« Mon site est trop petit, personne ne va l'attaquer. » C'est exactement ce qui plaît aux pirates. La majorité des sites piratés sont des petites entreprises, ciblées par des bots automatisés qui scannent Internet en permanence. Voici les 8 mesures qui couvrent 95 % des risques réels — sans avoir besoin d'être expert en cybersécurité.
Pourquoi votre site intéresse les pirates
Même sans données bancaires, votre site a de la valeur pour un attaquant :
- Spam SEO : injecter des centaines de liens cachés vers des sites douteux
- Phishing : héberger des pages d'hameçonnage à votre insu
- Mining crypto : utiliser votre serveur pour miner discrètement
- Botnet : transformer votre site en relais d'attaques
- Rançon : chiffrer vos données et exiger un paiement
Tout ça arrive sans cible précise, par scan automatique de vulnérabilités connues.
1. HTTPS partout (non négociable)
Si votre site n'a pas le petit cadenas dans la barre d'adresse, vous êtes :
- Pénalisé par Google (déclassé dans les résultats)
- Marqué comme dangereux par les navigateurs
- Hors-la-loi (RGPD impose le chiffrement des données en transit)
La solution est gratuite : un certificat Let's Encrypt se met en place en 5 minutes via Certbot, et se renouvelle tout seul tous les 90 jours.
sudo certbot --nginx -d votresite.fr -d www.votresite.fr
C'est tout. Aucune excuse pour ne pas l'avoir en 2026.
2. Mises à jour rigoureuses
80 % des piratages exploitent des failles connues depuis plus de 6 mois. La règle :
- Mise à jour mensuelle des composants : CMS (WordPress), plugins, thèmes
- Mise à jour immédiate en cas d'alerte de sécurité critique (rare mais possible)
- Supprimer ce qui ne sert pas (plugins désactivés = surface d'attaque inutile)
💡 Pour WordPress : activez les mises à jour mineures automatiques + bloquez l'auto-update des plugins (vous testez d'abord en staging).
3. Mots de passe forts + authentification à deux facteurs
Le top 3 des mots de passe utilisés en 2025 : 123456, password, admin. Sérieusement.
Règles minimales :
- 16 caractères minimum
- Mélange majuscules, minuscules, chiffres, symboles
- Différent pour chaque service (gestionnaire de mots de passe obligatoire : Bitwarden, 1Password)
- 2FA activé sur tous les accès admin (Google Authenticator, ou clé YubiKey pour les comptes ultra-critiques)
Sur votre site : limitez les tentatives de login (5 max, puis ban IP de 15 min).
4. Sauvegardes automatiques (règle du 3-2-1)
Le jour où vous êtes piraté ou que le disque crashe, la seule chose qui sauve vraiment c'est la sauvegarde récente.
Règle 3-2-1 :
- 3 copies de vos données (production + 2 sauvegardes)
- Sur 2 supports différents (disque local + cloud par exemple)
- Dont 1 hors-site (cloud, autre datacenter)
Fréquence : sauvegarde quotidienne automatique. Conservation 30 jours.
Et surtout : testez vos restaurations une fois par trimestre. Une sauvegarde jamais testée = pas de sauvegarde.
5. WAF / pare-feu applicatif
Un Web Application Firewall filtre les requêtes malveillantes avant qu'elles n'arrivent à votre site. Bloque automatiquement :
- Tentatives d'injection SQL
- Tentatives XSS
- Bots de scan de vulnérabilités
- Trafic d'IP douteuses (botnets connus)
Options gratuites :
- Cloudflare (plan gratuit) : WAF + CDN + protection DDoS
- fail2ban côté serveur : bannit les IPs qui multiplient les erreurs
6. Limiter les surfaces d'attaque
- Cacher l'URL admin :
/adminest la première cible. Renommez en/connexion-bspar exemple - Désactiver l'inscription publique si pas nécessaire
- Supprimer les utilisateurs inutilisés (anciens admins, comptes de test)
- Fermer les ports inutiles sur le serveur (seul 80, 443 et SSH doivent être ouverts en général)
- SSH par clé uniquement (désactiver l'authentification par mot de passe)
7. Headers HTTP de sécurité
Quelques en-têtes HTTP qui bloquent toute une classe d'attaques :
| Header | Rôle |
|---|---|
| HSTS | Force HTTPS, empêche le downgrade |
| CSP | Bloque les scripts non autorisés (XSS) |
| X-Frame-Options | Empêche le clickjacking |
| X-Content-Type-Options | Empêche le MIME-sniffing |
| Referrer-Policy | Limite les fuites d'URL |
À tester sur securityheaders.com : visez la note A ou A+.
8. Monitoring + alertes
Le pire piratage est celui qu'on découvre 3 mois après. Mettez en place :
- Uptime monitoring (UptimeRobot, gratuit) : vous êtes alerté si le site tombe
- Monitoring de modifications : alerte si des fichiers sources changent sans raison
- Alertes Search Console : Google détecte les contenus malveillants et vous prévient
- Logs centralisés : vous gardez 30 jours minimum d'historique
💡 Test simple : tapez
votresite.fr/random-string-piratedans Google. Si Google indexe des pages bizarres = vous êtes peut-être déjà piraté.
Que faire si on a été piraté ?
- Ne pas paniquer. Couper l'accès public (mode maintenance)
- Restaurer la sauvegarde la plus récente PRÉ-incident
- Changer tous les mots de passe (admin, FTP, base de données, e-mail)
- Identifier la faille (souvent un plugin non à jour)
- Corriger la faille avant de remettre en ligne
- Notifier la CNIL sous 72h si données personnelles compromises (obligation RGPD)
- Notifier les utilisateurs concernés si risque élevé
Notre approche chez BS Concept
Tous les sites que nous livrons embarquent dès le départ :
- ✅ HTTPS Let's Encrypt automatique
- ✅ Headers de sécurité stricts (CSP, HSTS, etc.)
- ✅ WAF Cloudflare en option
- ✅ Sauvegardes quotidiennes automatiques
- ✅ Monitoring uptime
- ✅ Tests de pénétration de base avant livraison
Demandez un audit gratuit de votre site ou parlons de la sécurisation de votre infra.