Le minimum syndical : sécuriser votre site web en 30 minutes, gratuitement

Niveau 1 — Vos mots de passe (5 minutes)

C'est la cause de plus de 70 % des piratages de petits sites. Plus que les failles techniques, plus que les bugs, plus que les "vrais" hackers à capuche. La porte d'entrée la plus courante, c'est un mot de passe nul.

Action 1 — Changez le mot de passe admin

Si votre mot de passe admin est encore :

• "admin123", "votreentreprise2024", "votreprenom + 123"
• Le mot de passe que votre développeur vous a donné il y a 2 ans
• Le même que votre Gmail ou Facebook

→ Changez-le maintenant. 16 caractères minimum, aléatoire, généré par un gestionnaire de mots de passe. Bitwarden est gratuit et excellent. Apple "Mots de Passe" est intégré aux iPhone. 1Password est payant mais super.

Action 2 — Activez la double authentification (2FA)

Concrètement : un code à 6 chiffres sur votre téléphone à chaque connexion. C'est 5 secondes en plus, ça bloque 99 % des tentatives de connexion automatisées.

• WordPress : plugin gratuit "Two-Factor" ou "Wordfence Login Security"
• Shopify : Paramètres → Sécurité du compte → Activer
• Squarespace / Wix : Paramètres compte → Sécurité

Action 3 — Supprimez les comptes admin inutiles

Allez dans Utilisateurs et supprimez tout compte qui n'est plus actif :

• L'ancien dev qui a fait votre site en 2022
• Le stagiaire de l'été dernier
• "admin" si c'est un compte par défaut WordPress

Chaque compte oublié est une porte d'entrée. Le mot de passe de votre ancien dev est probablement compromis quelque part.

Niveau 2 — Vos mises à jour (10 minutes)

Action 4 — Faites toutes les mises à jour disponibles

Dans votre admin, vous voyez probablement quelques notifications de mises à jour. Vous les ignorez depuis 6 mois ? C'est par là que ça rentre.

• WordPress : Tableau de bord → Mises à jour → "Tout mettre à jour".
• Shopify : pas besoin, c'est géré par eux.
• Plugins WordPress : Extensions → Mettre à jour.

Si vous voyez "10 mises à jour disponibles", faites-les toutes. Faites une sauvegarde d'abord (action 7 ci-dessous). Si quelque chose casse, vous restaurez. Mais 95 % du temps, ça passe sans rien casser.

Action 5 — Supprimez les plugins / extensions inutilisés

Si vous avez 30 plugins WordPress, vous en utilisez probablement 12. Les 18 autres sont des risques — du code non maintenu, des failles non patchées, parfois des plugins qui tournent encore alors qu'on ne sait même plus à quoi ils servaient.

Désactivez puis supprimez ceux que vous ne reconnaissez pas. Si vous hésitez, gardez. Si vous n'en avez plus besoin depuis 6 mois, supprimez.

Action 6 — Vérifiez que votre thème est officiel

Si votre site WordPress utilise un thème nulled (téléchargé gratuitement sur des sites pirates au lieu d'acheter la licence), il y a 50 % de chance qu'il contienne du code malveillant.

Un thème nulled = backdoor permanente sur votre site. Coût d'un thème WordPress officiel : 30-80 €. Investissement minime, sécurité maximale.

Niveau 3 — Sauvegardes (5 minutes)

Action 7 — Configurez une sauvegarde automatique

C'est ce qui vous sauvera si tout se passe mal. La règle : si demain votre site disparaît, combien de temps perdez-vous au pire ? Si la réponse est plus de 24h, il faut une sauvegarde plus fréquente.

• WordPress : plugin UpdraftPlus (gratuit, 60 €/an pour la version pro). Configurez : Google Drive ou Dropbox, sauvegarde hebdomadaire automatique. 10 min de setup.
• Shopify : built-in. Vérifiez dans Paramètres → Sauvegarde et restauration.
• Hébergeur (OVH, o2switch, Infomaniak, etc.) : tous les hébergeurs sérieux français font des sauvegardes auto. Vérifiez dans votre espace client : "Sauvegardes" ou "Snapshots". Combien de jours sont conservés ? Si la réponse est "1 seule sauvegarde", ce n'est pas suffisant.

Niveau 4 — Conformité RGPD (10 minutes)

C'est la partie où la CNIL peut vous sanctionner même sans piratage. C'est le risque le plus sous-estimé chez les TPE.

Action 8 — Votre HTTPS est-il actif ?

Allez sur votre site. La barre d'adresse affiche-t-elle un cadenas fermé ? L'URL commence-t-elle par https:// (avec le S) ?

Si non, c'est urgent : votre site est marqué "non sécurisé" par Chrome, ce qui fait fuir vos visiteurs. Demandez à votre hébergeur d'activer Let's Encrypt (gratuit, 5 min côté hébergeur, automatique pour les principaux français).

Action 9 — Votre bandeau cookies

Si vous utilisez Google Analytics, Facebook Pixel, ou n'importe quel outil de tracking, vous devez afficher un bandeau cookies conforme RGPD. Pas un simple "OK / X" : un bandeau qui propose Accepter / Refuser / Personnaliser.

• WordPress : plugins gratuits comme CookieYes ou Complianz.
• Shopify : built-in dans Paramètres → Préférences → RGPD.
• Si vous n'utilisez aucun tracking (juste le site, pas d'analytics), pas besoin de bandeau. Mentionnez-le dans votre politique de confidentialité.

Action 10 — Vos mentions légales et politique de confidentialité

Votre site doit afficher :

• Mentions légales : qui édite le site, l'hébergeur, contact
• Politique de confidentialité : quelles données, pourquoi, combien de temps gardées
• CGV ou CGU si vous vendez quelque chose

Pas de page = risque de sanction CNIL même sans piratage. Pour démarrer, des outils gratuits génèrent une base : tapez "générateur mentions légales" dans Google. Ce ne sera pas parfait, mais ce sera très au-dessus du néant.

Vérifiez aussi vos formulaires de contact : mentionnent-ils ce que vous faites des données ? Une simple ligne suffit : "Vos données ne sont utilisées que pour répondre à votre demande, conservées 3 ans."

Ce qu'on n'a PAS regardé (et c'est important)

Le minimum syndical ci-dessus couvre la majorité des risques courants. Voici ce qu'il reste, par ordre d'importance :

1. Failles spécifiques à vos plugins

Tous les plugins ont régulièrement des failles publiques. Une faille publique sur un plugin = des milliers de bots qui scannent les sites pour l'exploiter dans les 24 à 48h. Pour le savoir, il faut soit suivre quotidiennement les bases CVE (chronophage), soit avoir un service qui le fait pour vous.

2. Configuration serveur exposée

Fichiers wp-config.php accessibles, dossier .git/ exposé, dump SQL traînant dans un sous-dossier... ça arrive plus souvent qu'on ne pense. Le test gratuit basique : essayez votre-site.fr/wp-config.php ou votre-site.fr/.env dans votre navigateur. Si vous voyez du contenu (et pas une erreur 404), il y a un problème.

3. Sous-domaines oubliés

dev.votre-site.fr, staging.votre-site.fr, vieux-blog.votre-site.fr — souvent jamais maintenus, parfois encore exposés. Si vous ne savez plus combien vous en avez, posez la question à votre développeur. C'est l'une des sources de fuite de données les plus courantes.

4. Email transactionnel

Vos emails (réinitialisation de mot de passe, factures, contact) arrivent-ils en spam ? Sont-ils signés DKIM/SPF/DMARC ? C'est invisible côté utilisateur mais critique côté délivrabilité — un email perdu, c'est un client perdu.

5. Le code custom de votre site

Si votre site a été développé sur-mesure (pas un thème WordPress standard), le développeur a-t-il fait attention à sanitiser les inputs, protéger contre XSS et SQL injection, limiter les uploads de fichiers ? C'est invérifiable sans expertise. Et c'est exactement le genre de truc qui fuit quand on s'y attend le moins.

Si vous voulez aller plus loin

Vous avez fait les 10 actions ci-dessus ? Bravo, vous êtes au-dessus de 80 % des sites TPE français. Sérieusement.

Pour les 5 points qu'on n'a pas couverts, il vous faut soit un développeur qui regarde régulièrement (mais peu de devs facturent ce travail récurrent), soit un service qui le fait pour vous.

Questions fréquentes

Wordfence gratuit ne suffit pas ?

Pour bloquer en temps réel des attaques connues sur WordPress, Wordfence gratuit est très bien — vraiment. Mais Wordfence ne vous dit pas si votre RGPD est conforme, si vos sauvegardes marchent vraiment, si vos sous-domaines fuient, si votre code custom contient des trous. C'est un firewall, pas un audit. Les deux sont complémentaires.

Je n'ai vraiment pas de budget. C'est grave ?

Non. Faites les 10 actions ci-dessus, sérieusement, refaites-les tous les trimestres, et vous êtes au-dessus de 80 % des sites TPE français. C'est déjà énorme. Vous pouvez aussi vous abonner à notre newsletter (lien en bas du site) pour recevoir un conseil gratuit par mois.

Mon site n'a pas de partie client ni de paiement. Je suis exposé ?

Risque plus faible mais pas zéro. Un site piraté peut être utilisé pour spammer (votre nom de domaine se retrouve sur liste noire), miner du crypto (votre hébergeur vous coupe), héberger du contenu illégal (vous êtes responsable). Et une mise sur liste noire Google fait chuter votre trafic à zéro pendant des semaines, parfois des mois.

Je suis sur Wix ou Squarespace. C'est moins risqué ?

Oui pour la partie infrastructure : l'éditeur s'occupe des mises à jour serveur, des patches, etc. Mais le RGPD reste de votre responsabilité (les pages mentions légales / cookies / politique de conf, c'est à vous de les écrire et de les afficher). Et les comptes admin avec mots de passe faibles restent un risque, partout.

À quelle fréquence refaire ce minimum syndical ?

Une fois par trimestre minimum. Idéalement : mises à jour et sauvegardes tous les mois, ménage des comptes et plugins tous les 6 mois. Mettez un rappel dans votre agenda. Le 1er du mois à 9h, 15 min de checklist. C'est tout.

Combien coûte un piratage si j'ai zéro sécurité ?

Pour un soloproneur français en 2025, un site piraté coûte en moyenne entre 1 500 et 8 000 €, selon le temps d'arrêt, la perte de données, le coût de remise en état (souvent un dev en urgence à 600-1200 €/jour) et la sanction CNIL éventuelle. Plus le coût caché : confiance des clients dégradée, leads perdus, mois pour remonter sur Google.

Une question sur cet article ? Écrivez à bonjour@kalisecu.fr. On répond personnellement, en français, en moins de 48h ouvrées. Promis.