43% des CMS pirates sont des WordPress. Ce guide vous donne les 5 etapes concretes pour securiser votre site, les meilleurs plugins gratuits, et les erreurs que la plupart des PME commettent sans le savoir.
83% des CMS infectes par des malwares sont des installations WordPress selon Sucuri (2025) : la securite n'est pas optionnelle, c'est un prerequis.52% des compromissions WordPress proviennent de plugins vulnerables : la mise a jour de vos extensions est le geste de securite le plus impactant.Wordfence en version gratuite couvre l'essentiel des besoins d'une PME : pare-feu WAF, scan de malwares et protection brute force.La checklist complete de securisation prend 30 minutes : mises a jour, identifiants, plugin de securite, sauvegardes et HTTPS.43% des sites web dans le monde tournent sur WordPress, et selon Sucuri (2025), 83% des CMS infectes par des malwares sont des installations WordPress. Ce n'est pas une fatalite : c'est la consequence directe de mauvaises pratiques que l'on peut corriger en moins d'une heure. Ce guide vous donne les etapes concretes pour proteger votre site, les outils qui font le travail, et les erreurs a ne pas commettre si vous gerez un site WordPress sans equipe IT interne.
Un site WordPress pirate entraine trois types de pertes : financieres, operationnelles et reputationnelles. Le cout moyen d'une violation de donnees pour une PME europeenne est de 4 200 euros selon IBM Security (2024), sans compter les journees perdues a restaurer le site. Un site mis en liste noire par Google perd en moyenne 95% de son trafic organique du jour au lendemain, une decimation que meme un bon travail de SEO WordPress ne peut pas absorber. Et la confiance des clients, une fois erodee par un incident visible (formulaires de contact detournes, redirections malveillantes), se reconstitue lentement.
WordPress represente 43% des sites web mondiaux selon WordPress.org (2025), ce qui en fait mecaniquement la cible prioritaire des scanners automatises. Ces robots ne ciblent pas votre entreprise specifiquement : ils cherchent des installations non mises a jour, des plugins vulnerables connus, des mots de passe faibles. Un cabinet de conseil lyonnais avec lequel nous avons travaille avait 1 200 tentatives de connexion sur son wp-admin en un seul mois, sans s'en rendre compte, faute de monitoring actif. Resultat : un compte administrateur compromis, trois semaines de travail perdu, et une facture de remise en etat de 1 800 euros.
Selon NordPass (2025), "123456" et "password" figurent encore dans le top 10 des mots de passe les plus utilises mondialement. Sur WordPress, le compte administrateur avec un mot de passe de moins de 12 caracteres est vulnerable a une attaque par brute force en quelques heures. La regle est simple : un mot de passe de 16 caracteres minimum, genere aleatoirement, stocke dans un gestionnaire comme Bitwarden ou 1Password. Si vous avez plusieurs contributeurs sur votre site, verifiez leurs identifiants aussi, un compte "redacteur" compromis peut suffire a injecter du code malveillant.
Wordfence (2025) indique que 52% des compromissions WordPress proviennent de plugins vulnerables. Chaque plugin non mis a jour est une faille potentielle documentee publiquement dans la base CVE. Les attaquants automatises consultent cette base et scannent les sites qui utilisent encore des versions vulnerables. Un plugin populaire comme WooCommerce ou Elementor avec une faille critique peut exposer des dizaines de milliers de sites simultanement. La maintenance reguliere de vos extensions n'est pas optionnelle : c'est le fondement de la maintenance de votre site web.
Le core WordPress recoit des mises a jour de securite regulieres. Rester sur une version majeure ancienne (WordPress 5.x alors que la 6.x est disponible) expose votre site a des vulnerabilites publiquement documentees. Les mises a jour mineures (6.5.1, 6.5.2...) sont souvent des correctifs de securite critiques. WordPress les deploie en mise a jour automatique par defaut, mais cette option est parfois desactivee par les hebergeurs ou les developpeurs. Verifiez que vos mises a jour automatiques de securite sont bien actives dans votre tableau de bord.
Le fichier wp-config.php contient vos identifiants de base de donnees en clair. S'il est accessible via le navigateur (ce qui arrive sur certaines configurations d'hebergement incorrectes), n'importe qui peut recuperer ces informations. La verification prend 30 secondes : tapez l'URL de votre site suivie de /wp-config.php dans votre navigateur. Si votre navigateur vous propose de telecharger le fichier ou affiche son contenu, votre hebergement est mal configure. Ce point est directement lie au choix de votre infrastructure, notre guide sur l'hebergement web detaille les criteres de securite a exiger.
Le protocole FTP transmet vos identifiants en clair sur le reseau. Sur un Wi-Fi public ou un reseau d'entreprise non segmente, une interception est triviale. Privilegiez SFTP ou SSH pour tout transfert de fichiers vers votre serveur. La plupart des hebergeurs modernes proposent l'acces SSH en standard sur leurs offres intermediaires. Si votre hebergeur ne propose que du FTP classique, c'est un signal que l'infrastructure n'est pas a la hauteur des standards 2026.
Rendez-vous dans Tableau de bord > Mises a jour. Appliquez toutes les mises a jour disponibles : core, themes, plugins. Avant de lancer les mises a jour sur un site en production, faites une sauvegarde manuelle. Cela prend 10 minutes et vous evite de bloquer votre site si une mise a jour est incompatible avec votre configuration. Un plan de maintenance mensuel structure est plus efficace que des mises a jour en urgence.
Changez le nom d'utilisateur "admin" si vous l'utilisez encore, c'est le premier login qu'un attaquant va tester. Creez un nouveau compte administrateur avec un nom d'utilisateur non evident, transferez les contenus, puis supprimez l'ancien compte "admin". Activez l'authentification a deux facteurs (2FA) via un plugin comme WP 2FA ou directement depuis Wordfence. Auditez les comptes existants : supprimez les acces des prestataires ou employes qui ne travaillent plus sur le site.
Wordfence et Sucuri Security sont les deux references du marche. Wordfence inclut un pare-feu applicatif (WAF), un scanner de malwares et une protection contre les attaques brute force, la version gratuite couvre l'essentiel pour une PME. Sucuri est plus oriente audit et nettoyage post-incident, avec un service de suppression de malwares dans sa version payante (a partir de 199 dollars/an). Solid Security (anciennement iThemes Security) offre une bonne gestion des roles et des alertes. Installez-en un seul : deux plugins de securite actifs simultanement peuvent entrer en conflit.
UpdraftPlus est le plugin de sauvegarde le plus utilise sur WordPress (3 millions d'installations actives). La version gratuite permet des sauvegardes automatiques planifiees vers Google Drive, Dropbox ou Amazon S3. Configurez une sauvegarde complete (fichiers + base de donnees) au minimum une fois par semaine, et une sauvegarde de la base de donnees uniquement tous les jours si vous avez un site e-commerce ou un blog actif. Testez la restauration au moins une fois : une sauvegarde que vous n'avez jamais restauree est une sauvegarde dont vous ne connaissez pas l'etat reel.
Un certificat SSL valide chiffre les echanges entre votre serveur et vos visiteurs. Depuis 2018, Google Chrome signale les sites sans HTTPS comme "non securises", ce qui nuit a la fois a votre credibilite et a votre classement SEO. La plupart des hebergeurs proposent Let's Encrypt gratuitement. Verifiez que votre certificat est valide et qu'il se renouvelle automatiquement (ils expirent tous les 90 jours avec Let's Encrypt). Une fois HTTPS active, forcez la redirection HTTP vers HTTPS dans votre fichier .htaccess ou via votre plugin de securite.
Quatre outils couvrent 90% des besoins d'une PME. Voici comment les distinguer selon votre situation.
| Plugin | Point fort | Version gratuite suffisante ? | Pour qui |
|---|---|---|---|
| Wordfence | Pare-feu WAF + scan temps reel | Oui, pour la majorite des PME | Sites vitrine, blogs, petits e-commerce |
| Sucuri Security | Nettoyage post-piratage garanti | Scan uniquement (WAF payant) | Sites ayant deja ete infectes |
| Solid Security (iThemes) | Gestion des roles et des acces | Oui pour les fonctions de base | Sites avec plusieurs contributeurs |
| UpdraftPlus | Sauvegardes fiables et restauration | Oui pour sauvegardes locales et cloud | Tous les sites sans exception |
Wordfence reste notre recommandation par defaut pour les PME qui debutent en securite WordPress. Son tableau de bord centralise les alertes, les tentatives de connexion bloquees et l'etat du scan en un seul endroit. Selon Wordfence (2025), son WAF bloque plus de 4 milliards d'attaques par mois sur l'ensemble des sites equipes. Une boutique en ligne dans le secteur cosmetique que nous avons securisee a constate une reduction de 97% des tentatives de connexion abusives dans les 48 heures suivant l'installation.
Mettre a jour WordPress et ses plugins est necessaire, mais pas suffisant. Un site a jour avec des mots de passe faibles et sans 2FA reste vulnerable. Un site protege par Wordfence mais avec des sauvegardes desactivees peut etre nettoye mais pas restaure rapidement apres un incident. La securite WordPress est un ensemble de couches complementaires : mises a jour + identifiants forts + plugin de securite + sauvegardes + HTTPS. Retirer une couche fragilise l'ensemble.
La sauvegarde est la seule protection contre les scenarios catastrophiques : serveur defaillant, ransomware, erreur de manipulation, suppression accidentelle. Selon Acronis (2024), 54% des PME n'ont pas de plan de recuperation apres sinistre documente. Une sauvegarde sur le meme serveur que votre site ne vous protege pas si le serveur est compromis ou tombe en panne : elle doit etre stockee sur un espace externe (cloud ou stockage local separe).
Chaque prestataire qui quitte le projet doit voir son acces revoque le jour meme. Un compte administrateur actif appartenant a une personne qui ne travaille plus pour vous est un risque permanent. Auditez vos utilisateurs WordPress une fois par trimestre : Utilisateurs > Tous les utilisateurs. Supprimez ou degradez les comptes inactifs. Si vous envisagez une refonte de votre site WordPress, c'est le bon moment pour faire ce menage.
Un hebergement a 2 euros par mois partage ses ressources avec des centaines d'autres sites. Si l'un d'eux est infecte, la contamination peut se propager a votre site via les fichiers systeme partages. Les hebergeurs serieux proposent l'isolation des comptes, des sauvegardes automatiques incluses, et un pare-feu au niveau serveur. Ces fonctionnalites ne sont pas des options luxe : elles font partie des criteres de base detailles dans notre guide complet sur l'hebergement web.
/wp-config.php n'est pas accessible via le navigateurUne securite WordPress durable repose sur un rythme de maintenance regulier, pas sur une intervention ponctuelle. Chaque mois : verifier les mises a jour, parcourir les alertes Wordfence, tester la restauration d'une sauvegarde. Chaque trimestre : auditer les comptes utilisateurs, verifier la validite du certificat SSL, parcourir les logs de connexion pour detecter des acces inhabituels. Chaque annee : revoir l'hebergement, tester un audit de securite complet. Si vous n'avez pas le temps de maintenir ce rythme, une prestation de maintenance mensuelle est plus rentable qu'une intervention d'urgence apres piratage.
La plupart des sites WordPress pirates ne l'ont pas ete par des attaques sophistiquees : ils ont ete victimes de failles connues, de mots de passe faibles et de plugins non mis a jour. La checklist de cet article couvre les mesures qui bloquent 90% des vecteurs d'attaque courants. Commencez par les mises a jour et Wordfence aujourd'hui, vous pouvez completer les autres etapes dans la semaine. Si vous souhaitez un audit structure de votre site et un plan de securite adapte a votre situation, notre equipe peut vous accompagner : c'est le point de depart logique avant toute refonte ou evolution de votre presence en ligne.
Votre hebergeur conditionne la vitesse, le SEO et la securite de votre site. Comparatif des meilleurs hebergeurs en France, 7 criteres de choix et erreurs a eviter pour les PME en 2026.
Google Analytics 4 s'installe en moins de 15 minutes et révèle pourquoi vos visiteurs ne convertissent pas. Guide complet : installation, 5 rapports clés, conformité RGPD et 3 diagnostics concrets pour PME.
Le taux de rebond moyen d'un site vitrine PME atteint 50 à 65 %. Au-delà de 75 %, vous perdez chaque mois des dizaines de leads. Benchmarks 2026, causes, outils et plan d'action concret.
Comparez gratuitement les devis de nos partenaires sélectionnés et
économisez jusqu'à 30% sur votre budget IA.