La question du piratage de site web, on la remet souvent à plus tard. Le site tourne, les clients arrivent, personne ne s’est plaint. Et puis un matin, Google affiche une alerte rouge sur votre URL, votre hébergeur suspend votre compte, ou vos visiteurs atterrissent sur une page en cyrillique qui vend des produits pharmaceutiques douteux. Ça arrive, et bien plus souvent qu’on ne le croit. La bonne nouvelle, c’est que la majorité des attaques exploitent des failles connues et évitables. Voici lesquelles, et ce qu’on peut faire concrètement.
| 📌 | 💡 L’essentiel |
|---|---|
| 🎯 Objectif des pirates | Spam SEO, vol de données, envoi de spam, rançon. |
| 🤖 Réalité | Attaques automatisées exploitant des failles connues. |
| 🔑 Mots de passe | Longs, uniques + gestionnaire + changer “admin”. |
| 🔄 Mises à jour | CMS, plugins, thèmes à jour + supprimer l’inutile. |
| 🔒 HTTPS | SSL obligatoire pour sécuriser les échanges. |
| 🛡️ Failles techniques | SQL/XSS → audit code + WAF + validation données. |
| 👤 Accès | Limiter droits + supprimer comptes + activer 2FA. |
| 💾 Sauvegardes | Automatiques, externes et testées régulièrement. |
| 👀 Surveillance | Alertes, scan sécurité, limiter tentatives login. |
| 🚨 En cas de hack | Couper accès, changer MDP, restaurer, corriger faille. |
Ce que les pirates cherchent vraiment sur votre site
Première chose à comprendre : vous n’êtes probablement pas une cible personnelle. La grande majorité des attaques sont automatisées. Des robots scannent des millions de sites en permanence, cherchent des failles connues, et les exploitent sans intervention humaine. Votre site n’a pas besoin d’être célèbre pour être attaqué. Il a juste besoin d’être vulnérable.
Qu’est-ce qu’un pirate peut vouloir sur un site classique ? Plusieurs choses :
- Injecter du contenu : liens cachés vers des sites malveillants, pages fantômes pour du référencement frauduleux (le « SEO spam »).
- Voler des données : emails, mots de passe, données de paiement si vous gérez une boutique en ligne.
- Utiliser votre serveur pour envoyer du spam ou lancer d’autres attaques.
- Demander une rançon en chiffrant vos fichiers ou en menaçant de publier vos données.
Dans tous les cas, le point d’entrée est presque toujours le même : une faille que vous n’avez pas corrigée, ou une mauvaise habitude que vous avez gardée trop longtemps.
Les failles que les pirates exploitent le plus souvent
Faille n°1 : les mots de passe faibles ou réutilisés
C’est banal à dire, et pourtant c’est encore l’une des principales portes d’entrée. Un mot de passe comme « admin2023 » ou « motdepasse » sur votre back-office, c’est une invitation. Les attaques par force brute testent des milliers de combinaisons par minute. Si votre mot de passe est court ou prévisible, ce n’est qu’une question de temps.
Ce qu’il faut faire : utilisez un mot de passe long (16 caractères minimum), unique pour chaque service, généré par un gestionnaire de mots de passe comme Bitwarden ou 1Password. Et changez le nom d’utilisateur « admin » par défaut sur WordPress, c’est la première chose que les robots testent.
Faille n°2 : les plugins et thèmes obsolètes
Si votre site tourne sur WordPress, Prestashop ou tout autre CMS, chaque extension installée est une surface d’attaque potentielle. Les failles découvertes dans les plugins sont publiquement documentées dans des bases de données comme le CVE (Common Vulnerabilities and Exposures). Un robot peut identifier votre version de plugin et savoir en quelques secondes si elle est vulnérable.
Ce qu’il faut faire : mettez à jour votre CMS, vos thèmes et vos plugins dès que des mises à jour sont disponibles. Désinstallez tout ce que vous n’utilisez plus. Un plugin désactivé mais toujours installé reste une faille exploitable.
Faille n°3 : l’absence de HTTPS
Un site encore en HTTP en 2024, ça existe encore, et c’est un problème sérieux. Sans certificat SSL, les données échangées entre vos visiteurs et votre serveur circulent en clair sur le réseau. Identifiants, formulaires de contact, données de paiement : tout est lisible par quiconque intercepte le trafic.
Ce qu’il faut faire : installez un certificat SSL. Let’s Encrypt propose des certificats gratuits, et la plupart des hébergeurs les intègrent désormais en un clic. Il n’y a plus aucune raison valable de rester en HTTP.
Faille n°4 : les injections SQL et les failles XSS
Ces deux types d’attaques ciblent le code de votre site. Une injection SQL consiste à insérer du code malveillant dans un formulaire ou une URL pour manipuler votre base de données. Une faille XSS (Cross-Site Scripting) permet d’injecter du code JavaScript dans vos pages pour voler des sessions ou rediriger vos visiteurs.
Ces attaques nécessitent un code mal écrit ou des extensions vulnérables. Si votre site a été développé sur mesure il y a plusieurs années sans audit de sécurité depuis, c’est un risque réel.
Ce qu’il faut faire : faites auditer votre code par un développeur compétent, utilisez un WAF (Web Application Firewall) comme Cloudflare qui filtre les requêtes suspectes avant qu’elles atteignent votre serveur, et vérifiez que tous vos formulaires valident et assainissent les données reçues.
Faille n°5 : les droits d’accès mal configurés
Combien de personnes ont accès à votre back-office avec des droits administrateur ? Si la réponse est « tout le monde dans l’équipe », c’est trop. Chaque compte avec des droits élevés est une porte supplémentaire. Et si l’un de ces comptes est compromis (par phishing, par exemple), le pirate obtient les clés du camion.
Ce qu’il faut faire : appliquez le principe du moindre privilège. Chaque utilisateur n’a accès qu’à ce dont il a besoin pour son rôle. Supprimez les comptes inactifs. Activez l’authentification à deux facteurs (2FA) sur tous les accès sensibles, en commençant par votre interface d’administration.
Faille n°6 : l’absence de sauvegardes
Techniquement, ce n’est pas une faille de sécurité au sens strict. Mais c’est souvent ce qui transforme une attaque gérable en catastrophe totale. Un site piraté avec des sauvegardes récentes se restaure en quelques heures. Un site piraté sans sauvegarde peut nécessiter une reconstruction complète.
Ce qu’il faut faire : mettez en place des sauvegardes automatiques quotidiennes, stockées à l’extérieur de votre serveur principal (sur un service cloud séparé, pas juste sur le même hébergement). Testez régulièrement que ces sauvegardes sont bien restaurables. Une sauvegarde non testée, c’est une sauvegarde dont on ne sait pas si elle fonctionne.
Les bons réflexes à adopter dès maintenant
Au-delà des failles techniques, quelques habitudes réduisent significativement le risque global :
- Surveillez votre site activement. Des outils comme Google Search Console vous alertent si Google détecte du contenu malveillant sur vos pages. Des services comme Sucuri ou Wordfence (pour WordPress) analysent votre site en continu et vous préviennent en cas d’anomalie.
- Limitez les tentatives de connexion. Sur WordPress, un plugin comme Limit Login Attempts Reloaded bloque automatiquement les IP qui multiplient les tentatives échouées. Simple, efficace, gratuit.
- Cachez votre version de CMS. Afficher publiquement que vous tournez sur WordPress 6.2.1, c’est donner aux robots une information précieuse sur les failles potentielles à exploiter. Désactivez cet affichage dans vos réglages ou via votre fichier functions.php.
- Utilisez un hébergeur sérieux. Tous les hébergeurs ne proposent pas le même niveau de sécurité au niveau serveur. Un hébergeur qui isole les comptes entre eux, propose des pare-feux serveur et effectue des analyses malware régulières, c’est un premier rempart que vous n’avez pas à gérer vous-même.
- Formez votre équipe au phishing. Beaucoup de piratages commencent par un email frauduleux qui trompe un collaborateur. Un clic sur le mauvais lien, des identifiants saisis sur une fausse page de connexion, et c’est terminé. La technique la plus sophistiquée ne sert à rien si la porte d’entrée humaine reste ouverte.
Que faire si votre site est déjà piraté ?
Si vous suspectez une compromission, voici les premières actions à mener sans attendre :
- Mettez votre site hors ligne ou en mode maintenance le temps d’évaluer la situation. Ça protège vos visiteurs d’un éventuel contenu malveillant.
- Changez immédiatement tous les mots de passe : CMS, FTP, base de données, hébergeur, email associé. Dans cet ordre.
- Restaurez depuis une sauvegarde saine si vous en avez une datant d’avant l’attaque. Vérifiez ensuite que la faille exploitée a bien été corrigée avant de remettre le site en ligne, sinon vous repartirez pour un tour.
- Analysez les fichiers modifiés pour identifier les portes dérobées (backdoors) laissées par le pirate. Des outils comme Wordfence ou l’assistance de votre hébergeur peuvent vous aider sur ce point.
- Signalez l’incident à votre hébergeur. Il peut avoir des informations sur la nature de l’attaque, et il est souvent en mesure de vous aider à nettoyer le serveur.
Le piratage de site web, on le disait en introduction, n’arrive pas qu’aux autres. Et dans la grande majorité des cas, il exploite des failles que vous pouvez corriger sans être développeur ni expert en cybersécurité. Mises à jour régulières, mots de passe solides, sauvegardes fiables, accès bien gérés : ce sont des mesures accessibles, pas des chantiers titanesques. Le meilleur moment pour s’en occuper, c’était il y a six mois. Le deuxième meilleur moment, c’est maintenant.
