Un site WordPress, c’est un peu comme la vitrine de votre entreprise. Vous y investissez du temps, de l’argent et de l’énergie pour être visible et inspirer confiance.
Mais saviez-vous que laisser son site sans maintenance régulière, c’est comme laisser la porte ouverte aux cambrioleurs ?
Chaque mois, des milliers de sites WordPress sont piratés dans le monde. La cause ? Dans 9 cas sur 10, un manque de mises à jour ou de maintenance.
Exemple réel : un email d’huissier… qui cache une arnaque
Récemment, mon associé a reçu un email apparemment sérieux. L’expéditeur se présentait comme un huissier de justice, et le message l’invitait à consulter un document officiel lié à une procédure en cours.
À première vue, tout était crédible :
- Un ton professionnel.
- L’utilisation d’un logo officiel.
- Un lien vers un document PDF.
Mais en survolant ce lien, la vérité est apparue : l’adresse n’avait rien à voir avec un cabinet d’avocats ou un site officiel.
Le site pointait en réalité vers un WordPress piraté qui hébergeait une fausse page WeTransfer.
Sur cette page frauduleuse, on invitait l’utilisateur à entrer son adresse email et son mot de passe pour accéder au fichier.
Dans le code source, nous avons découvert que toutes les données étaient envoyées directement vers un bot Telegram contrôlé par les cybercriminels.
👉 Résultat : un site mal entretenu a servi de relais à une attaque de phishing, compromettant la sécurité de centaines (voire milliers) de personnes.
NB : J’ai bien entendu avertis le propriétaire du site internet en question
Le lien de la page que les pirates vont exploiter, hébergée au sein de l’hébergement ou se trouve le WordPress
La fameuse page qui s’affiche lorsque vous cliquez sur le lien depuis l’email vous invitant à renseigner vos informations pour récupérer votre soit disant fichier
Voici ce que nous retrouvons dans le code source de la page, l’envoi des informations vers le bot telegram et la réception par les pirates dans leur canal dédié. Un bon moyen de centraliser l’information.
On remarquera » Login Orange » qui pour moi doit aussi servir à d’autres phishing et piratage avec par exemple des pages de connexion à votre compte Orange pour modifier des coordonnées bancaire manquantes ou d’autres informations. Bien entendu vous aurez reçu l’email vous demandant de faire cela juste avant 🙂
Que fais concrètement la page, si on inspecte le code :
Elle imite WeTransfer (“Vous avez reçu un fichier sécurisé – DOSSIER-2022000671.pdf”).
Elle te demande des identifiants Orange (“Indiquez l’adresse e-mail ou le numéro de mobile de votre compte Orange”), ce qui n’a aucun sens sur un vrai WeTransfer.
Elle affiche un faux message d’erreur (“Ce mot de passe est incorrect…”) pour te pousser à ressaisir ton mot de passe (technique classique pour capter deux entrées).
L’objectif du code derrière cette page est de récupérer adresse e-mail et mot de passe, puis (souvent) de rediriger vers un vrai service/une fausse confirmation pour ne pas éveiller les soupçons. C’est un schéma bien connu des imitations de WeTransfer.
Les risques si votre site WordPress n’est pas à jour
Ne pas mettre à jour son site WordPress, ses plugins ou son thème, ce n’est pas un petit oubli… c’est une faille béante pour les pirates. Voici les principaux dangers :
1. Hébergement de contenus frauduleux
Comme dans notre exemple, les hackers adorent utiliser les sites vulnérables pour stocker et diffuser leurs pages frauduleuses. Résultat : votre site devient complice malgré vous d’arnaques en ligne.
2. Vol de données
Un pirate peut exploiter une faille pour accéder à la base de données de votre site (mails clients, commandes, informations personnelles). C’est non seulement dangereux, mais aussi illégal (RGPD).
3. Défiguration du site
Certains hackers remplacent votre page d’accueil par des messages politiques, des insultes ou des publicités douteuses. Bonjour la réputation…
4. Blocage par Google
Si Google détecte du contenu malveillant, votre site peut être retiré des résultats de recherche ou afficher une alerte rouge “Site piraté” dans les navigateurs. Autant dire que vos visiteurs n’oseront plus cliquer.
5. Perte de revenus
Un site hors ligne, bloqué ou piraté peut entraîner une perte directe de chiffre d’affaires, surtout pour une boutique e-commerce.
Les bénéfices concrets d’un site WordPress bien entretenu
À l’inverse, un site régulièrement mis à jour et suivi par une équipe spécialisée offre de vrais avantages :
- Sécurité maximale : protection contre les failles connues.
- Performances accrues : un site plus rapide, donc mieux classé dans Google.
- Meilleure compatibilité : votre site fonctionne parfaitement avec les dernières versions de PHP, navigateurs et mobiles.
- Image professionnelle : vos visiteurs n’auront jamais l’impression d’arriver sur un site abandonné.
- Confiance des clients : vos utilisateurs savent que leurs données sont entre de bonnes mains.
Nettoyer toi même ce type de piratage ?
- Isoler d’abord : mets le site en maintenance, sauvegarde fichiers + DB.
- Supprimer la page WP compromise et TOUT le dossier du kit (souvent sous /uploads/ ou dans un dossier /wp-content/plugins/ tu verra un nom de dossier etrange, mais tu ne le verra qu’en accédant en FTP pas dans le back office de WordPress hélas).
- Comparer et remettre à neuf :
- Core WP : remplace par une version saine.
- Thèmes/Plugins : réinstalle propres (depuis sources officielles).
- Supprime tous les plugins inactifs et thèmes non utilisés.
- Clés & comptes :
- Change tous les mots de passe (admin WP, FTP/SSH, DB), régénère AUTH_KEY / SECURE_AUTH_KEY dans wp-config.php.
- Vérifie comptes admin inconnus.
- Mises à jour & durcissement :
- Mets WP/Plugins/Thèmes à jour, active WAF (ex. chez l’hébergeur), Désactive l’édition de fichiers (DISALLOW_FILE_EDIT).
- Ajoute un scanner (ex. Wordfence, Jetpack Scan, iThemes Security) pour repérer des restes.
- Surveillance :
- Active les logs sur l’hébergeur, regarde l’historique des connexions et cron anormaux.
- Mets une alerte sur la création de fichiers PHP dans /uploads/ (une extension comme Wordfence fera le job).
Comment nous pouvons protéger votre site WordPress
Chez Wycan, nous savons que beaucoup d’entreprises n’ont ni le temps ni les compétences techniques pour gérer la maintenance de leur site. C’est pourquoi nous proposons des offres de maintenance WordPress clé en main, adaptées aux besoins de chaque entreprise.
Nos services incluent :
- Mises à jour régulières de WordPress, des plugins et des thèmes.
- Surveillance de sécurité 24/7 pour détecter toute activité suspecte.
- Sauvegardes automatiques quotidiennes, avec restauration rapide en cas de problème.
- Optimisation des performances (rapidité, SEO technique).
- Rapports mensuels pour suivre l’état de votre site en toute transparence.
- Support réactif : une équipe disponible pour corriger les bugs et répondre à vos questions.
Conclusion : ne laissez pas la porte ouverte aux pirates
Votre site WordPress est un outil stratégique. Mais sans entretien, il peut devenir une menace pour votre entreprise et vos clients.
Un simple oubli de mise à jour peut transformer votre site en terrain de jeu pour des hackers.
Ne prenez pas ce risque.
En confiant la maintenance de votre site à Wycan, vous vous assurez :
- Une protection renforcée.
- Une tranquillité d’esprit.
- Une image professionnelle irréprochable.
👉 Contactez-nous dès maintenant pour mettre en place une offre de maintenance WordPress adaptée à votre site et dormez sur vos deux oreilles.
