WPBeginner - Tutoriels WordPress pour débutants

Tutoriels WordPress de confiance, quand vous en avez le plus besoin.
Guide du débutant pour WordPress
WPB Cup
25 millions+
Sites web utilisant nos plugins
16+
Années d'expérience WordPress
3000+
Tutoriels WordPress par des experts

11 raisons principales pour lesquelles les sites WordPress sont piratés (& comment les prévenir)

Par Editorial Staff | | Divulgation du lecteur

Shares 478 ChatGPT Perplexity X LinkedIn WhatsApp

De nombreux propriétaires de sites Web s'inquiètent du piratage de leurs sites WordPress. Nous gérons de nombreux sites Web et comprenons bien cette préoccupation.

Être piraté est très frustrant et peut nuire à votre entreprise. Bien que les pirates tentent d'attaquer toutes sortes de sites Web, certaines erreurs courantes peuvent faire de votre site WordPress une cible plus facile.

Dans cet article, nous allons partager les principales raisons pour lesquelles les sites WordPress sont piratés afin que vous puissiez prendre des mesures pour mieux protéger votre site Web.

Pourquoi les sites WordPress sont-ils piratés ?

Pourquoi WordPress est-il ciblé par les pirates ?

Premièrement, ce n'est pas seulement WordPress. Tous les sites Web sur Internet sont vulnérables aux tentatives de piratage.

La raison pour laquelle les sites Web WordPress sont une cible courante est que WordPress est le constructeur de sites Web le plus populaire au monde. Il alimente plus de 43 % de tous les sites Web, ce qui représente des centaines de millions de sites Web dans le monde.

Cette immense popularité donne aux pirates un moyen facile de trouver des sites Web moins sécurisés afin de les exploiter.

Les pirates ont diverses motivations pour pirater un site Web. Certains sont des débutants qui apprennent simplement à exploiter les sites moins sécurisés. D'autres ont des intentions malveillantes, comme la distribution de logiciels malveillants, l'attaque d'autres sites Web et l'envoi de spam.

Cela dit, examinons certaines des principales causes du piratage des sites WordPress afin que vous puissiez apprendre à empêcher le piratage de votre site Web.

1. Hébergement Web non sécurisé

Comme tous les sites web, les sites WordPress sont hébergés sur un serveur web. Certaines sociétés d'hébergement ne sécurisent pas correctement leur plateforme d'hébergement. Cela rend tous les sites web hébergés sur leurs serveurs vulnérables aux tentatives de piratage.

Cela peut être facilement évité en choisissant le meilleur hébergement WordPress pour votre site web. Des serveurs correctement sécurisés peuvent bloquer de nombreuses attaques courantes sur les sites WordPress.

Si vous souhaitez prendre des précautions supplémentaires, nous vous recommandons d'utiliser un fournisseur d'hébergement WordPress géré.

2. Utilisation de mots de passe faibles

Utilisation de mots de passe faibles

Les mots de passe sont les clés de votre site WordPress. Vous devez vous assurer que vous utilisez un mot de passe fort et unique pour chacun des comptes suivants, car ils peuvent tous donner à un pirate un accès complet à votre site web :

  • Votre compte administrateur WordPress
  • Votre compte du panneau de contrôle d'hébergement web
  • Vos comptes FTP
  • La base de données MySQL utilisée pour votre site WordPress
  • Tous les comptes e-mail utilisés pour l'administration WordPress et l'hébergement

Tous ces comptes sont protégés par des mots de passe. L'utilisation de mots de passe faibles facilite le piratage des mots de passe par les pirates à l'aide d'outils de piratage basiques.

Vous pouvez facilement éviter cela en utilisant des mots de passe uniques et forts pour chaque compte. Consultez notre guide sur la meilleure façon de gérer les mots de passe pour les débutants WordPress afin d'apprendre à gérer tous ces mots de passe forts.

3. Accès non protégé à l'administration WordPress (wp-admin)

La zone d'administration de WordPress donne à un utilisateur l'accès pour effectuer différentes actions sur votre site WordPress. C'est aussi la zone la plus fréquemment attaquée d'un site WordPress.

Le laisser sans protection permet aux pirates d'essayer différentes approches pour pirater votre site Web. Vous pouvez leur rendre la tâche difficile en ajoutant des couches d'authentification à votre répertoire d'administration.

Tout d'abord, vous devriez protéger par mot de passe votre zone d'administration WordPress. Cela ajoute une couche de sécurité supplémentaire, et toute personne tentant d'accéder à l'administration WordPress devra fournir un mot de passe supplémentaire.

Si vous gérez un site WordPress multi-auteurs ou multi-utilisateurs, vous pouvez imposer des mots de passe forts pour tous les utilisateurs de votre site. Vous pouvez également ajouter une authentification à deux facteurs (2FA) pour rendre encore plus difficile l'accès des pirates à votre zone d'administration WordPress.

4. Permissions de fichiers incorrectes

Permissions de fichiers

Les permissions de fichiers sont un ensemble de règles utilisées par votre serveur web. Ces permissions aident votre serveur web à contrôler l'accès aux fichiers de votre site. Des permissions de fichiers incorrectes peuvent permettre à un pirate d'écrire et de modifier ces fichiers.

Tous vos fichiers WordPress devraient avoir une valeur de 644 comme permission de fichier. Tous les dossiers de votre site WordPress devraient avoir 755 comme permission de fichier.

Consultez notre guide sur comment résoudre le problème de téléversement d'images dans WordPress pour apprendre comment appliquer ces permissions de fichiers.

5. Ne pas maintenir WordPress à jour

Certains utilisateurs de WordPress ont peur de mettre à jour leurs sites web WordPress. Ils craignent que cela ne casse leur site.

Chaque nouvelle version de WordPress corrige des bugs et des vulnérabilités de sécurité. Si vous ne mettez pas à jour WordPress, vous laissez intentionnellement votre site vulnérable.

Si vous craignez qu'une mise à jour ne casse votre site, vous pouvez créer une sauvegarde complète de WordPress avant d'effectuer une mise à jour. Ainsi, si quelque chose ne fonctionne pas, vous pouvez facilement revenir à la version précédente.

Vous pouvez en apprendre davantage dans notre guide pour débutants sur comment mettre à jour WordPress en toute sécurité.

6. Ne pas mettre à jour les plugins ou le thème

Tout comme le logiciel WordPress de base, la mise à jour de votre thème et de vos plugins est tout aussi importante. L'utilisation d'un plugin ou d'un thème obsolète peut rendre votre site vulnérable.

Des failles de sécurité et des bugs sont souvent découverts dans les plugins et thèmes WordPress. Habituellement, les auteurs de thèmes et de plugins sont rapides pour les corriger. Cependant, si un utilisateur ne met pas à jour son thème ou son plugin, il n'y a rien qu'il puisse faire à ce sujet.

Assurez-vous de maintenir votre thème et vos plugins WordPress à jour. Vous pouvez apprendre comment faire dans notre guide sur l'ordre de mise à jour approprié pour WordPress, les plugins et les thèmes.

7. Utiliser FTP simple au lieu de SFTP/SSH

SFTP au lieu de FTP

Les comptes FTP sont utilisés pour télécharger des fichiers sur votre serveur web à l'aide d'un client FTP. La plupart des fournisseurs d'hébergement prennent en charge les connexions FTP à l'aide de différents protocoles. Vous pouvez vous connecter en utilisant FTP simple, SFTP ou SSH.

Lorsque vous vous connectez à votre site en utilisant FTP simple, votre mot de passe est envoyé au serveur sans chiffrement. Cela signifie qu'il peut être espionné et facilement volé. Au lieu d'utiliser FTP, vous devriez toujours utiliser SFTP ou SSH.

Vous n'avez pas besoin de changer votre client FTP. La plupart des clients FTP peuvent se connecter à votre site web en SFTP ainsi qu'en SSH. Il vous suffit de changer le protocole pour 'SFTP – SSH' lors de la connexion à votre site web.

8. Utiliser Admin comme nom d'utilisateur WordPress

Il n'est pas recommandé d'utiliser 'admin' comme nom d'utilisateur WordPress. Si votre nom d'utilisateur administrateur est 'admin', vous devriez immédiatement le changer pour un autre nom d'utilisateur.

Pour des instructions détaillées, consultez notre tutoriel sur comment changer votre nom d'utilisateur WordPress.

9. Thèmes et plugins nulled

Logiciels malveillants

Il existe de nombreux sites Web sur Internet qui distribuent gratuitement des plugins et des thèmes WordPress payants. Vous pourriez être tenté d'utiliser ces plugins et thèmes piratés sur votre site.

Télécharger des thèmes et des plugins WordPress à partir de sources non fiables est très dangereux. Non seulement ils peuvent compromettre la sécurité de votre site Web, mais ils peuvent également être utilisés pour voler des informations sensibles.

Vous devriez toujours télécharger des plugins et des thèmes WordPress à partir de sources fiables telles que le site Web du développeur ou les dépôts officiels de WordPress.

Si vous n'avez pas les moyens d'acheter un plugin ou un thème premium, il existe toujours des alternatives gratuites disponibles pour ces produits. Ces plugins gratuits ne sont peut-être pas aussi performants que leurs homologues payants, mais ils feront le travail et, surtout, garderont votre site Web en sécurité.

Vous pouvez également trouver des réductions pour de nombreux produits WordPress populaires dans la section des offres sur notre site Web.

10. Ne pas sécuriser le fichier de configuration wp-config.php de WordPress

Le fichier de configuration WordPress wp-config.php contient vos identifiants de connexion à la base de données WordPress. S'il est compromis, il révélera des informations qui pourraient donner à un pirate un accès complet à votre site web.

Vous pouvez ajouter une couche de protection supplémentaire en refusant l'accès au fichier wp-config en utilisant .htaccess. Ajoutez simplement ce code à votre fichier .htaccess :

<files wp-config.php>
order allow,deny
deny from all
</files>
Hosted with ❤️ by WPCode
1-click Use in WordPress

11. Ne pas changer le préfixe des tables WordPress

De nombreux experts recommandent de changer le préfixe par défaut des tables WordPress. Par défaut, WordPress utilise wp_ comme préfixe pour les tables qu'il crée dans votre base de données. Vous avez la possibilité de le changer pendant l'installation.

Il est recommandé d'utiliser un préfixe plus complexe. Cela rendra plus difficile pour les pirates de deviner les noms de vos tables de base de données.

Pour des instructions détaillées, consultez notre guide sur la façon de changer le préfixe de la base de données WordPress pour améliorer la sécurité.

Nettoyer un site WordPress piraté

Nettoyer un site WordPress piraté peut être douloureux. Cependant, cela peut être fait.

Voici quelques ressources pour vous aider à démarrer le nettoyage d'un site WordPress piraté :

Astuce bonus

Pour une sécurité à toute épreuve, Sucuri propose des services de détection et de suppression de logiciels malveillants ainsi qu'un pare-feu de site Web qui protégera votre site contre les menaces les plus courantes.

Lisez l'histoire de la façon dont Sucuri nous a aidés à bloquer 450 000 attaques WordPress en 3 mois.

Nous espérons que cet article vous a aidé à découvrir les principales raisons pour lesquelles un site WordPress est piraté. Vous voudrez peut-être aussi consulter notre guide sur comment protéger votre site WordPress contre les attaques par force brute et notre sélection d'experts des meilleurs plugins de sécurité WordPress pour protéger votre site.

Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.

Populaire sur WPBeginner En ce moment !

Avis : Notre contenu est financé par nos lecteurs. Cela signifie que si vous cliquez sur certains de nos liens, nous pouvons percevoir une commission. Voir comment WPBeginner est financé, pourquoi c'est important et comment vous pouvez nous soutenir. Voici notre processus éditorial.

La boîte à outils WordPress ultime

Accédez GRATUITEMENT à notre boîte à outils - une collection de produits et de ressources liés à WordPress que tout professionnel devrait posséder !

Télécharger maintenant

Interactions des lecteurs

7 CommentsLeave a Reply

  1. BONNE explication des vulnérabilités de sécurité de WordPress.
    Après avoir géré les mises à jour sur des dizaines de sites clients, j'ai constaté que la mise en place d'un environnement de staging pour tester les mises à jour est absolument cruciale. C
    ela répond à la préoccupation mentionnée dans les points 5 et 6 concernant les mises à jour qui pourraient potentiellement casser les sites. Je crée une copie de staging, j'y exécute d'abord les mises à jour, je teste minutieusement, et ce n'est qu'ensuite que je mets à jour le site en direct. Cette approche a évité à mes clients de nombreux problèmes potentiels tout en maintenant leurs sites sécurisés et à jour. C'est une étape supplémentaire, mais qui vaut bien la tranquillité d'esprit.

    Reply

  2. Que font exactement les directives pour sécuriser le fichier wp-config.php à l'aide du fichier .htaccess ? Interdisent-elles l'accès à toute personne extérieure, n'autorisant l'accès au fichier que par des applications spécifiques ? Est-ce que je comprends bien ?

    Cela ne causera-t-il pas un autre problème, à savoir l'impossibilité d'accéder au fichier ?

    Reply

    • Cela empêcherait l'accès à quelqu'un qui essaierait d'ouvrir le fichier directement et dans la plupart des cas ne devrait pas poser de problème pour limiter l'accès de cette manière.

      Reply

      Admin

      • Merci pour votre réponse. Je voulais juste m'assurer qu'il pourrait y avoir une situation où je casserais une communication interne de WordPress. J'applique absolument la sécurité.

        Reply

  3. Merci pour ces conseils incroyables. Je vais ajouter le code au fichier .htaccess maintenant.

    Reply

  4. Bonjour, j'ai sécurisé mon dossier wp-admin via la confidentialité du dossier, mais comment puis-je faire de même pour l'URL wp-login ?

    Reply

  5. Vous pouvez également ne pas installer à l'emplacement par défaut de votre site Web WordPress, vous pouvez donc en fait installer wp dans un dossier nommé "secure" et ensuite, avec quelques astuces, vos visiteurs entreront sur votre site.com et non sur website.com/secure afin de voir votre site.

    Reply

Laisser un commentaire

Merci d'avoir choisi de laisser un commentaire. N'oubliez pas que tous les commentaires sont modérés conformément à notre politique de commentaires, et votre adresse e-mail ne sera PAS publiée. Veuillez NE PAS utiliser de mots-clés dans le champ du nom. Ayons une conversation personnelle et significative.

Copyright © 2009 - 2025 WPBeginner LLC. Tous droits réservés. WPBeginner® est une marque déposée.

Géré par Awesome Motive | Hébergement WordPress par SiteGround

La marque WordPress® est la propriété intellectuelle de la WordPress Foundation. L'utilisation des noms WordPress® sur ce site web est uniquement à des fins d'identification et n'implique aucune approbation par la WordPress Foundation. WPBeginner n'est pas approuvé, possédé ou affilié à la WordPress Foundation.

J'ai besoin d'aide avec…

Recherches populaires :

Lancer un blog SEO WordPress Performance WordPress Erreurs WordPress Sécurité WordPress Créer une boutique en ligne