Vous ouvrez votre navigateur un matin. Votre site affiche une page bizarre, du texte inconnu, ou pire : rien du tout. Votre hébergeur vous a peut-être envoyé une alerte. Google vous a peut-être blacklisté en silence.
La question qui vous traverse immédiatement : comment c'est possible ?
Vous n'êtes pas une grande entreprise. Vous ne stockez pas de données bancaires. Pourquoi quelqu'un s'en prendrait-il à votre site ?
La réponse va peut-être vous surprendre : personne ne s'en est pris à vous spécifiquement. Et c'est précisément pour ça que ça arrive aussi souvent. Dans cet article, je vous explique les vraies causes d'un piratage WordPress et ce que vous pouvez mettre en place dès aujourd'hui pour refermer les portes de votre site.
TL;DR – Ce qu'il faut retenir en 30 secondes
Votre site a été piraté ? Ce n'est probablement pas vous la cible. Des robots scannent le web en permanence à la recherche de failles connues et s'ils en trouvent une sur votre installation, ils l'exploitent automatiquement.
Avant de chercher plus loin, vérifiez ces 4 points :
- Avez-vous des mises à jour en attente dans votre back-office ?
- Des plugins inactifs traînent-ils encore dans votre installation ?
- Vos comptes utilisateurs sont-ils tous reconnaissables ?
- Avez-vous une sauvegarde récente, externalisée et testée ?
Si vous n'êtes pas sûr de la réponse à l'une de ces questions, la suite de cet article est pour vous.
Table des matières
- 1. Pourquoi WordPress est une cible de choix
- 2. La cause n°1 : les plugins et thèmes non mis à jour
- 3. Des mots de passe trop faibles ou recyclés
- 4. Une page de connexion exposée sans protection
- 5. Des sauvegardes absentes ou inexploitables
- 6. Un hébergement sous-dimensionné ou mal configuré
- 7. Comment savoir si votre site a été piraté
- 8. Ce que vous pouvez faire concrètement
- FAQ
1. Pourquoi WordPress est une cible de choix
WordPress propulse aujourd'hui plus de 43 % des sites web dans le monde. C'est sa force et son talon d'Achille.
Cette popularité massive en fait la plateforme la plus scrutée par les robots malveillants. Ces scripts automatisés ne cherchent pas votre site en particulier : ils scannent en permanence des millions d'adresses IP à la recherche de failles connues. Ils ne dorment jamais, ils ne prennent pas de vacances.
Ce n'est pas une question de taille ou de notoriété. Un petit site vitrine peut être piraté exactement pour les mêmes raisons qu'un site e-commerce à forte audience. La cible, c'est la faille, pas vous.
À retenir : 90 % des sites WordPress piratés l'ont été via un plugin ou un thème non mis à jour. Pas via une attaque ciblée sophistiquée.
2. La cause n°1 : les plugins et thèmes non mis à jour
C'est de loin la cause la plus fréquente. Et c'est aussi la plus simple à corriger.
Chaque plugin WordPress est un bout de code tiers. Quand une faille de sécurité est découverte, le développeur publie une mise à jour corrective. Entre le moment où cette faille est rendue publique et celui où vous appuyez sur "Mettre à jour", il existe une fenêtre de vulnérabilité. Les robots malveillants connaissent cette fenêtre et ils l'exploitent systématiquement.
Les situations à risque les plus courantes :
- Un plugin abandonné par son développeur (plus aucune mise à jour depuis des mois)
- Un thème premium téléchargé sur un site tiers plutôt que sur la source officielle
- Des extensions désactivées mais toujours présentes, elles restent vulnérables même inactives
- Une version de WordPress elle-même en retard
La bonne pratique : faire les mises à jour régulièrement, après avoir vérifié la compatibilité, et toujours avec une sauvegarde récente en amont.
3. Des mots de passe trop faibles ou recyclés
"admin" comme identifiant. "motdepasse2020" comme mot de passe. Ou le même mot de passe que votre messagerie, votre hébergeur et votre banque en ligne.
Ce scénario est beaucoup plus répandu qu'on ne le croit. Les attaques brute force consistent à tester automatiquement des milliers de combinaisons identifiant/mot de passe jusqu'à trouver la bonne. Ces attaques visent en priorité les installations WordPress dont l'URL de connexion est standard (/wp-admin) et dont les identifiants sont prévisibles.
Quelques règles simples à appliquer dès maintenant :
- Supprimer le compte "admin" par défaut et en créer un avec un identifiant personnalisé
- Utiliser un mot de passe généré aléatoirement (un gestionnaire de votre téléphone fait ça très bien)
- Activer la double authentification (2FA) sur votre compte administrateur
- Ne jamais réutiliser le même mot de passe sur plusieurs services
4. Une page de connexion exposée sans protection
Par défaut, la page de connexion de tous les sites WordPress est accessible à l'adresse /wp-admin ou /wp-login.php. Tout le monde le sait, y compris les robots.
Laisser cette porte d'entrée sans aucune protection supplémentaire, c'est comme mettre la clé sous le paillasson. Ce n'est pas suffisant pour se faire pirater à lui seul, mais combiné à un mot de passe faible ou à une faille dans un plugin, ça devient un vrai problème.
Les protections à mettre en place :
- Limiter le nombre de tentatives de connexion échouées (un plugin simple comme Limit Login Attempts Reloaded ou Secupress suffisent)
- Ajouter une double authentification
- Mettre en place un pare-feu applicatif (WAF) qui filtre les requêtes suspectes avant même qu'elles atteignent votre site.
5. Des sauvegardes absentes ou inexploitables
Une sauvegarde ne prévient pas le piratage. Mais son absence transforme un incident gérable en catastrophe totale.
Beaucoup de propriétaires de sites pensent avoir une sauvegarde. Jusqu'au jour où ils en ont besoin. Et là, ils découvrent qu'elle date de 6 mois, qu'elle est corrompue, ou qu'elle est stockée au même endroit que ce qui vient d'être effacé.
Une bonne stratégie de sauvegarde repose sur trois points :
- Fréquence : au minimum hebdomadaire pour un site vitrine, quotidienne pour un site actif
- Externalisation : la sauvegarde doit être stockée ailleurs que sur votre hébergement principal (Google Drive, Dropbox, serveur distant…)
- Testabilité : une sauvegarde que vous n'avez jamais testée n'existe pas vraiment, vérifiez régulièrement qu'elle est restaurable
6. Un hébergement sous-dimensionné ou mal configuré
Votre hébergeur joue un rôle souvent sous-estimé dans la sécurité de votre site. Un hébergement mutualisé d'entrée de gamme peut signifier que vous partagez un serveur avec des centaines d'autres sites et qu'une faille sur l'un d'eux peut potentiellement vous affecter.
Au-delà du type d'hébergement, la configuration serveur compte :
- La version de PHP utilisée (une version trop ancienne n'est plus maintenue et comporte des failles connues)
- La configuration des permissions sur les fichiers et dossiers WordPress
- La présence ou non d'un pare-feu au niveau serveur
Ce n'est pas une raison de changer d'hébergeur à tout prix, mais c'est un paramètre à intégrer dans l'évaluation globale de la sécurité de votre site.
7. Comment savoir si votre site a été piraté
Un site piraté ne s'affiche pas toujours avec un message d'avertissement. Souvent, le piratage est totalement invisible pour vous et très visible pour vos visiteurs ou pour Google.
Les signes qui doivent vous alerter :
- Vos visiteurs sont redirigés vers des pages inconnues ou des contenus douteux
- Google Search Console vous envoie une alerte de contenu malveillant
- Votre hébergeur suspend votre compte pour activité suspecte
- Vous voyez des pages ou des utilisateurs que vous n'avez pas créés dans votre back-office
- Vos emails partent en spam ou votre domaine est blacklisté
- Votre site est anormalement lent sans raison apparente
Si vous observez l'un de ces symptômes, chaque heure supplémentaire aggrave les dégâts : SEO et réputation.
8. Ce que vous pouvez faire concrètement
La bonne nouvelle : la plupart des failles qui mènent à un piratage sont évitables avec des mesures simples et accessibles, sans être développeur.
Les actions prioritaires :
- Faire les mises à jour régulièrement (WordPress, plugins, thèmes), idéalement après sauvegarde
- Supprimer les plugins inactifs ou abandonnés
- Renforcer vos mots de passe et activer la 2FA
- Installer un plugin de sécurité sérieux (SecuPress, Wordfence…) et le configurer correctement
- Mettre en place une stratégie de sauvegarde externalisée et automatique
- Vérifier la version PHP de votre hébergement
Si vous ne savez pas par où commencer, ou si vous voulez un état des lieux factuel de votre installation, c'est exactement ce que couvre mon audit sécurité WordPress.
FAQ
Est-ce que WordPress est sécurisé de base ?
WordPress en lui-même est un logiciel sérieusement maintenu, avec une équipe dédiée à la sécurité. Le problème vient rarement du cœur de WordPress — il vient de ce qu'on y ajoute (plugins, thèmes) et de la façon dont on le configure et l'entretient. Un WordPress bien configuré est solide. Un WordPress avec 30 plugins jamais mis à jour, beaucoup moins.
Mon site est petit, personne ne voudrait le pirater, non ?
C'est l'idée reçue la plus répandue — et la plus dangereuse. Les pirates ne cherchent pas votre site spécifiquement. Leurs robots scannent le web entier à la recherche de failles connues. Votre "petit site" leur est parfaitement indifférent en tant que cible — mais s'il présente une faille, il sera exploité au même titre qu'un grand site.
J'ai un plugin de sécurité installé, je suis protégé ?
Un plugin de sécurité est un très bon outil — à condition d'être correctement configuré et à jour. Il ne remplace pas les bonnes pratiques de base : mises à jour régulières, mots de passe solides, sauvegardes externalisées. C'est une couche de protection supplémentaire, pas une solution miracle.
Que faire si mon site a déjà été piraté ?
Ne paniquez pas et n'agissez pas à l'aveugle. Avant toute manipulation, essayez de sauvegarder l'état actuel pour avoir une trace. Ensuite, il s'agit d'identifier la faille, de nettoyer le code malveillant, de changer tous les accès et de renforcer la configuration. C'est une intervention que je réalise dans le cadre de mon service de dépannage d'urgence.
À quelle fréquence faut-il faire un audit de sécurité ?
Pour un site vitrine avec peu d'évolutions, une fois par an est un minimum raisonnable. Pour un site qui évolue régulièrement, tous les 6 mois est plus adapté. L'audit ponctuel se complète idéalement avec un suivi mensuel, c'est ce que couvre un forfait de maintenance.
La sécurité WordPress, ce n'est pas un sujet glamour. Personne ne se lève le matin en se disant "chouette, je vais sécuriser mon site aujourd'hui".
Ce que j'observe depuis plusieurs années, c'est que la plupart des piratages que je rencontre chez mes clients n'ont rien d'inévitable. Ils résultent d'une accumulation de petites négligences : une mise à jour repoussée, un plugin oublié ou un mot de passe jamais changé qui finissent par former une porte d'entrée grand ouverte.
Ce que je veux, c'est vous donner les clés pour fermer ces portes avant que quelqu'un entre. Pas pour vous faire peur. Pas pour vous vendre une solution complexe que vous ne comprendrez jamais. Juste pour que vous puissiez dormir tranquille en sachant que votre outil de travail est protégé.
Un site sécurisé, ça ne se voit pas. Et c'est exactement l'objectif.
Vous ne savez pas si votre site est vulnérable ?
Mon audit sécurité WordPress vous donne un état des lieux complet en vidéo, avec un plan d'action priorisé, livré sous 72h.
