Pour sécuriser son site internet, un artisan doit vérifier 5 points : HTTPS activé, mots de passe solides, mises à jour faites, sauvegarde récente et formulaires protégés. Dans 90 % des cas, ça suffit.
90 000 tentatives d'attaque par minute ciblent des sites WordPress dans le monde. Ce chiffre fait peur, mais il faut le remettre en perspective. Un site vitrine de 5 pages, sans base de données ni tableau d'administration, n'intéresse pas les mêmes pirates qu'un e-commerce avec 10 000 clients. Votre niveau de risque dépend avant tout du type de site que vous avez.
Le souci, c'est que quand on cherche comment sécuriser un site web, les guides parlent de pare-feu applicatif, d'injections SQL et de Content Security Policy. Pour un coiffeur ou un plombier, c'est du chinois. Ici, on traduit la sécurité d'un site web en gestes concrets qu'un artisan peut vérifier en 10 minutes, sans compétence technique.
À retenir
- Un site vitrine simple (sans CMS) a une surface d'attaque quasi nulle : pas de base de données, pas de plugin, pas de faille à exploiter
- 90 % des sites piratés dans le monde sont des WordPress, principalement à cause de plugins non mis à jour
- 5 vérifications de base couvrent l'essentiel de la sécurité pour un artisan : HTTPS, mots de passe, mises à jour, sauvegarde, formulaires
- Un piratage coûte entre 200 et 500 euros à nettoyer, sans compter la perte de clients et la chute sur Google
- La meilleure protection, c'est un site bien construit dès le départ ; pas un plugin de sécurité ajouté après coup
Pourquoi un artisan devrait se soucier de la sécurité de son site
Vous avez un site, il fonctionne, les clients vous trouvent sur Google. Pourquoi se soucier de sécurité ? Parce que les conséquences d'un piratage ne sont pas que techniques. Elles touchent directement votre activité.
Ce que risque votre entreprise
Karim, boulanger à Lyon, avait un site WordPress créé par un ami en 2023. En mars 2025, un client lui envoie un message : « Ton site redirige vers un site de paris en ligne. » Karim ne s'était pas connecté à son tableau WordPress depuis 8 mois. Un plugin obsolète avait été exploité pour injecter du code malveillant.
Le temps de trouver quelqu'un pour nettoyer le site (350 euros), Google avait déjà blacklisté sa page. Résultat : un message « Ce site est dangereux » s'affichait à la place de son site pendant 3 semaines. Il a estimé avoir perdu une quinzaine de commandes en ligne sur cette période.
Concrètement, voici ce que ça donne pour un artisan :
- Perte de visibilité Google : un site piraté est pénalisé dans les résultats de recherche, parfois blacklisté par Google Safe Browsing — et si votre site était déjà peu visible, les causes peuvent s'accumuler rapidement
- Perte de confiance : un client qui tombe sur un avertissement de sécurité ne reviendra pas
- Coût de nettoyage : entre 200 et 500 euros pour un professionnel, plus le temps perdu
- Risque RGPD : si des données clients (noms, emails, téléphones) sont volées via un formulaire, vous êtes responsable
La bonne nouvelle : un site simple est beaucoup moins vulnérable
Les piratages massifs ciblent des failles connues dans des logiciels répandus. WordPress, avec 43 % des sites web mondiaux, est la cible numéro 1. Des robots scannent en permanence des milliers de sites à la recherche de plugins obsolètes, de mots de passe faibles ou de versions WordPress non mises à jour.
Un site vitrine codé sur mesure, sans CMS ni base de données, n'a tout simplement pas ces failles. Pas de page de connexion à forcer, pas de plugin à exploiter, pas de base de données à vider. La surface d'attaque est quasi nulle.
Ça ne veut pas dire qu'un site statique est invulnérable. Mais le niveau de risque est incomparablement plus bas qu'un site WordPress mal maintenu.
Sécuriser un site internet : pas les mêmes risques selon le type de site
Tous les sites ne sont pas exposés de la même façon. Avant de parler de solutions, il faut comprendre d'où vient le risque.
WordPress : une cible permanente
WordPress est un bon outil pour les blogs actifs et le e-commerce. Mais sa popularité en fait la cible préférée des hackers. 90 % des sites piratés dans le monde tournent sous WordPress.
Les failles viennent rarement de WordPress lui-même, mais plutôt des plugins (extensions) et des thèmes installés par les utilisateurs. Un plugin de formulaire pas mis à jour depuis 6 mois peut contenir une faille connue que des robots exploitent automatiquement.
Pour un artisan qui utilise WordPress, la sécurité demande un effort régulier : mises à jour mensuelles, surveillance des plugins, sauvegardes, mots de passe solides. C'est faisable, mais ça prend du temps. Pour comprendre pourquoi WordPress n'est pas toujours le bon choix pour un artisan, j'ai écrit un comparatif détaillé des alternatives.
Site codé sur mesure : pas de CMS, pas de faille CMS
Un site codé en HTML/CSS/JS, sans CMS, n'a ni tableau de bord, ni base de données, ni plugin. Les fichiers sont servis directement par le serveur. Concrètement, il n'y a rien à pirater au sens classique du terme.
David, menuisier à Bordeaux, a un site sur mesure depuis 2022. En 3 ans : zéro incident de sécurité. Jamais de mise à jour de sécurité, jamais d'alerte, jamais de nettoyage à payer. Son site charge en moins d'une seconde et passe tous les contrôles Google sans problème.
La seule précaution pour un site statique : s'assurer que l'hébergeur fournit le HTTPS et que les accès FTP sont protégés par un mot de passe solide.
Constructeurs en ligne (Wix, Squarespace) : la sécurité gérée pour vous
Sur Wix ou Squarespace, la sécurité est gérée par la plateforme. Vous n'avez pas accès au serveur, pas de plugins à mettre à jour, pas de code à surveiller. C'est rassurant côté sécurité, mais vous payez ce confort avec un abonnement mensuel et aucune propriété sur votre site.
Les 5 gestes pour sécuriser votre site internet
Que vous ayez un site WordPress, un site sur mesure ou un constructeur en ligne, ces 5 vérifications permettent de protéger votre site web contre le piratage dans l'immense majorité des cas.
1. Vérifier que votre site est en HTTPS
Regardez la barre d'adresse de votre navigateur. Si l'URL commence par « https:// » avec un cadenas, votre site est sécurisé. Si c'est « http:// » sans le « s », les données échangées entre vos visiteurs et votre site ne sont pas chiffrées.
En 2026, Google pénalise les sites non HTTPS dans les résultats de recherche. Chrome affiche un avertissement pleine page qui bloque l'accès. Pour vos visiteurs, un site sans HTTPS, ça veut dire « pas fiable ».
Le certificat SSL (ce qui active le HTTPS) est gratuit chez la plupart des hébergeurs via Let's Encrypt. Si le vôtre ne le propose pas, c'est un signal pour en changer. Pour bien choisir son hébergement web, la sécurité est un critère aussi important que le prix.
2. Utiliser des mots de passe solides
Si vous avez un site WordPress ou un accès hébergeur, votre mot de passe est votre première ligne de défense. Les attaques par force brute testent automatiquement des millions de combinaisons. « admin123 » ou « motdepasse » se craquent en quelques secondes.
Un bon mot de passe fait au moins 12 caractères et mélange majuscules, minuscules, chiffres et caractères spéciaux. Utilisez un gestionnaire de mots de passe (Bitwarden est gratuit et fiable) pour ne pas avoir à tous les retenir.
Votre hébergeur ou votre CMS propose l'authentification à deux facteurs (2FA) ? Activez-la. Même si votre mot de passe est volé, personne ne peut se connecter sans le code envoyé sur votre téléphone.
3. Faire les mises à jour (si vous avez un CMS)
Si votre site tourne sous WordPress, Joomla ou un autre CMS, les mises à jour ne sont pas optionnelles. Elles corrigent des failles de sécurité connues. Un WordPress avec des plugins pas mis à jour depuis 6 mois, c'est une porte ouverte.
Vérifiez chaque mois :
- La version de WordPress (ou de votre CMS)
- Les plugins installés : mettez-les à jour ou supprimez ceux que vous n'utilisez plus
- Le thème : mettez-le à jour aussi
Si vous n'avez pas de CMS (site statique), cette étape ne vous concerne pas. C'est un des avantages d'un site codé sur mesure.
4. Avoir une sauvegarde récente
Même avec toutes les précautions du monde, le risque zéro n'existe pas. Si votre site est piraté ou si un problème technique survient, une sauvegarde récente permet de tout restaurer rapidement.
Vérifiez que votre hébergeur fait des sauvegardes automatiques (la plupart le font). Sur WordPress, un plugin comme UpdraftPlus envoie des sauvegardes automatiques vers Google Drive ou Dropbox. L'idéal : une sauvegarde par semaine minimum, stockée en dehors de votre serveur.
5. Vérifier vos formulaires
Votre site a un formulaire de contact ou de devis ? Il doit être protégé contre le spam et les injections de code. Un formulaire mal configuré peut être exploité pour envoyer des spams depuis votre serveur, voire accéder à votre base de données.
Deux vérifications simples :
- Votre formulaire a-t-il un captcha ou une protection anti-spam ? (reCAPTCHA de Google est gratuit)
- Recevez-vous des spams via votre formulaire ? Si oui, c'est un signe qu'il faut renforcer la protection
Et le RGPD dans tout ça ?
Si votre site a un formulaire de contact, vous collectez des données personnelles (nom, email, téléphone). Le RGPD vous impose trois obligations concrètes : afficher une politique de confidentialité qui explique ce que vous faites de ces données, informer vos visiteurs avant de collecter quoi que ce soit, et supprimer les données sur simple demande. En pratique, ajoutez un lien vers votre politique de confidentialité sous chaque formulaire et ne conservez pas les messages plus longtemps que nécessaire.
Checklist : votre site est-il bien protégé ?
Faites le test en 2 minutes. Répondez par oui ou non à chaque question.
| Question | Oui / Non |
|---|---|
| Mon site s'affiche avec « https:// » et un cadenas dans la barre d'adresse | |
| Mon mot de passe admin fait plus de 12 caractères et n'est pas « admin123 » | |
| Si j'ai un CMS, mes plugins et thèmes sont à jour (moins de 3 mois) | |
| Une sauvegarde de mon site existe quelque part (hébergeur ou cloud) | |
| Mon formulaire de contact a une protection anti-spam | |
| Je sais qui contacter si mon site a un problème technique |
5-6 oui : votre site est bien protégé pour un usage artisan/TPE. Continuez comme ça.
3-4 oui : quelques points à corriger, rien de dramatique. Commencez par le HTTPS et les mots de passe.
0-2 oui : votre site est vulnérable. Prenez une heure cette semaine pour corriger les points manquants, ou demandez à votre prestataire de le faire.
Que faire si votre site est piraté
Audrey, esthéticienne à Toulouse, découvre un matin que son site affiche une page blanche avec un texte en anglais. Elle pense d'abord à un bug d'hébergement. En réalité, son site WordPress avait été piraté via un plugin de galerie photos qu'elle n'utilisait plus depuis un an, mais qu'elle n'avait jamais supprimé.
Les signes d'un piratage
- Votre site affiche du contenu que vous n'avez pas écrit (textes, publicités, redirections)
- Google affiche un avertissement « Ce site est dangereux » ou « Ce site a peut-être été piraté »
- Votre hébergeur vous envoie un email signalant une activité suspecte
- Des clients vous signalent que votre site redirige vers un autre site
- Impossible de vous connecter à votre tableau de bord
Les 3 premières actions à faire
- Contactez votre hébergeur : il peut isoler votre site pour stopper la propagation et vous expliquer ce qui s'est passé
- Changez tous vos mots de passe : hébergeur, CMS, FTP, email lié au site. Faites-le depuis un autre appareil si possible
- Restaurez une sauvegarde propre : si vous avez une sauvegarde d'avant le piratage, restaurez-la. C'est le moyen le plus rapide de remettre votre site en état
Sans sauvegarde et si le nettoyage dépasse vos compétences, faites appel à un professionnel. Comptez en général entre 200 et 500 euros pour un nettoyage de site WordPress piraté.
Après le nettoyage
Une fois le site remis en ligne, identifiez la cause du piratage (plugin obsolète, mot de passe faible, thème abandonné) et corrigez-la. Supprimez tout ce que vous n'utilisez pas, mettez tout à jour. Et cette fois, planifiez des sauvegardes automatiques.
Si Google affichait un avertissement sur votre site, demandez un réexamen via Google Search Console une fois le nettoyage terminé. Sans cette démarche, l'avertissement peut rester visible plusieurs semaines, même si votre site est propre.
Questions fréquentes
Mon site peut-il être piraté même s'il est petit ?
Oui, mais pas pour les raisons que vous imaginez. Les pirates ne ciblent pas votre site personnellement : ils utilisent des robots qui scannent des milliers de sites à la recherche de failles connues. Si votre site a un plugin WordPress obsolète avec une faille documentée, il sera trouvé et exploité, peu importe sa taille. Un site statique sans CMS est beaucoup moins exposé à ce type d'attaque automatisée.
Le HTTPS suffit-il à sécuriser mon site ?
Le HTTPS protège les échanges de données entre vos visiteurs et votre site (formulaires, mots de passe). En revanche, il ne protège pas contre un piratage du site lui-même. C'est une brique essentielle, mais ce n'est pas la seule. Mises à jour, mots de passe et sauvegardes sont tout aussi importants.
Faut-il payer un service de sécurité pour son site ?
Pour un artisan avec un site vitrine simple, non. Les 5 gestes de base couvrent l'essentiel. Un service payant comme Sucuri ou Wordfence premium se justifie pour un e-commerce ou un site avec beaucoup de trafic et de données sensibles. Pour un site de 5 à 10 pages, les protections gratuites suffisent largement.
Ce qu'il faut retenir
Sécuriser son site internet quand on est artisan, ce n'est pas installer un pare-feu ni embaucher un expert en cybersécurité. C'est vérifier 5 points de base et s'assurer que le type de site que vous avez correspond à votre niveau de risque.
Un site WordPress demande de la maintenance régulière : mises à jour, sauvegardes, mots de passe. Un site codé sur mesure sans CMS a une surface d'attaque quasi nulle et ne demande quasiment aucun entretien de sécurité. Dans les deux cas, le HTTPS est obligatoire et les mots de passe doivent être solides.
Si vous n'avez pas touché à votre site depuis 6 mois, prenez 10 minutes pour passer la checklist. Mieux vaut poser la question maintenant que découvrir le problème le jour où un client vous signale que votre site redirige vers un casino en ligne.
