Sécurité & maintenance

WordPress et sécurité : les points sensibles

WordPress fait tourner 40% du web et attire autant les visiteurs que les attaques automatisées ; tout dépend de comment il est tenu.

4 min de lecture · Mis à jour le 07 juillet 2026

WordPress fait tourner plus de 40% des sites dans le monde, ce qui en fait aussi la cible numéro un des attaques automatisées. Ce n'est pas WordPress lui-même le problème, c'est la manière dont il est configuré et laissé à l'abandon. Un site WordPress bien tenu résiste sans souci ; un site laissé en pilote automatique depuis trois ans devient une question de temps.

Les extensions, la première porte d'entrée

Sur un WordPress moyen, on compte entre 15 et 30 extensions actives. Chacune est écrite par un développeur différent, avec un niveau de qualité variable, et chacune est une surface d'attaque potentielle. Les failles les plus exploitées en 2025-2026 ne viennent presque jamais du cœur de WordPress, très surveillé, mais d'extensions secondaires abandonnées par leur auteur ou mises à jour trop rarement.

La règle pratique : désinstaller (pas juste désactiver) toute extension inutilisée, et vérifier avant d'en installer une nouvelle qu'elle a été mise à jour dans les 6 derniers mois et compte un nombre d'installations actives crédible.

Les identifiants, la faille la plus bêtement évitable

"admin" comme identifiant et un mot de passe simple restent, en 2026, une cause majeure de piratage. Les attaques par force brute testent des milliers de combinaisons par heure sur l'URL /wp-admin. Les mesures de base :

  • Un identifiant différent d'"admin", propre à chaque utilisateur
  • Un mot de passe généré aléatoirement d'au moins 16 caractères, stocké dans un gestionnaire
  • Une limitation du nombre de tentatives de connexion (blocage après 3 à 5 échecs)
  • Idéalement une authentification à deux facteurs pour les comptes administrateur

Les fichiers modifiables, ce que les pirates cherchent en priorité

Une fois entré, un attaquant cherche à injecter du code dans les fichiers du thème ou dans des fichiers upload censés ne contenir que des images. Un serveur mal configuré autorise l'exécution de scripts PHP dans le dossier des médias, ce qui permet à un fichier déguisé en image de prendre le contrôle du site. La configuration serveur doit explicitement interdire l'exécution de code dans ces dossiers, une règle souvent absente sur les hébergements mutualisés bas de gamme.

Le thème et le core, silencieux mais critiques

Un thème premium acheté une fois et jamais mis à jour finit par accumuler les mêmes vulnérabilités qu'une extension abandonnée. Le core de WordPress publie régulièrement des correctifs de sécurité critiques, parfois appliqués automatiquement, mais pas toujours si le site utilise une version personnalisée ou très ancienne. Vérifier la version du core et forcer la mise à jour vers la dernière version stable est un réflexe de base, trop souvent négligé sur des sites gérés en interne sans compétence technique dédiée.

Ce qu'un piratage coûte réellement

Au-delà du coût technique de nettoyage (entre 300 et 1 500 euros selon l'ampleur), un site WordPress piraté perd généralement son référencement pendant plusieurs semaines : Google détecte le contenu malveillant injecté et retire le site des résultats, ou pire, affiche un avertissement "site potentiellement dangereux" qui fait fuir tout visiteur. La remontée après désindexation prend souvent plus de temps que le piratage lui-même.

Le réflexe à adopter dès maintenant

Si votre WordPress a plus de 3 ans, plus de 20 extensions, ou si personne ne sait dire quand a eu lieu la dernière mise à jour, faites un audit avant qu'un incident vous y force. Un contrat de maintenance et sécurité sérieux couvre précisément ces points de façon continue, pas seulement au moment de la création. Si le site accumule les alertes malgré un suivi régulier, la solution n'est parfois plus le rafistolage mais une refonte sur des bases plus saines.

Un projet de site ou de refonte ?

On en parle sans engagement. Devis détaillé sous 24h.

Demander mon devis gratuit →
Demander mon devis gratuit