Sécuriser WordPress contre les attaques automatisées en 2026
Les bots scannent constamment les sites WordPress à la recherche de failles. Ces mesures concrètes bloquent les attaques automatisées avant qu'elles n'atteignent votre site.
Internet ne dort jamais, et les bots non plus. En 2026, plus de 60% du trafic web mondial est généré par des bots — dont une proportion significative de bots malveillants qui scannent en permanence les sites WordPress à la recherche de vulnérabilités connues. La bonne nouvelle : la plupart de ces attaques automatisées sont peu sophistiquées et peuvent être bloquées avec des mesures de sécurité basiques.
Comprendre les attaques automatisées
Comment fonctionnent les scanners malveillants
Les botnets qui ciblent WordPress ne vous ciblent pas personnellement. Ils fonctionnent ainsi :
- Scan de masse : Ils scannent des plages d'IPs entières pour trouver des sites sous WordPress
- Détection de version : Ils identifient la version de WordPress, des thèmes et plugins installés
- Exploitation de CVE : Pour chaque version identifiée, ils tentent les exploits connus documentés publiquement
- Automatisation totale : Du scan à l'infection, tout est automatique — parfois en quelques secondes
Réalité : Votre site n'est probablement pas une cible choisie. Il a été trouvé parce qu'il utilise une version vulnérable d'un plugin répandu. Corriger cette vulnérabilité vous rend invisible pour ces bots.
Les vecteurs d'attaque automatisés les plus courants
Brute force sur wp-login.php
L'URL /wp-login.php est identique sur tous les sites WordPress du monde. Les bots testent automatiquement des milliers de combinaisons identifiant/mot de passe :
``
admin / password
admin / 123456
admin / [nom de domaine]
administrator / admin
``
Volume constaté : Certains sites reçoivent jusqu'à 500 tentatives de connexion par heure sans aucune activité humaine légitime.
Exploitation de plugins vulnérables
Chaque CVE (vulnérabilité publiquement documentée) d'un plugin populaire déclenche une vague d'exploitation dans les heures suivant sa publication. Les plugins les plus ciblés font l'objet de notre article dédié.
Upload de fichiers malveillants
Les formulaires de contact ou de téléversement mal sécurisés acceptent parfois des fichiers PHP qui, une fois uploadés, sont exécutés comme des scripts côté serveur.
Mesures de durcissement essentielles
1. Changer l'URL de connexion
Remplacer /wp-login.php par une URL personnalisée élimine 95% des tentatives de brute force automatisées :
Plugin recommandé : WPS Hide Login (gratuit, léger, efficace)
Après installation, définissez une URL comme /connexion-equipe-2026/ — quelque chose de mémorisable pour vous mais inconnu des bots.
Attention : Notez cette URL et partagez-la avec tous les administrateurs. Si vous l'oubliez, la procédure de récupération est complexe.
2. Authentification à deux facteurs obligatoire
Même si un bot devine votre mot de passe, le 2FA bloque l'accès :
Plugins recommandés :
- Two Factor (WordPress.org officiel) — Gratuit, simple
- Google Authenticator for WP — Interface conviviale
- Authy — Backup cloud des tokens
Activez le 2FA sur tous les comptes avec capacités d'édition (admin, éditeur).
3. Limitation des tentatives de connexion
```
Plugin : Limit Login Attempts Reloaded
Configuration recommandée :
- Blocage après 3 tentatives échouées
- Durée de blocage : 20 minutes
- Blocage prolongé après : 4 blocages
- Notification email : activée
```
4. Firewall applicatif (WAF)
Un Web Application Firewall filtre les requêtes malveillantes avant qu'elles n'atteignent WordPress :
| Solution | Type | Avantages | Inconvénients |
|---|---|---|---|
| Wordfence (gratuit) | Plugin | Facile, intégré | Consomme des ressources serveur |
| Cloudflare (gratuit) | CDN/WAF | Absorbe les attaques | Configuration plus complexe |
| Sucuri (payant) | Service | Très efficace | Coût mensuel |
5. Désactiver XML-RPC
XML-RPC est une interface d'API WordPress largement utilisée pour les attaques par amplification :
Dans .htaccess :
``apache
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
``
Via plugin : Disable XML-RPC (gratuit, un clic)
6. Masquer la version WordPress
Le numéro de version dans le code source aide les bots à cibler les exploits appropriés :
``php
// Dans functions.php
remove_action('wp_head', 'wp_generator');
``
Surveillance continue : la couche de protection oubliée
Même avec toutes ces mesures, la vigilance continue est indispensable. Mettez en place :
- Alertes Wordfence pour toute modification de fichier critique
- Monitoring externe de vos pages via SiteGarde pour détecter les changements de comportement
- Logs d'accès réguliers pour identifier des patterns d'attaque nouveaux
La sécurité est un processus continu, pas une configuration unique. Revisitez ces paramètres après chaque mise à jour majeure.
Articles connexes : Plugins WordPress les plus ciblés | Mettre à jour WordPress sans casser | Nettoyer un WordPress infecté