Introduction : Pourquoi votre site est une cible (même si vous n'êtes pas une banque)
Il existe un mythe persistant chez les propriétaires de PME et les blogueurs : "Je suis trop petit pour intéresser les pirates". C'est une erreur fondamentale de compréhension du fonctionnement de la cybercriminalité moderne.
Dans 99% des cas, il n'y a pas un humain derrière son clavier qui se dit "Tiens, je vais pirater le site de la boulangerie de Lausanne". Ce sont des robots (bots) automatisés qui scannent le web 24h/24 et 7j/7. Ils cherchent des failles connues sur des millions de sites simultanément. Dès qu'une porte est entrouverte, ils entrent, installent un malware et repartent, le tout en quelques millisecondes.
Pourquoi font-ils cela ? Pour utiliser les ressources de votre serveur pour miner de la cryptomonnaie, pour envoyer des milliers de spams depuis votre nom de domaine, ou pour rediriger vos visiteurs vers des sites illégaux (phishing, arnaques).
En tant qu'expert en sécurité WordPress, j'ai rédigé ce guide exhaustif pour vous aider à comprendre les vecteurs d'attaque et comment verrouiller votre site efficacement.
Chapitre 1 : Les fondations serveur (L'hébergement)
La sécurité commence bien avant l'installation de WordPress. Elle commence au niveau de l'infrastructure. Construire un château fort sur des sables mouvants ne servira à rien.
Le danger du "Shared Hosting" Low-Cost
Sur un hébergement mutualisé à 3€ par mois, votre site partage le même serveur que des centaines, voire des milliers d'autres sites. Si le serveur est mal configuré (mauvaise isolation des comptes), un pirate qui compromet le site de votre "voisin" pourrait potentiellement accéder à vos fichiers. Privilégiez des hébergeurs reconnus qui garantissent une isolation stricte (CageFS) ou, mieux, optez pour un VPS ou un hébergement Cloud managé.
La version PHP : Une question de vie ou de mort
WordPress tourne sur PHP. Comme tout logiciel, PHP a des cycles de vie. Utiliser une version obsolète (comme PHP 7.4 ou pire, 5.6) est suicidaire. Ces versions ne reçoivent plus de correctifs de sécurité. Si une faille est découverte, elle restera ouverte pour toujours. Assurez-vous que votre serveur tourne sur une version supportée (actuellement PHP 8.1, 8.2 ou supérieur).
Chapitre 2 : Durcissement (Hardening) de WordPress
Une installation WordPress par défaut est sécurisée, mais elle est aussi prévisible. Or, la prévisibilité est l'alliée des attaquants. L'objectif du durcissement est de rendre la structure de votre site plus obscure et plus robuste.
Masquer les erreurs PHP
Avez-vous déjà vu un site afficher des lignes de code bizarres en haut de page ? Ce sont des rapports d'erreurs. Pour un pirate, c'est une mine d'or : cela révèle le chemin d'accès de vos fichiers (path disclosure) et parfois les versions de vos plugins. Il est impératif de désactiver l'affichage des erreurs sur le front-end via le fichier `wp-config.php`.
Désactiver l'éditeur de fichiers
Dans le tableau de bord WordPress, sous "Apparence > Éditeur de fichiers", vous pouvez modifier le code de votre thème directement. Si un pirate accède à votre admin, il peut utiliser cet éditeur pour injecter un script malveillant ou une backdoor. Je désactive systématiquement cette fonctionnalité sur tous les sites de mes clients.
Changer le préfixe de base de données
Par défaut, les tables de WordPress commencent par `wp_`. Lors d'une attaque par injection SQL, les pirates essaient souvent de deviner le nom de vos tables pour voler des données. Changer ce préfixe (par exemple `x7z9_`) rend cette tâche beaucoup plus difficile.
Chapitre 3 : La gestion des accès et l'authentification
La méthode la plus simple pour entrer chez vous n'est pas de casser le mur, mais de voler la clé. C'est la même chose pour votre site web.
Adieu "admin"
Si votre identifiant de connexion est "admin", vous donnez 50% de la clé aux pirates. Lors d'une attaque par force brute, c'est le premier nom d'utilisateur testé. Créez un nouvel administrateur avec un nom complexe et supprimez le compte "admin" d'origine.
La Double Authentification (2FA) : Non-négociable
Même avec un mot de passe complexe, vous n'êtes pas à l'abri d'un keylogger ou d'une fuite de données sur un autre site (si vous réutilisez vos mots de passe). La 2FA (code reçu sur mobile) est le rempart ultime. Même si un pirate a votre mot de passe, il ne peut pas se connecter sans votre téléphone. C'est une fonctionnalité que j'active par défaut dans tous mes contrats de maintenance.
Chapitre 4 : Extensions (Plugins) et Thèmes
C'est le principal vecteur d'attaque sur WordPress. La modularité du CMS est sa force, mais aussi sa plus grande faiblesse.
Le danger mortel des plugins "Nulled"
Télécharger gratuitement une version piratée d'Elementor Pro ou de WP Rocket peut être tentant pour économiser quelques dollars. C'est le meilleur moyen de détruire votre site. Ces fichiers contiennent presque systématiquement des malwares cachés qui s'activent quelques semaines après l'installation. Si vous n'avez pas le budget pour les outils premium, utilisez des alternatives gratuites officielles.
Supprimer ce qui ne sert pas
Un plugin désactivé est toujours présent sur le serveur. Son code est exécutable. Si une faille est découverte dans ce plugin que vous n'utilisez plus et que vous ne mettez plus à jour, vous êtes vulnérable. La règle d'or : si ce n'est pas actif, on supprime.
Chapitre 5 : Firewall et Surveillance
Même avec les meilleures précautions, une attaque peut survenir. Il faut donc des systèmes de détection et de blocage proactifs.
WAF (Web Application Firewall)
Un pare-feu applicatif filtre le trafic entrant avant même qu'il ne puisse nuire à WordPress. Il bloque les requêtes suspectes, les tentatives d'injection SQL et les robots malveillants. Des solutions comme Wordfence ou un pare-feu au niveau serveur sont indispensables.
Logs d'activité
Savoir ce qui se passe sur votre site est crucial. Un plugin a été installé à 3h du matin ? Un administrateur s'est connecté depuis la Russie alors que votre équipe est en Suisse ? Les journaux d'activité permettent de repérer une intrusion tôt et de réagir avant que les dégâts ne soient irréversibles.
Chapitre 6 : La stratégie de Sauvegarde (Backup)
Si malgré tout, le pire arrive, votre sauvegarde est votre seule bouée de sauvetage. Mais attention, toutes les sauvegardes ne se valent pas.
La règle du 3-2-1
En informatique, une donnée qui n'existe qu'à un seul endroit n'existe pas. Appliquez la règle du 3-2-1 :
- 3 copies de vos données.
- Sur 2 supports différents.
- Dont 1 copie hors site (Off-site).
L'erreur fatale est de stocker la sauvegarde sur le même serveur que le site. Si le serveur crashe ou est entièrement effacé par un pirate, vous perdez le site ET la sauvegarde. Je configure toujours des sauvegardes externalisées vers un Cloud sécurisé (type AWS S3 ou Google Drive) indépendant.
Conclusion : La sécurité est un processus, pas un produit
Sécuriser un site WordPress n'est pas une action que l'on fait une fois pour toutes. C'est une hygiène numérique quotidienne. Les menaces évoluent, de nouvelles failles apparaissent chaque semaine.
Appliquer l'ensemble de ce guide demande du temps et des compétences techniques. Si vous préférez vous concentrer sur votre business plutôt que de surveiller les logs de votre serveur, déléguer cette tâche est souvent l'investissement le plus rentable.
👉 Découvrir mon service de maintenance et sécurité WordPress
Votre site a déjà été compromis ? Pas de panique, consultez mon service de nettoyage de site piraté pour une intervention d'urgence.