WordPress équipe 43% des sites web mondiaux selon W3Techs (mars 2026). C'est aussi la cible n°1 des hackers : 90% des sites compromis dans le monde sont des sites WordPress mal sécurisés. Si votre PME a un site WordPress, sa sécurité doit être un sujet sérieux — pas une case cochée.
Cet article donne la méthode complète pour sécuriser WordPress en 2026, sans jargon technique inutile. Que vous soyez admin de votre site ou que vous délégiez à un prestataire, vous saurez quoi vérifier.
Pourquoi WordPress est tant attaqué
Sa popularité même
43% du web tourne sous WordPress. Pour un hacker qui développe une attaque, cibler WordPress = potentiel maximal. C'est mécanique, pas idéologique.
L'écosystème de plugins/thèmes
WordPress a 60 000+ plugins disponibles. Beaucoup sont mal codés, abandonnés, vulnérables. La majorité des attaques exploitent une faille dans un plugin obscur, pas dans le cœur WordPress.
Les sites mal maintenus
Beaucoup de PME ont fait faire un site WordPress en 2018-2020 et ne l'ont jamais mis à jour. Le site fonctionne en surface mais accumule les failles.
Les 12 actions essentielles pour sécuriser WordPress
1. Mettre à jour WordPress, thèmes et plugins
WordPress core : mises à jour mineures automatiques activées. Mises à jour majeures à appliquer dans les 7 jours après publication. Plugins et thèmes : mises à jour mensuelles minimum, hebdomadaires idéalement. Outil utile : ManageWP pour gérer plusieurs sites.
2. Supprimer plugins et thèmes non utilisés
Un plugin désactivé reste une faille potentielle. Désinstaller (pas seulement désactiver) les plugins non utilisés. Idem pour les thèmes : ne garder que le thème actif + le thème parent éventuel.
3. Mots de passe forts + MFA
16 caractères minimum, mix lettres/chiffres/symboles. Plugin Wordfence ou iThemes Security pour ajouter du MFA aux comptes admin. Bannir le compte "admin" par défaut (renommer ou supprimer après création d'un autre admin).
4. Plugin de sécurité (un seul, le bon)
Choisir UN plugin parmi : Wordfence, Sucuri, iThemes Security. Les empiler crée des conflits. Wordfence (version free très complète) suffit pour 95% des PME. Coût premium : 99 $/an/site, recommandé.
5. Limiter les tentatives de connexion
Plugin Limit Login Attempts Reloaded ou intégré à votre plugin de sécurité. 5 tentatives maximum, puis blocage IP 30 minutes. Bloque 99% des attaques par force brute.
6. HTTPS partout
Certificat SSL gratuit avec Let's Encrypt (inclus dans 99% des hébergeurs). Forcer HTTPS via plugin Really Simple SSL. Pas d'excuse en 2026 d'avoir un site WordPress en HTTP.
| Action | Difficulté | Coût | Impact sécurité |
|---|---|---|---|
| Mises à jour régulières | Faible | 0 € | Très élevé |
| MFA admin | Faible | 0 € | Très élevé |
| Plugin de sécurité | Faible | 0-100 €/an | Élevé |
| Sauvegardes auto externes | Moyenne | 5-30 €/mois | Très élevé |
| Limiter tentatives connexion | Faible | 0 € | Élevé |
| Désactiver XML-RPC | Moyenne | 0 € | Moyen |
| Hébergeur sécurisé | Variable | 5-50 €/mois | Élevé |
| Audit annuel | Externe | 500-2 000 € | Élevé |
7. Sauvegardes automatiques externes
Plugin UpdraftPlus (gratuit) ou BackWPup avec stockage Google Drive, Dropbox ou S3. Fréquence : quotidienne pour le contenu, hebdomadaire pour les fichiers. Tester la restauration tous les 3 mois.
8. Désactiver XML-RPC
XML-RPC est un protocole ancien rarement utile aujourd'hui mais souvent exploité pour des attaques par amplification. Désactivation via plugin de sécurité ou ajout dans .htaccess.
9. Cacher la version WordPress
Par défaut, WordPress affiche sa version dans le code source — utile pour les hackers qui cherchent les sites avec versions vulnérables. Plugin de sécurité ou code dans functions.php pour la masquer.
10. Hébergement managé sécurisé
Préférer un hébergeur WordPress managé (WPServeur, Kinsta, WP Engine) à un mutualisé bas de gamme. Les hébergeurs WordPress managés appliquent automatiquement de nombreuses sécurités. Coût : 25-100 €/mois selon le trafic. Voir VPS vs mutualisé pour héberger son site.
11. Permissions de fichiers correctes
Fichiers : 644. Dossiers : 755. wp-config.php : 600. Plugin iThemes Security peut vérifier et corriger automatiquement. Vital pour empêcher l'exécution de code malveillant uploadé.
12. Audit annuel professionnel
Une fois par an, audit de sécurité par un spécialiste : 500-2 000 € selon la taille du site. Détecte ce que les outils automatiques ratent (configurations spécifiques, faiblesses logiques).
Le conseil Wizz You — Sur ces 12 mesures, le vrai sujet n'est pas de toutes les implémenter mais de les maintenir dans le temps. Un site sécurisé en 2024 puis ignoré en 2025-2026 est devenu vulnérable. Mettre en place un contrat de maintenance avec un prestataire (40-150 €/mois) garantit la mise à jour et le monitoring continus.
Comment savoir si votre site WordPress a été hacké
Signes évidents
- Redirections vers des sites pornographiques ou douteux
- Articles que vous n'avez pas écrits dans le dashboard
- Comptes admin que vous n'avez pas créés
- Site signalé par Google comme "dangereux"
- Hausse brutale du trafic depuis des pays inhabituels
- Lenteur soudaine inexpliquée
Signes subtils (souvent ignorés)
- Fichiers .php inhabituels dans wp-content/uploads
- Modifications de wp-config.php sans intervention
- Apparition d'iframes invisibles dans les pages
- Emails sortants en grande quantité depuis votre serveur
Que faire si votre site est compromis ?
- Mettre le site en maintenance immédiatement (plugin ou .htaccess)
- Changer tous les mots de passe : admin WordPress, FTP, base de données, email
- Restaurer la dernière sauvegarde saine (pas la plus récente — peut-être déjà compromise)
- Faire un scan complet avec Wordfence ou Sucuri SiteCheck
- Appliquer toutes les mises à jour avant de remettre en ligne
- Demander à Google de re-scanner le site (Search Console)
- Si données personnelles compromises : notification CNIL sous 72h
Si vous n'êtes pas à l'aise techniquement, faire intervenir un spécialiste — comptez 800-3 500 € pour une remédiation complète sur un site standard. Voir cybersécurité : pourquoi les PME sont les nouvelles cibles et les erreurs SEO qui détruisent la visibilité.
Cas concret : remédiation d'un site WordPress hacké
Un cabinet de kinésithérapie (4 praticiens à Toulouse) découvre le 8 février 2025 que son site WordPress redirige vers un site de paris sportifs douteux. Google a signalé le site comme "dangereux" et la fréquentation a chuté de 95% en 48 heures. Avant l'incident : 480 visites/mois et 22 nouvelles prises de RDV.
Diagnostic : le site tournait sur WordPress 5.4 (jamais mis à jour depuis 2 ans), avec 28 plugins dont 9 abandonnés. La compromission est venue d'une faille connue dans un plugin de formulaire non corrigée. Code malveillant injecté dans plusieurs fichiers (.php cachés dans uploads, modification de wp-config, ajout d'iframes invisibles).
Remédiation menée en 5 jours (2 400 €) : mise du site en maintenance, scan complet avec Wordfence Premium et Sucuri SiteCheck, suppression de tous les fichiers malveillants identifiés, restauration d'une sauvegarde antérieure datant d'avant la compromission (heureusement le cabinet faisait des sauvegardes), mise à jour complète de WordPress et de tous les plugins, désactivation des plugins inutiles, installation de Wordfence en monitoring permanent, demande de re-scan à Google Search Console.
Le site est revenu en ligne propre au bout de 6 jours. Le warning Google a été levé sous 48h après le re-scan. Mais la fréquentation a mis 3 mois à revenir au niveau initial (perte de confiance des utilisateurs ayant vu le warning Google).
Le coût total invisible
Coût direct de la remédiation : 2 400 €. Coût indirect (perte de RDV pendant la période) : estimé à 14 000 €. Coût total : 16 400 €. À comparer à un contrat de maintenance préventive à 1 200 €/an. La leçon parle d'elle-même. Voir aussi nos articles sur la cybersécurité des PME et l'audit des erreurs SEO, et notre offre maintenance WordPress.
Questions fréquentes
WordPress est-il sécurisé ?
WordPress core est plutôt sécurisé en 2026 — l'équipe corrige rapidement les failles découvertes. Le problème vient de l'écosystème : 60 000+ plugins disponibles, beaucoup mal codés ou abandonnés. 90% des sites WordPress compromis le sont via une faille dans un plugin tiers ou via des mots de passe faibles, pas via le cœur WordPress. WordPress bien maintenu (mises à jour, plugins limités, MFA, sauvegardes) est sécurisé. WordPress mal maintenu est une bombe à retardement. La règle : la sécurité WordPress est moins une question de techno que de discipline opérationnelle.
Quels plugins de sécurité installer sur WordPress ?
Choisir UN plugin parmi les trois références : Wordfence (recommandé par défaut, version free très complète, premium 99 $/an), Sucuri (excellent côté monitoring et nettoyage), iThemes Security (bon mais moins maintenu en 2026). Empiler plusieurs plugins de sécurité crée des conflits et ralentit le site. Compléter avec Limit Login Attempts Reloaded (gratuit) si non inclus dans votre plugin principal, et UpdraftPlus pour les sauvegardes automatiques. Au total : 2-3 plugins suffisent pour 95% des PME. Plus = problèmes.
Comment savoir si mon site WordPress a été hacké ?
Signes évidents : redirections vers sites douteux, articles non écrits par vous, comptes admin non créés, site signalé par Google comme dangereux, lenteur soudaine, hausse de trafic depuis pays inhabituels. Signes subtils : fichiers .php anormaux dans uploads, iframes invisibles, emails sortants en masse. Outils de diagnostic : Wordfence (scan intégré), Sucuri SiteCheck (gratuit en ligne), VirusTotal pour scanner des fichiers spécifiques. Si compromission confirmée : mise en maintenance immédiate, changement de tous les mots de passe, restauration d'une sauvegarde antérieure saine, scan complet, mises à jour, notification CNIL si données personnelles touchées.
Conclusion : la sécurité WordPress est une discipline continue
WordPress sécurisé n'est pas un état atteint puis figé — c'est une discipline maintenue dans le temps. Pour un audit complet de votre site WordPress et un plan de sécurisation, voir notre offre maintenance et sécurité WordPress.
