WordPress fait tourner plus de 40 % du web. C’est aussi pour ça qu’il est la cible numéro un des hackers. Un site non sécurisé n’est pas une question de « si » il sera attaqué — mais de « quand ».

Les bases que personne ne devrait ignorer

Mettre à jour le core, les thèmes et les plugins, utiliser des mots de passe forts et activer l’authentification à deux facteurs (2FA) : ces trois mesures bloquent la majorité des attaques automatisées. Choisir un hébergeur fiable, attentif à la sécurité serveur, renforce encore cette première ligne de défense.

Les réglages qui réduisent la surface d’attaque

Restreindre les droits des utilisateurs, désactiver l’édition de fichiers depuis l’interface d’administration, désactiver XML-RPC si vous ne l’utilisez pas : chaque fonctionnalité inutile activée est une porte potentiellement ouverte. Un plugin comme Wordfence surveille les tentatives d’intrusion et bloque les menaces en temps réel.

La sécurité ne remplace pas les sauvegardes

Même un site bien protégé peut être compromis. Des sauvegardes automatiques régulières, conservées hors du serveur principal, restent le filet de sécurité ultime — celui qui permet de tout restaurer sans perdre des mois de travail.