Par Aurélien Debord ·
À retenir
Oui, WordPress concentre l'écrasante majorité des sites piratés. Non, ça ne veut pas dire qu'il est moins sûr. Il est simplement le CMS le plus utilisé au monde, open source et à la structure connue : c'est la cible la plus rentable pour des attaques automatisées, pas la plus fragile.
Dans les faits, le cœur de WordPress n'est presque jamais en cause : sur les milliers de vulnérabilités recensées chaque année, une poignée seulement touche le core, et aucune jugée grave. Le risque vient des plugins et thèmes obsolètes, des mots de passe faibles et de l'absence de maintenance. Un WordPress tenu à jour et entretenu est une solution parfaitement sûre.
« WordPress, c'est piraté tout le temps, prends autre chose. » Si vous avez déjà discuté de votre site avec un développeur ou lu deux ou trois forums, vous avez forcément croisé cette idée. Elle est tenace, et elle n'est pas complètement sortie de nulle part : WordPress se fait effectivement pirater, beaucoup.
Mais « beaucoup de sites WordPress piratés » et « WordPress est moins sûr » sont deux affirmations différentes. La première est vraie. La seconde, beaucoup moins. On va regarder ce que disent réellement les rapports de sécurité récents, et démêler la corrélation de la cause.
Le chiffre qui revient partout vient de Sucuri, une société spécialisée dans le nettoyage de sites compromis (rachetée par GoDaddy). Dans son rapport annuel sur les sites piratés, 95,5 % des sites que ses équipes ont nettoyés en 2023 tournaient sous WordPress. Joomla arrive loin derrière à 1,7 %, Magento à 0,6 %.
Sorti de son contexte, ce chiffre est dévastateur pour la réputation de WordPress. Sauf que Sucuri prend la peine de le commenter, noir sur blanc, juste à côté du graphique :
« Il est important de préciser que ces chiffres ne signifient pas que ces plateformes sont plus ou moins sûres que les autres. Ils mettent en évidence l'adoption et l'usage massifs de ces CMS. » — Sucuri, 2023 Hacked Website Report
Autrement dit : la boîte qui produit le chiffre le plus accablant pour WordPress refuse elle-même d'en tirer la conclusion qu'on lui prête. Venant d'eux, l'avertissement mérite qu'on s'y arrête. Et pour comprendre pourquoi ils le formulent, il faut regarder qui utilise WordPress.
WordPress fait tourner plus de 40 % de l'ensemble des sites web de la planète, et près de 60 % de ceux qui utilisent un CMS (source : W3Techs, 2026). Aucun concurrent n'en approche : Shopify, Wix, Squarespace, Joomla, Drupal se partagent les miettes, chacun sous les 8 % du marché des CMS.
Quand une technologie équipe quatre sites sur dix, elle devient mécaniquement la cible la plus intéressante pour quiconque veut pirater à grande échelle. Et c'est bien de ça qu'il s'agit : la majorité des attaques ne sont pas des opérations ciblées menées par un humain contre votre site. Ce sont des robots qui scannent le web en continu, à la recherche d'une faille connue à exploiter sur le plus grand nombre de sites possible.
Pour ces robots, WordPress coche toutes les cases :
/wp-login.php, un dossier /wp-content/plugins/, une table wp_users : un site WordPress se reconnaît en une requête. Un robot sait exactement où frapper, sans même avoir à explorer.C'est une logique d'attaquant, purement économique. On s'attaque à WordPress en premier pour la même raison qu'on vole davantage les modèles de voitures les plus vendus : pas parce qu'ils ferment moins bien, mais parce qu'il y en a partout et qu'on connaît la serrure par cœur.
Voilà le point que la rumeur oublie systématiquement. Quand on dit « WordPress est troué », on devrait préciser de quoi on parle, parce que « WordPress » désigne deux choses très différentes : le logiciel lui-même (le core), et tout ce qu'on lui greffe dessus (plugins et thèmes).
Les rapports des deux principaux pourvoyeurs de données de l'écosystème sont sans appel.
Patchstack, qui recense les vulnérabilités WordPress, a comptabilisé environ 8 000 nouvelles vulnérabilités en 2024. Sur ce total, 96 % concernaient des plugins, 4 % des thèmes, et seulement 7 le cœur de WordPress, dont aucune jugée assez dangereuse pour représenter un risque réel. L'année suivante, sur plus de 11 000 vulnérabilités recensées, 6 seulement touchaient le core, toutes de faible priorité.
Wordfence, de son côté, le confirme indépendamment : sur les 8 223 vulnérabilités publiées en 2024, seules 5 affectaient le cœur de WordPress. Leur conclusion est explicite : « WordPress Core reste sécurisé. »
Deux sources indépendantes aboutissent au même constat : le cœur de WordPress représente moins de 0,1 % des vulnérabilités de l'écosystème chaque année, et aucune n'est réellement critique. Le logiciel WordPress, en lui-même, est solide.
Le risque ne vient donc pas de WordPress. Il vient de ce qu'on installe par-dessus. Et là, le problème n'est plus technique, il est humain.
Si le core est sain, comment des centaines de milliers de sites se font-ils compromettre chaque année ? Par trois portes d'entrée, toujours les mêmes, et aucune n'est une fatalité.
Les plugins et thèmes obsolètes. C'est de loin la cause numéro un. Un plugin populaire pas mis à jour pendant six mois, alors qu'un correctif existe, c'est une porte grande ouverte. Le pire, c'est que beaucoup d'attaques exploitent des failles déjà corrigées : le correctif existe, l'éditeur du plugin l'a publié, mais le site ne l'a jamais installé. La faille n'est donc pas dans le logiciel, elle est dans le suivi.
Les mots de passe faibles. Wordfence a bloqué, sur la seule année 2024, plus de 55 milliards de tentatives d'attaque sur des mots de passe (force brute et bourrage d'identifiants). Un compte admin protégé par admin / azerty123, sans double authentification, finit toujours par tomber. Aucune ligne de code WordPress ne peut empêcher ça.
L'absence de surveillance. Sucuri relève un détail qui contredit frontalement l'idée reçue : en 2023, seuls 39 % des sites infectés avaient un cœur de CMS obsolète au moment de l'attaque. Autrement dit, six sites piratés sur dix tournaient sur un core à jour : ils ont été compromis par un plugin, un mot de passe ou un accès, pas par le logiciel. Et près d'un site compromis sur deux contenait au moins une porte dérobée (backdoor), ce qui veut dire que sans nettoyage en profondeur, le pirate revient.
On en revient toujours au même constat : un site WordPress ne se fait pas pirater parce qu'il est sous WordPress, mais parce qu'il n'est pas tenu à jour. C'est exactement ce que nous constatons à chaque intervention sur un site WordPress piraté : derrière la compromission, il y a presque toujours un plugin oublié ou un accès mal protégé.
Prenons le type de piratage le plus courant, celui qu'on voit le plus souvent : le SEO spam. Votre site se met à afficher, à votre insu, des pages de pharmacie en ligne, de contrefaçons ou de casinos. Souvent en japonais (le fameux Japanese keyword hack), souvent visibles seulement par Google et pas par vous, grâce à une technique de dissimulation appelée cloaking (le serveur montre une page au visiteur et une autre au moteur de recherche).
Chez Sucuri, le SEO spam représentait plus de 20 % des sites nettoyés en 2023, ce qui en fait l'une des familles d'infection les plus répandues. Et c'est précisément là que l'argument « c'est la faute de WordPress » s'effondre.
Parce que ce type d'attaque n'exploite aucune particularité de WordPress. Sucuri le dit explicitement à propos du spam SEO japonais :
« Ce spam peut toucher n'importe quel site web, y compris ceux qui utilisent des CMS populaires comme WordPress, Drupal, Joomla ou Magento. » — Sucuri
Ce que le pirate convoite, c'est l'autorité SEO de votre domaine : votre ancienneté, vos backlinks, votre position dans Google. Pas une faille WordPress. Il greffe son contenu sur votre réputation pour faire remonter ses propres pages dans les résultats de recherche. Que votre site soit sous WordPress, sous Drupal, sous Magento ou entièrement codé à la main ne change rien à son objectif.
Google ne s'y trompe pas, d'ailleurs. Dans ses règles anti-spam, le moteur définit le « contenu piraté » et le « cloaking » sans jamais mentionner la moindre plateforme : ce sont des catégories d'abus qui concernent tous les sites du web, point. En 2022, les systèmes anti-spam de Google ont détecté dix fois plus de sites piratés que l'année précédente, tous CMS confondus. Le contenu piraté, ça touche tout le web. Rien d'une spécificité WordPress.
« D'accord, mais alors je prends Joomla, ou un site sur mesure, et je suis tranquille. » C'est tentant, mais c'est une illusion d'optique.
Joomla, Drupal, Magento se font pirater aussi, ils apparaissent dans les mêmes rapports Sucuri. S'ils représentent une part plus faible des sites compromis, c'est tout simplement parce qu'il y en a beaucoup moins en ligne. Ramené à leur nombre, le risque n'a rien d'évident. Quant au site « sur mesure » développé par un prestataire, il n'a pas l'avantage d'un écosystème qui publie des correctifs de sécurité en continu : une faille dans son code maison peut rester ouverte des années sans que personne ne la repère.
Choisir un CMS confidentiel pour « passer sous les radars », c'est ce qu'on appelle la sécurité par l'obscurité. Ça marche jusqu'au jour où ça ne marche plus, et ce jour-là, vous êtes seul, sans communauté ni mises à jour automatiques pour vous épauler. Le choix du CMS est une vraie décision, mais elle se prend pour de bonnes raisons (vos besoins, votre équipe, votre budget), pas pour fuir un danger fantôme.
C'est là qu'on arrive au vrai sujet. La sécurité d'un site WordPress ne se joue pas au moment où on choisit WordPress. Elle se joue tous les mois, dans la durée.
WordPress lui-même a fait sa part du chemin. Depuis la version 3.7, sortie en 2013, les mises à jour de sécurité du core s'installent automatiquement, en arrière-plan, sans aucune action de votre part. C'est d'ailleurs une des raisons pour lesquelles les failles du cœur sont si vite refermées et si peu exploitées. Le logiciel se protège tout seul sur sa partie la plus sensible.
Le reste vous revient, et tient en quelques réflexes :
| Le geste | Ce que ça bloque |
|---|---|
| Mettre à jour plugins, thème et PHP | Les exploits de failles déjà corrigées (la cause n°1) |
| Mots de passe forts + double authentification (2FA) | Les 55 milliards d'attaques par mot de passe par an |
| Supprimer les plugins inutilisés | Les vecteurs d'entrée oubliés |
| Un hébergement sérieux | L'isolation des comptes et la détection d'activité anormale |
| Des sauvegardes automatiques | Le retour en arrière rapide en cas de pépin |
Aucun de ces points n'est exotique. C'est exactement ce que couvre une bonne maintenance de site WordPress : appliquer les mises à jour au bon rythme, surveiller, sauvegarder. Un site suivi se fait rarement pirater, et quand un incident survient, on le remet debout vite parce qu'on a une copie saine sous la main.
L'hébergement compte plus qu'on ne le croit, lui aussi. Un point qu'on néglige souvent : près d'un quart des installations WordPress tournent encore sur une version de PHP inférieure à 8.0, dont une bonne partie sur PHP 7.4, qui ne reçoit plus aucun correctif de sécurité depuis fin 2022. Faire tourner son site sur un langage obsolète, c'est une faille qui n'a rien à voir avec WordPress. D'où l'intérêt de bien choisir son hébergement : version de PHP récente, sauvegardes intégrées, surveillance.
Un site qui affiche soudain une erreur critique sans que vous ayez rien touché, des pages inconnues qui apparaissent dans Google, une lenteur subite : ce sont des signes possibles de compromission. Si vous les voyez, suivez notre guide pour nettoyer et sécuriser un site WordPress piraté.
Et pour ceux qui veulent réduire encore la surface d'attaque, des architectures existent : un WordPress headless sépare le back-office de la partie publique, et une approche JAMstack sert des pages statiques sans base de données exposée en temps réel. Moins de composants accessibles, moins de risques. Mais ce sont des choix d'architecture, pas un aveu que WordPress serait dangereux.
Non. La vraie question n'a jamais été « WordPress ou pas WordPress ». Elle est : « ce site est-il maintenu, oui ou non ? »
WordPress n'est pas moins sûr que les autres. Il est plus visé parce qu'il est plus utilisé, et plus visible parce qu'il est open source. Sa partie logicielle est même remarquablement solide. Tout le reste, les plugins, les mots de passe, les mises à jour, l'hébergement, dépend de la rigueur avec laquelle on entretient le site. Un WordPress abandonné se fera pirater. Un WordPress suivi, non.
Le débat sur la sécurité du CMS est en réalité un débat sur la maintenance. Et ça, c'est une bonne nouvelle : c'est entièrement entre vos mains.
Vous vous demandez si votre site WordPress est correctement protégé, ou il vient justement de se faire pirater ? Contactez-nous pour un diagnostic, ou découvrez notre offre de maintenance WordPress pour ne plus jamais avoir à vous poser la question.
Que vous ayez besoin d'un nouveau site, d'une reprise de l'existant ou d'une maintenance experte, nous aidons vos équipes marketing et communication à s'appuyer sur un WordPress fiable, performant et simple à administrer.
Discutons de votre projet →Découvrez nos autres conseils WordPress
Votre site WordPress a été piraté ? Redirections suspectes, pages injectées, alertes Google... Voici un plan d'action concret pour nettoyer votre site, identifier la faille et empêcher que ça se reproduise.
« Une erreur critique est survenue sur ce site » : ce message qui remplace votre page d'accueil est une erreur fatale PHP. Voici comment l'identifier, en comprendre l'origine et la corriger, cause par cause.
Découvrez les meilleures méthodes pour dupliquer votre site WordPress : plugins Duplicator, All-in-One WP Migration, UpdraftPlus, Migrate Guru, ou méthode manuelle. Guide étape par étape pour cloner votre site en toute sécurité.
Une des phases préliminaires d’un projet de site web est de déterminer son hébergement. Quel est le meilleur hébergement pour le client, pour son type de projet ? Il est donc de notre ressort de proposer une ou plusieurs solutions qui répondent à ces diverses exigences. Ces exigences regroupent le pays où les données vont être [...]
