A lire aussi

• Quand un certificat SSL expire
• La maintenance, votre meilleure protection

Maintenance et securite incluses

Sécurité de votre site web : les 10 menaces que vous ignorez

« On est trop petit pour être piraté. » C’est la phrase qu’un de nos clients nous a dite deux semaines avant que son site WordPress soit défiguré par un script automatisé. Sa page d’accueil affichait un message en turc avec des liens vers des sites de jeux en ligne. Google l’avait déjà blacklisté — « Ce site est dangereux » en rouge dans les résultats de recherche. Trois semaines pour nettoyer, 2 mois pour retrouver son référencement. Le tout à cause d’un plugin non mis à jour depuis 8 mois.

43 % des cyberattaques ciblent les petites entreprises (source : Verizon DBIR 2024). Pas parce qu’elles ont des données intéressantes — parce qu’elles sont faciles à pirater. La sécurité de votre site web n’est pas une question de taille, c’est une question de discipline.

En bref

43 % des cyberattaques ciblent les petites entreprises (rapport Verizon 2024). Les menaces les plus courantes pour un site WordPress : plugins non mis a jour (70 % des piratages), mots de passe faibles, absence de HTTPS. La bonne nouvelle : 90 % des attaques se bloquent avec 5 mesures simples : mises a jour regulieres, mots de passe forts, HTTPS, sauvegarde quotidienne et limitation des tentatives de connexion.

Les 10 failles que nous trouvons le plus souvent

1. WordPress et plugins non mis à jour

C’est la faille n°1, responsable de la majorité des piratages WordPress. Les plugins représentent 97 % des vulnérabilités exploitées (source : Patchstack 2025). Un plugin populaire avec une faille connue, c’est une serrure dont le code est publié sur internet. Les bots testent automatiquement des milliers de sites par heure.

Action : activez les mises à jour automatiques mineures de WordPress. Pour les plugins, mettez à jour manuellement chaque semaine après avoir vérifié la compatibilité — ou déléguez à votre prestataire de maintenance.

2. Identifiants d’admin faibles

Le login « admin » avec le mot de passe « Entreprise2024! » se craque en quelques minutes par force brute. Et ne croyez pas qu’un humain s’en charge : des bots testent des dizaines de combinaisons par seconde, 24h/24.

Action : mot de passe de 16+ caractères généré aléatoirement (utilisez Bitwarden, gratuit). Activez le 2FA (authentification à deux facteurs) avec un plugin comme WP 2FA. Changez le nom d’utilisateur admin par défaut.

3. Absence de SSL (HTTPS)

Si votre site affiche « Non sécurisé » dans la barre d’adresse, vos visiteurs le voient — et partent. Google pénalise aussi les sites HTTP. Un certificat SSL est gratuit chez la quasi-totalité des hébergeurs via Let’s Encrypt. Zéro excuse en 2026.

4. Injections SQL

Si vos formulaires ne filtrent pas les entrées utilisateur, un attaquant peut injecter du code SQL pour extraire votre base de données : noms, emails, mots de passe. Les plugins WordPress sérieux protègent contre ça nativement. Les formulaires codés à la main sans sanitisation sont les plus vulnérables.

5. Cross-Site Scripting (XSS)

Un attaquant injecte du JavaScript malveillant via un champ de formulaire ou un paramètre d’URL. Le script s’exécute dans le navigateur de vos visiteurs : vol de session, redirection vers du phishing, affichage de faux formulaires. Si votre site affiche du contenu utilisateur (commentaires, avis), vous êtes exposé.

6. Pas de sauvegardes (ou des sauvegardes non testées)

« Mon hébergeur fait des sauvegardes. » Peut-être. Mais les avez-vous testées ? Savez-vous les restaurer ? Combien de jours de rétention ? Un client nous a contactés après un piratage : son hébergeur gardait 7 jours de sauvegardes, mais le malware était là depuis 3 semaines. Toutes les sauvegardes étaient contaminées.

La règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site. En pratique : sauvegarde quotidienne via UpdraftPlus (gratuit) vers Google Drive ou Amazon S3. Et testez la restauration au moins une fois par trimestre.

7. Fichiers sensibles accessibles publiquement

Le fichier wp-config.php contient vos identifiants de base de données. Le fichier .env contient vos clés API. Si ces fichiers sont accessibles via une URL, c’est game over. Testez maintenant : tapez votresite.com/wp-config.php dans votre navigateur. Si vous voyez du texte (au lieu d’une erreur 403), appelez votre prestataire immédiatement.

8. Hébergement mutualisé mal isolé

Sur un mutualisé, vous partagez un serveur avec des centaines d’autres sites. Si un voisin est compromis et que l’isolation est mal configurée, l’attaquant peut pivoter vers votre site. Pour un site professionnel, un VPS ou un hébergement managé (à partir de 15 €/mois) élimine ce risque.

9. Aucune surveillance en temps réel

La plupart des piratages passent inaperçus pendant des semaines. Un script peut rediriger vos visiteurs mobiles (mais pas desktop, pour que vous ne le voyiez pas), injecter des liens spam invisibles, ou miner de la cryptomonnaie sur le serveur.

Action : Wordfence (gratuit pour WordPress) scanne les fichiers modifiés et alerte en temps réel. Sucuri propose un monitoring externe qui vérifie votre site toutes les heures.

10. Headers de sécurité manquants

Les headers HTTP (Content-Security-Policy, X-Frame-Options, X-Content-Type-Options) sont des instructions envoyées par votre serveur au navigateur pour limiter les vecteurs d’attaque. La majorité des sites PME n’en ont aucun. Vérifiez sur securityheaders.com — si votre note est D ou F, c’est à corriger.

Le protocole minimum en 5 actions

Vous n’avez pas besoin d’un expert en cybersécurité. Ces 5 actions couvrent 90 % des risques :

1. Mises à jour WordPress + plugins chaque semaine
2. 2FA sur tous les comptes admin + mots de passe forts
3. Sauvegardes quotidiennes hors serveur (UpdraftPlus + cloud)
4. Wordfence installé avec scan hebdomadaire automatique
5. SSL activé + headers de sécurité configurés

La sécurité web parfaite n’existe pas. Mais la différence entre un site vulnérable et un site protégé, c’est 30 minutes de configuration et la discipline de faire les mises à jour. Le coût de la prévention : 0 à 50 €/mois. Le coût d’un piratage : 3 000 à 15 000 € en nettoyage, perte de référencement et perte de confiance clients. Le calcul est simple.

Questions fréquentes

Mon petit site peut-il vraiment etre pirate ?

Oui. Les pirates utilisent des robots qui scannent automatiquement des millions de sites a la recherche de failles connues. Ils ne ciblent pas votre entreprise specifiquement.

Comment savoir si mon site a ete pirate ?

Signes revelateurs : redirections vers des sites inconnus, pages en langue etrangere, Google affiche « Ce site peut avoir ete pirate », ralentissement soudain. Testez sur Sucuri SiteCheck (gratuit).

Quel plugin de securite installer sur WordPress ?

Wordfence (gratuit) est le plus complet : pare-feu, scan de malware, blocage des attaques par force brute.

Pour aller plus loin

• Emails en spam
• RGPD et site web
• Maintenance de site web
• Hebergement web
• Vitesse de chargement
• Referencement naturel