Pourquoi WordPress se fait pirater

Si vous vous demandez pourquoi les sites WordPress se font pirater, voici la réponse courte : ce n’est presque jamais à cause de WordPress lui-même. Le cœur du CMS est maintenu par une équipe sérieuse, audité en permanence, et les failles critiques y sont rares et corrigées vite. Le danger vient d’ailleurs, et il est très concret.

WordPress fait tourner une grande partie du web, ce qui en fait une cible évidente. Mais une cible n’est pas une victime tant qu’il n’y a pas de porte ouverte. Et les portes, ce sont presque toujours les mêmes. Voici lesquelles, avec pour chacune la parade en une phrase.

la vraie cause numéro un : les extensions et thèmes pas à jour

Une grosse majorité des sites compromis le sont par une extension ou un thème obsolète. Le scénario est mécanique : un chercheur trouve une faille dans un plugin populaire, l’éditeur publie un correctif, la faille devient publique, et dans les heures qui suivent des bots se mettent à scanner le web à la recherche de tous les sites qui n’ont pas encore mis à jour. Vous n’avez rien fait de mal. Vous avez juste tardé.

Le problème est rarement le cœur de WordPress. C’est cette couche d’extensions installées au fil des ans, dont certaines n’ont pas été touchées depuis deux versions majeures.

Parade : mettez tout à jour sans attendre, cœur, thèmes et extensions, et activez les mises à jour automatiques au moins pour les plugins critiques.

les extensions “nulled” : un malware que vous installez vous-même

Les versions piratées d’extensions ou de thèmes premium, qu’on appelle “nulled”, sont l’un des pires choix qu’on puisse faire. Quelqu’un a pris un produit payant, l’a modifié pour contourner la licence, puis l’a remis en téléchargement gratuit. La question à se poser n’est pas “est-ce que ça marche”, c’est “pourquoi cette personne se donne autant de mal pour me l’offrir”.

La réponse est presque toujours la même : le code a été truffé d’une backdoor. Vous installez vous-même la porte d’entrée, et le pirate n’a plus qu’à passer quand il veut. Économiser 49 € de licence pour finir avec un site infecté et une intervention de nettoyage à payer, c’est le plus mauvais calcul possible.

Parade : n’installez que des extensions et thèmes issus du dépôt officiel ou achetés directement chez l’éditeur, jamais une version “gratuite” d’un produit payant.

les mots de passe faibles et la force brute

Une partie des attaques ne vise aucune faille technique. Elle vise simplement votre mot de passe. Des bots tentent en boucle des milliers de combinaisons sur la page de connexion wp-admin, en piochant dans des listes de mots de passe courants et dans des bases d’identifiants déjà fuités ailleurs.

Deux situations leur facilitent la vie : un mot de passe faible (azerty123, le nom du site, une date), et surtout un mot de passe réutilisé. Si vous employez le même mot de passe sur votre site et sur un service quelconque qui s’est fait pirater, vos identifiants WordPress se retrouvent dans une liste publique, et aucune force brute n’est même nécessaire.

Parade : un mot de passe long et unique par compte admin, plus l’authentification à deux facteurs, et le tour de la force brute est joué.

l’hébergement mutualisé où le voisin contamine tout le monde

Sur un hébergement mutualisé bas de gamme, plusieurs dizaines de sites peuvent partager le même espace serveur. Si la séparation entre comptes est mal configurée, une infection sur le site d’un voisin peut se propager aux autres comptes du même serveur. Votre site était parfaitement à jour, et il se retrouve infecté parce qu’un autre client de l’hébergeur, lui, ne l’était pas.

C’est plus fréquent qu’on ne le croit, et c’est l’une des rares causes sur lesquelles vous n’avez aucune prise directe.

Parade : choisissez un hébergeur qui isole correctement les comptes, ou passez sur une offre dédiée si votre site a un vrai enjeu.

les autres portes qu’on oublie

Quelques causes plus diffuses reviennent régulièrement dans les sites qu’on nettoie.

L’absence totale de mises à jour. Un site qu’on a installé il y a trois ans et qu’on n’a jamais retouché est une cible garantie. Tout y est obsolète, donc tout y est vulnérable.

Les formulaires et modules d’upload mal sécurisés. Un formulaire de contact, une zone d’envoi de fichiers ou un plugin de candidature mal codé peut laisser un attaquant déposer un fichier PHP sur le serveur. Une fois ce fichier en place, il a un pied dans la maison.

Les identifiants FTP et admin qui fuitent. Un accès FTP enregistré en clair dans un logiciel, un ordinateur infecté par un voleur de mots de passe, des identifiants tapés sur un réseau public non chiffré : il suffit d’une fuite pour que tout le reste devienne inutile.

Les extensions abandonnées. Un plugin que son développeur ne maintient plus ne recevra jamais de correctif. La faille qu’on y découvrira l’an prochain restera ouverte pour toujours. Une extension sans mise à jour depuis deux ans est une bombe à retardement, même si elle “marche encore”.

Parade : supprimez ce que vous n’utilisez pas, fuyez les extensions non maintenues, et stockez vos accès FTP dans un gestionnaire de mots de passe, jamais en clair.

”mon petit site n’intéresse personne” : faux

C’est la croyance qui fait le plus de dégâts. Vous imaginez un pirate qui choisit sa cible, étudie votre entreprise, décide de s’attaquer à vous. Ce n’est pas comme ça que ça se passe dans 99 % des cas.

La quasi-totalité des attaques sont automatisées. Des bots parcourent le web en continu, testent des millions d’adresses, et dès qu’ils tombent sur une version d’extension vulnérable ou une page de connexion mal protégée, ils frappent. Sans savoir ni se soucier de qui vous êtes. Pour ces robots, un blog de quartier et le site d’une PME se valent : ce sont deux serveurs à transformer en relais de spam, en page de redirection vers un casino, ou en hébergeur de pages frauduleuses.

Ne pas être une cible choisie ne vous protège pas. Vous êtes une cible de masse, au même titre que tous les autres. La taille de votre audience n’entre pas dans l’équation.

ce qu’on en tire

Aucune des causes ci-dessus n’est une fatalité technique. Ce sont des points concrets, et chacun a une parade simple. Mettre à jour, fuir le “nulled”, des mots de passe uniques avec double authentification, un hébergeur correct, et le ménage dans les extensions inutiles : faites ces cinq choses et vous éliminez la grande majorité du risque.

Si vous voulez la méthode complète, point par point, suivez la checklist pour sécuriser WordPress. Et si vous avez un doute sur l’état actuel de votre site, apprenez d’abord à reconnaître les signes d’un piratage avant de durcir quoi que ce soit, car durcir un site déjà infecté ne sert à rien.

Mon site est à jour, suis-je à l’abri ? Largement mieux protégé, mais pas invulnérable. Un mot de passe réutilisé ou un voisin infecté sur un mutualisé peuvent suffire. Les mises à jour sont la base, pas la fin de l’histoire.

Une extension qui “marche encore” mais n’est plus maintenue, c’est grave ? Oui. Tant qu’elle fonctionne, on oublie qu’elle ne reçoit plus de correctifs. Le jour où une faille y est découverte, elle restera ouverte indéfiniment. Remplacez-la par une alternative maintenue.

On m’a piraté, c’est forcément ma faute ? Pas nécessairement. Parfois la cause est un hébergeur mal configuré ou une faille zero-day que personne ne pouvait anticiper. Mais dans la plupart des cas, on retrouve une de ces portes ouvertes, et c’est plutôt une bonne nouvelle : ça veut dire qu’on peut la fermer.

Si c’est déjà arrivé et que vous voulez régler le problème vite, voyez quoi faire concrètement. Chez WP-Detox, on commence par un scan gratuit pour confirmer l’infection, puis on nettoie le site en une trentaine de minutes pour 149 € tout compris. On fait une sauvegarde avant toute intervention, on vous rembourse si on n’y arrive pas, et on vous indique précisément la faille par laquelle le pirate est entré, pour que vous puissiez la fermer et ne pas y revenir.