdraftPlus (gratuit, facile à configurer)
- JetBackup (souvent intégré chez l’hébergeur)
- BlogVault (solution cloud professionnelle)
Sauvegardez au minimum :
- Les fichiers du site (
wp-content,themes,uploads) - La base de données
- Et stockez-les hors de votre serveur principal (cloud, FTP, disque externe).
🧰 8. Bonus : durcir votre configuration WordPress (hardening)
Pour aller plus loin, vous pouvez :
- Désactiver l’éditeur de fichiers dans le tableau de bord :
define('DISALLOW_FILE_EDIT', true); - Changer le préfixe des tables MySQL (
wp_→hbtw_...) - Désactiver l’affichage des erreurs PHP en production
- Installer un pare-feu applicatif (WAF) via Wordfence, Patchstack ou votre hébergeur.
🚀 Et maintenant ?
En appliquant ces bonnes pratiques, vous réduisez de 90 % les risques de piratage de votre site WordPress.
La prochaine étape ? Automatiser la surveillance et la défense du site à l’aide d’outils de sécurité spécialisés.
👉 Lire l’article 4 : “Les meilleurs plugins de sécurité WordPress (2025)” →