« Mon site n'intéresse personne, qui voudrait me pirater ? » Tout le monde. Les hackers ne ciblent pas des entreprises spécifiques — ils scannent automatiquement des milliers de sites par minute, à la recherche de vulnérabilités. Si votre site en a une, vous serez trouvé.
Les conséquences réelles d'un site piraté
- Site défoncé (insultes, pub crypto, malware) — embarras instantané
- Site rançonné (« payez 500 $ pour récupérer ») — courant en 2024-2025
- Site utilisé pour envoyer du spam — Google blackliste votre domaine
- Données clients volées — fuite Loi 25, amende possible
- Temps perdu à tout reconstruire — semaines de business arrêté
Un site PME piraté coûte en moyenne 15 000-50 000 $ en temps perdu, refonte et perte de réputation (étude Sucuri 2024).
Vulnérabilité 1 : Plugins WordPress non à jour
Si vous êtes sur WordPress et que vous ne mettez pas à jour vos plugins chaque semaine, vous êtes une cible. 43 % des piratages WordPress viennent de plugins obsolètes (Wordfence 2024).
Solution : activez les mises à jour automatiques, ou souscrivez à un service de maintenance.
Vulnérabilité 2 : Mots de passe faibles
admin / admin123 reste le plus utilisé dans le monde. Les bots testent des combinaisons en quelques secondes.
Solutions :
- Mot de passe de 20+ caractères, généré par un gestionnaire (1Password, Bitwarden)
- Authentification à 2 facteurs (2FA) obligatoire
- Limiter les tentatives de connexion
Vulnérabilité 3 : Pas de SSL (HTTPS)
Le cadenas vert dans la barre d'adresse. Sans ça, Google affiche « Non sécurisé » devant votre URL — vos visiteurs fuient.
Solution : SSL gratuit via Let's Encrypt. Inclus par tous les hébergeurs sérieux.
Vulnérabilité 4 : Formulaires non protégés contre les bots
Vos formulaires de contact reçoivent du spam ? Pire : ils peuvent être utilisés pour envoyer du spam à votre nom (« mailgun abuse »).
Solutions :
- Honeypot (champ invisible que seuls les bots remplissent)
- reCAPTCHA Google (v3, invisible)
- Service tiers (Web3Forms, Formspree) qui filtre automatiquement
Vulnérabilité 5 : Hébergement bon marché
L'hébergement à 3 $/mois partage le serveur avec 1000 autres sites. Si UN seul est piraté, votre voisinage est compromis. Le « cross-contamination » est réel.
Solution : hébergement managed (SiteGround Pro, Kinsta, Vercel) à 15-50 $/mois minimum.
Vulnérabilité 6 : Pas de sauvegardes
Si vous êtes piraté ou que votre serveur crash, sans sauvegarde récente, vous repartez à zéro.
Standard minimum :
- Sauvegarde quotidienne automatique
- Conservation 30 jours
- Au moins UNE sauvegarde hors-site (pas sur le même serveur)
- Tests de restauration tous les 6 mois
Vulnérabilité 7 : Permissions trop larges
Si tous vos employés ont le mot de passe admin, c'est le risque par mille. Un employé qui part en colère, un cellulaire perdu, un courriel piraté = tout votre site exposé.
Solution : un compte par utilisateur avec les permissions minimum nécessaires. Compte « éditeur » pour les modifications de contenu, pas « administrateur ».
Vulnérabilité 8 : Pas de monitoring
Si votre site est piraté, vous le découvrez quand un client vous écrit pour vous le dire — souvent des jours plus tard.
Solution : monitoring automatique (UptimeRobot, Better Stack) qui vous alerte si :
- Le site est down
- Une page renvoie une erreur 500
- Le contenu change de façon suspecte
- Un blacklist Google apparaît
Le minimum pour dormir tranquille
- Hébergement managed sérieux (pas 3 $/mois)
- SSL activé
- Sauvegardes quotidiennes
- Mises à jour automatiques (si CMS comme WordPress)
- Mots de passe forts + 2FA sur tous les comptes admin
- Monitoring uptime
Notre approche
Chez Lokia-Web, on couvre tout ça par défaut, inclus dans le forfait :
- Hébergé sur Vercel (uptime 99,99 %)
- SSL automatique
- Sauvegardes quotidiennes Git (historique complet, restauration en 1 clic)
- Aucun plugin tiers à maintenir (architecture statique)
- Surveillance uptime + alertes
- Pas de surface d'attaque WordPress (on n'utilise pas WordPress)