Vous avez aimé cet article ? Partagez-le ! ♡Votre site WordPress est installé — bravo. Maintenant, il faut savoir comment y entrer et, surtout, s'assurer que vous êtes le seul à pouvoir le faire. Parce que oui, les robots qui cherchent à s'introduire dans les sites WordPress ne chôment pas. La bonne nouvelle, c'est que quelques réflexes simples suffisent à rendre votre site beaucoup moins intéressant pour eux.
L'adresse de votre admin WordPress
Pour accéder à votre tableau de bord, rien de compliqué : il suffit d'ajouter /wp-admin à la fin de l'adresse de votre site. Par exemple, si votre site est monsite.fr, vous tapez monsite.fr/wp-admin.
Vous arrivez sur une page de connexion qui vous demande votre identifiant et votre mot de passe. Une fois saisis, bienvenue dans la cuisine.
💡 À noter : lors de l'installation de WordPress, vous avez renseigné une adresse e-mail. C'est elle qui vous permet de récupérer votre mot de passe en cas d'oubli. Vérifiez qu'elle est valide et accessible — sans ça, récupérer un accès perdu devient une opération délicate (modification de base de données à la clé).
Pourquoi votre admin est une cible
WordPress équipe plus de 40 % des sites dans le monde. C'est formidable pour la communauté — et très pratique pour les robots malveillants, qui savent exactement où frapper : l'URL /wp-admin, connue de tout le monde, y compris d'eux.
Ces programmes automatisés parcourent le web en permanence et testent des milliers de combinaisons identifiant/mot de passe à grande vitesse. C'est ce qu'on appelle une attaque par force brute. Ils ne ciblent pas votre site en particulier — ils frappent partout, massivement, et espèrent que quelqu'un a laissé la porte ouverte.
⚠️ Même si votre site n'a pas encore de trafic ou semble "sans valeur", il peut être attaqué. Les robots ne font pas de tri — ils testent tout ce qui ressemble à une installation WordPress.
Les 4 réflexes à adopter dès maintenant
1. Ne gardez pas "admin" comme identifiant
C'est la première chose que testent les robots. Si votre identifiant est "admin", vous leur offrez la moitié du travail sur un plateau. Choisissez quelque chose d'imprévisible, sans lien direct avec votre nom ou votre site.
2. Choisissez un mot de passe solide
Un bon mot de passe, c'est long, unique, et difficile à deviner. Une astuce simple et efficace : utilisez une phrase. Quelque chose comme "MonChat$aime!lePoissonFumé2024" est à la fois mémorisable et très résistant aux attaques automatisées. Et si retenir des mots de passe complexes n'est pas votre sport favori, un gestionnaire de mots de passe comme Bitwarden (gratuit) fait ça très bien à votre place.
3. Changez l'URL de connexion
Si les robots ne trouvent pas la porte, ils passent au site suivant. Des extensions comme WPS Hide Login permettent de remplacer /wp-admin par une URL personnalisée en quelques clics. Ce n'est pas une protection absolue, mais c'est une barrière supplémentaire très efficace contre les attaques automatisées.
4. Limitez les tentatives de connexion
Par défaut, WordPress laisse les robots essayer autant de fois qu'ils le souhaitent. Des extensions comme Limit Login Attempts Reloaded bloquent automatiquement une IP après un certain nombre d'échecs. Simple, rapide, et redoutablement efficace.
Ce qu'il faut retenir
- L'URL
/wp-adminest connue de tous les robots — c'est votre première vulnérabilité. - Identifiant imprévisible + mot de passe solide = la moitié du chemin est déjà fait.
- Quelques extensions gratuites font le reste en moins de 10 minutes.
On s'occupe de ça pour vous ?
Pas envie de vous occuper de tout ça vous-même ? On comprend — vous avez un commerce à faire tourner, pas un site à administrer. Chez Poulpe Média, on s'occupe de la sécurisation de votre site WordPress de A à Z, en vous expliquant ce qu'on fait et pourquoi.
