Pourquoi wp-admin est la cible prioritaire des hackers
Chaque site WordPress expose par défaut son interface d'administration à l'URL /wp-admin ou /wp-login.php. Des milliers de bots scannent Internet en permanence pour tenter de s'y connecter par force brute. En 2025, Wordfence a bloqué plus de 90 milliards de tentatives de connexion malveillantes sur les sites WordPress dans le monde.
Sécuriser l'accès à votre tableau de bord WordPress est la mesure de sécurité la plus rentable que vous puissiez prendre.
1. Activer la double authentification (2FA)
La double authentification est la protection la plus efficace contre les attaques par force brute et le vol de mot de passe. Même si un attaquant connaît votre mot de passe, il ne peut pas accéder à votre compte sans le second facteur (code TOTP sur votre téléphone).
Comment l'activer :
- Installer le plugin WP 2FA ou Wordfence (qui inclut le 2FA)
- Activer le 2FA sur tous les comptes administrateurs
- Enregistrer vos codes de secours en lieu sûr
Si vous utilisez Cloudflare, leur fonctionnalité "Zero Trust Access" peut ajouter une couche d'authentification avant même d'atteindre WordPress.
2. Changer l'URL de connexion par défaut
Masquer /wp-admin et /wp-login.php élimine 90% des tentatives de connexion automatisées — les bots ciblent ces URLs fixes sans même essayer d'autres chemins.
Plugin recommandé : WPS Hide Login — gratuit, léger, efficace. Vous choisissez votre propre URL de connexion (ex. /espace-admin-secure). Accéder à l'ancienne URL retourne une 404.
Important : mémorisez ou notez impérativement la nouvelle URL — si vous l'oubliez, l'accès via FTP est nécessaire pour la restaurer.
3. Limiter les tentatives de connexion
Par défaut, WordPress autorise un nombre illimité de tentatives de connexion. Un attaquant peut tester des milliers de mots de passe automatiquement (attaque brute-force).
Solutions :
- Limit Login Attempts Reloaded (gratuit) : bloque les IP après X tentatives échouées
- Wordfence : protection brute-force avancée avec blocage par pays et gestion des IP
- Cloudflare WAF : rate limiting au niveau réseau, avant même d'atteindre votre serveur
Configuration recommandée : blocage temporaire après 5 tentatives, blocage permanent après 20 tentatives.
4. Restreindre l'accès par IP
Si vous accédez toujours à wp-admin depuis la même IP (bureau, maison), vous pouvez bloquer toutes les autres. C'est la protection la plus radicale.
Via .htaccess (serveur Apache) :
<Files wp-login.php>
Order Deny,Allow
Deny from All
Allow from 80.123.45.67
</Files>
Via Cloudflare : règle de pare-feu bloquant toutes les requêtes vers /wp-login.php sauf votre IP.
Limite : si votre IP est dynamique (change régulièrement), cette approche devient contraignante.
5. Utiliser des mots de passe forts et un gestionnaire
Un mot de passe faible rend toutes les autres protections inutiles. Règles minimales :
- 20+ caractères, mélange de chiffres, majuscules et caractères spéciaux
- Unique pour WordPress (jamais réutilisé sur d'autres services)
- Stocké dans un gestionnaire : Bitwarden (gratuit, open source) ou 1Password
WordPress génère automatiquement un mot de passe fort lors de la création de compte — utilisez-le.
6. Désactiver l'énumération des utilisateurs
WordPress expose par défaut les noms d'utilisateur via l'URL /?author=1. Un attaquant peut ainsi récupérer tous vos logins et n'a plus qu'à deviner les mots de passe.
Ajoutez dans functions.php ou via un plugin de sécurité :
// Désactiver l'énumération des auteurs
add_action('template_redirect', function() {
if (is_author()) {
wp_redirect(home_url(), 301);
exit;
}
});
7. Vérifier et auditer les comptes administrateurs
Régulièrement, vérifiez la liste de vos comptes WordPress (Utilisateurs → Tous les utilisateurs) :
- Supprimez les comptes administrateurs que vous ne reconnaissez pas
- Réduisez les droits des comptes qui n'ont pas besoin d'être administrateurs
- Vérifiez les emails associés aux comptes (un email inconnu = compte compromis)
Notre service de sécurité WordPress
Ces configurations prennent du temps et nécessitent de la vigilance. Notre service de sécurité WordPress inclut la configuration de tous ces dispositifs, une surveillance 24/7 et des alertes en temps réel en cas d'anomalie.
