L'année dernière, plus de 13 000 vulnérabilités WordPress ont été divulguées, soit plus du double de l'année précédente. Des chercheurs en sécurité ont découvert des failles critiques dans des plugins utilisés par des millions de sites. Les opérateurs de ransomware ciblent fréquemment les sites WordPress en raison de l'architecture prévisible et de l'étendue de la surface d'attaque liée aux plugins (Patchstack et Sucuri publient des rapports trimestriels à ce sujet).
Si vous exploitez un site WordPress pour votre activité, la surface d'attaque se trouve sur votre page d'accueil.
Pourquoi WordPress est fréquemment ciblé
WordPress alimente environ 40 % de tous les sites web. Cette concentration le rend particulièrement attrayant pour les attaquants : un exploit peut être automatisé contre des millions de sites simultanément.
Les plugins constituent le vecteur d'attaque n°1. Le référentiel WordPress compte plus de 60 000 plugins. Un plugin populaire avec une vulnérabilité non corrigée peut compromettre des dizaines de milliers de sites en une nuit.
Les thèmes présentent des risques similaires. Les thèmes premium issus de marketplaces douteuses contiennent souvent des portes dérobées ou du code vulnérable.
Le core WordPress reçoit régulièrement des correctifs de sécurité, mais les mises à jour peuvent casser les sites. Les propriétaires les repoussent donc. 42 % des sites WordPress piratés tournaient sur une version obsolète au moment de la compromission.
L'hébergement mutualisé place votre site sur un serveur avec des centaines d'autres. Quand un site voisin est piraté, les attaquants pivotent parfois vers d'autres sites du même serveur.
À quoi ressemble vraiment un piratage WordPress
Injection de spam SEO
Les hackers injectent des milliers de liens cachés vers des sites pharmaceutiques, de jeux d'argent ou pour adultes dans vos pages. Vos positions Google s'effondrent. Vos clients voient du spam. Google met votre domaine sur liste noire.
Piratages par redirection
Les visiteurs de votre site sont silencieusement redirigés vers des sites malveillants. Vous ne le détectez pas car la redirection ne se déclenche que pour certains profils de trafic. Votre trafic organique disparaît de façon inexpliquée.
Pages de phishing
Les attaquants créent de fausses pages de connexion sur votre domaine pour collecter les identifiants de vos visiteurs. Votre site fait désormais partie d'une réponse active à un incident.
Minage de cryptomonnaie
Du JavaScript malveillant s'exécute dans les navigateurs de vos visiteurs et mine de la cryptomonnaie avec leur CPU.
Ransomware
C'est rare pour les petits sites, mais cela arrive. Votre site entier est chiffré et une rançon vous est demandée.
La remise en état après l'un de ces scénarios coûte entre 200 et 2 000 € ou plus, auxquels s'ajoutent des jours d'indisponibilité et un préjudice réputationnel.
Le tapis roulant des plugins
Pour sécuriser WordPress, vous avez besoin de plugins de sécurité. Mais les plugins de sécurité restent des plugins : ils élargissent votre surface d'attaque tout en essayant de la protéger.
- Abonnements annuels (100 à 300 € par an et par plugin)
- Mises à jour régulières (qui peuvent casser d'autres plugins)
- Surveillance et configuration continues
- Règles de pare-feu qui bloquent parfois du trafic légitime
La différence architecturale
Aucune base de données exposée à Internet. WordPress dispose d'une base de données (MySQL) que les plugins et thèmes interrogent en permanence. Un site Next.js statique n'a pas de base de données susceptible d'injection.
Pas d'exécution PHP. WordPress exécute PHP à chaque requête. Next.js sert des fichiers HTML pré-construits, ce qui représente une surface d'attaque bien plus réduite.
Pas d'équivalent à l'écosystème de plugins WordPress. Les dépendances sont des packages JavaScript (npm) gérés explicitement par des développeurs, et non un marché de 60 000 options aux niveaux de qualité variables.
La plateforme Vercel prend en charge une partie du stack de sécurité. Protection DDoS, TLS, edge caching : tout est géré par l'équipe de la plateforme Vercel. Le code applicatif, le traitement des données et le contenu restent de la responsabilité du client.
Pas de panneau d'administration WordPress. Les attaquants adorent `/wp-admin` : c'est une URL connue, facile à attaquer par force brute. Un site Next.js ne présente pas de point de défaillance unique équivalent.
Risque commercial
Les tentatives d'attaque automatisées font partie de l'exploitation d'un site WordPress avec sa part de marché actuelle. La décision commerciale est simple : continuer à dépenser du temps et de l'argent pour défendre une large surface d'attaque, ou migrer vers une architecture fondamentalement plus réduite.
webvise migre les sites WordPress vers Next.js avec des devis à périmètre fixe et une implémentation assistée par IA. Les migrations livrent en général de meilleures performances, des coûts d'exploitation plus bas et une surface d'attaque côté serveur réduite.
Les pratiques de webvise sont alignées sur les normes ISO 27001 et ISO 42001.