Sécurité Web

Sécuriser WordPress : guide complet anti-hacking en 2026

Publié le 25 March 2026 — 4 min de lecture
En bref

WordPress est la cible numéro 1 des hackers sur le web. Ce guide vous donne les 12 mesures concrètes pour sécuriser votre site WordPress en 2026 et éviter le hacking, les injections et les defacements.

90 000 attaques par minute ciblent des sites WordPress dans le monde. La majorité sont automatisées : des bots qui cherchent des installations non mises à jour, des mots de passe faibles et des plugins vulnérables. La bonne nouvelle : sécuriser WordPress correctement bloque 99 % de ces attaques.

Pourquoi WordPress est-il autant ciblé ?

WordPress fait tourner 43 % du web mondial. Cette popularité en fait la cible la plus rentable pour les hackers : un exploit automatisé qui fonctionne sur WordPress peut toucher des millions de sites d’un coup. Ce n’est pas WordPress qui est intrinsèquement moins sécurisé — c’est sa part de marché qui en fait une cible privilégiée.

Mesure 1 : mises à jour systématiques

La cause numéro 1 des hacks WordPress est une installation non mise à jour. WordPress core, thèmes et plugins doivent être mis à jour dès qu’une nouvelle version sort. Activez les mises à jour automatiques mineures dans wp-config.php : define('WP_AUTO_UPDATE_CORE', true);. Pour les mises à jour majeures, testez d’abord en staging.

Mesure 2 : mots de passe forts et authentification à deux facteurs

Un mot de passe admin de type “admin123” se craque en quelques secondes en brute-force. Utilisez des mots de passe générés d’au moins 20 caractères. Activez le 2FA (deux facteurs) avec un plugin comme WP 2FA ou Google Authenticator. Un attaquant qui a votre mot de passe est bloqué s’il n’a pas votre téléphone.

Mesure 3 : changer le slug de connexion /wp-admin

Les bots attaquent en priorité /wp-admin et /wp-login.php. Changer l’URL de connexion avec un plugin (WPS Hide Login) ou via le .htaccess réduit drastiquement le volume d’attaques brute-force. Ce n’est pas suffisant seul, mais c’est un filtre efficace.

Mesure 4 : limiter les tentatives de connexion

Installez Limit Login Attempts Reloaded ou configurez Cloudflare WAF pour bloquer les IPs après 5 tentatives échouées. Une attaque brute-force standard fait des milliers de tentatives — la bloquer à la source est essentiel.

Mesure 5 : sécuriser wp-config.php et les fichiers sensibles

Le fichier wp-config.php contient vos identifiants de base de données. Assurez-vous qu’il n’est pas accessible publiquement. Dans le .htaccess à la racine : <Files wp-config.php> Order Allow,Deny Deny from All </Files>. Faites de même pour .htaccess lui-même et xmlrpc.php si vous ne l’utilisez pas.

Mesure 6 : désactiver XML-RPC

XML-RPC est une API ancienne de WordPress, souvent utilisée pour des attaques DDoS amplifiées et du brute-force. Si vous n’utilisez pas d’application mobile WordPress ou Jetpack, désactivez-le complètement. Dans .htaccess : <Files xmlrpc.php> Order Deny,Allow Deny from All </Files>.

Mesure 7 : utiliser un WAF (pare-feu applicatif)

Cloudflare (version gratuite) filtre les requêtes malveillantes avant qu’elles n’atteignent votre serveur. Activez le mode “I’m Under Attack” en cas d’attaque DDoS, utilisez les règles WAF pour bloquer les injections SQL et XSS connues. Wordfence (plugin WordPress) offre un WAF applicatif supplémentaire au niveau du PHP.

Mesure 8 : sauvegardes automatiques hors site

La meilleure défense contre un hack réussi est une sauvegarde propre récente. Configurez des sauvegardes automatiques quotidiennes vers un stockage externe (S3, Google Drive, Dropbox) avec UpdraftPlus ou BackWPup. Testez régulièrement la restauration — une sauvegarde non testée n’est pas une sauvegarde.

Mesure 9 : headers HTTP de sécurité

Les headers HTTP protègent contre le XSS, le clickjacking et l’injection de contenu. Ajoutez dans .htaccess :

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"

Mesure 10 : audit régulier avec WPScan

WPScan est un scanner de vulnérabilités spécialisé WordPress (open source). Il détecte les versions de plugins vulnérables, les configurations à risque et les utilisateurs exposés. Lancez-le mensuellement : wpscan --url votre-site.fr --enumerate p. La version gratuite couvre la majorité des checks utiles.

Ce que font les développeurs professionnels en plus

Sur les projets que je livre : préfixe de base de données personnalisé (pas wp_), désactivation de l’éditeur de fichiers dans l’admin (define('DISALLOW_FILE_EDIT', true)), masquage de la version WordPress, blocage des requêtes avec user-agent vides au niveau serveur, et monitoring 24h via Uptime Robot + alertes email/SMS. Ces mesures ensemble créent un site qui résiste aux attaques automatisées et ralentit suffisamment les attaques ciblées pour que vous ayez le temps de réagir.

W
Rédigé par
WebEngine
Développeur web freelance à Paris spécialisé WordPress, WooCommerce et SEO technique depuis 2010. 13 avis vérifiés · Note 5/5. Chaque site livré atteint un score PageSpeed mobile supérieur à 90.

Articles associés

Sécurité Web

Sécuriser un site WordPress en 10 étapes concrètes (2026)

Guide pratique pour sécuriser WordPress en 2026 : mises à jour, 2FA, Cloudflare WAF, sauvegardes hors-site, changement de…

Lire l'article
Sécurité Web

Cloudflare pour WordPress : le guide complet pour booster vitesse et sécurité

CDN gratuit, protection DDoS, SSL automatique… Cloudflare est un must-have pour tout site WordPress. Voici comment le configurer…

Lire l'article
Sécurité Web

Sécurité PHP : les 10 failles à éviter absolument en 2026

Les failles PHP sont la porte d'entrée des hackers sur des millions de sites. Ce guide couvre les…

Lire l'article

Un projet en tête ?

Devis gratuit sous 48h, sans engagement.

Demander un devis gratuit