10 conseils pour sécuriser son site WordPress

Comme pour notre agence web Genevoise, vous exploitez un site sous WordPress ? Alors vous possédez une plateforme puissante qui demande aussi une protection adéquate. Voici 10 conseils pour sécuriser son site WordPress et vous éviter de perdre du temps à réinstaller une sauvegarde après un piratage ou un incident parfaitement … évitable. À l’instar d’une maison, plus elle est exposée au public, plus il faut renforcer ses verrous.

Chaque jour, les tentatives d’intrusion augmentent et ignorer les risques, c’est courir le danger d’une catastrophe numérique. Rassurez-vous : il n’y a rien de mystérieux ni de complexe à mettre en place des défenses solides. Quelques étapes logiques suffisent à transformer votre installation en rempart contre les menaces courantes.

WordPress représente plus de 43% des sites internet mondiaux, ce qui en fait une cible de choix pour les pirates informatiques. Ces derniers développent constamment de nouvelles techniques pour exploiter les failles de sécurité et accéder à vos données sensibles.

Un site WordPress piraté, c’est non seulement une perte financière immédiate, mais aussi une atteinte à votre réputation auprès de vos clients et visiteurs.

Les conséquences peuvent être larges et variées : vol de données personnelles, installation de malware, détournement de contenu, ou même utilisation de votre serveur pour lancer des attaques contre d’autres sites.

La sécurisation de son site web doit faire partie de sa stratégie digitale, au même titre que de bien choisir son hébergeur et son prestataire web.

Rassurez-vous : il n’y a rien de mystérieux ni de complexe à mettre en place des défenses solides. Quelques étapes logiques suffisent à transformer votre installation en rempart contre les menaces courantes.

Ces stratégies que nous allons explorer ensemble constituent une base robuste de protection. Elles ne demandent pas de compétences techniques avancées, simplement de la rigueur et de la méthode.

Effectuer régulièrement les mises à jour

C’est la base indiscutable de la protection. WordPress, en tant que système ouvert utilisé par des millions de sites, bénéficie de correctifs réguliers.

Chaque nouvelle version colmate des failles découvertes, renforce les performances et améliore la compatibilité avec les technologies récentes.

Ne pas mettre à jour, c’est choisir de laisser des portes entrouvertes.

Les pirates ciblent justement les versions obsolètes qu’ils connaissent par cœur, ayant cartographié toutes leurs vulnérabilités.

Vous devez établir un calendrier d’entretien mensuel rigoureux incluant la mise à jour du cœur WordPress, l’actualisation de tous les modules actifs, et la version actuelle de votre thème.

WordPress offre une option de mises à jour automatiques via wp-config.php. Pour le core et les constantes de plugins/thèmes, ajoutez la ligne suivante :

define('WP_AUTO_UPDATE_CORE', true);

Les avantages sont évidents : protection continue sans intervention manuelle, vigilance garantie.

Les inconvénients sont réels : les mises à jour automatiques s’exécutent sans test préalable, risquant de créer des conflits avec vos plugins ou personnalisations, potentiellement brisant des fonctionnalités en production.

Notre recommandation : testez d’abord les mises à jour sur une copie locale ou un environnement de staging, puis appliquez-les manuellement.

En parallèle, visez une actualisation annuelle de votre version PHP auprès de votre hébergeur via Plesk ou cPanel, car rester à la traîne crée des incompatibilités majeures et des failles de sécurité.

Supprimer les plugins qui ne servent plus à rien

Au fil du temps, on accumule. Des modules essayés une fois et jamais supprimés. Des thèmes testés, appréciés à un moment, puis abandonnés pour d’autres solutions.

Cette accumulation n’est pas anodine : elle représente une charge pour votre serveur et surtout une menace de sécurité majeure. Même inactifs, ces éléments constituent des portes potentielles d’attaque.

Un pirate ne cherche qu’une faille, n’importe laquelle.

Pourquoi lui en offrir plusieurs gratuitement ? Imaginez un plugin que vous avez téléchargé il y a deux ans pour une fonctionnalité temporaire, resté inactif depuis. Son code est là, ses fichiers sont présents sur votre serveur. Si ce plugin comporte une faille de sécurité découverte après sa création, elle vous expose même s’il n’est pas activé.

Les cybercriminels scannent régulièrement les installations WordPress à la recherche de ces vestiges vulnérables.

Faites périodiquement le tri : éliminez sans culpabiliser ce qui ne sert plus. Vous gagnez trois avantages immédiats : une meilleure sécurité globale, moins de conflits et d’incompatibilités entre extensions, et une vitesse de chargement améliorée.

Attention important : lors de la désinstallation d’un plugin, des résidus restent souvent dans votre base de données (options, tables personnalisées, métadonnées orphelines).

Cela alourdit progressivement votre BDD, ralentissant les requêtes.

Utilisez un plugin comme WP-Optimize pour scanner et nettoyer régulièrement les données orphelines. Vous pouvez installer l’extension, faire le job et la désinstaller ensuite, histoire de pas surcharger votre installation WP avec des tonnes de plugins.

Vous pouvez aussi vérifier directement via phpMyAdmin en accédant à votre base de données via Plesk, mais l’approche par plugin est plus sécurisée pour les débutants. Cette opération prend quelques minutes et transforme radicalement le profil de risque et la performance de votre site.

Quel prompt pour demander à Claude, Gemini ou chatGPT ? Voici un exemple : « Comment scanner et nettoyer les données orphelines ? » en n’oubliant pas d’indiquer le nom de votre base et le préfixe lors de l’édition du prompt. Une simple requête SQL fera bien l’affaire en générale.

Attention de ne pas oublier de faire un dump (sauvegarde) de votre base avant toute modification, cela vous évitera de potentielles erreurs et un futur dépannage de site web.

Mettre en place une sauvegarde mensuelle

Votre hébergeur propose certes des sauvegardes, mais dépendre uniquement de cela serait insensé. Voici pourquoi : d’une part, vous ne contrôlez pas la fréquence de ces sauvegardes, d’autre part, en cas de problème majeur chez l’hébergeur, ses sauvegardes pourraient être compromises simultanément. Vous avez besoin d’une copie sous votre contrôle direct, stockée ailleurs.

C’est votre filet de sécurité personnel. Par exemple, l’extension UpdraftPlus s’impose comme la solution pragmatique pour cette protection.

Cette extension orchestre automatiquement des sauvegardes planifiées vers un stockage distant comme Google Drive, Dropbox ou Amazon S3, préservant ainsi votre base de données, vos images, l’ensemble de vos fichiers.

Vous configurez une fois, puis oubliez : les sauvegardes s’exécutent selon le calendrier défini. Imaginez une attaque réussie : sans sauvegarde récente, vous êtes paralysé pendant des jours ou semaines. Avec une sauvegarde autonome, vous reprenez le contrôle en quelques heures seulement. Le coût ? Quelques euros par mois pour du stockage cloud, un investissement minuscule comparé aux pertes potentielles.

L’extension BackWPup offre également une solution gratuite pour backuper votre installation WP.

Installer une extension de sécurisation de son site et des données ?

Plutôt que de vous perdre dans les arcanes techniques et les fichiers de configuration mystérieux comme wp-config.php ou .htaccess, confiez cette complexité à un outil dédié et spécialisé.

Secupress ou Wordfence sont excellents en la matière, même dans leur version gratuite qui est assez fonctionnelle.

Ces plugins agissent comme des gardiens vigilants, gérant automatiquement les paramétrages de sécurité avancés que la plupart des utilisateurs ignorent.

Vous conservez le contrôle total sans devenir ingénieur informatique pour autant. Que vous installiez l’une ou l’autre de ces extensions de sécurité, elles centralisent l’ensemble des fonctions de renforcement et facilitent les configurations qui, autrement, exigeraient une compréhension technique pointue. Et c’est pas le cas de tout le monde, n’est-ce pas ?

Besoin d’aide pour sécuriser votre site WordPress ? Votre site n’est plus accessible ? Vous avez été victime d’un piratage ? Contactez-nous en choisissant l’option « Y’a Urgence ! »

Ces plugins fournissent une interface intuitive avec des explications claires. Mais il est tout à fait possible de trouver des tonnes de tutoriels pour avoir la meilleure config possible pour afin de sécuriser son site WordPress.

Ils vérifient également l’état général de votre sécurité en cours, vous alertant sur les configurations faibles, et évidemment, celles à améliorer.

Pour les besoins plus avancés, les versions premium ajoutent des fonctionnalités comme la détection de malware, le scanner de vulnérabilités intégré, ou la protection anti-DDoS. Mais honnêtement, pour la majorité des sites, les versions gratuites couvrent tous les besoins essentiels.

Modifier l’adresse de connexion au backoffice (wp-admin)…

Par défaut, tous les sites WordPress utilisent le même chemin : /wp-admin. C’est public, c’est standardisé, c’est connu de tout pirate qui se respecte. C’est une invitation ouverte pour les attaques automatisées. Les bots de piratage testent d’abord cette adresse sur tous les sites qu’ils scannent. Pourquoi faciliter leur travail ? Personnalisez cette adresse vers quelque chose d’imprévisible et unique. Deux approches possibles.

La première technique pour sécuriser son site WordPress sans installer de plugin : ouvrez votre fichier wp-config.php et ajoutez cette ligne avant le commentaire « That’s all, stop editing! » :

define('WP_ADMIN_URL', 'https://votresite.fr/mon-admin-secret/');

Ensuite, dans votre .htaccess, ajoutez :

RewriteEngine On
RewriteRule ^wp-admin$ https://votresite.fr/mon-admin-secret/ [R=301,L]
RewriteRule ^wp-login\.php$ https://votresite.fr/mon-admin-secret/ [R=301,L]

La deuxième approche, plus simple et sans code : utilisez le plugin WP Ghost qui offre une interface graphique intuitive pour personnaliser l’URL de connexion.

Il suffit de configurer l’URL souhaitée dans les réglages du plugin sans toucher à aucun fichier. Cette modification paraît mineure, mais elle dissuade de nombreuses attaques automatiques qui s’arrêtent dès qu’elles ne trouvent pas le chemin standard.

C’est comme changer votre adresse de boîte aux lettres : les cambrioleurs qui cherchent une maison spécifique ne savent plus où chercher.

Bien sûr, ce n’est pas une protection absolue pour quelqu’un d’extrêmement motivé, mais cela élimine 90% des tentatives automatisées et massives.

… et supprimer le compte admin

Même logique appliquée au nom d’utilisateur : « admin » est le premier login qu’on teste lors d’une attaque. C’est le compte créé automatiquement lors de l’installation de WordPress.

Créer un identifiant administrateur original et complexe élimine cette première couche d’attaque extrêmement courante.

Les pirates utilisent des listes de couples identifiant/mot de passe : admin/admin, admin/password, admin/wordpress, etc. En changeant simplement le nom d’utilisateur, vous vous échappez de ces listes préétablies.

Traversez vos paramètres de comptes WordPress et établissez un pseudo improbable pour votre accès principal.

Par exemple, quelque chose comme « gestionnaire_prenom_web » ou « administrateur_xyz789 ». Ensuite, créez un nouvel administrateur avec ce pseudo, et supprimez simplement l’utilisateur « admin ».

L’article ou les contributions attribuées à l’admin seront automatiquement transférées au nouveau compte.

Cette manipulation ne vous prend que deux minutes, mais augmente significativement la résilience de votre installation face aux attaques par force brute les plus basiques. Combinez cela avec le changement d’URL de connexion, et vous avez déjà mis en place une défense multi-couches très efficace.

Fermer l’accès éditeur

Le backoffice de WordPress propose nativement un éditeur de code visuel permettant de modifier directement les fichiers PHP du thème ou des plugins.

C’est une brèche massive : si un pirate accède à votre tableau de bord (via un mot de passe faible ou un accès compromis), il peut modifier ce code directement et injecter du malware dans votre site. Simplement désactiver cette fonctionnalité limite énormément les dégâts potentiels.

Par exemple, si vous avez l’extension Secupress d’installée : Bloquez cette fonction via Secupress > Modules > Cœur de WordPress > Désactiver l’éditeur de fichiers.

Une seule option à cocher, et c’est fait. Également, prohibez l’installation de thèmes ou modules via upload de fichier .zip. Cette fonctionnalité est utile en développement normal, mais elle représente un vecteur d’attaque : un pirate pourrait uploader un plugin malveillant directement.

Vous la réactiverez seulement en cas de besoin spécifique et justifié.

Ces deux petites modifications réduisent considérablement la surface d’attaque accessible une fois qu’un pirate obtient un accès au dashboard. C’est une forme de cloisonnement ou « defense in depth ».

Cacher les informations sensibles de votre site

Divulguer publiquement que vous utilisez WordPress 6.X et PHP 8.Y donne aux attaquants des pistes précieuses pour adapter leurs techniques. C’est comme montrer les murs de votre maison avant de la cambrioler : les criminels savent exactement quelles serrures chercher.

Cette information technique figure par défaut dans les en-têtes HTTP et le code source HTML de votre site, visible d’une simple inspection du code.

Heureusement, vous n’avez besoin d’aucun plugin pour corriger cela : quelques lignes de code suffisent pour sécuriser son site WordPress de ce côté-ci.

Ouvrez votre fichier functions.php du thème et ajoutez ces trois lignes simples au début :

remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'wp_shortlink_wp_head');
remove_action('wp_head', 'wlwmanifest_link');

Ces lignes supprimèrent les métadonnées WordPress des en-têtes HTML.

Pour masquer la version PHP dans les en-têtes HTTP, ajoutez cette ligne à votre fichier .htaccess :

Header unset X-Powered-By

Bien sûr, un attaquant très motivé et expert peut toujours découvrir ces informations par d’autres moyens, mais cela élimine la reconnaissance passive facile et dissuade les attaquants automatisés ou moins avertis.

C’est une couche de sécurité par obscurité : elle ne vous rend pas invincible, mais elle rend votre site moins attrayant comparé aux milliers d’autres qui affichent ouvertement leurs versions, devenant ainsi des cibles plus faciles.

Interdire la navigation dans les répertoire

Sans protection adéquate, il devient possible de lister le contenu de vos dossiers serveur directement dans le navigateur.

C’est une reconnaissance dangereuse pour un intrus qui cherche à comprendre la structure de votre site, localiser les fichiers de configuration ou dénicher des fichiers mal protégés.

Une simple requête vers certains répertoires de votre installation révélerait tous les fichiers présents, donnant une vue complète de l’arborescence.

Nul besoin d’installer un plugin coûteux ou gourmand en ressources pour bloquer cela : une simple ligne de code dans votre fichier .htaccess suffit amplement.

Connectez-vous à votre hébergeur via FTP ou le gestionnaire de fichiers Plesk, puis ouvrez le fichier .htaccess situé à la racine de votre installation WordPress.

Ajoutez simplement cette ligne au début du fichier :

Options -Indexes.

C’est tout. Sauvegardez et c’est fait.

Votre architecture reste invisible de l’extérieur. Quelqu’un qui visite directement https://votresite.fr/wp-content/, https://votresite.fr/wp-admin/includes/, ou tout autre répertoire, verra une page d’erreur 403 au lieu de l’index du répertoire avec la liste des fichiers.

Cette petite modification apporte une protection disproportionnée : elle ne vous rend pas complètement imperméable, mais elle élimine une classe entière de reconnaissance passive très courante chez les attaquants novices ou les scans automatisés.

Et le meilleur ? Zéro surcharge serveur, zéro plugin supplémentaire à maintenir, zéro ralentissement de votre site.

🎁 BONUS : Limitez l’activité des robots et des bots agressifs

Les robots d’indexation font partie intégrante du web, mais certains, notamment les crawlers d’IA ou les bots malveillants, peuvent surcharger votre serveur avec des requêtes massives et répétées.

Vous souhaitez accueillir Google et Bing, mais protéger votre infrastructure contre les abus. La solution ? Implémenter des directives dans votre fichier robots.txt et .htaccess pour contrôler le trafic bot.

Commencez par créer ou modifier votre fichier robots.txt à la racine de votre site :

User-agent: CCBot
Crawl-delay: 10

User-agent: GPTBot
Crawl-delay: 30

User-agent: ChatGPT-User
Crawl-delay: 30

User-agent: Claude-Web
Crawl-delay: 30

User-agent: Googlebot
Crawl-delay: 0

User-agent: Bingbot
Crawl-delay: 0

User-agent: *
Crawl-delay: 5
Disallow: /wp-admin/
Disallow: /wp-includes/

Cette configuration indique aux bots d’IA comme ChatGPT, Claude et Gemini d’espacer leurs requêtes de 30 secondes, limitant ainsi la charge. Les moteurs de recherche autorisés (Google, Bing) n’ont aucune limite. Les autres bots respectent un délai de 5 secondes.

Cela permet de sécuriser son site WordPress, en particulier pour réduire fortement le trafic automatique inutile, d’éviter la surcharge serveur et de limiter certains risques de collecte massive de données.
Cela protège aussi ton site contre les rafales de requêtes envoyées par des robots qui explorent ou copient ton contenu trop rapidement.

Pour renforcer la protection dans .htaccess, bannissez les bots malveillants qui viennent inspecter votre site, vos contenus et aspirer vos publications sans même vous dire merci :

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (Baiduspider|Sogou|Qihoobot|Yandex|Mail.ru|Rambler|Jaxified|Naver|Daum|AhrefsBot|SemrushBot|DotBot|MJ12bot) [NC]
RewriteRule ^ - [F]

Avant d’appliquer ces règles, soyez prudent : testez d’abord sur un environnement de développement pour vérifier qu’aucune règle ne crée de conflit.

Si vous préférez une approche fiable et testée, vous pouvez utiliser l’extension Wordfence qui gère cette protection de manière optimisée via une interface intuitive, et plutôt facile à prendre en main. Si vous souhaitez implémenter cela manuellement, consultez la documentation officielle d’Apache pour confirmer la syntaxe selon votre version serveur.

On va conclure maintenant

Ces 10 conseils vont tisser une toile de protection robuste et multicouche autour de votre installation WordPress.

Toutefois, gardez en tête que sécuriser un site n’est jamais « terminé ». Sécuriser son site WordPress demande un effort continu : mises à jour régulières, surveillance proactive, ajustements progressifs selon les menaces émergentes. La sécurité informatique n’est pas un état, c’est un processus.

Si vous souhaitez que ces mesures soient mises en place correctement, ou si vous envisagez une refonte complète incluant une architecture sécurisée dès le départ, nous pouvons discuter d’une stratégie personnalisée adaptée à votre contexte.

Votre site mérite bien cet investissement en protection.

---

---

Autres recherches sur « Sécuriser son site WordPress »

• Conseils pour sécuriser son site WordPress
• Comment bien sécuriser son site WordPress en quelques minutes ?
• Peut-on sécuriser son site WordPress sans ajouter de nouveau plugin ?
• Comment savoir si l’on a besoin de sécuriser son site WordPress ?
• Modèle de HTACCESS pour sécuriser son site WordPress contre les bots
• Agence web Genève pour sécuriser un site web rapidement
• Quelle agence peut nous aider pour la remise en ligne de notre site web ?
• Agence web Genève aide urgent pour site web qui ne fonctionne plus
• Piratage de site web qui peut intervenir pour remettre en route