Les menaces réelles

Oublie le hacker en sweat à capuche qui te cible personnellement. La quasi-totalité des attaques sur WordPress sont automatisées : des robots qui scannent des millions de sites à la recherche de failles connues. Les plus courantes :

  • Brute force : des milliers de tentatives de connexion avec des combinaisons login/mot de passe courants. C'est pour ça que "admin" + "motdepasse123" est suicidaire.
  • Plugins non mis à jour : une faille dans un plugin = une porte ouverte. Les mises à jour corrigent ces failles. Si tu ne mets pas à jour, tu laisses la porte ouverte.
  • Injection SQL / XSS : via des formulaires ou des paramètres URL mal protégés. Les bons plugins et thèmes s'en protègent nativement.
  • Spam SEO : le hacker injecte des liens vers des sites de casino ou de pharmaceutique dans ton code. Tu ne vois rien, mais Google voit tout et te pénalise.

A retenir

La sécurité WordPress n'est pas compliquée. Ce sont 5 habitudes simples à prendre, pas des compétences techniques avancées. Applique-les et tu seras plus protégé que 90% des sites WordPress.

LES 5 COUCHES DE SÉCURITÉ WORDPRESS

5 HTTPS + SSL Chiffrement du trafic. Obligatoire. Gratuit chez la plupart des hébergeurs. 4 Wordfence — Pare-feu + Scan malware Bloque les requêtes malveillantes, détecte les fichiers compromis. 3 Mises à jour régulières WordPress + thème + plugins. Corrige les failles connues chaque semaine. 2 Sauvegardes automatiques (UpdraftPlus) Vers Google Drive / Dropbox. 3 versions min. = filet de sécurité. 1 Mot de passe fort + identifiant non "admin" La base. 12 car. min. Unique. Jamais "admin".

Les 5 habitudes de sécurité non négociables

1. Mots de passe forts et uniques

Ton mot de passe WordPress doit être :

  • 12 caractères minimum
  • Un mélange de lettres, chiffres et symboles
  • Unique (pas utilisé sur d'autres sites)

Utilise un gestionnaire de mots de passe (Bitwarden est gratuit et excellent). Ne stocke jamais tes mots de passe dans un fichier texte ou dans les notes de ton téléphone.

2. Mises à jour régulières

Mets à jour WordPress, ton thème et tes plugins dès qu'une mise à jour est disponible. Chaque mise à jour corrige des failles de sécurité. Active les mises à jour automatiques mineures de WordPress (c'est le cas par défaut) et vérifie manuellement chaque semaine pour les mises à jour majeures et les plugins.

Astuce pro

Fais toujours une sauvegarde avant une mise à jour majeure (WordPress X.0, mise à jour importante d'un plugin). En cas de problème (conflit, page blanche), tu peux restaurer la sauvegarde en quelques minutes. C'est UpdraftPlus qui gère ça.

3. Sauvegardes automatiques

UpdraftPlus (installé précédemment) doit être configuré pour sauvegarder automatiquement ton site :

  • Fréquence : une fois par semaine minimum, quotidienne si tu publies beaucoup
  • Destination : Google Drive, Dropbox ou un stockage distant. Pas sur le même serveur que ton site (si le serveur tombe, tes sauvegardes tombent avec).
  • Rétention : garde au moins 3 sauvegardes successives

4. Un plugin de sécurité (Wordfence)

Wordfence en version gratuite te donne :

  • Un pare-feu (bloque les requêtes malveillantes)
  • Un scan de malware (vérifie les fichiers modifiés)
  • Une protection brute force (limite les tentatives de connexion)
  • Un blocage par pays (optionnel, mais utile si tu cibles la France uniquement)

5. HTTPS obligatoire

Le certificat SSL (HTTPS) chiffre les échanges entre le navigateur du visiteur et ton serveur. C'est obligatoire en 2026 :

  • Google pénalise les sites en HTTP
  • Les navigateurs affichent un avertissement "Non sécurisé"
  • C'est gratuit chez la plupart des hébergeurs (Let's Encrypt)

Checklist sécurité complète

Action Quand Importance
Mot de passe fort + identifiant non "admin"Au lancementCritique
HTTPS activéAu lancementCritique
Wordfence installé et configuréAu lancementHaute
Sauvegardes automatiques (UpdraftPlus)Au lancementCritique
Mises à jour WordPress/plugins/thèmeChaque semaineHaute
Supprimer les plugins et thèmes non utilisésChaque moisMoyenne
Vérifier les utilisateurs WordPressChaque moisMoyenne
Tester la restauration de sauvegardeChaque trimestreHaute

Que faire si ton site est piraté

Si ça arrive (c'est rare si tu suis les habitudes ci-dessus), voici la procédure :

  1. Pas de panique : c'est réparable dans la grande majorité des cas.
  2. Mets ton site en maintenance : pour protéger tes visiteurs et ta réputation Google.
  3. Lance un scan Wordfence complet : il identifie les fichiers compromis.
  4. Si le scan ne suffit pas, restaure ta dernière sauvegarde saine : c'est pour ça que les sauvegardes sont critiques.
  5. Change TOUS tes mots de passe : WordPress, hébergeur, FTP, base de données.
  6. Mets tout à jour immédiatement : WordPress, thème, plugins.
  7. Identifie la cause : un plugin non mis à jour ? Un mot de passe faible ? Corrige pour que ça ne se reproduise pas.
  8. Vérifie dans Google Search Console : si Google a détecté du malware, il affichera un avertissement. Une fois le site nettoyé, demande un réexamen.

Erreur courante

Ne pas avoir de sauvegarde au moment où on en a besoin. C'est le scénario cauchemar. Un site piraté sans sauvegarde, c'est des heures voire des jours de nettoyage manuel, sans garantie de succès. Configure tes sauvegardes maintenant, pas demain.

A retenir

La sécurité WordPress se résume à 3 principes : mots de passe forts, tout à jour, sauvegardes automatiques. Fais ces 3 choses et tu es protégé contre 95% des menaces. C'est 15 minutes de configuration initiale et 5 minutes de vérification par semaine. Un investissement minuscule pour protéger des mois de travail.