Comment savoir si mon site a été piraté ?

Plusieurs signaux : ton site affiche du contenu que tu n'as pas publié, Google Search Console signale des pages suspectes, les visiteurs sont redirigés vers d'autres sites, ton hébergeur t'alerte sur une activité anormale, ou ton site apparaît avec un avertissement 'site dangereux' dans Google. En cas de doute, scanne ton site avec Sucuri SiteCheck (gratuit).

Est-ce que Shopify ou Wix sont plus sécurisés que WordPress ?

Shopify et Wix gèrent la sécurité de l'infrastructure à ta place : certificat SSL, mises à jour de la plateforme, protection DDoS. WordPress te donne plus de contrôle mais aussi plus de responsabilité. Ce n'est pas qu'une question de CMS : un site WordPress bien entretenu est tout aussi sécurisé qu'un site Shopify, et un site Wix peut avoir des failles si les accès sont mal gérés.

Quels plugins de sécurité utiliser sur WordPress ?

Wordfence Security (firewall + scanner malware), UpdraftPlus (sauvegardes automatiques) et un plugin de limitation de tentatives de connexion comme Limit Login Attempts Reloaded. Ces trois outils couvrent les besoins essentiels sans surcharger le site.

Que faire si mon site WordPress a été piraté ?

Ne panique pas et n'efface rien tout de suite. Mets le site hors ligne via ton hébergeur, restaure la dernière sauvegarde propre, change tous les mots de passe (admin WordPress, FTP, hébergeur, base de données), scanne les fichiers avec Wordfence ou Sucuri, et identifie le vecteur d'entrée avant de remettre le site en ligne. Si tu n'as pas de sauvegarde propre, contacte ton hébergeur : certains conservent des snapshots.

À quelle fréquence faire les mises à jour sur WordPress ?

Les mises à jour de sécurité critiques doivent être appliquées dans les 48 heures. Pour les mises à jour mineures, une fois par semaine est un bon rythme. Pour les mises à jour majeures (nouvelle version de WordPress), teste d'abord sur un environnement de staging. L'essentiel : ne pas laisser des extensions ou un thème sans mise à jour depuis plus de 3 mois.

Sécuriser son site web en 2026 : guide WordPress, Shopify, Wix

La majorité des sites piratés ne le sont pas par des hackers sophistiqués ciblant spécifiquement ton entreprise. Ils le sont par des scripts automatisés qui parcourent le web à la recherche de failles connues : un plugin WordPress non mis à jour, un mot de passe faible, un compte administrateur inutilisé.

La bonne nouvelle : les problèmes les plus courants se corrigent en quelques heures, sans expertise technique avancée.

Ce guide détaille ce qu'il faut faire selon ta plateforme, dans l'ordre de priorité.

Pourquoi la sécurité de ton site dépend de ta plateforme ?

Chaque CMS a un modèle de sécurité différent. Comprendre le tien change ce que tu dois faire toi-même.

WordPress est open source et fait tourner 43 % du web. C'est aussi la plateforme la plus ciblée par les attaques automatisées. Sa flexibilité (plugins, thèmes tiers) est aussi sa principale surface d'exposition. Tu as un contrôle total, ce qui signifie que la responsabilité est totale.

Shopify et Wix sont des plateformes fermées. L'infrastructure, le certificat SSL, les mises à jour de la plateforme : tout ça est géré par l'éditeur. Ta surface d'exposition est plus réduite, mais elle existe : accès administrateur, apps tierces, données clients.

Next.js sur mesure donne un contrôle complet sur le code et l'infrastructure. Les performances et la sécurité peuvent être excellentes, mais rien n'est géré par défaut. Chaque configuration de sécurité est explicite ou absente.

WordPress : le plus ciblé, le plus configurable

WordPress concentre la majorité des attaques web automatisées. Pas parce qu'il est intrinsèquement moins sûr, mais parce qu'il est partout. Un WordPress bien configuré et maintenu est tout à fait sécurisé. Le problème, c'est que beaucoup ne le sont pas.

Les mises à jour, en priorité absolue. Les failles de sécurité exploitées sont presque toujours des failles connues et corrigées dans des versions récentes. Un plugin qui n'a pas été mis à jour depuis 6 mois est une porte ouverte. Active les mises à jour automatiques pour le core WordPress et les extensions critiques.

Les mots de passe et les accès. Le compte administrateur avec le login "admin" et le mot de passe "motdepasse2024", c'est la faille numéro 1 qu'on trouve sur les sites piratés. Utilise un mot de passe long et unique (un gestionnaire de mots de passe comme Bitwarden est gratuit). Active la double authentification (2FA) sur le compte admin. Supprime les comptes administrateurs inutilisés.

Limiter les tentatives de connexion. Par défaut, WordPress autorise un nombre illimité de tentatives de connexion. Les scripts d'attaque en profitent. Le plugin Limit Login Attempts Reloaded bloque une IP après X tentatives échouées, en 2 minutes d'installation.

Les sauvegardes automatiques. Une sauvegarde récente propre est la meilleure assurance contre un piratage. UpdraftPlus (version gratuite) automatise les sauvegardes vers Google Drive, Dropbox ou Amazon S3. Configure une sauvegarde quotidienne de la base de données et hebdomadaire des fichiers.

Un plugin de sécurité actif. Wordfence Security (version gratuite) inclut un firewall d'application web et un scanner de malware. Il détecte les fichiers modifiés, bloque les tentatives d'intrusion et t'envoie des alertes. C'est le standard minimum.

HTTPS obligatoire. Si ton site est encore en HTTP en 2026, c'est un problème de sécurité ET un problème SEO. Tous les hébergeurs sérieux proposent Let's Encrypt gratuitement. Assure-toi aussi que les redirections HTTP vers HTTPS sont bien configurées sur toutes les URLs.

Shopify : ce que la plateforme gère, ce que tu dois gérer

Shopify gère pour toi : le certificat SSL, les mises à jour de la plateforme, la conformité PCI-DSS pour les paiements, la protection DDoS et les sauvegardes de l'infrastructure. C'est un avantage réel sur WordPress pour quelqu'un qui ne veut pas s'occuper de la technique.

Ce qui reste de ta responsabilité :

Les permissions des apps. Chaque app Shopify que tu installes demande des accès à tes données (commandes, clients, produits). Audit régulièrement les apps installées : supprime celles que tu n'utilises pas. Une app abandonnée par son développeur peut devenir une faille.

Les comptes admin. Shopify permet de créer des comptes staff avec des permissions limitées. Utilise-les. Un livreur ou un comptable n'a pas besoin d'un accès admin complet. Active la double authentification sur tous les comptes, surtout le compte propriétaire.

Les exports de données clients. Shopify ne chiffre pas les exports CSV de ta liste clients. Ces fichiers ne doivent pas traîner sur un ordinateur partagé ou un Google Drive public.

Ce que Shopify ne peut pas faire à ta place : si ton compte admin est compromis (mot de passe volé, phishing), la plateforme ne peut rien. La sécurité des accès humains reste entièrement de ta responsabilité.

Wix et Squarespace : sécurité gérée, mais pas totale

Comme Shopify, ces plateformes gèrent SSL, mises à jour, infrastructure. La surface d'attaque technique est faible.

Ce qui reste exposé : ton compte. Un mot de passe Wix faible ou partagé avec plusieurs personnes est la principale vulnérabilité. Active la double authentification. Si tu travailles avec un prestataire, crée-lui un accès "collaborateur" séparé avec des droits limités, et révoque cet accès dès la fin de la mission.

Autre point à surveiller : les apps tierces de la marketplace Wix. Certaines demandent des accès larges à ton compte. Applique la même logique que sur Shopify : n'installe que ce que tu utilises vraiment, et vérifie les avis et la date de dernière mise à jour de chaque app.

Ce que tu ne contrôles pas : la sécurité de l'infrastructure Wix ou Squarespace elle-même. Si la plateforme a une vulnérabilité, tu ne peux pas la corriger. C'est le prix de la simplicité. Dans les faits, ces plateformes ont de bonnes pratiques de sécurité, mais tu dépends entièrement de leur réactivité.

Next.js et sites sur mesure : responsabilité maximale

Un site Next.js ou développé sur mesure n'a aucune couche de sécurité par défaut, sauf ce qui est explicitement configuré. C'est le modèle qui donne le plus de contrôle, et qui demande le plus de rigueur.

Les headers de sécurité. Un site bien configuré doit envoyer des headers HTTP de sécurité : X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security, Content-Security-Policy. Sur Next.js, ça se configure dans next.config.ts via la section headers(). Sans eux, le navigateur n'a aucune instruction pour se protéger contre certaines attaques (clickjacking, injection de scripts).

Les variables d'environnement. Les clés d'API, tokens et mots de passe ne doivent jamais être dans le code source. Ils vont dans un fichier .env non commité, et dans les variables d'environnement de la plateforme de déploiement (Vercel, Netlify). Un .env commité par erreur sur GitHub, c'est une compromission immédiate.

Les dépendances à jour. Un projet Next.js avec des dizaines de packages npm peut accumuler des vulnérabilités connues. Lance npm audit régulièrement. Les alertes GitHub Dependabot peuvent automatiser cette surveillance.

L'authentification si ton site en a une. Si ton site a une zone privée ou un accès admin, l'authentification doit être robuste : sessions avec expiration, HTTPS obligatoire, pas de mots de passe en clair dans la base de données, 2FA si les données sont sensibles.

Quels points de sécurité s'appliquent à tous les sites ?

Quatre points s'appliquent à tous les sites, quelle que soit la plateforme.

Teste tes sauvegardes. Avoir une sauvegarde ne sert à rien si elle est corrompue ou incomplète. Une fois par trimestre, restaure une sauvegarde dans un environnement de test pour vérifier qu'elle fonctionne vraiment.

Surveille la disponibilité. Un outil comme UptimeRobot (gratuit) te prévient par SMS ou email si ton site tombe. Sans monitoring, tu peux rester hors ligne des heures sans le savoir, pendant que des clients essaient de te joindre.

Gère les accès humains. Les ex-prestataires avec encore accès à ton site, les comptes partagés, les mots de passe notés sur un post-it : ce sont les vecteurs d'intrusion les plus fréquents. Fais un audit des accès chaque année et révoque tout ce qui ne sert plus.

Utilise des mots de passe uniques partout. Le même mot de passe sur ton email, ton hébergeur et ton admin WordPress : si l'un est compromis, tous le sont. Un gestionnaire de mots de passe (Bitwarden, 1Password) résout ce problème gratuitement ou pour quelques euros par mois.

Si tu veux vérifier l'état de sécurité de ton site sans passer des heures à le faire toi-même, notre audit SEO inclut un contrôle des points techniques critiques. Pour une maintenance régulière incluant les mises à jour, les sauvegardes et la surveillance, regarde notre service de maintenance.

Marion est co-fondatrice d'Ellebay Digital et développeuse spécialisée dans la création de sites web et le développement SaaS. Elle travaille sur des projets Next.js et WordPress pour des PME et startups du Var. Tu peux nous écrire directement si tu as un projet à discuter.

Sécuriser son site web en 2026 : le guide selon ton CMS