Aller au contenu principal
Pierre Barbé
Général11 min de lecture

Sécuriser votre site WordPress : 8 mesures essentielles

73 % des PME canadiennes ont subi un incident de cybersécurité. Votre WordPress est-il protégé ? 8 mesures concrètes par un développeur web à Montréal.

PB
Pierre Barbé

Développeur web freelance · Montréal

Chaque semaine, je reçois au moins un appel de panique d'une PME québécoise : « Mon site affiche des publicités bizarres » ou « Google dit que mon site est dangereux ». Ce n'est pas de la malchance — c'est le résultat prévisible de mises à jour ignorées, de mots de passe faibles et de plugins non maintenus.

Comme nous l'analysons dans notre guide complet sur l'optimisation WordPress, WordPress propulse 42,6 % du web mondial (W3Techs, mars 2026). C'est une qualité — communauté massive, flexibilité, écosystème riche. C'est aussi un risque : c'est la cible numéro 1 des pirates informatiques. Pas parce que WordPress est mal conçu, mais parce que représenter plus de quatre sites sur dix dans le monde, c'est être une cible rentable.

73 % des PME canadiennes ont subi au moins un incident de cybersécurité (BDC). Beaucoup auraient pu être évités avec quelques mesures de base.

La bonne nouvelle : sécuriser un site WordPress n'est ni compliqué ni coûteux. Voici les 8 mesures que j'installe systématiquement chez mes clients PME à Montréal et au Québec.

Pourquoi WordPress est ciblé — et pourquoi ce n'est pas une raison de le quitter

La grande majorité des piratages WordPress réussis exploitent des failles déjà connues et déjà corrigées par des mises à jour. Le problème n'est pas WordPress — c'est le manque de maintenance.

Les 3 vecteurs d'attaque les plus fréquents :

  1. Plugins abandonnés ou non mis à jour : un plugin qui n'a pas été mis à jour depuis 2 ans contient probablement des vulnérabilités connues des pirates
  2. Mots de passe faibles ou réutilisés : les attaques par force brute testent des millions de combinaisons automatiquement
  3. Thèmes nulled (piratés) : des thèmes premium obtenus gratuitement sur des sites douteux — qui contiennent souvent des backdoors

Un WordPress correctement maintenu est aussi sûr que n'importe quelle autre plateforme web. Voir aussi mon guide d'optimisation WordPress — performance et sécurité partagent les mêmes bonnes pratiques.

Les 8 mesures de sécurité essentielles

1. Mises à jour systématiques — la base absolue

C'est la mesure la plus importante, et la plus souvent négligée.

WordPress core, plugins et thèmes doivent être mis à jour dès qu'une mise à jour est disponible. Pas dans 3 semaines « quand j'aurai le temps ». Dès que possible.

Pourquoi ? Parce que lorsqu'une faille de sécurité est corrigée dans une mise à jour, elle est simultanément publiée dans les notes de version — ce qui indique aux pirates exactement quelle vulnérabilité exploiter sur les sites qui n'ont pas encore mis à jour.

Mon approche :

  • Mises à jour mineures (correctifs de sécurité) : automatiques
  • Mises à jour majeures : testées d'abord sur un environnement de staging, puis appliquées en production
  • Vérification mensuelle de l'ensemble des plugins

Chez un client à Montréal qui n'avait pas fait de mises à jour pendant 8 mois, j'ai trouvé 3 plugins avec des vulnérabilités critiques connues — dont un qui permettait d'exécuter du code arbitraire à distance. Le site avait été infecté depuis au moins 6 semaines sans que le client s'en soit aperçu.

2. Mots de passe forts + authentification à deux facteurs

Un mot de passe faible sur un compte administrateur WordPress, c'est comme laisser votre clé sous le paillasson. Les attaques par force brute testent automatiquement des milliers de combinaisons par heure.

Les règles de base :

  • Jamais d'identifiant « admin » (c'est le premier que les robots essaient)
  • Mot de passe d'au moins 16 caractères, aléatoire, jamais réutilisé
  • Utilisez un gestionnaire de mots de passe (Bitwarden est gratuit et excellent)
  • Activez l'authentification à deux facteurs (2FA) sur tous les comptes administrateurs

Pour le 2FA sur WordPress, les plugins WP 2FA ou Google Authenticator sont simples à configurer. Ça prend 10 minutes et ça élimine la quasi-totalité des attaques par force brute réussies.

3. Limiter les tentatives de connexion

Les attaques par force brute peuvent tenter des centaines de milliers de combinaisons si rien ne les arrête. La solution : bloquer une adresse IP après 3 à 5 tentatives échouées, et la laisser bloquée pendant 1 à 24 heures.

Configurations recommandées :

  • Maximum 3 à 5 tentatives avant blocage temporaire
  • Bloquer les IP suspectes après des tentatives répétées
  • Changer l'URL de connexion par défaut (/wp-login.php/connexion-admin ou similaire)

Plugin : Limit Login Attempts Reloaded (gratuit, simple à configurer).

Combiné avec le 2FA, vous avez éliminé pratiquement toutes les chances de réussite d'une attaque par force brute.

4. Installer un pare-feu applicatif (WAF)

Un pare-feu applicatif web (WAF) filtre le trafic malveillant avant qu'il atteigne votre site. Il bloque les tentatives d'injection SQL, les attaques XSS, les scans de vulnérabilités et les bots malveillants.

Options pour WordPress :

  • Wordfence (version gratuite) : WAF + scan de malware + blocage de bots. Couvre l'essentiel pour la plupart des PME.
  • Sucuri (payant, à partir de ~199 $/an) : WAF cloud + CDN + nettoyage de malware garanti. Recommandé pour les sites e-commerce ou qui gèrent des données sensibles.
  • Cloudflare (plan gratuit disponible) : WAF + CDN + protection DDoS au niveau DNS, avant même que les requêtes atteignent votre serveur.

Un WAF, c'est comme une porte blindée : il n'empêche pas quelqu'un de frapper, mais il empêche les tentatives d'intrusion de fonctionner.

5. Sauvegardes automatiques quotidiennes

Les sauvegardes sont votre assurance vie numérique. Si tout échoue — piratage, erreur humaine, mise à jour qui casse le site — une sauvegarde récente vous permet de revenir à une version propre en quelques minutes.

Ce qu'une bonne stratégie de sauvegarde doit inclure :

  • Sauvegarde quotidienne du site complet (fichiers + base de données)
  • Stockage hors serveur (Google Drive, Amazon S3, ou Dropbox) — garder les backups sur le même serveur que le site, c'est garder sa clé dans la serrure
  • Conservation d'au moins 30 jours d'historique
  • Test de restauration au moins une fois par trimestre

Plugin recommandé : UpdraftPlus (version gratuite suffisante pour l'essentiel). Il automatise les sauvegardes et les envoie vers le stockage cloud de votre choix.

Sans sauvegarde récente, récupérer un site piraté coûte entre 500 $ et 3 500 $. Avec une sauvegarde propre, c'est une restauration de 30 minutes.

6. Certificat SSL (HTTPS obligatoire)

En 2026, un site en HTTP est un signal d'alarme — pour Google et pour vos visiteurs. Le HTTPS chiffre les données qui transitent entre le navigateur du visiteur et votre serveur, protégeant notamment les informations soumises dans les formulaires.

Pourquoi c'est obligatoire :

  • Google pénalise les sites HTTP dans ses résultats de recherche depuis 2018
  • Chrome affiche un avertissement « Non sécurisé » sur les sites HTTP
  • La Loi 25 vous oblige à protéger les renseignements personnels en transit — le HTTPS est la mesure technique de base pour y répondre

La quasi-totalité des hébergeurs modernes incluent Let's Encrypt (certificat SSL gratuit) dans leurs forfaits. Si vous êtes encore en HTTP, contactez votre hébergeur — c'est probablement une configuration de 5 minutes.

Vérification rapide : regardez la barre d'adresse de votre navigateur. Vous devriez voir un cadenas et « https:// » avant votre domaine.

7. Nettoyer les plugins et thèmes inutilisés

Chaque plugin installé sur votre WordPress, même désactivé, représente une surface d'attaque potentielle. Un plugin désactivé peut contenir des fichiers exécutables accessibles depuis le web.

Ma règle : supprimer (pas juste désactiver) tout plugin ou thème que vous n'utilisez pas activement.

Guide pour faire le ménage :

  • Listez tous vos plugins et demandez-vous à quoi sert chacun
  • Visez 10 à 15 plugins maximum pour un site vitrine
  • Supprimez les thèmes non utilisés (gardez seulement votre thème actif + un thème par défaut WordPress)
  • Si un plugin n'a pas été mis à jour depuis plus de 2 ans sur le répertoire WordPress.org, cherchez une alternative maintenue

Ce nettoyage améliore aussi votre performance — chaque plugin supprimé est du code qui ne s'exécute plus. Voir mon guide complet d'optimisation WordPress pour les détails.

8. Choisir un hébergement sécurisé

Votre hébergeur est la fondation de tout. Un hébergement bas de gamme sur des serveurs partagés avec des centaines d'autres sites peut vous exposer à des contaminations croisées — si un voisin se fait infecter, ça peut affecter votre site.

Ce que je recherche dans un hébergement pour les PME québécoises :

  • Isolation des comptes : votre site est isolé des autres, une infection d'un voisin ne peut pas se propager
  • PHP 8.x : plus sécurisé et plus rapide que les versions antérieures
  • WAF intégré : certains hébergeurs (SiteGround, WP Engine, Kinsta) incluent un WAF au niveau serveur
  • Serveurs au Canada : pour la performance ET pour la conformité Loi 25 (vos données restent au Québec)
  • Support réactif : si votre site est compromis un vendredi soir, vous avez besoin d'aide

Je vais être direct : un hébergement à 3 $ par mois, ce n'est probablement pas assez. Pour un site qui génère des revenus, un hébergement WordPress géré entre 25 $ et 50 $/mois est le bon investissement.

Mon site WordPress est piraté — que faire ?

Pas de panique, mais agissez vite. Voici les étapes dans l'ordre.

1. Mettre le site en mode maintenance immédiatement

Empêchez les visiteurs d'arriver sur un site infecté — pour leur protection et pour la réputation de votre entreprise. La plupart des plugins de sécurité permettent de le faire en un clic.

2. Contacter votre hébergeur

Appelez (pas envoyez un courriel — appelez). Expliquez la situation. Les hébergeurs sérieux ont des outils de détection de malware et peuvent isoler votre compte pendant l'investigation.

3. Scanner avec un outil externe

Sucuri SiteCheck (sucuri.net/website-scanner) fait un scan externe gratuit de votre site pour détecter les malwares connus, les blacklists Google et les redirections suspectes. C'est un bon premier diagnostic.

4. Restaurer depuis un backup propre si possible

Si vous avez une sauvegarde antérieure à l'infection — idéalement d'avant les 30 derniers jours — la restauration est souvent le chemin le plus rapide. Assurez-vous que le backup est propre (avant l'infection) avant de restaurer.

5. Mettre à jour tout ce qui peut l'être

Après restauration : mettez à jour WordPress, tous les plugins et tous les thèmes immédiatement.

6. Changer tous les mots de passe

WordPress admin, FTP, panneau d'hébergement, base de données — changez tout. L'attaquant a peut-être déjà ces informations.

7. Faire appel à un professionnel si nécessaire

Si le piratage est complexe — injection de code dans plusieurs fichiers, backdoors cachées, réinfection répétée — faites appel à un professionnel. Un nettoyage post-piratage coûte entre 500 $ et 3 500 $ selon la gravité. Sachant qu'un forfait de maintenance annuel coûte entre 1 200 $ et 3 600 $/an, la prévention est toujours moins coûteuse.

Checklist sécurité WordPress — à faire maintenant

  • ✅ Mises à jour WordPress, plugins et thèmes : toutes à jour
  • ✅ Identifiant « admin » supprimé, remplacé par un identifiant unique
  • ✅ Mots de passe forts (16+ caractères) sur tous les comptes admin
  • ✅ Authentification à deux facteurs (2FA) activée
  • ✅ Tentatives de connexion limitées (plugin installé)
  • ✅ URL de connexion /wp-login.php modifiée
  • ✅ WAF actif (Wordfence, Sucuri ou Cloudflare)
  • ✅ Sauvegardes automatiques quotidiennes vers stockage externe
  • ✅ Certificat SSL (HTTPS) actif
  • ✅ Plugins et thèmes inutilisés supprimés
  • ✅ Hébergement sécurisé avec isolation des comptes

Si vous avez coché tous ces points, votre site est dans le top 5 % des sites WordPress en termes de sécurité.

La sécurité n'est pas une case à cocher une fois par an — c'est le cœur battant d'une stratégie de maintenance proactive. Mises à jour, sauvegardes automatiques, surveillance active : ces 8 mesures ne valent leur plein potentiel que si elles s'inscrivent dans un plan de maintenance WordPress mensuel structuré. À l'inverse, une maintenance régulière sans attention portée à la sécurité reste incomplète. Les deux démarches se renforcent mutuellement.

Et si votre site traite des données personnelles (formulaires, commandes, inscriptions), la conformité Loi 25 est une obligation légale supplémentaire à prendre en compte.

💡 Inquiet pour la sécurité de votre site WordPress ?

Je réalise des audits de sécurité complets pour les PME québécoises et j'installe les protections adaptées à votre situation. Mieux vaut prévenir que payer pour réparer.

→ Demander un audit de sécurité

PB

Écrit par Pierre Barbé

Développeur web freelance à Montréal, spécialisé en performance WordPress, automatisation n8n et intégration IA pour PME québécoises. En savoir plus →

Tous les articlesDiscutons de votre projet
Support FR/EN – Disponible 24/7

Parlons de vos objectifs

Un projet en tête ? Un site à optimiser ? Parlons-en. Réservez 30 min gratuites ou envoyez-moi un message. C'est simple, rapide et sans engagement. Et surtout, c'est vous qui décidez comment on commence.

Réserver une consultationEnvoyer un message