Les mots de passe restent en 2026 la première porte d’entrée des piratages WordPress, malgré toutes les avancées en sécurité applicative. Une analyse de l’éditeur Wordfence sur des millions de tentatives d’intrusion montre que plus de 60% des piratages réussis exploitent un mot de passe trop simple, réutilisé sur plusieurs services, ou stocké sans précaution dans un fichier accessible. Pourtant, les règles de sécurité des mots de passe sont connues depuis vingt ans et leur mise en œuvre tient en quelques heures. Le problème n’est pas technique mais culturel : trop d’entrepreneurs considèrent encore les mots de passe comme un sujet secondaire face aux urgences commerciales. Chez Propuls’Lead, nous formons systématiquement nos clients aux quelques règles qui éliminent 95% du risque, parce que c’est l’investissement sécurité au meilleur rapport effort/bénéfice.
Bâtir des mots de passe qui résistent aux attaques par force brute
La résistance d’un mot de passe à une attaque par force brute dépend de trois caractéristiques : longueur, diversité des caractères, absence de motif prévisible. Un mot de passe de huit caractères mélangeant minuscules, majuscules, chiffres et symboles offre 6 000 milliards de combinaisons, ce qui reste cassable en quelques heures par un attaquant avec GPU moderne. Un mot de passe de douze caractères avec la même diversité repousse la durée de cassage à plusieurs siècles.
La règle pratique tient en trois principes. Premier : viser au minimum quatorze caractères pour un mot de passe administrateur, ce qui rend toute attaque par force brute économiquement non viable. Deuxième : utiliser une phrase de passe (par exemple « TablePiano4Rouge2Bicyclette »), plus mémorisable qu’un mot court compliqué et tout aussi solide. Troisième : ne jamais réutiliser un mot de passe entre WordPress et d’autres services, parce qu’une fuite externe (LinkedIn, Dropbox) exposerait directement l’accès WordPress.
Un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass, Dashlane) résout ces contraintes en générant et stockant des mots de passe longs et uniques par service. Le seul mot de passe à mémoriser devient celui qui ouvre le gestionnaire, idéalement protégé par une clé de sécurité matérielle. Notre article sur WordPress et la gestion des rôles utilisateurs revient sur la séparation des privilèges.
Imposer une politique de mots de passe à toute l’équipe
Un mot de passe robuste sur le compte du propriétaire ne suffit pas si les autres comptes de l’équipe restent faibles. Tout collaborateur disposant d’un compte WordPress, même en rôle Auteur ou Éditeur, peut servir de vecteur d’attaque pour escalader vers un compte Administrateur via des failles de plugins ou des techniques d’ingénierie sociale. La politique de mots de passe doit donc s’imposer à tous les comptes.
Plusieurs plugins imposent techniquement les règles de robustesse à la création de mots de passe sur WordPress. Password Policy Manager et iThemes Security Pro imposent une longueur minimale, un mélange de caractères, et bloquent les mots de passe figurant dans les listes publiques de fuites (Have I Been Pwned, RockYou). Ces plugins imposent aussi un renouvellement périodique (90 ou 180 jours) sur les comptes sensibles.
La sensibilisation humaine reste essentielle parce qu’aucun plugin n’empêche un collaborateur d’écrire son mot de passe sur un post-it ou de le partager par email. Une formation de trente minutes par an pour toute l’équipe, couvrant le gestionnaire de mots de passe, la reconnaissance du phishing et le réflexe de vérification d’URL, élimine la majorité des erreurs humaines. Notre article sur sécuriser son site WordPress avec les 10 actions qui bloquent 99% des attaques revient sur l’ensemble des mesures complémentaires.
Activer la double authentification sur tous les comptes sensibles
La double authentification (2FA) est devenue la mesure unique la plus efficace pour neutraliser les attaques basées sur la compromission de mots de passe. Même si un attaquant obtient le mot de passe d’un compte (par fuite, phishing, malware), il ne peut pas se connecter sans le second facteur qui reste hors d’atteinte. Plusieurs technologies de 2FA existent avec des niveaux de sécurité variables.
Le code par SMS reste la forme la plus répandue mais aussi la moins sécurisée, parce qu’il est vulnérable à l’attaque dite SIM swap où un attaquant fait transférer le numéro de téléphone de la victime vers une carte SIM qu’il contrôle. Le code généré par application (Google Authenticator, Authy, Microsoft Authenticator) est nettement plus sûr parce qu’il ne dépend pas du réseau téléphonique et reste lié physiquement à l’appareil. La clé de sécurité matérielle (YubiKey, SoloKey) offre la meilleure sécurité parce que le second facteur exige une présence physique de la clé connectée à l’ordinateur au moment de la connexion.
Pour un site WordPress de PME, la combinaison recommandée est une application 2FA pour tous les comptes Éditeur et Auteur, et une clé matérielle pour les comptes Administrateur. Les plugins Wordfence Login Security, Two Factor Authentication et Google Authenticator implémentent ces technologies en quelques minutes de configuration. Notre article sur comment sauvegarder un site WordPress automatiquement revient sur le filet de sécurité qui complète l’authentification renforcée en cas d’incident.
Détecter les compromissions de mots de passe avant l’attaque
La meilleure politique de mots de passe ne protège pas contre les fuites de bases externes, qui exposent régulièrement des milliards de combinaisons. Un mot de passe utilisé sur un forum oublié et fuité en 2020 peut réapparaître dans une attaque WordPress cinq ans plus tard. La détection proactive permet de changer le mot de passe avant exploitation.
Le service Have I Been Pwned, créé par Troy Hunt, agrège plus de 13 milliards de mots de passe issus de fuites publiques et propose une API gratuite qui vérifie si un mot de passe figure dans la base sans le transmettre (via hachage partiel). Plusieurs plugins WordPress intègrent cette API pour bloquer la création de mots de passe compromis. Le service envoie aussi des notifications email à toute adresse inscrite, dès qu’elle apparaît dans une nouvelle fuite.
L’inscription des adresses email professionnelles de l’équipe sur Have I Been Pwned est une mesure de prévention à coût zéro. Notre article sur WordPress et les redirections 301 pour les changements d’URL sans perdre le référencement revient sur les bonnes pratiques techniques qui complètent la veille active.
Intégrer la sécurité mots de passe à la méthodologie PROPULSE
Dans le cadre de la méthodologie PROPULSE que nous appliquons chez Propuls’Lead, la sécurité des mots de passe fait partie des cinq fondations techniques systématiquement mises en place pour chaque nouveau client. La routine inclut quatre vérifications semestrielles. Première vérification : audit des comptes WordPress actifs avec désactivation des comptes inutilisés depuis plus de six mois. Deuxième vérification : test de robustesse des mots de passe administrateurs via un outil de mesure d’entropie. Troisième vérification : confirmation que la 2FA est activée sur tous les comptes ayant des privilèges d’écriture. Quatrième vérification : passage des adresses email de l’équipe par Have I Been Pwned pour détecter d’éventuelles fuites récentes.
Sur les sites que nous accompagnons depuis plusieurs années, cette discipline a éliminé tous les piratages liés à la compromission de mots de passe. Le coût opérationnel est minime : une heure par client tous les six mois et trente minutes de formation par collaborateur par an. Un piratage WordPress moyen coûte entre 1 500 et 5 000 euros de remise en état, sans compter l’interruption d’activité et la perte de confiance.
Ce qu’il faut retenir pour verrouiller vos mots de passe WordPress
La sécurité des mots de passe est l’investissement sécurité au meilleur rendement parce que sa mise en œuvre est simple et que son impact est massif. Cinq points clés à retenir : la robustesse d’un mot de passe tient à sa longueur (14+ caractères) plus qu’à sa complexité, l’usage d’un gestionnaire de mots de passe rend obsolète la mémorisation et garantit l’unicité par service, la politique de robustesse doit s’imposer à tous les comptes de l’équipe avec des plugins dédiés, la double authentification neutralise la quasi-totalité des attaques basées sur la compromission de mots de passe, la surveillance via Have I Been Pwned détecte les fuites externes avant exploitation. Chez Propuls’Lead, nous traitons systématiquement ces cinq points dès le démarrage d’un nouvel accompagnement parce que c’est cinquante fois moins coûteux qu’une remise en état après piratage. Une heure de mise en place vaut plus que vingt heures d’urgence en cas d’incident.