WordPress propulse 43% du web. Cette popularité en fait la cible préférée des hackers. La bonne nouvelle : les failles sont connues, et les protections existent.
Soyons clairs : WordPress lui-même est un CMS robuste, maintenu par une communauté active qui corrige rapidement les failles découvertes.
Le problème, c'est tout ce qu'on met autour. Et surtout, tout ce qu'on ne fait pas.
Des plugins jamais mis à jour. Des thèmes achetés sur des marketplaces douteuses. Des mots de passe ridicules. Des hébergements low-cost sans protection. Des sauvegardes inexistantes.
Quand je récupère un site WordPress piraté, la cause est presque toujours la même : une négligence accumulée pendant des mois, voire des années. Le piratage n'est que la conséquence logique.
Ce qui est frustrant ? Dans 90% des cas, le piratage aurait pu être évité avec des mesures simples. Voici lesquelles.
Les plugins représentent plus de 90% des failles de sécurité WordPress. Chaque plugin est un bout de code écrit par un tiers, avec sa propre qualité et son propre suivi.
Un plugin non mis à jour depuis 6 mois ? Il contient potentiellement des failles connues et documentées. Les hackers n'ont qu'à consulter la base de données CVE pour savoir exactement comment l'exploiter.
Pire : les plugins abandonnés par leurs développeurs. Ils restent installés, fonctionnels en apparence, mais ne reçoivent plus aucun correctif.
Les chiffres :
→ 96% des vulnérabilités WordPress proviennent des plugins (Patchstack 2024)
→ 7 966 nouvelles failles découvertes en 2024, soit +34% vs 2023
→ 33% des failles n'étaient pas patchées avant leur divulgation publique
→ Un site WordPress moyen utilise 20 à 30 plugins
La solution :
→ Mettez à jour vos plugins dès qu'une mise à jour est disponible
→ Supprimez (pas désactivez) les plugins que vous n'utilisez pas
→ Vérifiez la date de dernière mise à jour avant d'installer un plugin
→ Privilégiez les plugins avec +100 000 installations actives et des mises à jour récentes
→ Auditez régulièrement vos plugins avec WPScan ou Wordfence
Le problème :
Les thèmes WordPress, surtout ceux achetés sur des marketplaces tierces (ThemeForest, etc.), sont souvent de véritables usines à failles. Pourquoi ?
→ Code surchargé et mal audité
→ Inclusion de plugins "bundled" qui ne se mettent pas à jour
→ Fonctionnalités cachées parfois malveillantes (thèmes piratés)
→ Développeurs qui disparaissent après la vente
J'ai vu des thèmes "premium" avec des backdoors intégrées. Des thèmes qui incluaient des versions de Revolution Slider vieilles de 3 ans, truffées de failles critiques.
Le cas typique :
Vous achetez un thème à 59$ en 2020. En 2025, le développeur a cessé les mises à jour. Votre thème inclut une version vulnérable d'Elementor. Votre site est compromis.
La solution :
→ Privilégiez les thèmes du répertoire officiel WordPress.org (audités)
→ Si thème premium : vérifiez l'historique de mises à jour et le support
→ N'utilisez JAMAIS de thème piraté ("nulled") — ils contiennent souvent des malwares
→ Mettez à jour votre thème comme vos plugins
→ Idéalement : faites développer un thème sur mesure sobre et sécurisé
Le problème :
WordPress publie des mises à jour de sécurité régulières. Chaque mise à jour corrige des failles — et en même temps, les rend publiques. Si vous ne mettez pas à jour, vous êtes exposé à des failles documentées que n'importe quel script kiddie peut exploiter.
Les chiffres :
→ 39% des sites WordPress piratés utilisaient une version obsolète du core (Sucuri)
→ WordPress publie en moyenne 3 à 4 mises à jour de sécurité par an
→ Les attaques automatisées ciblent les failles 24 à 48h après leur publication
Pourquoi les gens ne mettent pas à jour :
→ "Ça va casser mon site" — Possible, mais une faille de sécurité est pire
→ "Je n'ai pas le temps" — Les mises à jour automatiques existent
→ "Mon agence s'en occupe" — Vérifiez. Vraiment.
La solution :
→ Activez les mises à jour automatiques pour les versions mineures (sécurité)
→ Planifiez les mises à jour majeures avec test sur staging
→ Vérifiez votre version actuelle : Tableau de bord > Mises à jour
→ Si vous êtes sur WordPress 5.x ou inférieur en 2025, vous avez un problème urgent
Le problème :
Ça paraît basique, et pourtant. Les attaques par force brute (essai massif de combinaisons login/mot de passe) restent l'une des méthodes les plus efficaces pour compromettre un WordPress.
Les mots de passe les plus utilisés sur les sites piratés :
Ce qui aggrave le problème :
→ Utilisation de "admin" comme identifiant (créé par défaut sur les anciennes versions)
→ Même mot de passe réutilisé partout
→ Pas de limitation des tentatives de connexion
→ Pas de double authentification
La solution :
→ Mot de passe de 16+ caractères, généré aléatoirement
→ Gestionnaire de mots de passe (Bitwarden, 1Password, KeePass)
→ Changez l'identifiant "admin" pour quelque chose d'unique
→ Activez la double authentification (2FA) — plugin gratuit disponible
→ Limitez les tentatives de connexion (plugin Limit Login Attempts)
→ Déplacez ou protégez la page /wp-admin
Le problème :
Un hébergement mutualisé à 2€/mois, c'est des centaines de sites sur le même serveur. Si l'un d'eux est compromis, le vôtre peut l'être par rebond. Sans parler de l'absence de protections basiques.
Ce qui manque souvent :
→ Pas de pare-feu applicatif (WAF)
→ Version PHP obsolète
→ Pas d'isolation entre les sites (mutualisé)
→ Sauvegardes inexistantes ou non testées
→ Support technique inexistant en cas d'incident
Le cas typique :
Votre site est propre, mais votre "voisin" sur le même serveur a un WordPress piraté. Le malware se propage via une faille de configuration serveur. Vous êtes infecté sans avoir rien fait.
La solution :
→ Choisissez un hébergeur spécialisé WordPress (Kinsta, WP Engine, o2switch)
→ VPS ou serveur dédié pour les sites critiques
→ Vérifiez : WAF inclus ? Sauvegardes automatiques ? Support réactif ?
→ PHP 8.1+ obligatoire
→ Certificat SSL gratuit (Let's Encrypt) ne suffit pas = ce n'est pas de la "sécurité"
Le problème :
La plupart des propriétaires de sites WordPress découvrent qu'ils ont été piratés des semaines ou des mois après l'intrusion. Entre-temps, leur site a servi à envoyer du spam, rediriger vers des sites malveillants, ou voler des données.
Les signes qu'on ignore souvent :
→ Site un peu plus lent (scripts malveillants en arrière-plan)
→ Quelques emails qui partent en spam (réputation IP dégradée)
→ Pages bizarres indexées dans Google (spam SEO)
→ Alertes Google Search Console ignorées
Quand on découvre le piratage :
→ Google affiche "Ce site peut être dangereux"
→ L'hébergeur suspend le compte
→ Les clients signalent des redirections vers des sites pornos
→ Le site est blacklisté et perd tout son trafic SEO
La solution :
→ Installez un plugin de sécurité avec scan automatique (Wordfence, Sucuri)
→ Configurez des alertes email pour les modifications de fichiers
→ Surveillez Google Search Console (alertes de sécurité)
→ Vérifiez régulièrement si votre site est blacklisté (Sucuri SiteCheck)
Par ordre de priorité. Les 5 premières sont indispensables, les 5 suivantes renforcent significativement la sécurité.
1. Mettez tout à jour — maintenant
WordPress core, thèmes, plugins. Tout. Si un plugin n'a pas été mis à jour depuis plus d'un an par son développeur, remplacez-le.
2. Utilisez des mots de passe forts + 2FA
Mot de passe de 16+ caractères généré aléatoirement. Double authentification activée pour tous les comptes admin. Non négociable.
3. Installez un plugin de sécurité
Wordfence (gratuit) ou Sucuri. Activez le pare-feu, le scan automatique, et les alertes de modification de fichiers.
4. Faites des sauvegardes automatiques
Quotidiennes pour la base de données, hebdomadaires pour les fichiers. Stockées hors du serveur (cloud, serveur distant). Testez la restauration.
5. Choisissez un bon hébergeur
Pas le moins cher. Un hébergeur avec WAF, PHP récent, sauvegardes incluses, et support réactif. o2switch, Infomaniak, ou spécialisé WordPress (Kinsta, WP Engine).
6. Limitez les tentatives de connexion
Plugin "Limit Login Attempts Reloaded" ou équivalent. Bloquez les IP après 3-5 échecs.
7. Changez l'URL de connexion
Le /wp-admin par défaut est la première cible des bots. Plugin "WPS Hide Login" pour la déplacer.
8. Désactivez l'éditeur de fichiers
Dans wp-config.php, ajoutez : define('DISALLOW_FILE_EDIT', true);
Un hacker qui accède à l'admin ne pourra pas modifier directement le code.
9. Configurez les headers de sécurité
X-Frame-Options, X-Content-Type-Options, Content-Security-Policy. Votre hébergeur ou un plugin peut les configurer.
10. Auditez régulièrement
Scan de sécurité mensuel. Revue des utilisateurs admin. Vérification des plugins installés. Contrôle de Google Search Console.
Utilisez Sucuri SiteCheck (gratuit) ou le scan Wordfence. Recherchez malwares, fichiers modifiés, blacklists.
Où sont-elles ? Quand date la dernière ? Pouvez-vous restaurer en moins de 2 heures ? Si non, vous avez un problème.
Combien de comptes admin ? Mots de passe forts ? 2FA activé ? Supprimez les comptes inutilisés.
Ce chiffre est une estimation basée sur plusieurs études (Sucuri, WPScan, Patchstack).
Il reflète le pourcentage de sites WordPress présentant au moins une vulnérabilité connue : plugin obsolète, version de WordPress non patchée, mot de passe faible, ou absence de mesures de protection basiques.
Cela ne signifie pas que 70% des sites seront piratés, mais qu'ils pourraient l'être si un attaquant les ciblait.
La nuance est importante : la plupart des attaques sont automatisées et opportunistes, elles touchent les sites les plus vulnérables en premier.
L'absence de piratage visible ne signifie pas l'absence de compromission.
Beaucoup de malwares sont discrets : ils collectent des données, envoient du spam, ou injectent des liens SEO invisibles sans que vous le remarquiez.
D'autre part, le fait de ne pas avoir été ciblé jusqu'ici ne garantit rien pour l'avenir.
Les attaques automatisées scannent en permanence le web à la recherche de failles.
Un site non protégé finit toujours par être trouvé — c'est une question de temps.
Pour la majorité des sites, oui.
Wordfence en version gratuite offre un pare-feu, un scanner de malwares, et une protection contre les attaques par force brute.
C'est déjà beaucoup mieux que rien.
Les versions payantes ajoutent des fonctionnalités comme le pare-feu en temps réel (vs. règles différées de 30 jours), le scan programmé, et le support prioritaire.
Pour un site vitrine ou un blog, la version gratuite suffit.
Pour un site e-commerce ou avec données sensibles, la version premium est un investissement justifié.
Pas nécessairement.
WordPress correctement configuré et maintenu est suffisamment sécurisé pour la grande majorité des usages.
Le problème n'est pas WordPress en soi, mais son écosystème pléthorique de plugins et thèmes, et surtout le manque de maintenance.
Cela dit, si vous cherchez une alternative plus sobre et moins ciblée, des CMS comme ModX offrent une surface d'attaque bien plus réduite, avec moins de maintenance fonctionnelle.
C'est une question d'arbitrage entre flexibilité (WordPress) et sobriété (autres CMS).
Pour un site propre à sécuriser : comptez 300€ à 600€ pour un audit complet avec mise en place des protections (mises à jour, configuration sécurité, plugin de protection, sauvegardes).
Pour un site déjà compromis : le nettoyage peut coûter de 500€ à 1500€ selon la gravité de l'infection, plus le temps de restauration de la réputation (désindexation du spam, sortie des blacklists).
Le plus rentable reste la prévention : un forfait de maintenance régulière coûte bien moins cher qu'une intervention d'urgence post-piratage.
Ça dépend de ce qui est inclus.
Certains hébergeurs proposent un vrai WAF (Web Application Firewall), des mises à jour automatiques de WordPress, et des sauvegardes fiables.
D'autres se contentent d'un certificat SSL et de backups sommaires.
Vérifiez concrètement :
Un bon hébergeur est une base, mais ne dispense pas des mesures au niveau du site lui-même (plugins, mots de passe, mises à jour).
Oui, si vous êtes méthodique.
Les mesures de base (mises à jour, mots de passe forts, plugin de sécurité, sauvegardes) sont accessibles à un non-technicien motivé.
Comptez une demi-journée pour tout mettre en place correctement.
Les mesures avancées (headers de sécurité, configuration serveur, audit de code) nécessitent des compétences techniques.
Si vous avez un doute ou si votre site est critique pour votre activité, un audit par un professionnel reste le choix le plus sûr — et souvent le plus économique à long terme.
C'est une urgence.
Votre site est blacklisté, ce qui signifie qu'il a été identifié comme compromis ou malveillant.
Étapes :
Le processus peut prendre de quelques jours à quelques semaines.
Chaque jour de blacklist, c'est du trafic et de la crédibilité perdus.
Un interlocuteur technique, pas commercial.
Dites-nous : URL, objectifs, budget indicatif, délai.
Nous répondons sous 48 h avec la meilleure voie technique.