On reçoit régulièrement des appels qui commencent par : Mon site affiche une page bizarre depuis ce matin, ou Je me suis fait hacker, je crois. Neuf fois sur dix, la cause est la même : un site WordPress avec des plugins qui n'ont pas été mis à jour depuis 18 mois, et un mot de passe administrateur à 6 caractères. Ce n'est pas un problème technique complexe. C'est de la négligence qui coûte cher.
Pourquoi WordPress est particulièrement exposé
WordPress fait tourner environ 43% des sites web dans le monde. Ce succès en fait aussi la cible numéro un des attaques automatisées. Des robots scannent en permanence internet à la recherche de versions vulnérables de plugins connus — Contact Form 7, WooCommerce, Elementor — et dès qu'ils trouvent une faille connue non patchée, ils l'exploitent. Pas besoin de vous cibler spécifiquement : votre site se retrouve dans un script qui tourne 24h/24.
Ce qui se passe concrètement après une compromission
Les scénarios sont variés mais tous désagréables. Le plus courant : votre site est utilisé pour envoyer du spam en masse ou héberger des pages de phishing, sans que vous le sachiez. Vous ne vous en rendez compte que quand Google blackliste votre domaine et que vos emails finissent dans les spams de vos clients. Plus grave : une injection de code malveillant qui redirige vos visiteurs vers des arnaques. Dans certains cas, les attaquants chiffrent vos fichiers et exigent une rançon pour restaurer l'accès. Ça arrive aussi aux petites boîtes.
Ce qu'une maintenance régulière change vraiment
Une maintenance mensuelle basique couvre les mises à jour du cœur WordPress, des plugins et du thème, une sauvegarde externalisée testée, et un scan de sécurité. C'est 30 à 60 minutes de travail par mois. Ça coûte moins cher qu'une heure de dépannage en urgence, et infiniment moins qu'une refonte forcée après une compromission. Ce n'est pas glamour, mais c'est exactement ce qui évite les crises à 2h du matin.
Et si votre site n'est plus maintenable ?
Il arrive qu'on arrive sur un site tellement vieux — WordPress 5.x, PHP 7.2, plugins abandonnés — qu'une mise à jour directe casse tout. Dans ce cas, la question n'est plus comment sécuriser mais est-ce que ça vaut le coup de repartir de zéro. Un site vitrine moderne sur une architecture plus légère, c'est plus rapide à charger, plus sûr par construction, et souvent moins cher à maintenir sur 3 ans qu'un WordPress rafistolé.
Si vous ne savez plus depuis quand votre site n'a pas été mis à jour, c'est probablement le bon moment pour vérifier. On fait un audit rapide, on vous dit où vous en êtes et ce que ça représente en risque réel — sans vous vendre une refonte si ce n'est pas nécessaire.
