Il y a ce plugin que vous avez installé un mardi soir à 23h parce que le formulaire de contact ne marchait plus et que le client attendait. Vous avez cliqué sur « Installer », ça a fonctionné, et vous êtes passé à autre chose. C’était en 2023.
Il tourne encore. Il n’a pas été mis à jour depuis 14 mois. Et quelque part sur internet, un scanner automatisé l’a déjà repéré.
Personne ne vous cible. C’est pire.
C’est la première chose à comprendre : vous n’êtes pas victime d’un hacker en hoodie qui a décidé de s’attaquer à votre site de plombier ou votre blog de recettes. Vous êtes victime d’un bot qui tourne 24h/24, qui scanne des millions de sites, et qui cherche des versions connues de plugins vulnérables.
C’est documenté. WPScan maintient une base de données publique des vulnérabilités WordPress. Au moment où ces lignes sont écrites, elle recense plusieurs milliers de failles répertoriées sur des plugins, thèmes et versions de core. La plupart ont un correctif disponible. La plupart des sites concernés ne l’ont pas appliqué.
Le rapport annuel Sucuri sur les sites compromis est encore plus direct : année après année, les CMS mal maintenus représentent la grande majorité des infections traitées. WordPress en tête, non pas parce qu’il est intrinsèquement moins sûr, mais parce qu’il est partout et que ses installations vieillissent mal.
Les suspects habituels
Certains plugins reviennent systématiquement dans les rapports de compromission. Pas forcément les plus obscurs. Souvent les plus utilisés, justement parce que leur base d’installation massive en fait des cibles rentables pour les attaquants.
Les form builders type Contact Form 7 ou WPForms, les page builders abandonnés par leurs développeurs, les sliders qui avaient la cote en 2017, les plugins SEO d’une époque révolue. Et surtout : les plugins premium achetés une fois, activés, et dont la licence a expiré sans que personne ne renouvelle les mises à jour.
Patchstack publie chaque année un whitepaper sur l’état de la sécurité WordPress. Leur conclusion de 2024 est sans appel : 97% des failles documentées concernent des plugins et thèmes tiers, pas le core WordPress lui-même. Autrement dit, WordPress n’est pas le problème. Ce que vous mettez dedans, si.
Ce que ça coûte vraiment
Un site compromis ce n’est pas forcément une page d’accueil remplacée par un message en cyrillique. C’est souvent invisible. Une redirection silencieuse vers un site de phishing pour les visiteurs mobiles. Du spam SEO injecté dans vos pages pour faire du link building frauduleux. Un script de minage de cryptomonnaie qui ralentit votre site sans que vous compreniez pourquoi.
Google finit par le détecter. Votre site se retrouve blacklisté. Google Safe Browsing affiche un avertissement rouge avant même que les visiteurs arrivent sur votre page. Votre SEO prend une claque dont il mettra des mois à se remettre.
Ce qu’on fait concrètement
D’abord, l’inventaire. Connectez-vous à votre back-office et regardez honnêtement la liste de vos plugins. Combien sont actifs ? Combien sont désactivés mais toujours installés ? Un plugin désactivé reste un vecteur d’attaque si son code est présent sur le serveur.
Ensuite, les mises à jour automatiques. WordPress permet depuis la version 5.5 d’activer les mises à jour automatiques par plugin. Ce n’est pas parfait, ça peut casser une compatibilité, mais c’est infiniment mieux que 14 mois sans patch. Pour les sites critiques, WP-CLI vous permet d’automatiser les mises à jour en ligne de commande et de les intégrer dans un process de déploiement propre.
Pour auditer votre installation, WPScan en version gratuite vous donne déjà une vision claire des vulnérabilités connues sur votre site. Wordfence côté plugin de sécurité reste une référence accessible, avec un scanner intégré et des alertes en temps réel.
Enfin, les sauvegardes. Pas sur le même serveur. Pas une fois par mois. Une sauvegarde quotidienne externalisée, c’est ce qui fait la différence entre « on restaure en 20 minutes » et « on reconstruit le site from scratch ».
La sécurité c’est une habitude, pas un projet
Le problème avec la sécurité, c’est qu’elle ressemble à de l’assurance. Invisible quand ça marche, catastrophique quand ça ne marche plus. Personne ne met à jour ses plugins un mardi soir quand tout va bien. Tout le monde le regrette le mercredi matin quand le site affiche une page blanche.
Quinze minutes par semaine. Un oeil sur le tableau de bord WordPress, les mises à jour en attente, les alertes de sécurité. C’est tout ce qu’il faut pour ne pas finir dans les statistiques Sucuri de l’année prochaine.
Votre plugin de 2023 vous regarde. Il attend juste que vous fassiez autre chose.