Sécuriser WordPress,
c’est tenir une hygiène.
Mises à jour régulières, sauvegardes fiables, durcissement, monitoring 24/7. Zéro piratage sur les sites sous contrat depuis 5 ans. Audit dès 350 € HT.
WordPress, cible n°1 des bots.
WordPress motorise environ 43 % des sites web dans le monde (W3Techs, 2025). Cette popularité en fait la cible n°1 des attaques automatisées : les bots scannent Internet en permanence à la recherche de failles connues.
La majorité des piratages WordPress n’exploitent pas une faille zero-day, mais une faille connue et déjà patchée — que le propriétaire n’a jamais installée parce qu’il n’a pas mis son site à jour.
80 % des sites piratés que je dépanne présentent les mêmes signatures : plugins non mis à jour depuis 6+ mois, mot de passe admin faible, pas de 2FA, sauvegardes inexistantes ou non testées.
Cinq piliers, appliqués chaque semaine.
La grande majorité des attaques sont évitables avec une hygiène de base sérieuse. Voici la méthode que j’applique rigoureusement sur les 100+ sites que je maintiens.
Mises à jour régulières et contrôlées
WordPress core, thème et plugins reçoivent des correctifs en continu. Ne pas les installer, c’est laisser la porte ouverte.
- Mises à jour hebdomadaires le lundi, selon une checklist fixe
- Sauvegarde avant chaque MAJ — rollback en 2 minutes si ça casse
- Environnement de préproduction pour les sites sensibles
- Suivi des CVE publiées sur les plugins critiques
- Pas de MAJ automatique aveugle, je contrôle chaque changelog
Sauvegardes doubles, testées, avec recul
Une sauvegarde qu’on n’a jamais restaurée n’est pas une sauvegarde — c’est un espoir.
- Sauvegardes automatiques quotidiennes (UpdraftPlus Premium)
- Sauvegardes manuelles avant toute intervention à risque
- Double stockage : mon drive pro + votre cloud (Drive/Dropbox/S3)
- Recul minimum 1 an — crucial en cas de contamination lente
- Tests de restauration réguliers pour valider l’usabilité
Durcissement & pare-feu
Réduire la surface d’attaque par défaut. Plugin de sécurité installé (Wordfence ou Solid Security), URL d’admin changée, headers de sécurité.
- Plugin de sécurité configuré (pare-feu, anti-brute force, scan fichiers) — Wordfence ou Solid Security selon le contexte
- URL d’admin changée (non plus /wp-admin/)
- Désactivation de XML-RPC si non utilisé
- Limitation des tentatives + blocage IP automatique
- Permissions fichiers strictes (644 / 755), éditeur désactivé
- Headers CSP, HSTS, X-Frame-Options côté serveur
Authentification forte
Le compte admin est la clé. On la protège sérieusement avec 2FA, mots de passe uniques, sessions limitées.
- Mots de passe forts et uniques par compte (gestionnaire dédié)
- 2FA activé sur tous les comptes administrateur
- Pas de compte « admin » par défaut — username renommé
- Sessions limitées : déconnexion auto après inactivité
- Rotation des clés salts au moindre doute
Monitoring & détection précoce
Savoir vite qu’un problème arrive, c’est gagner des heures sur la remise en ligne.
- Monitoring d’uptime 24/7, alerte sur mon téléphone
- Scan régulier des fichiers modifiés (signal d’intrusion)
- Surveillance des logs d’erreur et d’accès
- Google Search Console connectée (détection malware)
- Test mensuel du formulaire de contact
Zéro piratage sur les sites sous contrat depuis 5 ans.
Ce n’est pas une promesse marketing, c’est une observation factuelle sur mon parc de sites actifs. Les 5 piliers décrits ci-dessus, appliqués rigoureusement chaque semaine, suffisent à tenir les attaques automatisées à distance.
+ de 100 sites sous garde · Uptime 99,8 % · 12 ans · Monitoring 24/7 actif sur tout le parc.
Ce que je vois sur un site sur deux sans suivi.
Cas typique que j’observe en moyenne sur un site sur deux qui arrive chez moi sans maintenance. Si 2 ou 3 de ces points vous parlent, il est temps d’agir.
Dernière mise à jour WordPress il y a 14 mois
6 plugins obsolètes sur 12 installés
Sauvegarde absente, vieille de 6+ mois ou jamais testée
Mot de passe admin type « prenom123 »
Pas de 2FA, pas de pare-feu, pas de monitoring
Formulaire de contact cassé depuis 4 mois
Résultat : quand l’incident arrive (et il arrive toujours), la remise en ligne est longue, coûteuse, et parfois partielle. Certains contenus sont perdus. Le SEO peut en pâtir des semaines.
Vous seul ou avec moi.
Lire cette page, c’est déjà avoir compris ce qu’il faut faire. Le faire chaque semaine, chaque mois, toute l’année, en tenant une trace écrite — c’est un autre métier.
Vous le faites seul
Pour les profils techniques qui ont le temps.
- Temps / mois à y consacrer 2 à 5 h
- Licences premium (plugin de sécurité, UpdraftPlus…) ~250 € / an
- Monitoring 24/7 À mettre en place
- Rapport mensuel À rédiger
- Coût annuel réel Temps + ~250 €
Maintenance avec moi
Les 5 piliers, exécutés pour vous.
- Temps / mois à y consacrer 0 h
- Licences premium Incluses
- Monitoring 24/7 Inclus, je suis alerté
- Rapport mensuel Fourni
- Coût annuel Dès 752 € HT (~2 €/j)
Votre site est déjà infecté ?
Redirections suspectes, alerte Google Safe Browsing, comportement anormal ? Ne restez pas sur cette page. La prévention concerne les sites encore sains. Pour un site contaminé, il faut d’abord nettoyer.
Voir la page dépannage urgentDevis sous 4 h · Paiement au résultat · Intervention le jour même.
Sécurité réussie, clients rassurés.
« Ce mois-ci tous mes sites WP ont été piratés. J’ai fait appel à Antoine pour les réparer. En 48 h il a réparé mon premier site puis a enchaîné avec les 7 autres. Maintenant tout fonctionne parfaitement. »
« J’ai fait appel aux services d’Antoine pour sécuriser un site suite à une faille de sécurité, il a été rapide et ultra efficace, je le recommande ! »
Audit sécurité ponctuel.
Vous préférez gérer votre site en autonomie, mais vous voulez un avis extérieur structuré ? Je propose des audits sécurité ponctuels hors forfait.
Livrable : rapport écrit + restitution téléphonique 30-45 min.
- Checklist hiérarchisée des points faibles
- Plan d’action priorisé (quick wins vs fond)
- Durcissement recommandé, mesure par mesure
- État des sauvegardes, recul et testabilité
- Revue des permissions et des comptes utilisateurs
Questions fréquentes sur la sécurité WP.
Quel est le plugin de sécurité WordPress que vous recommandez ?
Mes deux choix principaux sont Wordfence et Solid Security (ex-iThemes Security). Les deux couvrent l’essentiel : pare-feu applicatif, scan de fichiers modifiés, anti-brute force, blocage IP. Je choisis l’un ou l’autre selon le contexte technique du site et l’hébergement. Mais attention : un plugin de sécurité ne remplace pas les mises à jour régulières et les sauvegardes. C’est un renfort, pas un substitut.
À quelle fréquence faut-il sauvegarder un site WordPress ?
Quotidiennement, au minimum. Pour un e-commerce actif, idéalement à chaque transaction (via un plugin dédié ou le CMS). La sauvegarde doit être stockée hors du serveur (sinon elle est compromise en même temps que le site en cas d’intrusion) et testée régulièrement. Le recul minimum recommandé est d’1 an : certains malwares restent dormants plusieurs mois avant de s’activer.
Mon hébergeur fait déjà des sauvegardes, c’est suffisant ?
Non. Les sauvegardes d’hébergeur sont utiles comme filet de sécurité, mais présentent plusieurs limites : recul souvent limité à 7-14 jours, pas de test de restauration, stockage sur la même infrastructure (donc vulnérable), pas de séparation base / fichiers permettant une restauration fine. Je recommande toujours une sauvegarde applicative en plus (UpdraftPlus Premium), stockée sur votre propre cloud.
Est-ce que HTTPS suffit à sécuriser un site WordPress ?
Non. HTTPS chiffre la connexion entre le visiteur et le serveur — c’est indispensable, mais ça ne protège ni contre un plugin vulnérable, ni contre un mot de passe admin faible, ni contre un malware injecté. HTTPS est une condition nécessaire, pas suffisante.
Faut-il vraiment activer la double authentification (2FA) ?
Oui, sans réserve. C’est la mesure avec le plus fort ratio effort / protection sur WordPress. L’installation prend 5 minutes, la configuration quotidienne n’ajoute que 5 secondes à la connexion, et ça bloque la quasi-totalité des attaques par bot. Toutes les interventions de sécurité que je fais incluent l’activation du 2FA.
Mon site est petit / j’ai peu de trafic, suis-je vraiment une cible ?
Oui. Les attaques WordPress sont à 99 % automatisées — les bots ne regardent pas si votre site est connu ou pas. Ils scannent Internet, testent des failles connues, exploitent ce qui passe. Un petit site vitrine avec 200 visites / mois reçoit chaque mois plusieurs milliers de tentatives de connexion admin. La petite taille n’est pas une protection.
Je fais tout moi-même, est-ce qu’un audit ponctuel peut quand même m’aider ?
Oui, je propose des audits sécurité ponctuels hors forfait, à partir de 350 € HT. L’audit identifie les points faibles de votre configuration actuelle et vous donne un plan d’action priorisé : checklist hiérarchisée, durcissement recommandé, état des sauvegardes, permissions. C’est une bonne première étape avant de décider entre « je continue en autonomie » et « je passe sur un contrat de maintenance ». Livrable : rapport écrit + échange téléphonique de restitution (30-45 min).
Dormez tranquille
Une sécurité continue,
sans y penser.
Deux chemins : un audit ponctuel à 350 € HT pour faire le point, ou un contrat de maintenance pour une sécurité continue dès 752 € HT/an.