Comment bien sécuriser son wp-admin sur Wordpress ?
- Comment bien sécuriser son wp-admin sur Wordpress ?
- Comprendre les risques réels du wp-admin (sans dramatiser)
- Renforcer l'accès : identifiants, mots de passe, et MFA
- Limiter les tentatives de connexion (et fermer le robinet)
- Restreindre l'accès au wp-admin (IP, URL, et règles serveur)
- Garder WordPress sain : mises à jour, extensions, et hygiène
- Surveiller et être alerté (avant que ça dérape)
- Tableau des protections recommandées (effort vs gain)
- Un plan d'action simple (à faire dans l'ordre)
-
FAQ
- Dois-je changer l'URL de connexion WordPress ?
- Le MFA est-il indispensable sur un petit site ?
- Limiter les tentatives de connexion suffit-il ?
- Est-ce risqué d'avoir plusieurs comptes administrateurs ?
- Que faire si mon IP change souvent et que je voulais restreindre wp-admin ?
- Faut-il désactiver l'éditeur de fichiers dans l'admin ?
- Quelle est la meilleure fréquence de sauvegarde pour un site WordPress ?
- Une dernière couche souvent oubliée : le «compte de secours» propre
Le tableau de bord WordPress, c'est un peu la porte de service de votre site : pratique, souvent ouverte plusieurs fois par semaine... et donc très attractive pour qui cherche à entrer sans invitation. Quand le wp-admin est mal protégé, les attaques se répètent, parfois en silence, jusqu'au jour où un compte admin saute, un plugin inconnu apparaît, ou vos visiteurs atterrissent sur une page douteuse. Bonne nouvelle : sécuriser cette zone ne demande pas de magie, juste une série de gestes simples, cohérents, et tenus dans la durée.
Comment bien sécuriser son wp-admin sur Wordpress ?
On va raisonner comme un webmaster prudent : vous ne cherchez pas «l'astuce miracle», vous empilez des barrières. Une serrure, puis un verrou, puis une alarme. Chaque couche réduit le risque et limite les dégâts si une autre craque. Et sur WordPress, ces couches sont connues, testées, et accessibles même sans être développeur.
Comprendre les risques réels du wp-admin (sans dramatiser)
La majorité des tentatives sur /wp-admin et /wp-login.php sont automatiques. Des robots essaient des mots de passe, des identifiants courants, ou exploitent des extensions vulnérables. Ce n'est pas personnel. C'est industriel. Votre objectif : faire en sorte que votre site devienne une cible «pénible», coûteuse en temps de calcul.
Gardez deux images en tête : un hall d'immeuble (wp-admin) et une boîte aux lettres (vos comptes). Si le hall est facile d'accès, la boîte finit souvent forcée. Si le hall est filtré, surveillé, éclairé, la plupart passent leur chemin.
«La sécurité WordPress, ce n'est pas un mur parfait. C'est un parcours d'obstacles suffisamment long pour décourager la majorité des intrus.»
Renforcer l'accès : identifiants, mots de passe, et MFA
Commencez par ce qui casse le plus d'attaques : des identifiants propres. Évitez «admin», «webmaster», le nom du site, ou votre prénom. C'est basique... et justement, c'est ce que les bots tentent en premier.
Ensuite, imposez des mots de passe longs. Pas «complexes» au sens pénible, longs et uniques : une phrase de 4 à 6 mots, avec un séparateur, marche très bien. Exemple : «Chaud-velo-muscade-42-promenade». On retient, et c'est robuste.
Ajoutez une authentification à deux facteurs (MFA) sur les comptes sensibles (admin, éditeurs). Oui, c'est une étape en plus. Non, ce n'est pas «trop». C'est souvent la différence entre une tentative et une compromission.
Enfin, faites le ménage : supprimez les comptes inactifs, rétrogradez les rôles trop généreux, et limitez le nombre d'administrateurs. Un site avec 1 admin et 3 éditeurs, c'est plus sain qu'un site avec 6 admins «au cas où».
Mini-checklist côté comptes
- Identifiant non prévisible (jamais «admin»).
- Mot de passe unique par utilisateur.
- MFA activée au minimum pour les admins.
- Rôles WordPress attribués au plus juste.
Limiter les tentatives de connexion (et fermer le robinet)
Un robot qui peut essayer 50 000 combinaisons a une chance de tomber juste. Un robot bloqué après 5 essais, beaucoup moins. Installez une protection de type limitation de tentatives, avec blocage temporaire, puis escalade (15 minutes, 1 heure, 24 heures). C'est simple, et ça réduit la charge serveur.
Ajoutez un CAPTCHA uniquement si vous en avez réellement besoin : certains sites voient une baisse de conversions quand le formulaire de login devient trop «hostile». Le bon compromis : CAPTCHA après quelques échecs, plutôt qu'au premier affichage. [ A lire en complément ici ]
Et si votre site subit des vagues régulières, envisagez un pare-feu applicatif. Un WAF bien réglé absorbe une partie des attaques avant même que WordPress ne travaille.
Restreindre l'accès au wp-admin (IP, URL, et règles serveur)
Si vous vous connectez toujours depuis quelques lieux (bureau, domicile, VPN), vous pouvez réduire l'accès à wp-admin à une liste d'IP. C'est radical et efficace. Le seul piège : les IP qui changent (box grand public). Dans ce cas, passez par un VPN à IP fixe, ou une règle moins stricte.
On voit souvent le «changement d'URL de login». Ça ne remplace pas une vraie protection, mais ça retire une grande partie du bruit automatique. Disons que c'est une haie devant la porte : ça ne bloque pas un cambrioleur motivé, mais ça réduit les visiteurs indésirables qui testent au hasard.
Côté serveur, quelques règles font une grosse différence : bloquer l'exécution de PHP dans /uploads, empêcher l'indexation de certains répertoires, et interdire l'édition de fichiers depuis l'admin. Cette dernière option est très sous-estimée : si un compte admin est volé, l'éditeur de thème/plugin devient une arme immédiate.
Réglages WordPress utiles et rapides
Dans wp-config.php, activez la protection suivante pour empêcher l'édition directe :
DISALLOW_FILE_EDIT (désactive l'éditeur de fichiers dans l'interface). C'est un petit verrou, mais il compte.
Garder WordPress sain : mises à jour, extensions, et hygiène
Le wp-admin n'est pas seulement une page de connexion. C'est l'entrée vers un écosystème d'extensions, de thèmes, et de bibliothèques. Un seul plugin abandonné peut ouvrir une brèche. Votre routine doit être simple : mises à jour, tri, suppression.
Quelques règles qui évitent beaucoup de tracas : ne gardez pas 30 extensions «au cas où», supprimez celles que vous n'utilisez pas (désactiver ne suffit pas toujours), et choisissez des outils maintenus. Un plugin mis à jour régulièrement, avec un support actif, c'est souvent un meilleur signe qu'une promesse marketing.
Pensez aussi aux sauvegardes. Pas «un jour». Régulières, testées, et stockées hors du serveur. Une sauvegarde que vous n'avez jamais restaurée, c'est un parachute jamais plié.
Surveiller et être alerté (avant que ça dérape)
La sécurité, c'est aussi de la visibilité. Activez des logs de connexion, des alertes sur changements critiques (nouvel admin, plugin installé, fichier modifié), et consultez-les de temps en temps. Pas besoin de vivre dessus : 10 minutes par semaine suffisent pour repérer une anomalie.
Si vous gérez plusieurs sites, centralisez vos alertes. Sinon, vous allez rater le signal au milieu du bruit. Un bon système vous dit : «quelque chose a changé», pas «regarde 200 lignes incompréhensibles».
Tableau des protections recommandées (effort vs gain)
| Mesure | Effort | Gain sécurité | Remarque |
|---|---|---|---|
| MFA pour admins | Moyen | Très élevé | Réduit fortement l'impact d'un mot de passe volé |
| Limiter les tentatives | Faible | Élevé | Coupe la majorité des attaques par force brute |
| Mots de passe longs | Faible | Élevé | Utilisez un gestionnaire pour éviter la réutilisation |
| WAF (plugin ou CDN) | Moyen | Élevé | Filtre avant exécution PHP, utile en cas de pics |
| Restriction IP sur /wp-admin | Élevé | Très élevé | Excellent si vous avez une IP fixe ou un VPN |
| Désactiver l'édition des fichiers | Faible | Moyen | Réduit les dégâts si un compte admin est compromis |
Un plan d'action simple (à faire dans l'ordre)
Si vous aimez les listes claires, voici un chemin pragmatique. Pas besoin de tout faire en une heure ; avancez par étapes, mais finissez la séquence.
- Changer les identifiants à risque et imposer des mots de passe longs.
- Activer le MFA sur les comptes admin.
- Installer une protection de limitation de tentatives.
- Mettre à jour WordPress, thème, plugins, puis supprimer le superflu.
- Activer un WAF si vous subissez des vagues d'attaques.
- Bloquer l'édition de fichiers et renforcer les règles serveur si possible.
- Mettre en place des sauvegardes hors serveur et tester une restauration.
FAQ
Voici les questions qui reviennent le plus souvent quand on veut verrouiller l'accès à l'administration WordPress sans se compliquer la vie.
Dois-je changer l'URL de connexion WordPress ?
Oui, si vous subissez beaucoup de tentatives automatiques. Cela réduit le bruit et les scans basiques, mais ça ne remplace pas un mot de passe solide et le MFA.
Le MFA est-il indispensable sur un petit site ?
Pour un compte administrateur, c'est fortement recommandé, même sur un site modeste. Les attaques sont automatisées : la taille du site protège rarement.
Limiter les tentatives de connexion suffit-il ?
Ça stoppe une grande part de la force brute, mais pas tout. Combinez avec un mot de passe long, des rôles bien attribués, et idéalement un WAF si le site est ciblé.
Est-ce risqué d'avoir plusieurs comptes administrateurs ?
Oui, car vous multipliez les points d'entrée à fort privilège. Gardez un nombre minimal d'admins et utilisez des comptes éditeur/auteur pour le quotidien.
Que faire si mon IP change souvent et que je voulais restreindre wp-admin ?
Utilisez un VPN avec IP fixe, ou évitez le filtrage IP strict. À la place, renforcez MFA, limitation de tentatives et alertes de connexion.
Faut-il désactiver l'éditeur de fichiers dans l'admin ?
Oui, surtout sur un site exposé. Si un compte admin est volé, l'éditeur peut permettre d'injecter du code en quelques secondes.
Quelle est la meilleure fréquence de sauvegarde pour un site WordPress ?
Adaptez-la au rythme de changement : site vitrine peu modifié, sauvegarde régulière espacée ; site avec commandes ou contenu quotidien, sauvegarde plus fréquente. Dans tous les cas, testez une restauration.
Une dernière couche souvent oubliée : le «compte de secours» propre
Voici une idée très concrète, rarement appliquée correctement : créez un compte administrateur de secours, avec un identifiant imprévisible, un mot de passe stocké dans un gestionnaire, et le MFA activé... puis ne l'utilisez jamais au quotidien. Vous travaillez avec un compte moins privilégié (éditeur quand c'est possible), et vous sortez le «passe-partout» uniquement pour les opérations sensibles. C'est comme garder une clé maîtresse dans une boîte scellée : vous espérez ne pas l'ouvrir, mais le jour où ça tourne mal, vous êtes content qu'elle soit intacte.
A propos de moi : Clara MetaWeb
Passionnée de web depuis plus de dix ans, je partage sur Ton Site mes astuces et conseils pour aider les webmasters à optimiser et sécuriser leurs sites. De la gestion technique à l’ergonomie, j’aime explorer tous les aspects qui rendent un site performant et agréable à utiliser. Mon parcours m’a permis d’accompagner aussi bien des débutants que des experts dans leurs projets digitaux. Je crois fermement que chaque webmaster peut progresser avec les bons outils et les bonnes pratiques. Rejoignez-moi pour découvrir ensemble les secrets d’un web efficace et durable !