Sécurité d'un site web en 2026 : se protéger des attaques

En 2025, 34 000 sites WordPress français ont été piratés, selon les chiffres ANSSI. La plupart auraient pu être protégés avec 2 heures de configuration. La sécurité d’un site web en 2026 n’est ni complexe ni coûteuse, mais elle exige de la rigueur et de la discipline. Voici les 8 menaces réelles, classées par fréquence, et la marche à suivre pour chacune.

Pourquoi votre site intéresse les hackers ?

Spoiler : ce n’est pas votre site qui les intéresse. C’est ce qu’ils peuvent en faire. Trois usages typiques.

Usage 1 : envoyer du spam

Votre serveur est utilisé pour envoyer des millions de mails de phishing. Conséquence pour vous : votre IP se retrouve sur des listes noires, vos emails légitimes vont en spam, votre hébergeur peut suspendre votre compte.

Usage 2 : injecter du SEO toxique

Les hackers ajoutent des centaines de pages cachées sur votre site, qui parlent de viagra, de casino en ligne ou de contrefaçons. Google détecte le hack et vous pénalise sévèrement. Récupérer le ranking prend 6 à 18 mois.

Usage 3 : voler des données

Sur un e-commerce, voler les données clients (cartes bancaires, emails, adresses). Pour vous : amende RGPD jusqu’à 4 % du chiffre d’affaires, perte de confiance, parfois poursuites judiciaires.

Menace 1 : les failles de plugins / extensions

C’est la menace n°1 sur les sites WordPress, Drupal et Joomla. Une faille dans un plugin obsolète permet en général une élévation de privilèges : le hacker prend le contrôle de l’admin.

Comment se protéger

• Mettre à jour systématiquement dès qu’une mise à jour est disponible (idéalement dans la semaine)
• Désinstaller les plugins inutilisés (chaque plugin = une porte potentielle)
• Privilégier les plugins populaires (WooCommerce, Yoast, etc.) plutôt que les obscurs
• Ne jamais installer un plugin nulled (version piratée, contient souvent un backdoor)
• Auditer 1 fois par an avec un outil comme WPScan ou Wordfence

Pourquoi Astro résout ce problème

Un site Astro n’a pas de plugins exécutés en production. Le code est compilé en HTML statique. Pas de surface d’attaque côté plugin = problème éliminé. C’est l’une des raisons techniques pour lesquelles nous privilégions cette stack (détails).

Menace 2 : les attaques par force brute (login admin)

Les bots tentent en permanence des combinaisons login/password sur les pages d’admin. Un mot de passe faible peut être cassé en quelques heures.

Comment se protéger

• Mots de passe forts (16+ caractères, mélangés) générés aléatoirement
• Authentification à 2 facteurs (2FA) sur tous les comptes admin
• Limitation des tentatives : bloquer une IP après 5 échecs (plugin Wordfence ou équivalent)
• Renommer la page d’admin : /admin → /connexion-secrete-xyz (sécurité par obscurité, mais bloque 90 % des bots)
• Liste blanche d’IP : si vous accédez toujours depuis le même bureau, autorisez uniquement votre IP

L’idéal : pas d’admin du tout

Sur nos sites Astro, l’admin est tout simplement GitHub (pour les développeurs) ou un CMS headless protégé par OAuth Google (pour les rédacteurs). Aucune URL /admin exposée publiquement, aucune surface d’attaque par force brute.

Menace 3 : les injections SQL

Très répandues sur les sites avec base de données dynamique (WordPress, e-commerce sur-mesure mal codé). Le hacker injecte du code SQL dans un formulaire pour accéder ou modifier la base.

Comment se protéger

• Toujours utiliser des requêtes préparées (prepared statements) côté serveur
• Échapper systématiquement les inputs utilisateurs avec les fonctions natives du framework
• Limiter les privilèges de l’utilisateur de base de données (lecture seule sur les pages publiques)
• Tester son site avec un outil comme SQLMap (en mode légal, sur son propre site)

L’avantage du statique

Les sites Astro statiques n’ont pas de base de données active en production. Pas de SQL, pas d’injection SQL possible. Encore une fois, surface éliminée.

Menace 4 : le cross-site scripting (XSS)

L’attaquant injecte du JavaScript malveillant dans une page (via un commentaire, un avis, un formulaire mal validé) qui s’exécute ensuite dans le navigateur des autres visiteurs. Effets : vol de cookies, redirection, phishing.

Comment se protéger

• Échapper tous les inputs avant affichage (la plupart des frameworks le font automatiquement, mais vérifiez)
• Content Security Policy (CSP) : header HTTP qui restreint les sources de scripts autorisées
• HttpOnly et Secure sur les cookies de session
• SameSite=Strict sur les cookies pour bloquer les attaques CSRF

Exemple de CSP minimaliste

Content-Security-Policy:
  default-src 'self';
  script-src 'self' 'unsafe-inline' https://www.googletagmanager.com;
  style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
  font-src 'self' https://fonts.gstatic.com;
  img-src 'self' data: https:;
  connect-src 'self' https://www.google-analytics.com;

C’est exactement ce que nous configurons dans le netlify.toml de tous nos sites.

Menace 5 : les attaques DDoS

Des milliers de bots envoient simultanément des requêtes pour saturer votre serveur. Site inaccessible pendant des heures, parfois des jours.

Comment se protéger

• CDN avec protection DDoS : Cloudflare (gratuit), Netlify Edge (inclus), Akamai (cher)
• Rate limiting : limiter le nombre de requêtes par IP par minute
• Mise en cache agressive : un site statique servi par CDN absorbe naturellement les pics
• Plan de continuité : que faire si le site tombe ? Page statique de secours, communication clients

L’avantage Netlify

Tous les sites hébergés sur Netlify bénéficient d’une protection DDoS de niveau Cloudflare/AWS, gratuite et automatique. Sur des hébergeurs classiques (OVH mutualisé), cette protection est limitée et peut nécessiter un upgrade payant.

Menace 6 : le phishing par usurpation de marque

L’attaquant copie votre site sur un domaine similaire (ex : fix-vveb.fr au lieu de fix-web.fr) pour piéger vos clients.

Comment se protéger

• Réservation des domaines proches (typo-squatting) : si vous êtes sur fix-web.fr, prenez aussi fixweb.fr, fixweb-officiel.fr, etc. (5-15 €/an chacun)
• Surveillance via Google Alerts sur votre marque
• Outils de monitoring : DNStwister, Ahrefs Brand Monitor
• Procédure de signalement prête en cas de détection (DMCA, signalement à l’hébergeur, plainte CNIL)
• Communication claire sur votre vrai domaine (footer, emails, signatures)

Menace 7 : les fuites de données par formulaires

Un formulaire de contact mal sécurisé peut révéler vos données aux moteurs de recherche, ou pire, être utilisé par des spammeurs.

Comment se protéger

• HTTPS sur tous les formulaires (jamais en HTTP)
• Captcha moderne (Cloudflare Turnstile, hCaptcha) — bien meilleur que reCAPTCHA pour la vie privée
• Honeypot : un champ caché que les bots remplissent et que vous filtrez
• Validation côté serveur (jamais uniquement côté client)
• Limitation des soumissions : 1 par minute par IP

Notre stack standard

Sur nos sites, le formulaire de contact utilise :

• Netlify Forms pour la réception (chiffrée, anti-spam Akismet)
• Cloudflare Turnstile comme captcha invisible (préserve l’UX)
• Honeypot caché en CSS (filtre 80 % des bots dès le départ)
• Rate limiting : 5 soumissions max par IP par jour

C’est ce que vous voyez en action sur notre page contact.

Menace 8 : les certificats HTTPS expirés

Un certificat expiré = site marqué « non sécurisé » par les navigateurs = panique des clients = perte de confiance et de SEO.

Comment se protéger

• Let’s Encrypt : gratuit, renouvellement automatique tous les 90 jours
• Hébergeur qui gère pour vous : Netlify, Vercel, Cloudflare le font automatiquement
• Monitoring : configurer une alerte 30 jours avant expiration sur votre boîte mail
• Backup de plan : avoir un certificat de secours (Let’s Encrypt en backup)

Si vous êtes sur un hébergeur mutualisé classique, vérifiez avant signature que le HTTPS est inclus et automatique. C’est le standard en 2026, mais certains hébergeurs facturent encore 30 €/an.

La sauvegarde : votre dernier rempart

Si malgré tout, votre site est compromis, vos sauvegardes sont votre assurance vie.

Les 3 règles d’or

• Quotidiennes : pas hebdomadaires, pas mensuelles. Quotidiennes.
• Externalisées : sur un autre serveur que celui du site (sinon, perdues en cas de hack du serveur)
• Testées : restaurez une sauvegarde de test 1 fois par trimestre. Sinon vous découvrez le jour J qu’elles sont corrompues.

Notre stack maintenance

Tous nos sites maintenus par Fixweb bénéficient de :

• Sauvegardes quotidiennes du code (GitHub)
• Sauvegardes quotidiennes des contenus (CMS headless)
• Sauvegardes quotidiennes des formulaires (Netlify Forms history)
• Tests de restauration trimestriels

Inclus dans le forfait à 49 € HT/mois (détails).

Le checklist complet de sécurisation

Pour résumer, voici les 20 points à valider sur tout site sérieux en 2026 :

Authentification

• Mots de passe admin > 16 caractères
• 2FA activé sur tous les comptes admin
• Limitation tentatives login (5 échecs = blocage 15 min)
• URL d’admin renommée

Code et plugins

• CMS et plugins à jour
• Plugins inutilisés supprimés
• Pas de plugins nulled
• Audit annuel (WPScan, Wordfence)

Communication

• HTTPS partout (HSTS activé)
• Certificat Let’s Encrypt renouvelé automatiquement
• Headers de sécurité (CSP, X-Frame-Options, X-Content-Type-Options)
• Cookies sécurisés (HttpOnly, Secure, SameSite)

Formulaires

• Captcha Cloudflare Turnstile ou hCaptcha
• Honeypot caché
• Validation serveur
• Rate limiting

Infrastructure

• Hébergeur avec protection DDoS
• CDN devant le site
• Sauvegardes quotidiennes externalisées
• Plan de réponse à incident documenté

Que faire si votre site est piraté ?

Si vous découvrez un piratage, ne paniquez pas. Voici la procédure d’urgence en 7 étapes :

1. Mettre le site hors ligne (page de maintenance) pour limiter les dégâts
2. Changer immédiatement tous les mots de passe (admin, FTP, base de données, hébergeur)
3. Faire une sauvegarde du site infecté pour analyse forensique
4. Restaurer la dernière sauvegarde saine (avant le piratage)
5. Identifier et corriger la faille (sinon le hacker reviendra)
6. Mettre à jour tous les plugins / dépendances
7. Demander une réinspection dans Google Search Console (si vous avez été marqué « site dangereux »)

Comptez 1 à 3 jours de travail pour un nettoyage propre, soit 800 à 2 500 € HT chez un prestataire sérieux. Beaucoup moins cher que les conséquences à long terme d’un site infecté.

Notre approche chez Fixweb

Sur nos sites Astro déployés sur Netlify, la sécurité est largement bâtie dans la stack :

• Pas de base de données en production = pas d’injection SQL
• Pas de plugins exécutés = pas de faille plugin
• HTTPS automatique avec HSTS
• Headers de sécurité configurés en standard (CSP, etc.)
• Protection DDoS Netlify Edge
• Sauvegardes Git automatiques
• Captcha Cloudflare Turnstile sur tous les formulaires

Résultat : 0 site piraté sur les 50+ que nous avons livrés ces 3 dernières années. Pas par chance, par design.

Vous voulez auditer votre site actuel ? Nous proposons un audit de sécurité à 290 € HT incluant scan automatisé + revue manuelle des 20 points ci-dessus + plan de remédiation. Demander un audit ou souscrire la maintenance qui inclut surveillance et corrections.

Pour aller plus loin, notre guide maintenance couvre les opérations récurrentes. Notre comparatif technique explique pourquoi certaines stacks sont structurellement plus sûres. Et notre guide Core Web Vitals montre comment performance et sécurité se renforcent mutuellement.