Si votre site WordPress est en ligne, des bots tentent en ce moment même de se connecter à votre interface d’administration. Ce n’est pas une hypothèse — c’est une réalité documentée. Selon Wordfence, plus de 90 milliards de tentatives de connexion malveillantes sont bloquées chaque mois sur les sites WordPress protégés par leur plugin. Et la quasi-totalité de ces attaques ciblent un seul fichier : wp-login.php.
Par défaut, cette page est accessible à n’importe qui dans le monde en tapant simplement votresite.com/wp-login.php. Les botnets automatisés scannent Internet 24h/24 pour tenter des combinaisons identifiants/mots de passe — une technique connue sous le nom de brute force ou credential stuffing.
D’après le rapport Patchstack 2025, 43 % des sites WordPress compromis l’ont été suite à un accès non autorisé au back-office, souvent facilité par des mots de passe faibles combinés à l’absence de protection de la page de connexion.
La bonne nouvelle : sécuriser wp-login.php est à la portée de tous les administrateurs. Voici les 7 techniques les plus efficaces, classées par facilité de mise en œuvre.
La première ligne de défense consiste à rendre wp-login.php introuvable. En changeant l’URL de connexion de /wp-login.php vers une adresse personnalisée comme /mon-espace-admin, vous éliminez instantanément 99 % des bots automatisés qui scannent les URLs par défaut.
Les plugins WPS Hide Login (300 000+ installations actives) ou All-in-One WP Security permettent de faire cela en quelques clics, sans modifier les fichiers core de WordPress. Il suffit de définir un nouveau slug de connexion depuis les réglages du plugin.
⚠️ Important : notez impérativement votre nouvelle URL de connexion et communiquez-la à tous les administrateurs. En cas d’oubli, il est possible de la retrouver via FTP en désactivant temporairement le plugin.
Par défaut, WordPress n’impose aucune limite sur le nombre de tentatives de connexion. Un bot peut essayer des milliers de combinaisons par heure sans être bloqué. La solution : installer un plugin de limitation de tentatives comme Limit Login Attempts Reloaded ou Login LockDown.
Configuration recommandée :
Pour aller plus loin dans le blocage automatique des IPs malveillantes, consultez notre guide sur bloquer les attaques par brute force avec Fail2Ban sur WordPress — une solution particulièrement efficace pour les serveurs VPS et dédiés.
L’authentification HTTP Basic est une couche de protection supplémentaire ajoutée en amont de WordPress lui-même. Concrètement, avant même d’accéder à la page de connexion WordPress, l’utilisateur doit saisir un second couple identifiant/mot de passe géré directement par le serveur web (Apache ou Nginx).
Sur Apache, ajoutez ces lignes dans votre fichier .htaccess à la racine du site, ou dans un .htaccess dédié au répertoire d’administration :
<Files wp-login.php>
AuthType Basic
AuthName "Zone protégée"
AuthUserFile /chemin/vers/.htpasswd
Require valid-user
</Files>Générez votre fichier .htpasswd via un outil en ligne sécurisé ou la commande htpasswd -c /chemin/.htpasswd votre_login. Notre guide complet sur la sécurisation du fichier .htaccess WordPress détaille toutes les options disponibles pour Apache et Nginx.
Résultat : même si un bot trouve votre URL de connexion WordPress, il sera bloqué par cette barrière serveur avant d’atteindre le formulaire WordPress.
Si vous (et vos administrateurs) travaillez depuis des adresses IP fixes, vous pouvez autoriser uniquement ces IPs à accéder à la page de connexion. C’est la protection la plus robuste — une IP non autorisée reçoit simplement une erreur 403, sans même accéder à la page.
Dans le fichier .htaccess :
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from 203.0.113.10
Allow from 198.51.100.0/24
</Files>Remplacez les IPs par vos adresses réelles. Si votre IP est dynamique (connexion résidentielle standard), cette option est moins pratique — combinez-la alors avec la méthode n°3 ou un VPN d’entreprise pour obtenir une IP fixe.
Même avec un mot de passe robuste, celui-ci peut être compromis via du phishing ou une fuite de base de données externe. La double authentification (2FA) ajoute un second facteur de vérification — généralement un code à 6 chiffres généré par une application mobile (Google Authenticator, Authy).
Avec le 2FA activé, un attaquant qui obtiendrait votre mot de passe ne pourrait toujours pas accéder à votre site sans avoir aussi accès à votre téléphone. Notre tutoriel détaillé explique comment activer l’authentification à deux facteurs sur WordPress avec les meilleurs plugins du marché en 2026.
Selon le NIST, l’authentification multifacteur bloque 99,9 % des attaques de compromission de comptes. C’est la mesure de sécurité avec le meilleur ratio effort/protection disponible.
Par défaut, WordPress indique si c’est l’identifiant ou le mot de passe qui est incorrect lors d’une tentative de connexion ratée. Cette information aide… les hackers ! En leur indiquant qu’un nom d’utilisateur existe bien, vous facilitez leur travail de ciblage.
Pour masquer ces messages, ajoutez ce code dans votre fichier functions.php ou via une extension de gestion de code :
add_filter( 'login_errors', function() {
return 'Identifiants incorrects. Veuillez réessayer.';
});En parallèle, désactivez l’affichage de l’identifiant dans les URLs d’auteur. Certains thèmes exposent le login WordPress dans les URLs de profil (/author/admin/) — protégez-vous en changeant votre identifiant de connexion et en définissant un nom d’affichage différent.
Les CAPTCHA modernes (Google reCAPTCHA v3, hCaptcha, Cloudflare Turnstile) permettent de distinguer les utilisateurs humains des bots automatisés sans friction excessive. Contrairement aux anciens CAPTCHA visuels, les versions actuelles fonctionnent en arrière-plan et n’impactent pas l’expérience utilisateur.
Solutions recommandées :
Les bots les plus sophistiqués peuvent contourner certains CAPTCHA, mais combiné aux autres techniques de cette liste, le CAPTCHA constitue une couche supplémentaire efficace, notamment contre les attaques automatisées de masse.
/wp-admin/ avec les mêmes méthodes.Non — ce fichier est indispensable au fonctionnement de WordPress. Vous pouvez en revanche le protéger ou le rendre inaccessible publiquement via les méthodes décrites ci-dessus (restriction IP, HTTP Auth, URL personnalisée). Les plugins comme WPS Hide Login le laissent en place mais le rendent inaccessible via son URL d’origine.
La combinaison URL personnalisée + 2FA + limite de tentatives offre le meilleur niveau de protection pour la plupart des sites. Pour les environnements à haute criticité (e-commerce, données sensibles), ajoutez la restriction IP et l’authentification HTTP. Retrouvez l’ensemble des bonnes pratiques dans notre checklist de sécurité WordPress complète 2026.
Des plugins comme Wordfence, Solid Security (anciennement iThemes Security) ou All-in-One WP Security intègrent plusieurs de ces protections. Ils constituent un excellent point de départ, mais ne remplacent pas les protections au niveau serveur (restriction IP dans .htaccess, HTTP Auth) qui opèrent en dehors de WordPress lui-même.
Certains hébergeurs WordPress managés (Kinsta, WP Engine, Flywheel) proposent des protections de la page de connexion au niveau de leur infrastructure. Vérifiez auprès de votre hébergeur, mais ne comptez pas uniquement sur lui — la défense en profondeur reste la meilleure stratégie.
La sécurisation de votre page de connexion WordPress n’est pas une option — c’est un prérequis fondamental. En combinant plusieurs des 7 techniques présentées dans ce guide, vous rendez votre site exponentiellement plus difficile à compromettre, sans impacter l’expérience de vos utilisateurs légitimes.
Commencez dès aujourd’hui par les mesures les plus simples : changer l’URL de connexion et activer le 2FA. Ces deux actions, qui prennent moins de 10 minutes à mettre en place, éliminent la grande majorité des risques d’accès non autorisé.
Vous avez un doute sur la sécurité de votre site WordPress ? Contactez SecuriteWP pour un audit de sécurité personnalisé — nos experts identifient et corrigent les vulnérabilités de votre installation en 24h.
Votre page wp-login.php est la cible n°1 des hackers. Découvrez 7 techniques concrètes pour la sécuriser : URL personnalisée, restriction IP, HTTP Auth, CAPTCHA et bien plus.
Apprenez à sécuriser vos sauvegardes WordPress avec la stratégie 3-2-1, le chiffrement AES-256 et les meilleurs plugins. Guide complet 2026 par Benjamin Bueno.
La faille CVE-2025-67987 permet à n’importe quel abonné connecté d’exécuter des injections SQL sur les sites utilisant le plugin QSM. 40 000 installations exposées. Mise à jour immédiate requise.
WowShipping Pro v1.0.6 contenait un dropper dissimulé installant silencieusement un Remote Access Toolkit complet sur les sites WooCommerce. Analyse technique, indicateurs d’infection et guide de remédiation.
En avril 2026, plus de 20 plugins du vendeur EssentialPlugin ont été compromis via une attaque supply chain. Un acquéreur malveillant avait planté une backdoor dormante 7 mois avant son activation. 200 000+ sites WordPress exposés.
Découvrez comment configurer Cloudflare pour protéger votre site WordPress : WAF, protection DDoS, règles de sécurité et intégration optimale avec vos plugins.
Nos experts français assurent un support et une prestation de qualité.
