Sécuriser un site WordPress en 2026

Bon, WP. J'en maintiens une douzaine pour des clients, la plupart hébergés chez Infomaniak. Et franchement, j'ai vu passer trois sites hackés, dont deux que j'ai récupérés. Du coup je vais te dire ce qui marche vraiment, pas ce qu'on lit partout.

Premier truc, et c'est même pas négociable : tes mises à jour. Le coeur, les plugins, les thèmes. Tout. Automatique. Honnêtement, 9 sites compromis sur 10 que j'ai croisé , c'est un plugin pas mis à jour depuis 2 ans. Genre, un Contact Form 7 oublié, ou un slider abandonné par son dev. Voilà.

Les vrais pièges que je vois encore en 2026

J'vais commencer par ça parce que c'est là que les gens se font avoir. Pas par les attaques sophistiquées dont parlent les vendeurs de WAF.

Plugin abandonné. Tu vas sur la page du plugin, dernière mise à jour il y a 14 mois. Là tu fuis. Mars 2024, j'ai repris un site d'une cliente (Marie, fleuriste à Wavre) , son ancien dev avait installé un plugin de galerie photo qui n'était plus maintenu depuis 2021. Faille connue, exploitée, le site servait à faire du SEO black hat pour des pharmas chinoises. 2 jours de boulot pour tout nettoyer.

Thème nullé. Genre, le mec a téléchargé un thème premium gratos sur un site russe parce que payer 49$ ça lui faisait mal. J'en ai vu un en juin 2023, le thème injectait du JS chez le visiteur. Bref, jamais de thème nullé. Jamais.

Compte admin "admin". Ouais, en 2026, j'en trouve encore. Avec un mdp genre "Motdepasse2020". J'te jure.

Ma routine sur un site client

Je fais pas de truc compliqué. Voilà ce que j'applique systématiquement :

• Mises à jour auto activées sur tout (cœur, plugins, thèmes). Oui, ça peut casser un truc. C'est moins grave qu'un site hacké.
• MFA sur les comptes admin. J'utilise Wordfence Login Security, c'est gratuit et ça suffit.
• Mots de passe générés par Bitwarden, jamais dans la tête du client.
• Le compte admin par défaut, je le supprime. J'crée un compte avec un nom random.
• XML-RPC désactivé d'office, sauf si y'a une vraie raison (Jetpack, app mobile WP). 99% du temps, personne s'en sert.

Pour XML-RPC, dans le .htaccess :

<Files xmlrpc.php>
Require all denied
</Files>

wp-config, le hardening basique

Trois lignes que j'ajoute toujours :

define('DISALLOW_FILE_EDIT', true);
define('WP_AUTO_UPDATE_CORE', true);
define('FORCE_SSL_ADMIN', true);

La première bloque l'édition de fichiers depuis le dashboard. Si quelqu'un chope un mdp admin, il peut pas injecter du PHP via l'interface. C'est tout bête mais ça bloque 80% des défacements basiques.

WAF : Cloudflare ou Wordfence ?

Question qu'on me pose souvent. Honnêtement les deux font le job, mais pas la même chose.

Cloudflare, c'est en amont. Le trafic passe par eux avant d'arriver chez Infomaniak. Le plan gratuit suffit pour 90% des sites de TPE. Le mode "Under Attack" en cas de souci, c'est magique.

Wordfence, c'est dans WordPress. Plus précis sur les attaques WP-spécifiques (login brute force, scan de fichiers). Je mets souvent les deux. Le gratuit de Wordfence suffit largement pour un site vitrine, le premium (~120€/an) c'est pour les e-commerce.

Les tentatives de login

WP par défaut, t'as le droit à l'infini d'essayer ton mot de passe. C'est débile. Je mets Limit Login Attempts Reloaded, 4 essais, blocage 1h. Ou alors directement Wordfence qui le fait.

Anecdote : j'avais un site d'asbl (l'asbl Reliance, septembre 2023) qui se prenait genre 200 tentatives de connexion par jour sur /wp-login.php. J'ai changé l'URL de login (plugin WPS Hide Login), les tentatives sont tombées à zéro. C'est pas de la sécurité par obscurité au sens noble du terme , mais ça allège la charge serveur, et ça suffit à décourager les bots automatisés.

Backups, le vrai filet de sécu

Si t'as qu'un seul truc à retenir : tes backups doivent pas être sur le même serveur que ton site. Parce que si le serveur est compromis, tes backups le sont aussi.

Chez Infomaniak, le hub de sauvegarde Swiss Backup à 1€/mois, c'est nickel. Sinon UpdraftPlus avec stockage Dropbox ou Google Drive, gratuit, ça suffit pour les petits sites. Je teste la restauration tous les 6 mois sur un sous-domaine de staging. Parce qu'un backup qu'on a jamais restauré , c'est pas un backup, c'est un fichier.

Monitoring uptime

UptimeRobot gratuit, ping toutes les 5 min. Si le site tombe, je reçois un mail dans les 5 min. Si le site renvoie un code 200 mais que le contenu a changé (genre defacement), Wordfence me prévient. Bon, pas tout le temps en vrai, mais souvent.

J'ajoute aussi une alerte Google sur "monsite.be" + "hacked" ou "viagra". Ça paraît con mais ça m'a déjà sauvé une fois en 2022 sur un site dont l'admin était compromis depuis des semaines sans qu'on s'en rende compte.

Si ça arrive quand même

Tu coupes le site. Page d'attente. Tu identifies la faille (logs Apache, dates de modif des fichiers PHP). Tu restaures un backup propre, antérieur à la compromission. Tu patches la faille. Tu forces le reset des mdp de tout le monde. Et si y'a des données perso, tu déclares à l'APD sous 72h.

Et tu paies pas de rançon. Jamais. Si c'est trop salaud comme nettoyage, tu m'écris ou tu trouves un freelance qui sait faire. Compte 1 à 3 jours de boulot pour un nettoyage propre.

Pour finir

Sécuriser un WP, c'est pas un projet. C'est 1h par mois, à peu près. Tu vérifies les mises à jour, tu regardes les logs Wordfence, tu lances un scan, tu testes ton backup. C'est tout. Le coût d'un site compromis , 5 à 20 jours de remise en route, perte de référencement, clients qui flippent , c'est sans commune mesure avec cette heure mensuelle.

Si t'as un doute sur ton site, tu m'envoies un message. Je fais des audits rapides , je regarde les plugins, les permissions, le wp-config. Ça prend 1h et tu sais où tu en es.