En 2026, plus de 24 milliards de paires identifiant/mot de passe circulent sur le dark web, selon le rapport annuel de SpyCloud. Chaque jour, des bots sophistiqués testent automatiquement ces combinaisons sur des millions de sites WordPress — le vôtre inclus. Et contrairement à une attaque brute force classique, le credential stuffing est particulièrement redoutable : les identifiants testés sont réels, car issus de vraies fuites de données.
Résultat : un attaquant peut prendre le contrôle d’un compte administrateur WordPress sans déclencher la moindre alerte, si vous n’avez pas les bonnes protections en place. Ce guide vous explique précisément comment fonctionnent ces attaques et, surtout, comment les neutraliser.
Tout commence par une fuite de données. Quand un service en ligne est compromis (un forum, une boutique e-commerce, une application mobile), les bases d’identifiants sont volées et revendues sur des marketplaces clandestines. Ces listes, appelées combo lists, contiennent des millions d’adresses e-mail associées à des mots de passe en clair ou facilement déchiffrables.
En 2025, la fuite RockYou2025 a exposé 10 milliards de mots de passe uniques — un volume sans précédent directement exploitable par des outils de credential stuffing.
Des outils comme Sentry MBA, OpenBullet ou des scripts Python sur mesure permettent de tester des milliers de combinaisons par minute, en contournant les limitations de taux via des proxies rotatifs et des réseaux de botnets. En 2026, l’IA est de plus en plus utilisée pour adapter ces attaques en temps réel et contourner les CAPTCHAs — comme nous l’avons détaillé dans notre article sur les attaques WordPress assistées par IA en 2026.
WordPress représente 43 % des sites web mondiaux (source : W3Techs, 2026). Sa page de connexion standardisée (/wp-login.php) est universellement connue, ce qui simplifie le travail des attaquants. De plus, de nombreux utilisateurs réutilisent les mêmes identifiants sur plusieurs services — d’où l’efficacité redoutable du credential stuffing.
Contrairement au brute force, le credential stuffing se caractérise par :
wp-login.php avec de multiples noms d’utilisateur différentsDans vos logs Apache ou Nginx, recherchez des patterns du type :
POST /wp-login.php HTTP/1.1" 200 — depuis 185.x.x.x
POST /wp-login.php HTTP/1.1" 200 — depuis 91.x.x.x
POST /wp-login.php HTTP/1.1" 200 — depuis 103.x.x.x
Plusieurs IP différentes, même endpoint, dans un court laps de temps = signal fort.
C’est votre défense numéro un. Même si un attaquant dispose du bon mot de passe, le 2FA rend le compte inaccessible sans le second facteur (application TOTP, SMS, clé hardware). Selon Google, le 2FA bloque 99,9 % des attaques automatisées.
Plugins recommandés : WP 2FA, Google Authenticator, Wordfence Login Security.
Renommer ou protéger la page de connexion empêche les outils automatisés de trouver facilement le point d’entrée. Notre guide dédié sur comment sécuriser wp-login.php avec 7 techniques avancées détaille toutes les options : renommage, protection par IP, CAPTCHA renforcé et authentification HTTP basique.
Limitez drastiquement le nombre de tentatives de connexion. La configuration recommandée :
Avec Fail2Ban côté serveur, vous pouvez bannir automatiquement les IP abusives au niveau du pare-feu. Consultez notre tutoriel complet sur Fail2Ban et WordPress pour bloquer les brute force — les mêmes règles s’appliquent au credential stuffing.
Un Web Application Firewall (WAF) comme Cloudflare, Sucuri ou le WAF intégré de Wordfence peut détecter et bloquer les patterns de credential stuffing en analysant le comportement des requêtes en temps réel — même depuis des IP propres et des User-Agents légitimes.
Le plugin WP Password Policy Manager ou une implémentation custom de l’API Have I Been Pwned permet de vérifier si un mot de passe soumis figure dans des bases de données compromises et d’en forcer le changement immédiatement.
Configurez WordPress pour :
Imposez des mots de passe d’au minimum 16 caractères incluant majuscules, chiffres et symboles. Forcez un renouvellement tous les 90 jours pour les comptes administrateurs. Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password) plutôt que des mots de passe mémorisables — par définition plus faibles.
Vous pouvez ajouter cette règle dans votre .htaccess pour bloquer les accès répétés à wp-login.php provenant d’IP n’étant pas les vôtres :
# Protection wp-login.php - Autoriser uniquement vos IP
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 123.456.789.0 # Remplacez par votre IP
</Files>
Si vous n’avez pas d’IP fixe, combinez cette approche avec une protection par CAPTCHA et un plugin de sécurité robuste.
Le brute force teste des combinaisons aléatoires ou des dictionnaires génériques. Le credential stuffing utilise des identifiants réels issus de fuites de données. Il est donc statistiquement plus efficace et plus difficile à distinguer d’une connexion légitime.
Oui. Les attaques de credential stuffing sont entièrement automatisées et non sélectives. Tout site WordPress avec une page de connexion standard est dans le radar des bots. La taille ou la notoriété de votre site n’y change rien.
En 2026, les CAPTCHAs classiques sont régulièrement contournés par des services de résolution humaine ou des IA spécialisées. Le CAPTCHA reste une couche utile, mais insuffisante seule. Combiné au 2FA, au rate limiting et à un WAF, il forme une défense en profondeur efficace.
Consultez vos logs de connexion (via WP Activity Log ou les logs serveur) et recherchez des connexions depuis des localisations inhabituelles, à des heures anormales, ou avec des appareils non reconnus. Vérifiez également sur Have I Been Pwned si vos adresses e-mail d’administrateurs figurent dans des fuites connues.
Le credential stuffing est l’une des attaques les plus sous-estimées sur WordPress en 2026, précisément parce qu’elle est discrète et efficace. La bonne nouvelle : avec les bonnes couches de défense, elle est parfaitement neutralisable.
Retenez les priorités absolues : 2FA activé pour tous les comptes, rate limiting strict sur wp-login.php, et surveillance active des connexions. Pour aller plus loin dans la sécurisation de votre site, consultez notre checklist sécurité WordPress 2026 qui couvre l’ensemble des mesures essentielles.
Vous avez subi une tentative d’intrusion ou souhaitez un audit de sécurité professionnel ? Contactez l’équipe SecuriteWP — nous intervenons sous 24h.
Découvrez comment mettre en place un système de monitoring WordPress efficace : journalisation des connexions, alertes en temps réel, plugins recommandés et intégration SIEM pour détecter toute intrusion.
Le credential stuffing cible des millions de sites WordPress via des bases de données de mots de passe volés. Découvrez comment détecter, bloquer et vous prémunir contre cette attaque en 2026.
Comment forcer HTTPS et configurer HSTS sur WordPress en 2026 : 4 méthodes testées, configuration HSTS Preload, correction des erreurs Mixed Content et sécurisation SSL complète.
Apprenez à surveiller l’intégrité des fichiers WordPress pour détecter backdoors, webshells et modifications malveillantes avant qu’il ne soit trop tard. Guide complet 2026.
L’éditeur de fichiers WordPress natif est l’une des portes d’entrée les plus exploitées lors d’une compromission. Découvrez comment le désactiver en une ligne et durcir votre installation WordPress.
cPanel cumule en 2026 une faille d’authentification critique (CVE-2026-41940, CVSS 10.0) exploitée activement et des hausses tarifaires de +400% en 5 ans. Des sites e-commerce ont été ransomwés. Est-il encore raisonnable de lui faire confiance ?
Nos experts français assurent un support et une prestation de qualité.
