Guide expert

Sécuriser un site WordPress en 2026

· 4 min de lecture · 762 mots · par Stéphane

WordPress fait tourner 43 % du web. C'est aussi la plateforme la plus attaquée. Pourtant, sécuriser un WordPress en 2026 demande surtout de la discipline, pas une expertise pointue. Voici les 10 mesures qui protègent votre site contre 99 % des attaques.

1. Hébergement spécialisé WordPress

Les hébergeurs WordPress managés (Kinsta, WP Engine, o2switch) appliquent des règles de sécurité par défaut que vous n'aurez jamais sur un mutualisé bas de gamme : pare-feu spécifique WordPress, scan automatique de malware, isolation des fichiers PHP. Comptez 25-50 €/mois — c'est rentable.

2. Mises à jour automatiques activées

Depuis WordPress 5.6, les mises à jour automatiques peuvent inclure les versions majeures, pas seulement les correctifs. Activez-les pour le cœur, les thèmes et les plugins.

Configuration recommandée dans wp-config.php :

define( 'WP_AUTO_UPDATE_CORE', true );
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

Risque : une mise à jour casse votre site. Mitigation : sauvegardes quotidiennes + un staging hebdomadaire pour tester.

3. MFA obligatoire sur tous les admins

L'authentification à 2 facteurs bloque 99 % des piratages par credential stuffing. Plugins recommandés : Wordfence Login Security (gratuit), Two Factor Authentication (par WP-Engine, simple).

Pour les rôles "admin" et "editor", la MFA doit être obligatoire, pas optionnelle.

4. Limiter les tentatives de connexion

WordPress par défaut permet des tentatives de login illimitées. Plugin de base : Limit Login Attempts Reloaded. Configuration : 4 tentatives, blocage 1h, blocage 24h après 4 cycles. Combinez avec Wordfence pour un firewall complet.

5. Cacher le fichier xmlrpc.php

Le fichier xmlrpc.php est une porte d'entrée massive pour les attaques par force brute. Si vous n'utilisez pas l'app mobile WordPress ou Jetpack, désactivez-le complètement :

# dans .htaccess
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

6. Réduire la surface : moins de plugins

Chaque plugin est une porte d'entrée potentielle. Audit type :

  • Désactiver et supprimer tous les plugins non utilisés (pas seulement désactivés)
  • Identifier les plugins non maintenus depuis plus de 12 mois → remplacer ou supprimer
  • Lire les changelog des plugins pour vérifier que les correctifs de sécurité sont déployés
  • Préférer 1 gros plugin (Yoast pour SEO) à 5 petits plugins qui font la même chose

Notre recommandation Si vous avez plus de 30 plugins actifs, faites un audit. La majorité des sites avec 50+ plugins en ont 30 qui ne servent plus.

7. Permissions de fichiers correctes

  • Dossiers : 755
  • Fichiers PHP : 644
  • wp-config.php : 440 ou 400 (lisible uniquement par l'utilisateur web)
  • .htaccess : 644

8. HTTPS partout, HSTS activé

HTTPS via Let's Encrypt est gratuit. Une fois en place, ajoutez le header HSTS dans votre .htaccess :

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Cela force les navigateurs à toujours utiliser HTTPS, même si l'utilisateur tape http://.

9. Sauvegardes externes automatisées

Les sauvegardes du serveur ne suffisent pas. Plugin recommandé : UpdraftPlus (gratuit, configurable vers Google Drive, Dropbox, S3) ou BackWPup. Configuration : sauvegarde quotidienne complète, rétention 30 jours, stockage vers un cloud externe.

10. Monitoring et scan continu

  • Wordfence : scan quotidien des fichiers + alertes de modification
  • Sucuri SiteCheck (gratuit) : scan externe hebdomadaire
  • UptimeRobot : alerte si le site tombe
  • Mots-clés Google Alerts sur "votredomaine.be hacked" — pour détecter une compromission visible

Que faire si votre site est piraté ?

  1. Mise hors ligne immédiate (page d'attente)
  2. Identifier la faille (logs serveur, plugin compromis, mot de passe volé)
  3. Restaurer depuis une sauvegarde antérieure à la compromission
  4. Patcher la faille avant remise en ligne
  5. Forcer reset de tous les mots de passe (admins + utilisateurs)
  6. Notifier l'APD sous 72h si données personnelles concernées

Ne payez jamais de rançon. Si la compromission est complexe, faites appel à un expert (300-800 €/jour pour une remediation complète).

Checklist sécurité WordPress 2026

  • Hébergement WordPress managé ou VPS bien configuré
  • Mises à jour automatiques activées (cœur, thèmes, plugins)
  • MFA obligatoire pour admins et editors
  • Limit Login Attempts ou Wordfence configuré
  • xmlrpc.php désactivé si non utilisé
  • Audit plugins effectué (moins de 25 plugins idéal)
  • Permissions fichiers vérifiées (755/644/440)
  • HTTPS partout + HSTS activé
  • Sauvegardes externes quotidiennes (UpdraftPlus + cloud)
  • Monitoring quotidien (Wordfence + UptimeRobot)
  • Procédure de réponse à incident documentée

Sécuriser un WordPress n'est pas un acte unique, c'est une discipline mensuelle de 1-2h. Cette discipline coûte beaucoup moins que les 5 à 20 jours de remise en service après compromission.

Une question sur ce sujet ?

Cette lecture vous a donné envie d'agir mais vous avez une question spécifique à votre contexte ? On en discute 30 minutes, sans engagement.

Me contacter