Aller au contenu principal
Gaprod
SSL & Sécurité

Sécurité Web : Protéger Son Site des Hackers en 2026

Billy RousseauFondateur de Gaprod12 min read
#sécurité#hackers#protection

Introduction

En 2026, un site web est hacké toutes les 39 secondes dans le monde. Les attaques automatisées — bots qui testent des milliers de sites à la recherche de vulnérabilités — ne font pas de discrimination entre un petit blog personnel et un grand site e-commerce. Si votre site est accessible sur internet, il est une cible potentielle.

Un site compromis peut entraîner : vol de données de vos clients, diffusion de malwares, blacklistage par Google, perte de vos positions SEO, atteinte à votre réputation, et parfois des obligations légales liées au RGPD en cas de fuite de données personnelles.

Ce guide pratique vous explique les attaques les plus courantes, comment vous en protéger, et quels outils utiliser pour surveiller la sécurité de votre site.

Les attaques les plus courantes en 2026

Injections SQL (SQLi)

Une injection SQL consiste à insérer du code SQL malveillant dans un champ de formulaire (recherche, connexion, commentaire) afin de manipuler la base de données de votre site. Si votre application ne filtre pas correctement les entrées utilisateur, un attaquant peut lire, modifier ou supprimer des données, voire prendre le contrôle du serveur.

Exemple simplifié :

Un formulaire de connexion qui construit la requête SQL à partir des valeurs saisies par l'utilisateur sans les valider. Un attaquant saisit dans le champ "identifiant" : admin' OR '1'='1. La requête résultante est toujours vraie et donne accès sans mot de passe.

Protection :

  • Utilisez des requêtes préparées (prepared statements) ou des ORM qui gèrent l'échappement
  • Ne jamais construire des requêtes SQL par concaténation de chaînes
  • Utilisez les fonctionnalités de validation des CMS : WordPress, par exemple, utilise $wpdb->prepare() qui échappe automatiquement les valeurs

Cross-Site Scripting (XSS)

Le XSS consiste à injecter du code JavaScript malveillant dans les pages web affichées aux autres utilisateurs. Si un site affiche sans filtrage les commentaires ou les données saisies par les utilisateurs, un attaquant peut y insérer un script qui vole les cookies de session des visiteurs, redirige vers des sites de phishing ou télécharge des malwares.

Protection :

  • Toujours échapper les données avant de les afficher (htmlspecialchars() en PHP)
  • Utiliser une Content Security Policy (CSP) rigoureuse
  • Activer le flag HTTPOnly sur les cookies de session (les rend inaccessibles depuis JavaScript)
  • Utiliser les protections XSS des frameworks modernes (Twig, Blade, React, Vue)

Attaques par force brute

Les bots testent des milliers de combinaisons d'identifiants et de mots de passe par seconde contre votre formulaire de connexion. Un mot de passe faible ("admin", "123456", le nom de votre site) sera cassé en quelques secondes.

Protection :

  • Exigez des mots de passe forts (12 caractères minimum, mélange de chiffres, lettres et symboles)
  • Limitez le nombre de tentatives de connexion (WordPress : plugin Limit Login Attempts Reloaded)
  • Activez l'authentification à deux facteurs (2FA)
  • Changez l'URL de la page de connexion WordPress (/wp-login.php est ciblée massivement)
  • Utilisez fail2ban sur les VPS pour bloquer automatiquement les IPs qui multiplient les tentatives

Inclusion de fichiers (LFI/RFI)

Ces attaques exploitent des applications PHP mal codées pour inclure des fichiers locaux (LFI) ou distants (RFI). Elles permettent à l'attaquant de lire des fichiers sensibles comme /etc/passwd ou d'exécuter du code arbitraire.

Protection :

  • Ne jamais utiliser directement les paramètres URL pour inclure des fichiers
  • Valider et filtrer tous les inputs utilisateur
  • Désactiver allow_url_include dans php.ini
  • Maintenir PHP à jour (les versions anciennes ont de nombreuses CVE connues)

Attaques DDoS (Distributed Denial of Service)

Une attaque DDoS sature votre serveur de requêtes depuis des milliers de machines compromises, le rendant inaccessible aux visiteurs légitimes. Ces attaques visent surtout les sites de commerce, les médias et les services en ligne — mais tout site peut être visé.

Protection :

  • Utiliser un WAF (Web Application Firewall) qui filtre le trafic malveillant
  • Activer la protection DDoS de votre hébergeur (Gaprod inclut une protection DDoS de base)
  • Utiliser Cloudflare (gratuit) comme bouclier entre internet et votre serveur
  • Configurer des limites de débit (rate limiting) sur votre serveur web

Upload de fichiers malveillants

Si votre site permet aux utilisateurs de télécharger des fichiers (formulaires de contact, galeries, e-commerce), un attaquant peut tenter d'uploader un fichier PHP exécutable déguisé en image.

Protection :

  • Vérifier le type MIME réel du fichier côté serveur (pas seulement l'extension)
  • Renommer les fichiers uploadés avec un nom aléatoire
  • Stocker les uploads hors du répertoire web si possible
  • Interdire l'exécution de PHP dans les répertoires d'uploads via .htaccess

Attaques sur les CMS (WordPress, Joomla, PrestaShop)

Les CMS populaires sont des cibles privilégiées car les vulnérabilités connues sont publiquement documentées (CVE, WPScan database). Des milliers de bots scannent en permanence le web à la recherche de sites utilisant des versions vulnérables.

Protection WordPress :

  • Maintenez WordPress, les thèmes et les plugins à jour
  • Supprimez les plugins et thèmes non utilisés
  • N'installez que des plugins/thèmes provenant de sources fiables (dépôt WordPress.org ou développeurs réputés)
  • Utilisez un plugin de sécurité (Wordfence, Sucuri)
  • Changez le préfixe des tables de base de données (par défaut "wp_", trop prévisible)

Les bonnes pratiques de sécurité

Mots de passe et accès

Politique de mots de passe :

  • Longueur minimale de 14 caractères
  • Combinaison de majuscules, minuscules, chiffres et symboles
  • Ne jamais réutiliser un mot de passe entre plusieurs services
  • Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass)

Authentification à deux facteurs (2FA) :

Activez le 2FA sur tous vos accès sensibles : hébergement, panneau d'administration du site, registrar de nom de domaine, email professionnel. Même si votre mot de passe est compromis, le 2FA empêche l'accès sans le second facteur (code OTP, clé physique).

Principe du moindre privilège :

Chaque compte ne doit avoir que les permissions strictement nécessaires. Un contributeur WordPress n'a pas besoin d'accès administrateur. Un utilisateur MySQL dédié à votre site n'a pas besoin d'accès aux autres bases de données.

Mises à jour et veille

Mises à jour automatiques :

Activez les mises à jour automatiques pour les correctifs de sécurité mineurs. Sur WordPress, les mises à jour automatiques des versions mineures sont activées par défaut — ne les désactivez pas.

Pour les mises à jour majeures (nouvelles versions de CMS, PHP, plugins), testez d'abord sur un environnement de staging avant de déployer en production.

Veille sur les CVE :

Si vous utilisez des logiciels spécifiques, abonnez-vous aux bulletins de sécurité correspondants. WPScan.com liste les vulnérabilités WordPress connues. CERT-FR (cert.ssi.gouv.fr) publie des alertes de sécurité.

HTTPS partout

Le HTTPS chiffre les communications entre vos visiteurs et votre serveur. Sans HTTPS, tout le trafic circule en clair sur le réseau — les mots de passe, les données de formulaires, les sessions. En 2026, le HTTPS est non négociable.

Assurez-vous que :

  • Votre certificat SSL est valide et non expiré
  • Toutes les pages redirigent de HTTP vers HTTPS
  • Le SSL est activé sur toutes les sous-parties du site (pas seulement la homepage)
  • La redirection est en 301 (permanente) et non 302 (temporaire)

Certificats SSL gratuits avec Let's Encrypt

Les certificats Let's Encrypt sont gratuits, valides 90 jours et renouvelés automatiquement par la plupart des hébergeurs modernes. Il n'y a aucune raison de ne pas avoir de HTTPS en 2026.

Sauvegardes : votre dernier rempart

Même avec toutes les précautions du monde, une compromission est toujours possible. Des sauvegardes régulières et testées sont votre filet de sécurité ultime.

Règle du 3-2-1 :

  • 3 copies de vos données
  • Sur 2 supports différents
  • Dont 1 copie hors site (cloud, serveur distant)

Fréquence des sauvegardes :

  • Site à contenu statique (blog peu mis à jour) : sauvegardes hebdomadaires
  • Site e-commerce actif : sauvegardes quotidiennes minimum
  • Application critique : sauvegardes toutes les heures

Testez vos sauvegardes :

Une sauvegarde non testée est une sauvegarde dont vous ne savez pas si elle fonctionne. Restaurez périodiquement une sauvegarde sur un environnement de test pour vous assurer qu'elle est intègre.

Chez Gaprod, les sauvegardes quotidiennes sont incluses sur tous les hébergements mutualisés, avec accès à la restauration depuis cPanel.

Configuration du serveur web

Headers de sécurité HTTP :

Les headers HTTP permettent d'instruire le navigateur sur la politique de sécurité de votre site. Les plus importants :

# Dans .htaccess (Apache/LiteSpeed)
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "geolocation=(), microphone=(), camera=()"

Content Security Policy (CSP) :

La CSP est le header de sécurité le plus puissant. Elle définit quelles sources de ressources (scripts, styles, images) le navigateur est autorisé à charger, bloquant efficacement les attaques XSS.

Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline';"

Attention : une CSP mal configurée peut casser votre site. Commencez avec Content-Security-Policy-Report-Only pour observer sans bloquer.

Désactivez les informations serveur inutiles :

# Masquer la version d'Apache
ServerTokens Prod
ServerSignature Off

Pare-feu d'application web (WAF)

Un WAF analyse le trafic entrant et bloque les requêtes malveillantes avant qu'elles n'atteignent votre application. C'est une protection essentielle contre les injections SQL, XSS, et les tentatives d'exploitation de vulnérabilités connues.

Options pour les sites WordPress :

  • Wordfence (gratuit/premium) : WAF intégré directement dans WordPress. Bloque les attaques en temps réel et inclut un scanner de malwares.
  • Sucuri (payant) : WAF cloud-based très efficace, protège aussi contre les DDoS.
  • Cloudflare (gratuit/payant) : WAF intégré dans le CDN Cloudflare. La version gratuite offre une protection de base, les plans payants offrent des règles WAF avancées.

Sécurité WordPress spécifique

Mesures fondamentales :

  1. Désactiver l'éditeur de fichiers intégré (Apparence > Éditeur) pour éviter des modifications de code depuis l'admin en cas de compromission
  2. Protéger wp-admin par une authentification HTTP en plus du login WordPress
  3. Masquer la version de WordPress (retire la mention de version des sources HTML)
  4. Désactiver XML-RPC si vous ne l'utilisez pas (cible fréquente d'attaques)
  5. Protéger le fichier wp-config.php et .htaccess contre la lecture directe

Dans .htaccess :

# Bloquer l'accès direct à wp-config.php
<Files wp-config.php>
  order allow,deny
  deny from all
</Files>

# Désactiver l'exécution PHP dans wp-content/uploads
<Directory "/wp-content/uploads">
  <FilesMatch "\.php$">
    SetHandler none
  </FilesMatch>
</Directory>

Outils de surveillance et de détection

Scanner de malwares

Wordfence : Scanne votre installation WordPress à la recherche de fichiers modifiés, de malwares connus et de backdoors. La version gratuite couvre la majorité des besoins.

Sucuri SiteCheck : Scanner en ligne gratuit qui vérifie si votre site est sur des listes noires et détecte des malwares visibles depuis l'extérieur.

MalCare : Alternative à Wordfence avec détection basée sur des algorithmes d'apprentissage.

Monitoring de disponibilité et d'alertes

Uptime Robot (gratuit) : Monitore votre site toutes les 5 minutes et vous alerte par email, SMS ou Slack si votre site devient inaccessible. Une chute inattendue peut indiquer une attaque DDoS ou une compromission.

Better Uptime : Alternative plus complète avec monitoring SSL, pages de statut et intégration d'alertes avancées.

Audit de sécurité

Qualys SSL Labs (ssllabs.com) : Audit complet de votre configuration SSL/TLS. Visez un score A ou A+.

Observatory by Mozilla : Analyse la configuration de sécurité de votre site (headers, CSP, cookies). Accessible sur observatory.mozilla.org.

WPScan : Scanner de vulnérabilités spécifique WordPress. Disponible en ligne de commande et en version SaaS.

Plan d'action en cas de compromission

Si vous découvrez que votre site a été hacké, voici les étapes à suivre immédiatement :

  1. Isolez le site : Mettez-le en mode maintenance pour éviter de propager le malware à vos visiteurs
  2. Changez tous les mots de passe : FTP, panel d'hébergement, WordPress admin, MySQL, email
  3. Notifiez votre hébergeur : Il peut avoir des outils de détection supplémentaires et pourra investiguer côté serveur
  4. Restaurez une sauvegarde propre : Identifiez la date de la compromission et restaurez depuis une sauvegarde antérieure
  5. Scannez avant de remettre en ligne : Utilisez Wordfence ou Sucuri pour vérifier qu'il ne reste aucune trace du hack
  6. Analysez l'origine : Consultez les logs d'accès pour comprendre comment l'attaquant est entré
  7. Mettez à jour tout : WordPress, plugins, thèmes, PHP — ne remettez pas en ligne avec des logiciels vulnérables

Obligation RGPD en cas de fuite de données

Si la compromission a conduit à une fuite de données personnelles (emails, noms, adresses, données de paiement), vous avez l'obligation légale de notifier la CNIL dans les 72 heures. Ne négligez pas cette obligation sous peine de sanctions.

Conclusion

La sécurité web n'est pas un état qu'on atteint une fois pour toutes, mais un processus continu. Les attaques évoluent, les vulnérabilités sont découvertes en permanence, et un site non maintenu devient rapidement une cible facile.

La bonne nouvelle : appliquer les bonnes pratiques fondamentales — mises à jour régulières, mots de passe forts et 2FA, HTTPS, sauvegardes, WAF — suffit à se protéger contre 95 % des attaques automatisées qui ciblent la masse des sites web. Les attaques ciblées et sophistiquées sont rares pour les sites de taille standard.

Votre hébergeur fait partie de cette équation de sécurité : un hébergement mutualisé avec isolation correcte, protection DDoS, sauvegardes automatiques et support réactif est votre première ligne de défense.

Héberger mon site en sécuritéHébergement sécurisé — Sauvegardes quotidiennes incluses

Articles similaires

Prêt à démarrer avec Gaprod ?

Hébergement web, VPS et solutions cloud 100% français, avec support expert inclus.

Découvrir nos offresContacter le support
30j rembourséMigration gratuiteSupport 7j/7