Comment sécuriser wp-admin : le guide complet

La page /wp-admin est la cible n°1 des attaques WordPress. Voici toutes les mesures pour la protéger efficacement sans bloquer votre accès.

Par Maintenance Web WordPress9 min de lecture
Comment sécuriser wp-admin : le guide complet

Pourquoi wp-admin est la cible prioritaire des hackers

Chaque site WordPress expose par défaut son interface d'administration à l'URL /wp-admin ou /wp-login.php. Des milliers de bots scannent Internet en permanence pour tenter de s'y connecter par force brute. En 2025, Wordfence a bloqué plus de 90 milliards de tentatives de connexion malveillantes sur les sites WordPress dans le monde.

Sécuriser l'accès à votre tableau de bord WordPress est la mesure de sécurité la plus rentable que vous puissiez prendre.

1. Activer la double authentification (2FA)

La double authentification est la protection la plus efficace contre les attaques par force brute et le vol de mot de passe. Même si un attaquant connaît votre mot de passe, il ne peut pas accéder à votre compte sans le second facteur (code TOTP sur votre téléphone).

Comment l'activer :

  • Installer le plugin WP 2FA ou Wordfence (qui inclut le 2FA)
  • Activer le 2FA sur tous les comptes administrateurs
  • Enregistrer vos codes de secours en lieu sûr

Si vous utilisez Cloudflare, leur fonctionnalité "Zero Trust Access" peut ajouter une couche d'authentification avant même d'atteindre WordPress.

2. Changer l'URL de connexion par défaut

Masquer /wp-admin et /wp-login.php élimine 90% des tentatives de connexion automatisées — les bots ciblent ces URLs fixes sans même essayer d'autres chemins.

Plugin recommandé : WPS Hide Login — gratuit, léger, efficace. Vous choisissez votre propre URL de connexion (ex. /espace-admin-secure). Accéder à l'ancienne URL retourne une 404.

Important : mémorisez ou notez impérativement la nouvelle URL — si vous l'oubliez, l'accès via FTP est nécessaire pour la restaurer.

3. Limiter les tentatives de connexion

Par défaut, WordPress autorise un nombre illimité de tentatives de connexion. Un attaquant peut tester des milliers de mots de passe automatiquement (attaque brute-force).

Solutions :

  • Limit Login Attempts Reloaded (gratuit) : bloque les IP après X tentatives échouées
  • Wordfence : protection brute-force avancée avec blocage par pays et gestion des IP
  • Cloudflare WAF : rate limiting au niveau réseau, avant même d'atteindre votre serveur

Configuration recommandée : blocage temporaire après 5 tentatives, blocage permanent après 20 tentatives.

4. Restreindre l'accès par IP

Si vous accédez toujours à wp-admin depuis la même IP (bureau, maison), vous pouvez bloquer toutes les autres. C'est la protection la plus radicale.

Via .htaccess (serveur Apache) :

<Files wp-login.php>
  Order Deny,Allow
  Deny from All
  Allow from 80.123.45.67
</Files>

Via Cloudflare : règle de pare-feu bloquant toutes les requêtes vers /wp-login.php sauf votre IP.

Limite : si votre IP est dynamique (change régulièrement), cette approche devient contraignante.

5. Utiliser des mots de passe forts et un gestionnaire

Un mot de passe faible rend toutes les autres protections inutiles. Règles minimales :

  • 20+ caractères, mélange de chiffres, majuscules et caractères spéciaux
  • Unique pour WordPress (jamais réutilisé sur d'autres services)
  • Stocké dans un gestionnaire : Bitwarden (gratuit, open source) ou 1Password

WordPress génère automatiquement un mot de passe fort lors de la création de compte — utilisez-le.

6. Désactiver l'énumération des utilisateurs

WordPress expose par défaut les noms d'utilisateur via l'URL /?author=1. Un attaquant peut ainsi récupérer tous vos logins et n'a plus qu'à deviner les mots de passe.

Ajoutez dans functions.php ou via un plugin de sécurité :

// Désactiver l'énumération des auteurs
add_action('template_redirect', function() {
  if (is_author()) {
    wp_redirect(home_url(), 301);
    exit;
  }
});

7. Vérifier et auditer les comptes administrateurs

Régulièrement, vérifiez la liste de vos comptes WordPress (Utilisateurs → Tous les utilisateurs) :

  • Supprimez les comptes administrateurs que vous ne reconnaissez pas
  • Réduisez les droits des comptes qui n'ont pas besoin d'être administrateurs
  • Vérifiez les emails associés aux comptes (un email inconnu = compte compromis)

Notre service de sécurité WordPress

Ces configurations prennent du temps et nécessitent de la vigilance. Notre service de sécurité WordPress inclut la configuration de tous ces dispositifs, une surveillance 24/7 et des alertes en temps réel en cas d'anomalie.

Audit de sécurité gratuit →

Besoin d'aide avec votre WordPress ?

Nous vous proposons un audit gratuit de votre site et un plan d'action personnalisé.

Demander un audit gratuit