WordPress propulse 43,2 % de tous les sites du web en 2026 selon W3Techs, soit plus de 500 millions de sites actifs. Cette domination en fait la cible numéro un des attaquants automatisés : Wordfence intercepte en moyenne 90 000 attaques par minute sur l'ensemble des sites qu'il protège. Pour une PME, ignorer cette réalité revient à laisser sa porte d'entrée déverrouillée. Pourtant, la majorité des hacks WordPress restent évitables avec une approche méthodique. Ce guide PME, basé sur les recommandations de l'ANSSI, de l'OWASP et des éditeurs majeurs, détaille la stack hardening minimale viable en 2026.
TL;DR — Sécurité WordPress 2026 en 6 points
- 43,2 % du web tourne sous WordPress (W3Techs 2026), ce qui en fait la cible numéro un des bots et attaquants automatisés.
- 90 000 attaques par minute sont bloquées par Wordfence sur son réseau, dont 60 % de brute force sur /wp-login.php.
- 95 % des hacks WordPress proviennent de plugins/thèmes obsolètes ou de mots de passe faibles, et 3 % seulement du core (Sucuri Hacked Website Report 2025).
- Stack minimale viable PME : 2FA sur tous les admins, WAF Cloudflare gratuit, sauvegardes 3-2-1, mises à jour sous 7 jours.
- Coût annuel sécurité PME : 0 à 250 euros selon les outils choisis, soit 1 à 5 % du budget site web typique.
- Temps moyen post-hack : 48 heures pour restaurer un site WordPress proprement durci, contre 2 à 4 semaines sans sauvegarde fiable.
État des menaces WordPress en 2026
Le paysage des attaques WordPress s'est massifié et automatisé. Le Wordfence Threat Intelligence Report 2025 recense 90 000 attaques par minute en moyenne sur son réseau, avec des pics à 270 000 lors des campagnes ciblées. La répartition montre que 60 % des tentatives sont du brute force sur les pages de connexion, 30 % exploitent des vulnérabilités de plugins, 7 % visent les thèmes et seulement 3 % le core WordPress.
Cette concentration sur les plugins n'est pas un hasard. L'écosystème WordPress compte plus de 59 000 plugins gratuits sur wordpress.org et autant en commercial, avec une qualité de code très variable. Le rapport Patchstack 2025 a documenté 7 966 nouvelles vulnérabilités WordPress publiées sur l'année, soit 22 par jour en moyenne.
Typologie des attaquants en 2026
Trois profils dominent. Les bots opportunistes scannent le web entier à la recherche d'une faille connue non patchée. Ils représentent 85 % du volume mais ciblent rarement une PME spécifique. Les attaquants ciblés visent un secteur ou un concurrent : ils représentent 12 % des cas mais font les dégâts les plus coûteux. Enfin, les insiders (5 %) exploitent un accès légitime mal révoqué.
Pourquoi WordPress concentre les attaques
La part de marché écrasante de WordPress crée un effet de levier économique pour les attaquants. Un kit d'exploitation rentable sur 0,1 % des sites WordPress touche déjà 500 000 cibles potentielles. Les CMS concurrents comme Drupal (1,7 % du marché selon W3Techs) ou Joomla (1,9 %) ne justifient pas le même investissement criminel. Ce n'est donc pas une question de sécurité intrinsèque mais d'exposition statistique.
Chiffre clé : selon le rapport Sucuri Hacked Website Report 2025, 95 % des compromissions WordPress impliquent un plugin ou un thème vulnérable, et 60 % des sites infectés n'avaient pas appliqué les mises à jour disponibles depuis plus de 30 jours.
Quelles sont les 10 vulnérabilités WordPress les plus exploitées en 2026 ?
Selon la base WPScan, 10 catégories concentrent 78 % des exploitations actives en 2026. Connaître cette top liste permet de prioriser le hardening sur les vrais risques plutôt que sur des menaces théoriques. Voici la cartographie observée sur les 12 derniers mois par Patchstack et Wordfence sur leur réseau combiné de 5 millions de sites surveillés.
| Rang | Vulnérabilité | Vecteur | Part exploitations |
|---|---|---|---|
| 1 | Brute force /wp-login.php | Mots de passe faibles, pas de 2FA | 28 % |
| 2 | Plugin Elementor (CVE 2024) | Privilege escalation auteur, admin | 11 % |
| 3 | Plugins nulled (crackés) | Backdoor pré-injecté | 9 % |
| 4 | WP Bakery / autres builders | XSS stored, file upload | 7 % |
| 5 | SQL injection contact forms | Plugins formulaires anciens | 6 % |
| 6 | REST API exposée | Énumération users, modification posts | 5 % |
| 7 | Cross-site scripting (XSS) | Commentaires, champs custom | 4 % |
| 8 | CSRF (Cross-Site Request Forgery) | Actions admin sans nonce | 3 % |
| 9 | File upload arbitraire | Plugins media, themes nulled | 3 % |
| 10 | XML-RPC amplification | Brute force amplifié | 2 % |
Le top 3 représente à lui seul 48 % des exploitations, ce qui signifie qu'une PME couvrant ces trois vecteurs (2FA contre brute force, MAJ Elementor, refus des plugins nulled) élimine déjà la moitié de son risque réel.
Le piège des plugins nulled (piratés)
9 % des sites WordPress hackés en 2026 utilisent un plugin ou thème premium piraté téléchargé sur des sites comme nullclub ou gplsite. Ces versions craquées contiennent quasi systématiquement une backdoor dormante. Économiser 60 euros sur un plugin légitime coûte en moyenne 2 400 euros de nettoyage post-hack selon les chiffres Sucuri 2025.
Hardening de base : les 12 actions immédiates
Selon les recommandations croisées de WordPress.org et de l'ANSSI, 80 % du risque WordPress disparaît avec 12 actions de hardening exécutables en une demi-journée. Aucune ne demande de compétence dev avancée : un administrateur WordPress avec accès FTP les implémente sans dépendance externe.
Action 1 à 4 : verrouiller l'accès admin
- Changer l'URL /wp-admin/ et /wp-login.php via WPS Hide Login (1 million d'installations actives). Bloque 90 % des brute force automatisés qui ciblent l'URL par défaut.
- Désactiver XML-RPC via .htaccess ou plugin Disable XML-RPC. XML-RPC permet une amplification du brute force (10 000 tentatives par requête).
- Limiter les tentatives de connexion avec Limit Login Attempts Reloaded : 5 échecs maximum sur 15 minutes, ban IP automatique.
- Activer la 2FA sur tous les comptes Administrateur et Éditeur via Wordfence 2FA ou Two Factor (plugin officiel WordPress).
Action 5 à 8 : durcir le code et la configuration
- Masquer la version WordPress : supprimer la meta generator dans functions.php et supprimer readme.html à la racine.
- Désactiver l'édition de fichiers via wp-config.php :
define('DISALLOW_FILE_EDIT', true);. Bloque un attaquant ayant compromis un admin de modifier le code via le back-office. - Hardening .htaccess : bloquer l'accès à wp-config.php, .git, debug.log et tous les fichiers .sql ou .zip oubliés à la racine.
- Désactiver la REST API pour les utilisateurs non connectés via plugin Disable WP REST API si l'API n'est pas utilisée par un front-end JS.
Action 9 à 12 : auditer et nettoyer
- Audit des comptes utilisateurs : supprimer tout compte inactif depuis 90 jours, vérifier qu'aucun admin n'a le username "admin" ou "administrator".
- Supprimer les plugins inactifs : un plugin désactivé reste un fichier exécutable potentiel si non supprimé.
- Supprimer les thèmes inutilisés : ne conserver que le thème actif et un thème WordPress par défaut (Twenty Twenty-Five) pour debug.
- Nettoyer la racine : aucun fichier .sql, .zip, .bak, .log ne doit traîner à la racine ou dans /wp-content/uploads/.
Coût total : ces 12 actions sont 100 % gratuites en autonomie. En délégation à une agence, comptez 300 à 600 euros pour un audit hardening complet documenté avec rapport.
Quel plugin de sécurité WordPress choisir en 2026 ?
Le marché des plugins de sécurité WordPress compte 5 acteurs majeurs représentant 78 % des installations selon les statistiques publiques de WordPress.org. Le choix dépend du budget, du nombre de sites à protéger et du niveau de criticité métier. Wordfence reste le standard de fait avec plus de 5 millions d'installations actives en 2026.
| Plugin | Prix /an | WAF | Scan malware | 2FA | Best for |
|---|---|---|---|---|---|
| Wordfence Free | 0 € | Endpoint, J+30 | Oui | Oui | PME vitrine |
| Wordfence Premium | 119 $ | Endpoint temps réel | Premium | Oui | WordPress trafiqué |
| Solid Security Pro | 80 $ | Basique | Oui | Oui | Multi-sites |
| Sucuri Platform | 200 $ | Cloud | Oui + clean | Via WAF | E-commerce critique |
| MalCare | 99 $ | Cloud léger | Off-site | Oui | Sites lents |
| All In One WP Sec | 0 € | Non | Basique | Oui | Hardening seul |
Wordfence : la référence par défaut
Wordfence cumule 5+ millions d'installations actives et publie un Threat Intelligence Report trimestriel. La version gratuite couvre 80 % des besoins PME : scan malware, firewall endpoint, 2FA, blocage IP. La version Premium à 119 dollars par an apporte les règles WAF en temps réel (au lieu d'un délai de 30 jours), la réputation IP en live et le support prioritaire.
Sucuri : le choix e-commerce
Sucuri Platform à 200 dollars par an inclut le WAF cloud (avant le serveur), le scan malware, le nettoyage post-hack illimité et un SLA de 6 heures pour le clean. Pour un WooCommerce générant 50 000+ euros de CA mensuel, le coût se rentabilise dès la première alerte.
Solid Security : l'ex-iThemes pour multi-sites
Anciennement iThemes Security, renommé Solid Security en 2023, ce plugin facture par site à 80 dollars par an. Son interface "tableau de bord unique" pour gérer plusieurs sites WordPress en fait le choix favori des agences. Le WAF reste basique : combiner avec Cloudflare est recommandé.
WAF (Web Application Firewall) : Cloudflare vs Sucuri vs Wordfence
Un WAF filtre les requêtes malveillantes avant qu'elles n'atteignent WordPress. Selon Cloudflare, un WAF bien configuré bloque 60 à 80 % des attaques applicatives courantes (SQLi, XSS, brute force). Trois approches dominent en 2026 : WAF cloud (Cloudflare, Sucuri), WAF endpoint (Wordfence) et WAF serveur (ModSecurity côté hébergeur).
WAF cloud vs WAF endpoint : la différence critique
Un WAF cloud comme Cloudflare WAF filtre les requêtes au niveau DNS, donc avant même que le trafic atteigne votre serveur. Un WAF endpoint comme Wordfence s'exécute dans WordPress lui-même : la requête malveillante consomme déjà du CPU avant d'être bloquée. Pour les attaques DDoS volumétriques, seul le WAF cloud protège efficacement.
Cloudflare WAF gratuit : la stack PME par défaut
Le plan gratuit Cloudflare inclut un WAF basique avec les règles OWASP Core Ruleset et la protection DDoS illimitée. Selon Cloudflare, plus de 20 % du web passe par leur réseau en 2026. Pour une PME, activer Cloudflare Free + Wordfence Free représente déjà 90 % de la protection accessible. Le plan Cloudflare Pro à 20 dollars par mois ajoute les règles WAF managées et le bot fight mode avancé.
Sucuri WAF : le cloud premium
Sucuri WAF à 9,99 dollars par mois (110 par an) inclut le nettoyage post-hack et un support 24/7 dédié WordPress. Son point fort : la configuration "set and forget" sans paramétrage avancé. Le ticket d'entrée reste plus accessible que la pile Cloudflare Pro + service de nettoyage séparé.
Recommandation stack PME 2026 : Cloudflare Free DNS + Wordfence Free plugin + 2FA + sauvegardes UpdraftPlus = 0 euro et 85 % du risque couvert. Upgrade vers Cloudflare Pro ou Sucuri si trafic supérieur à 50 000 visites mensuelles ou e-commerce actif.
Comment activer la 2FA sur WordPress ?
L'authentification à deux facteurs (2FA) bloque 99,9 % des attaques par compromission de mot de passe selon Microsoft Security. Pourtant, moins de 30 % des sites WordPress PME l'activent en 2026 d'après l'étude WP Engine Security Report 2025. C'est la mesure au meilleur rapport effort, sécurité de tout le hardening WordPress.
Quel plugin 2FA WordPress en 2026 ?
Trois options solides existent. Wordfence 2FA (inclus dans Wordfence Free) supporte TOTP via Google Authenticator, Authy ou 1Password. Two Factor, plugin officiel maintenu par les core contributors WordPress, offre TOTP, email, clés FIDO U2F et codes de récupération sans dépendance externe. WP 2FA de Melapress propose une interface plus accessible avec wizard de setup.
Codes de récupération : ne JAMAIS sauter cette étape
Lors de l'activation 2FA, générer immédiatement 10 codes de récupération et les stocker dans un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass). Sans ces codes, perdre son téléphone signifie perdre l'accès admin définitivement. Selon notre retour terrain agence, 1 cas sur 5 de "WordPress hacké" signalé par un client est en réalité un admin verrouillé par sa propre 2FA mal configurée.
Gestion 2FA en équipe multi-utilisateurs
Pour une équipe de 5+ utilisateurs WordPress, forcer la 2FA sur tous les rôles Administrateur et Éditeur via la politique "Require 2FA" de Wordfence Premium ou Two Factor. Documenter une procédure de réinitialisation 2FA (via FTP / phpMyAdmin) pour les cas de perte d'appareil sans codes de récupération.
Sauvegardes WordPress : la règle 3-2-1 expliquée
La règle 3-2-1 de l'US-CERT et reprise par la CNIL impose 3 copies des données, sur 2 supports différents, dont 1 hors-site géographique. Appliquée à WordPress, cette règle réduit le temps de restauration post-hack de 2 semaines à 2 heures selon les benchmarks BlogVault 2025. C'est la seule mesure qui sauve quand toutes les autres ont échoué.
Comparatif des solutions de sauvegarde WordPress
| Solution | Prix /an | Hors-site | Incrémental | Restauration 1-clic | Best for |
|---|---|---|---|---|---|
| UpdraftPlus Free | 0 € | Manuel S3, Drive | Non | Oui | Site vitrine |
| UpdraftPlus Premium | 70 $ | Inclus | Oui | Oui | Multi-sites PME |
| BackWPup Pro | 69 € | Inclus | Oui | Manuel | Sysadmins |
| Jetpack VaultPress | 120 $ | Cloud Automattic | Temps réel | Oui | Blogs actifs |
| BlogVault | 89 $ | AWS dédié | Temps réel | Oui + staging | WooCommerce |
| WP Vivid | 49 $ | Inclus | Oui | Oui | Budget serré |
Fréquence recommandée selon le type de site
- Site vitrine peu modifié : sauvegarde hebdomadaire + rétention 8 semaines.
- Blog actif ou site marketing : sauvegarde quotidienne + rétention 30 jours.
- WooCommerce ou WordPress e-commerce : sauvegarde temps réel ou horaire + rétention 90 jours.
- WordPress multisite : sauvegarde quotidienne + 1 sauvegarde mensuelle archivée hors-site.
Tester ses sauvegardes : l'étape oubliée
Une sauvegarde non testée n'est pas une sauvegarde. Selon Veeam Data Protection Report 2024, 33 % des entreprises découvrent que leur backup est corrompu au moment de la restauration. Tester chaque trimestre une restauration sur un environnement de staging valide la chaîne complète : compression, transfert, intégrité base + fichiers.
Hébergement et sécurité WordPress : qui durcit quoi ?
L'hébergement représente 40 % de la couche sécurité WordPress selon l'analyse Kinsta Security 2025. Un hébergement mutualisé bas de gamme laisse à la charge du client l'intégralité du hardening serveur. Un hébergement managé WordPress (WP Engine, Kinsta, OVH Managed WordPress) prend en charge nativement les couches infrastructure, libérant le client pour se concentrer sur la couche applicative.
Hébergement mutualisé vs WordPress managé
Sur un mutualisé standard (OVH Web Essential, o2switch), le client gère seul les MAJ, le WAF, le scan malware et les sauvegardes. Sur WP Engine ou Kinsta à partir de 25 dollars par mois, l'hébergeur applique automatiquement les patches critiques sous 24h, fournit un WAF infrastructure, un scan malware quotidien et des sauvegardes quotidiennes hors-site incluses.
Comparatif sécurité par niveau d'hébergement
- Mutualisé entry (3 à 6 € /mois) : MAJ manuelles, WAF absent, sauvegardes hebdo basiques. Hardening 100 % à la charge du client.
- Cloud VPS (10 à 30 € /mois) : MAJ manuelles, WAF à installer (ModSecurity), sauvegardes à configurer. Compétences sysadmin requises.
- WordPress managé (20 à 50 € /mois) : MAJ automatiques, WAF infra inclus, sauvegardes quotidiennes hors-site, scan malware. Hardening serveur délégué.
- Cluster WP enterprise (200 € /mois et +) : haute dispo, isolation kernel, audit logs, SLA 99,99 %.
Pour comparer en détail, consulter le comparatif hébergement web Nantes 2026 qui détaille les offres locales versus internationales.
Mises à jour WordPress : la règle des 7 jours
Selon les statistiques croisées de Patchstack et Wordfence, 60 % des sites WordPress hackés en 2026 n'avaient pas appliqué les patches disponibles depuis plus de 30 jours. La règle des 7 jours, recommandée par l'ANSSI, impose d'appliquer toute mise à jour de sécurité critique sous une semaine maximum après publication par l'éditeur.
Pourquoi 7 jours et pas plus ?
Quand un CVE WordPress est publié, les bots de scanning commencent à exploiter la faille en moyenne sous 48 heures. À J+7, plus de 80 % des sites vulnérables ont été scannés au moins une fois. Au-delà de 30 jours, la probabilité d'exploitation effective dépasse 50 % pour les vulnérabilités à fort score CVSS (8+).
Automatiser les mises à jour intelligemment
WordPress 6.x active par défaut les mises à jour mineures du core (corrections de sécurité). Pour les plugins et thèmes, activer les MAJ auto via Easy Updates Manager en filtrant : auto pour les plugins de confiance (Yoast, WooCommerce, Wordfence), manuel avec test staging pour les plugins critiques métier (page builders, plugins membership).
Le piège des plugins abandonnés
Selon WPScan, 30 % des plugins du repository WordPress.org n'ont pas reçu de mise à jour depuis plus de 2 ans. Un plugin abandonné = un plugin à risque. Auditer la dernière date de mise à jour avant installation et migrer dès qu'un plugin est marqué "abandoned" ou "not tested with current WordPress version".
Monitoring et alertes : détecter avant qu'il soit trop tard
Le délai moyen de détection d'un hack WordPress est de 197 jours sans monitoring selon l'IBM Cost of a Data Breach Report 2024. Avec un stack monitoring correct, ce délai tombe à moins de 5 minutes. Trois couches de monitoring couvrent l'essentiel : uptime, intégrité fichiers et logs applicatifs.
Uptime monitoring
StatusCake, UptimeRobot ou BetterUptime offrent un plan gratuit suffisant pour PME : check toutes les 5 minutes, alerte email/SMS si site down. Ces outils détectent les coupures, les défacements visibles et les ralentissements anormaux qui signalent souvent une compromission active.
File integrity monitoring
Wordfence et Sucuri scannent quotidiennement les fichiers WordPress et comparent avec une signature de référence. Toute modification d'un fichier core ou plugin non liée à une mise à jour officielle déclenche une alerte. C'est la méthode la plus fiable pour détecter une injection de backdoor.
Log analysis et alerting
Activer les logs WordPress via WP Activity Log (plus de 100 000 installations actives) capture toutes les actions admin : connexions, créations utilisateur, modifications plugins, échecs login. Couplé à un alerting email sur événements critiques (nouveau compte admin, plugin installé hors fenêtre de maintenance), ce dispositif détecte 90 % des intrusions avant impact.
Stack monitoring PME minimale gratuite : UptimeRobot Free + Wordfence Free + WP Activity Log + alerting email. Temps de mise en place : 1 heure. Coût : 0 euro. Couvre 85 % des scénarios d'incident détectables.
Procédure si site WordPress hacké : que faire en 48 heures ?
Un site WordPress hacké en 2026 se restaure en 48 heures avec un plan clair et des sauvegardes selon le retour terrain Sucuri Incident Response 2025. Sans plan ni backup propre, le délai grimpe à 2 à 4 semaines avec une perte SEO durable. La procédure ci-dessous suit le standard NIST Incident Response adapté à WordPress.
Étape 1 (H+0 à H+2) : contenir l'incident
- Mettre le site en mode maintenance via plugin ou .htaccess pour stopper la propagation et protéger les visiteurs.
- Changer immédiatement tous les mots de passe : admin WordPress, FTP/SFTP, base de données (wp-config.php), panel hébergeur, comptes email associés.
- Révoquer toutes les sessions actives WordPress via plugin Logout Everywhere.
- Notifier l'équipe interne et préparer la communication clients si nécessaire.
Étape 2 (H+2 à H+12) : identifier l'origine
- Lancer un scan Wordfence ou Sucuri SiteCheck complet pour identifier les fichiers infectés.
- Auditer les logs : créations de comptes, connexions IP suspectes, modifications plugins/thèmes.
- Identifier le point d'entrée probable : plugin obsolète, mot de passe compromis, fichier upload douteux.
Étape 3 (H+12 à H+36) : restaurer et durcir
- Restaurer la dernière sauvegarde propre antérieure à la date d'infection détectée.
- Mettre à jour tous les plugins, thèmes et le core WordPress vers les dernières versions.
- Appliquer l'intégralité des 12 actions de hardening (cf. section 4 plus haut).
- Activer 2FA sur tous les admins si pas déjà en place.
Étape 4 (H+36 à H+48) : remettre en ligne et notifier
- Demander une re-évaluation Google Safe Browsing si le site était listé.
- Si fuite de données personnelles avérée, notifier la CNIL sous 72 heures via le formulaire officiel.
- Communiquer aux clients impactés selon le RGPD article 34 si risque élevé pour les droits et libertés.
- Documenter le post-mortem : cause racine, actions correctives, monitoring renforcé.
Cas client : WordPress Nantes hacké et restauré en 48h
En février 2026, une PME nantaise du secteur conseil B2B contacte ComAll Agency en urgence : son site WordPress vitrine est défacé, Google affiche un avertissement de phishing et le formulaire de contact ne fonctionne plus. Site restauré et durci en 47 heures au total. Voici la timeline anonymisée.
Détection (H+0)
Le client découvre le défacement à 9h le lundi via un appel d'un partenaire. Page d'accueil remplacée par un message en cyrillique. Google Search Console envoie une notification "Social engineering content detected". Trafic chuté de 80 % en 12 heures selon Search Console.
Isolation et diagnostic (H+0 à H+4)
Mise du site en maintenance via .htaccess, changement de tous les credentials. Scan Wordfence complet : 14 fichiers PHP infectés dans /wp-content/uploads/2025/, dont 3 backdoors (web shells). Origine identifiée : plugin de galerie photo non mis à jour depuis 18 mois, CVE publié en septembre 2025 jamais patché.
Restauration et hardening (H+4 à H+30)
Restauration d'une sauvegarde UpdraftPlus du 12 février, donc 9 jours avant l'infection visible. Mise à jour core (6.4 vers 6.7), tous les plugins, suppression du plugin compromis remplacé par alternative maintenue. Application des 12 actions de hardening. Installation 2FA sur 3 admins. Configuration Cloudflare Free + Wordfence Free.
Remise en ligne et suivi (H+30 à H+47)
Demande de re-évaluation Google Safe Browsing acceptée en 14 heures. Site visible à nouveau en clean. Pas de fuite de données personnelles (formulaire géré côté serveur sans stockage), donc pas de notification CNIL nécessaire. Monitoring renforcé : UptimeRobot + WP Activity Log + alerting Slack. Coût total intervention : 1 400 euros. Coût hypothétique sans backup : estimé à 6 000 euros + perte SEO de 3 mois.
Leçon clé du cas : la sauvegarde quotidienne UpdraftPlus a réduit la perte de contenu à 9 jours et a permis une restauration propre en 4 heures de travail effectif. Sans ce backup, reconstruction manuelle estimée à 3 semaines.
Checklist sécurité WordPress : les 50 points essentiels
Cette checklist consolide les recommandations croisées de WordPress.org, ANSSI, OWASP et Wordfence. Couvrir 80 % de ces points place déjà votre site WordPress dans le top 10 % des sites les mieux durcis selon l'estimation Patchstack 2025. Imprimable et utilisable en audit interne trimestriel.
Accès et authentification (12 points)
- Aucun compte avec username "admin", "administrator", "wp", "root"
- Mots de passe forts 16+ caractères sur tous les comptes admin
- 2FA activée sur 100 % des comptes Administrateur et Éditeur
- Codes de récupération 2FA stockés dans un gestionnaire de mots de passe
- URL /wp-admin/ et /wp-login.php modifiées (WPS Hide Login)
- Limitation tentatives de connexion 5 max sur 15 min (Limit Login Attempts)
- XML-RPC désactivé ou restreint
- REST API restreinte aux utilisateurs connectés si non utilisée publiquement
- Audit comptes utilisateurs : suppression des inactifs depuis 90 jours
- Politique de mot de passe forte appliquée à tous les rôles
- Sessions inactives déconnectées automatiquement sous 30 minutes
- Aucun partage de compte admin entre utilisateurs
Plugins, thèmes et core (10 points)
- WordPress core mis à jour (dernière version stable)
- Tous les plugins actifs mis à jour sous 7 jours après patch sécurité
- Thème actif et thèmes par défaut uniquement, autres supprimés
- Aucun plugin nulled ou cracké installé
- Plugins inactifs supprimés (pas juste désactivés)
- Aucun plugin abandonné depuis plus de 2 ans
- Plugins critiques achetés via vendeurs officiels uniquement
- Édition de fichiers désactivée (DISALLOW_FILE_EDIT)
- Modification fichiers thème/plugin via FTP uniquement, pas via dashboard
- Child theme utilisé pour toute personnalisation du thème actif
WAF, monitoring et sauvegardes (12 points)
- WAF actif : Cloudflare, Sucuri ou Wordfence
- Plugin de sécurité installé : Wordfence, Solid Security ou équivalent
- Scan malware quotidien automatisé
- File integrity monitoring activé
- Sauvegardes quotidiennes minimum (horaire pour WooCommerce)
- Sauvegardes stockées hors-site (S3, Drive, Backblaze)
- Règle 3-2-1 respectée : 3 copies, 2 supports, 1 hors-site
- Test de restauration trimestriel sur environnement staging
- Uptime monitoring configuré (UptimeRobot, StatusCake)
- WP Activity Log ou équivalent installé
- Alerting email sur événements critiques (nouveau admin, plugin installé)
- Rétention logs minimum 90 jours pour audit post-incident
Configuration serveur et fichiers (10 points)
- HTTPS forcé sur 100 % du site (HSTS activé)
- Certificat SSL valide et auto-renouvelé
- PHP en version supportée (8.2 minimum en 2026)
- wp-config.php protégé via .htaccess (deny from all)
- Aucun fichier .sql, .zip, .bak, .log à la racine ou dans uploads
- readme.html, license.txt supprimés à la racine
- Version WordPress masquée (meta generator retirée)
- Permissions fichiers correctes (644 fichiers, 755 dossiers)
- Exécution PHP désactivée dans /wp-content/uploads/
- Hébergement managé WordPress ou VPS durci préféré au mutualisé entry
Conformité et procédures (6 points)
- Politique de confidentialité RGPD à jour et accessible
- Cookie banner conforme CNIL avec consentement granulaire
- Procédure documentée en cas de hack (qui, quoi, quand)
- Liste de contacts d'urgence : hébergeur, agence, DPO si applicable
- Test annuel de la procédure incident (table-top exercise)
- Formation sensibilisation sécurité pour tous les contributeurs WordPress
FAQ : Sécurité WordPress 2026
WordPress est-il vraiment moins sécurisé que d'autres CMS en 2026 ?
Non, WordPress n'est pas moins sécurisé que Drupal ou Joomla, mais il représente 43 % du web selon W3Techs, ce qui en fait une cible massive par effet de levier économique pour les attaquants. Le core WordPress concentre seulement 3 % des vulnérabilités exploitées : 95 % des hacks proviennent de plugins, thèmes ou mots de passe faibles selon Sucuri 2025.
Quel plugin de sécurité WordPress choisir en 2026 ?
Wordfence reste la référence avec plus de 5 millions d'installations actives selon WordPress.org. Pour une PME, Wordfence gratuit suffit dans 70 % des cas. Solid Security (ex-iThemes) à 80 dollars par an offre un meilleur rapport qualité-prix sur les sites multiples. Sucuri Platform à 200 dollars par an cible les sites e-commerce critiques avec nettoyage post-hack inclus.
Faut-il payer Wordfence Premium ou la version gratuite suffit ?
Wordfence Premium à 119 dollars par an apporte les règles WAF en temps réel (30 jours de délai en gratuit) et le scan malware avec signatures les plus récentes. Pour un site vitrine PME peu exposé, la version gratuite couvre 80 % des besoins selon notre retour terrain. Pour un site e-commerce ou WordPress fortement trafiqué, Premium devient indispensable.
Comment savoir si son WordPress est hacké ?
Signes typiques : ralentissement soudain, redirections vers sites tiers, alerte Google Safe Browsing, nouveaux comptes admin inconnus, fichiers PHP suspects dans /wp-content/uploads/, pic de trafic anormal sur le hosting. Lancer un scan complet Wordfence ou Sucuri SiteCheck (gratuit en ligne) confirme l'infection en 5 minutes maximum.
Cloudflare WAF gratuit ou Sucuri payant : que choisir pour un site PME ?
Cloudflare WAF gratuit bloque 80 % des attaques courantes selon les benchmarks Cloudflare 2025 et convient à la plupart des PME vitrine ou marketing. Sucuri WAF à 9,99 dollars par mois ajoute le nettoyage post-hack inclus, l'optimisation CDN dédiée WordPress et un support 24/7. Critère décisif : budget et criticité du chiffre d'affaires en ligne.
Quelle fréquence de sauvegarde pour un WordPress ?
Site vitrine peu modifié : sauvegarde hebdomadaire suffit avec rétention 8 semaines. Blog actif ou site marketing : sauvegarde quotidienne avec rétention 30 jours. E-commerce WooCommerce : sauvegarde temps réel ou horaire, car chaque commande perdue coûte cher. Règle 3-2-1 toujours : 3 copies, 2 supports différents, 1 copie hors-site géographique distinct.
Mon WordPress est hacké, que faire en 1ère urgence ?
Étape 1 : mettre le site en maintenance pour stopper la propagation. Étape 2 : changer tous les mots de passe (admin, FTP, base, hébergeur). Étape 3 : scan complet Wordfence ou Sucuri pour identifier les fichiers infectés. Étape 4 : restaurer la dernière sauvegarde propre antérieure à l'infection. Étape 5 : si fuite de données personnelles, notifier la CNIL sous 72 heures.
Conclusion : la sécurité WordPress n'est pas une option en 2026
Avec 90 000 attaques par minute sur le réseau Wordfence et 43 % du web sous WordPress, la question n'est plus si votre site sera attaqué, mais quand. La bonne nouvelle : 85 % du risque WordPress est éliminable avec une stack gratuite (Cloudflare Free + Wordfence Free + 2FA + UpdraftPlus + 12 actions de hardening). Le coût n'est plus l'excuse valable en 2026.
Le vrai différentiateur reste la discipline d'exécution : appliquer les mises à jour sous 7 jours, tester les sauvegardes chaque trimestre, auditer les comptes utilisateurs deux fois par an. Ces routines simples séparent les sites qui survivent d'un hack en 48 heures de ceux qui mettent 3 semaines à se relever, avec perte SEO durable et coût de nettoyage à 4 chiffres.
Pour aller plus loin, consultez nos guides connexes : migration WordPress (sécuriser la transition), refonte WordPress (durcir dès la reconstruction), comparatif hébergement (choisir un hébergeur qui durcit côté serveur), guide création site PME, prix site WordPress 2026 et notre calculateur de prix WordPress pour budgéter votre projet de bout en bout.
Sécurisez votre WordPress avant qu'il soit trop tard
Audit sécurité gratuit sous 24h. Hardening + monitoring complets.
Demander un devis gratuit →