📌 Article mis à jour en juin 2026 avec les pratiques actuelles de sécurité WordPress.
Je suis régulièrement confronté à des clients qui découvrent un virus sur leur site ou que leur site a été piraté et fermé temporairement à la navigation par Google. La sécurité de votre site vous concerne donc aujourd’hui ! Même si votre site n’a pas énormément d’influence et de trafic, il est important que vous le sécurisiez sans tarder. Je ne suis vraiment pas là pour vous affoler, juste pour vous donner quelques clefs pour améliorer la protection de votre plate-forme Web. Pour aller plus loin, le guide officiel Hardening WordPress reste la référence côté core.
(niv. facile)
Archivez, Archivez, Archivez
C’est indéniablement le premier principe à appliquer (vous pouvez d’ailleurs vous familiariser avec cette démarche en suivant les tutoriels sur l’archivage de site et celui de l’archivage de la base de données). Ces tutos sont mis à jour au fil du temps et des solutions technologiques. Ne manquez pas de les consulter.
Sachez que les deux derniers sites que j’ai sauvés de la noyade, l’ont été car j’avais à ma disposition une archive fraîche et qu’il m’a été facile de revenir en arrière grâce à cette base stable.
Une bonne sauvegarde doit inclure deux éléments essentiels
- La base de données qui contient vos publications, commentaires, utilisateurs et autres informations dynamiques. Elle est indispensable pour restaurer le contenu de votre site en cas de panne ou de piratage.
- Les fichiers qui regroupent vos thèmes, plugins, images et fichiers multimédias, qui définissent l’apparence et la fonctionnalité de votre site.
Une sauvegarde complète garantit que vous pourrez restaurer votre site dans son intégralité en cas d’incident. L’idéal reste la règle 3-2-1 : 3 copies, sur 2 supports différents, dont 1 hors site.
Première strate
Pour sécuriser efficacement votre site WordPress, commencez par choisir un hébergement de qualité. Un bon hébergeur garantit des sauvegardes régulières et fiables (que vous pouvez restaurer aisément et qui sont fonctionnelles), un certificat SSL gratuit et des outils de sécurité avancés comme des pare-feu et des analyses de logiciels malveillants.
Consultez cet article pour découvrir des recommandations d’hébergeurs adaptés, issues de mon expérience depuis mes années d’entrepreneuriat.
Deuxième strate
Pour renforcer la sécurité de votre site WordPress, ajoutez un outil de sauvegarde autonome qui fonctionne indépendamment des sauvegardes proposées par votre hébergeur.
Cela garantit une double protection en cas de problème. Des plugins comme UpdraftPlus (populaire pour sa simplicité et sa compatibilité) ou Duplicator (idéal pour des sauvegardes complètes et des migrations) sont d’excellents choix. Ils permettent des sauvegardes automatiques planifiées et une restauration rapide en un clic.
Troisième strate
Pour sécuriser davantage votre site WordPress, il est recommandé de transférer vos sauvegardes vers un espace distinct de votre hébergement. Cette approche garantit une indépendance totale en cas de défaillance de votre serveur principal.
UpdraftPlus ou Duplicator permettent de sauvegarder vos fichiers sur des services cloud tels que Google Drive, Dropbox, Amazon S3, ou Infomaniak qui propose un service efficace de sauvegarde de données. Par exemple, avec UpdraftPlus, vous pouvez automatiser le transfert de vos sauvegardes vers ces espaces externes, offrant ainsi une double sécurité.
(niv. facile à intermédiaire)
Prenez soin de votre Site WordPress
Mise à jour extensions et version WordPress
1Pour garantir la sécurité de votre site WordPress, il est essentiel de maintenir une approche rigoureuse quant aux mises à jour et à la gestion des extensions. Les mises à jour régulières ne se limitent pas à améliorer les performances ou à ajouter des fonctionnalités : elles corrigent également des failles de sécurité critiques. Un blog abandonné ou des extensions obsolètes peuvent devenir une porte arrière pour les hackers, compromettant ainsi l’ensemble de votre site.
Pour éviter cela
- Mettez à jour régulièrement votre architecture WordPress, vos extensions et vos thèmes. Ces éléments forment le socle de votre site et leur obsolescence peut créer des vulnérabilités.
- Privilégiez les extensions fiables, disponibles sur le répertoire officiel de WordPress. Consultez les avis et vérifiez les correctifs de sécurité avant toute installation.
- Supprimez les plugins inactifs, car même désactivés, ils peuvent contenir des failles exploitables par des pirates.
Adoptez ces pratiques pour renforcer la sécurité globale de votre plateforme.
Sachez convenablement organiser votre thème
2 Pour sécuriser efficacement votre site WordPress, une bonne organisation de vos fichiers est essentielle. Vos fichiers médias, comme les images JPEG ou encore des dossiers .zip clients, ne devraient jamais être stockés directement à la racine de votre site. Cela peut non seulement désorganiser votre structure, mais aussi exposer vos données à des risques inutiles.
Adoptez une approche méthodique
Classez et organisez vos fichiers dans des répertoires appropriés. Une structure bien pensée facilite l’administration quotidienne de votre site et simplifie sa récupération en cas de problème.
Pour renforcer cette organisation, WordPress ajoute automatiquement un fichier index.php dans certains dossiers sensibles, qui empêche la navigation directe et donc l’exposition de leur contenu.
Une protection optimale de tous vos répertoires peut également être obtenue par l’ajout du code suivant dans le .htaccess de votre site :
Options All -Indexes
Cela aura pour effet d’interdire la navigation intérieure de votre dossier à partir d’un navigateur.
Sécurisez votre installation en quelques clics (niv. intermédiaire)
Pour sécuriser votre site WordPress de manière intermédiaire, il est crucial de protéger vos données sensibles en ajustant les permissions des fichiers et des dossiers via FTP. Une mauvaise configuration peut exposer votre site à des risques importants.
Voici les réglages recommandés
Si ce n’est pas déjà fait par votre hébergeur.
- Fichiers WordPress : attribuez les permissions 644, permettant uniquement au propriétaire de lire et écrire, tandis que les autres peuvent seulement lire. Cela limite les modifications non autorisées.
- Dossiers WordPress : configurez-les en 755, autorisant le propriétaire à lire, écrire et exécuter, mais empêchant les autres utilisateurs d’écrire.
- wp-config.php : définissez des permissions encore plus restrictives, comme 440 ou 600, pour protéger ce fichier critique contenant vos informations de connexion à la base de données.
Ces ajustements peuvent être réalisés via un client FTP comme FileZilla ou directement depuis le gestionnaire de fichiers de votre hébergeur. Une structure bien sécurisée réduit considérablement les opportunités pour les pirates d’exploiter votre site.
Supprimer le fichier readme.html
1Placé à la racine de votre site, ce fichier contient la version WordPress de votre site (testez avec www.votresite.com/readme.html). Si vous n’avez pas su tenir à jour votre site, une version antérieure présentera des failles connues, et donc des moyens faciles de cracker votre accès. Cette mesure est aujourd’hui secondaire mais reste un bon réflexe d’hygiène.
Protéger en écriture wp-config.php et .htaccess
2Par ce moyen, vous permettez la lecture de ces fichiers, mais restreignez d’éventuelles modifications au seul propriétaire. Pour cela, allez dans FileZilla (ou tout autre client FTP), cliquez droit sur le fichier et sélectionnez « Droits d’accès au fichier » ; indiquez alors 644 dans le champ à compléter, puis validez. Une suite de sécurité comme Solid Security ou Wordfence permet également d’auditer ces droits d’accès et de les corriger en une seule passe.
Pendant que nous sommes sur l’étude de ces fichiers, ajoutez également ces bouts de code qui vous aideront à protéger l’accès extérieur de ces fichiers sensibles. Utilisez Notepad++ (si vous ne disposez pas de ce programme gratuit, sûr et puissant, courez l’obtenir), puis appliquez les modifications suivantes.
→ Protégez votre fichier wp-config.php grâce à ce code ajouté en bas de votre fichier .htaccess (note : si ce fichier n’existe pas encore dans votre configuration, vous pouvez l’ajouter à la main en le nommant ‘.htaccess’ sans les apostrophes).
order allow,deny deny from all
→ Protégez votre propre fichier .htaccess grâce à ce code ajouté en bas de ce même fichier :
order allow,deny deny from all
Masquez votre version
3Il convient également de masquer le numéro de version offert tout cru dans la balise meta « generator ». Utilisez pour cela le fichier functions.php (présent dans /wp-content/themes/Votre-Theme-enfant) et ajoutez ce bout de code idoine :
remove_action('wp_head', 'wp_generator');
On peut également empêcher le flux RSS d’afficher la version WordPress avec la fonction suivante :
function wpt_remove_version() {
return '';
}
add_filter('the_generator', 'wpt_remove_version');
Quelques précautions supplémentaires
4 Ne laissez aucune donnée sensible comme l’archive de base de données que certains plugins stockent dans wp-content. Agir ainsi laisse une réelle porte ouverte au piratage de votre site. Je ne m’étendrai pas sur l’importance du mot de passe de votre back-office (car j’ai déjà écrit un article à ce propos), mais c’est un point primordial à respecter. Ne manquez pas de mettre à jour tous les sites de travail ou vos sites placés en voie de garage et qui ne seraient plus exploités (tout en restant accessibles de l’extérieur). Une version éculée de WordPress sur un site oublié est une porte arrière intéressante pour percer toute votre installation (c’est une situation qu’un site fort connu a expérimentée à ses dépens). Supprimez enfin tous les utilisateurs à fort pouvoir (administrateur) qui seraient inactifs depuis longtemps sur votre site.
Des plugins à votre secours (niv. intermédiaire)
Better WP plugin
Un des meilleurs plugins qui saura efficacement protéger votre site et vous donner des bons conseils. Attention tout de même, certaines protections demandent du doigté.
→ voir le lien
WP Security Scan
Principalement tourné autour des allocations de permissions de vos fichiers & détection des brèches de sécurité. Moins complet, mais moins délicat à manier que Better WP plugin.
→ voir le lien
TAC (Theme Authenticity Checker)
Très puissant pour débusquer des codes malicieux dans votre thème. Peut provoquer de sacrés surprises si vous l’appliquez sur un thème gratuit (attention aux thèmes gratuits)
→ voir le lien
Ajouter des clefs de sécurité secrètes dans le fichier wp-config.php (niv. intermédiaire)
Si vous avez déjà installé par vos propres moyens un site WordPress, vous devriez avoir remarqué des codes particuliers dans votre fichier wp-config.php (lequel contient les configurations nécessaires pour que WordPress fonctionne convenablement). Cette section du fichier de configuration regroupe les clés d’authentification SALT qui créent un cookie d’identification protégeant votre installation.
Si ces codes ne sont pas présents dans votre fichier wp-config.php, vous pouvez les régénérer grâce au lien suivant :
https://api.wordpress.org/secret-key/1.1/salt/
Notez que tout changement de ces clefs de salage aura pour effet d’invalider tous les cookies de votre site et forcera donc chaque utilisateur à se reconnecter sur votre blog.
Supprimer le compte ‘admin’ par défaut (niv. intermédiaire)
Par facilité ou par défaut (sur certains hébergeurs comme OVH), l’identifiant admin est souvent créé pour identifier l’espace d’administration. La popularisation de cet identifiant le rend par nature très sensible : le pirate potentiel n’a plus qu’à se concentrer sur votre mot de passe pour percer votre accès.
Si vous disposez d’un tel compte, créez un autre compte alternatif avec les mêmes droits d’administrateur, puis supprimez le compte dont l’identifiant est admin. Cette manœuvre peut se mener même en cours de vie du blog : un système de bascule des anciens articles et pages est automatiquement proposé.
Masquer les erreurs de connexion (niv. expert)
Voilà typiquement un comportement de WordPress très ‘user-friendly’ qui peut s’avérer ‘hacker-friendly’ lorsqu’il se retourne contre vous. En effet, lors d’une erreur de saisie de votre mot de passe ou de votre login, WordPress vous guide gentiment et indique ce qui ne convient pas. Il s’agit donc de gommer cette fonctionnalité pour ne pas donner d’indice supplémentaire aux pirates qui en veulent à vos données.
Pour cela, ajoutez cette ligne de code à votre fichier functions.php (de votre thème enfant) :
add_filter('login_errors', function() {
return '';
});
Note : l’ancienne syntaxe utilisant create_function() n’est plus compatible avec PHP 8 et provoquera une erreur fatale. La fonction anonyme ci-dessus est l’équivalent moderne.
Modifier le nom de votre dossier wp-content (niv. expert)
⚠️ Technique avancée à utiliser avec précaution. Cette opération relève du « security through obscurity » : son bénéfice réel en sécurité est marginal, et elle peut casser de nombreux plugins qui référencent en dur le dossier wp-content. À envisager uniquement sur une nouvelle installation et après mise en recette.
Ouvrez le fichier wp-config.php (il est sage de faire une archive préalable de ce fichier si important). Aux alentours de la ligne 88-90 (ou de la dernière ligne de wp-config), vous devriez trouver la séquence :
require_once ABSPATH . 'wp-settings.php';
Ajoutez immédiatement au-dessus le code suivant :
/* modification du nom de dossier wp-content */
define('WP_CONTENT_FOLDERNAME', 'nouveau-dossier');
define('WP_CONTENT_DIR', ABSPATH . WP_CONTENT_FOLDERNAME);
define('WP_CONTENT_URL', 'https://votre-domaine.com/' . WP_CONTENT_FOLDERNAME);
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/plugins');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/plugins');
/* fin de la modification */
Remplacez la mention nouveau-dossier par le nouveau nom de dossier de wp-content, et personnalisez votre-domaine.com avec votre propre URL. Une fois ces manipulations faites et publiées sur wp-config, vous pourrez changer le nom de votre dossier wp-content avec un nom équivalent (sans majuscule, ni accent, ni espace).
Assurez-vous que tout continue à fonctionner sur votre site, en particulier vos divers plugins. S’il s’avère que vous rencontrez un dysfonctionnement, il est probable qu’un de vos plugins fasse mention au dossier wp-content au lieu de faire appel à une fonction telle que content_url(). Vous devrez alors corriger à la main cette mention dans les plugins défaillants (un bonheur) ou vous passer tout bonnement de ces plugins.
Il est bien entendu capital d’ajouter dans ce nouveau dossier les composants habituels de wp-content, soit /languages /plugins /themes /upgrade, avec leur contenu légitime.
Protégez-vous contre le hotlinking
J’ai découvert dans les faits le hotlinking par le vol de mon article Archiver sa base de données WordPress qui s’est vu affiché sur un autre site que le mien, sans mon autorisation. Mes images ont été victimes de hotlinking, terme que je connaissais mal et qui consiste à « utiliser l’adresse d’un fichier publié sur un site web, le plus souvent une image, pour l’afficher sur un autre site, sur un blog » [définition Wikipédia].
Définition
Traditionnellement (j’illustre ici le principe de fonctionnement de façon très grossière, vous trouverez un schéma plus étayé sur cet autre article), votre visiteur consulte le contenu de votre site grâce au serveur qui héberge vos images et vos textes (sur la base de données).
Dans le cas d’un hotlinking, votre « voleur » aussi maladroit qu’indélicat a copié l’ensemble du code source de votre article et l’a ajouté à une de ses pages.
La personne qui consulte votre article croit être au bon endroit sur le site voleur. L’ensemble des images pointent cependant encore vers votre serveur, ce qui à terme en réduit sa vélocité.
Remède
Nous allons utiliser une fois de plus le .htaccess pour restreindre et rediriger l’emploi de vos images en hotlinking. Cette manipulation est particulièrement intéressante pour les photographes ou les graphistes dont la production est parfois indûment pillée.
RewriteEngine On
# Remplacer votredomaine.com par l'adresse de votre site
# la mention NC rend insensible à la casse (majuscule/minuscule)
RewriteCond %{HTTP_REFERER} !^https?://(.+\.)?votredomaine\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
# Remplacer /images/nohotlink.jpg par le chemin de l'image affichée chez les voleurs
# Propose une image alternative lors de l'emploi abusif de vos images
RewriteRule \.(jpe?g|gif|bmp|png|webp)$ /images/nohotlink.jpg [L]
On peut bien entendu supprimer toutes les lignes commentées avec le signe # avant de le poster sur le .htaccess.
Note : cette technique fonctionne sur serveur Apache. Si votre hébergement utilise Nginx ou LiteSpeed, l’approche est différente. Une alternative moderne et universelle consiste à activer la protection anti-hotlinking native dans Cloudflare (gratuit).
Ne manquez pas de sauvegarder la version précédente de ce fichier ; elle vous sera utile si vous faites une erreur de code et que votre site déploie alors une grosse erreur 500 :)
Surveiller les failles plugins et thèmes
Historiquement, des plugins très populaires ont été touchés par des failles majeures. Le cas le plus médiatisé reste celui du plugin Slider Revolution en 2014, dont une vulnérabilité critique avait été intégrée dans des centaines de thèmes commerciaux. La même mécanique se reproduit régulièrement : un plugin largement utilisé est compromis, et tous les sites qui l’embarquent deviennent vulnérables tant qu’une mise à jour n’est pas appliquée.
La bonne pratique en 2026 : ne pas attendre d’être notifié par hasard, mais s’appuyer sur un service de monitoring des CVE (Common Vulnerabilities and Exposures) comme Patchstack ou la base Wordfence Intelligence. Ces outils croisent en temps réel les plugins installés sur votre site avec la base mondiale des vulnérabilités connues, et vous alertent immédiatement.
Avant toute intervention de correction, faites systématiquement une archive complète de votre espace FTP et de votre base de données pour sécuriser votre installation.
Cas n°1 : l’extension est intégrée dans votre thème
→ Si vous ne voyez pas l’extension présente dans votre liste de plugins, il y a fort à parier qu’elle est intégrée directement dans les tréfonds de votre thème. Je vous conseille alors de retourner sur la boutique sur laquelle vous avez acheté votre thème pour rechercher une mise à jour qui propose un correctif, ou de mettre à jour votre thème avec la dernière version disponible s’il s’agit d’un template gratuit. Si cette mise à jour n’existe pas, c’est problématique car votre site est en danger potentiel. La meilleure solution est alors de changer de thème ou de faire appel à un développeur pour effectuer la correction manuelle.
Cas n°2 : l’extension est listée dans vos plugins
→ Le plus simple est de mettre à jour le plugin via le tableau de bord WordPress (Extensions → Mises à jour disponibles). Si la mise à jour automatique échoue, vous pouvez la faire manuellement : allez sur votre espace FTP dans wp-content/plugins/, supprimez le contenu du dossier concerné, puis remplacez-le par la version à jour téléchargée depuis la source officielle. L’ensemble de vos réglages (présents en base de données et non sur l’espace FTP) sera préservé.
Vous avez été piraté ? Voici quelques outils
Anti-Malware Security and Brute-Force Firewall
https://fr.wordpress.org/plugins/gotmls/
Cet outil est intéressant même si vous n’avez pas été attaqué. Il est en mesure de lancer un scan complet et de supprimer automatiquement les éventuelles menaces et failles qu’il pourrait détecter. Il est également assorti d’un firewall qui protège contre les malwares connus. Il se met à jour constamment avec de nouvelles listes de menaces. Il existe aussi en version premium.
Pour les cas plus sérieux, n’hésitez pas à faire appel à un service spécialisé en nettoyage WordPress (Sucuri, Wordfence Response, Patchstack) qui pourra intervenir sur un site compromis et restaurer une installation propre.
Vous n’avez pas le temps ? Voici en résumé la sécurité pour les super-pressés
- Archiver régulièrement (règle 3-2-1)
- Maintenir WordPress, plugins et thèmes à jour
- Utiliser un mot de passe long et unique, géré avec un gestionnaire (Bitwarden, 1Password)
- Activer l’authentification à deux facteurs (2FA) sur tous les comptes administrateurs
