Votre site internet est un actif commercial qui mérite d'être protégé. Les pannes serveur, les piratages et les erreurs humaines peuvent effacer des mois de travail en quelques secondes. Une stratégie de sauvegarde solide et des mesures de sécurité de base sont vos meilleures assurances. Voici comment les mettre en place, même sans compétences techniques.
Pourquoi la sécurité web concerne aussi les PME
On entend souvent des dirigeants de PME dire "qui voudrait pirater mon petit site ?". La réponse est simple : des robots. La majorité des attaques web ne sont pas ciblées. Ce sont des bots automatisés qui scannent des millions de sites à la recherche de failles connues. Votre site n'a pas besoin d'être intéressant pour être piraté : il suffit qu'il soit vulnérable.
Les chiffres qui font réfléchir
- En moyenne, un site WordPress subit 90 000 tentatives d'attaques par mois
- 43 % des cyberattaques visent les petites entreprises
- Le coût moyen d'un piratage pour une PME est estimé entre 5 000 et 50 000 euros (perte de données, nettoyage, perte de chiffre d'affaires)
- 60 % des petites entreprises ferment dans les 6 mois suivant une cyberattaque majeure
Les sauvegardes : votre filet de sécurité
La règle du 3-2-1
La référence en matière de sauvegarde est la règle du 3-2-1 :
- 3 copies de vos données (l'original + 2 sauvegardes)
- 2 supports de stockage différents (serveur + cloud, par exemple)
- 1 copie hors site (dans un endroit physiquement différent de votre serveur)
Pour un site internet, cela se traduit par :
| Copie | Emplacement | Rôle |
|---|---|---|
| Originale | Votre serveur d'hébergement | Le site en production |
| Sauvegarde 1 | Stockage de l'hébergeur | Restauration rapide |
| Sauvegarde 2 | Cloud externe (Google Drive, Amazon S3, etc.) | Protection en cas de problème chez l'hébergeur |
Que faut-il sauvegarder ?
Un site internet est composé de deux éléments distincts, et les deux doivent être sauvegardés :
- Les fichiers : le code du site, les images, les documents, les plugins, le thème
- La base de données : le contenu (textes, pages, articles, paramètres, comptes utilisateurs)
Une sauvegarde incomplète (fichiers sans base de données, ou l'inverse) est inutile. Assurez-vous que vos sauvegardes incluent les deux.
La fréquence de sauvegarde
La fréquence dépend de la fréquence de modification de votre site :
| Type de site | Fréquence recommandée | Rétention |
|---|---|---|
| Site vitrine (peu de modifications) | Hebdomadaire | 4 dernières semaines |
| Blog actif (publications régulières) | Quotidienne | 2 dernières semaines |
| E-commerce (commandes quotidiennes) | Toutes les 6 heures | 1 semaine |
| Application web (données critiques) | Temps réel (réplication) | 30 jours |
Les outils de sauvegarde pour WordPress
UpdraftPlus : le plugin de sauvegarde le plus populaire. La version gratuite permet de sauvegarder vers Google Drive, Dropbox ou Amazon S3. La version premium ajoute la planification avancée et la sauvegarde incrémentale.
BlogVault : une solution premium qui sauvegarde votre site sur ses propres serveurs, avec restauration en un clic et environnement de staging intégré.
Les sauvegardes de l'hébergeur : la plupart des hébergeurs sérieux proposent des sauvegardes automatiques quotidiennes. Chez les hébergeurs que l'on recommande chez Dwenola, les sauvegardes sont incluses et testées régulièrement.
Tester ses sauvegardes
Une sauvegarde que vous n'avez jamais testée est une sauvegarde qui ne fonctionne peut-être pas. Au moins une fois par trimestre, faites un exercice de restauration :
- Téléchargez votre dernière sauvegarde
- Restaurez-la sur un environnement de test (staging)
- Vérifiez que le site fonctionne correctement
- Confirmez que les données sont complètes et à jour
Si la restauration échoue, vous saurez que votre système de sauvegarde a un problème, avant d'en avoir besoin en urgence.
La sécurité : les mesures essentielles
Niveau 1 : les bases (à faire immédiatement)
1. Certificat SSL (HTTPS)
Le certificat SSL chiffre les échanges entre votre site et les navigateurs de vos visiteurs. En 2026, c'est un strict minimum. Google pénalise les sites en HTTP et les navigateurs affichent un avertissement "Non sécurisé". La plupart des hébergeurs proposent un SSL gratuit via Let's Encrypt.
2. Mots de passe robustes
- Minimum 12 caractères avec majuscules, minuscules, chiffres et caractères spéciaux
- Un mot de passe unique pour chaque compte
- Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password)
- Ne partagez jamais un mot de passe par email
3. Comptes administrateur limités
Ne donnez l'accès administrateur qu'aux personnes qui en ont vraiment besoin. WordPress propose plusieurs rôles :
| Rôle | Droits | À donner à |
|---|---|---|
| Administrateur | Tout | Le propriétaire du site et le webmaster |
| Éditeur | Gérer tout le contenu | Le responsable de contenu |
| Auteur | Publier ses propres articles | Les rédacteurs |
| Contributeur | Rédiger sans publier | Les rédacteurs occasionnels |
| Abonné | Lire le contenu réservé | Les visiteurs avec compte |
4. L'authentification à deux facteurs (2FA)
Activez le 2FA sur tous les comptes administrateur. Même si votre mot de passe est compromis, l'attaquant ne pourra pas se connecter sans le code de vérification envoyé sur votre téléphone. Des plugins comme WP 2FA ou Wordfence Login Security proposent cette fonctionnalité.
Niveau 2 : la protection active
1. Un pare-feu applicatif (WAF)
Un WAF filtre le trafic malveillant avant qu'il n'atteigne votre site. Il bloque les tentatives d'injection SQL, les attaques XSS et les requêtes suspectes.
Options recommandées :
- Cloudflare (gratuit) : WAF basique inclus dans la version gratuite, avancé en version Pro
- Wordfence : WAF intégré à WordPress, très complet en version gratuite
- Sucuri : WAF cloud avec nettoyage de malware inclus (payant)
2. Limitation des tentatives de connexion
Par défaut, WordPress autorise un nombre illimité de tentatives de connexion. Un attaquant peut donc essayer des milliers de combinaisons mot de passe. Limitez les tentatives à 5 avant un blocage temporaire.
Plugins : Limit Login Attempts Reloaded (gratuit) ou la fonctionnalité intégrée à Wordfence.
3. Changement de l'URL de connexion
L'URL par défaut /wp-admin est connue de tous les hackers. La changer complique les attaques automatisées. Le plugin WPS Hide Login permet de le faire en quelques clics.
4. Désactivation de l'éditeur de fichiers
WordPress intègre un éditeur de code accessible depuis l'administration. Si un attaquant accède à votre admin, il peut modifier directement les fichiers de votre site. Désactivez-le en ajoutant cette ligne dans votre fichier wp-config.php :
define('DISALLOW_FILE_EDIT', true);
Niveau 3 : la surveillance continue
1. Scan antimalware régulier
Lancez un scan de sécurité au moins une fois par mois. Wordfence, Sucuri ou MalCare peuvent détecter les fichiers modifiés, les injections de code et les backdoors (portes dérobées).
2. Monitoring de disponibilité
Utilisez un service comme UptimeRobot (gratuit) ou Better Uptime pour être alerté immédiatement si votre site tombe en panne. Vous serez notifié par email ou SMS en moins de 5 minutes.
3. Surveillance des fichiers
Certains outils surveillent les modifications de fichiers sur votre serveur. Si un fichier est modifié sans que vous ayez fait de mise à jour, c'est potentiellement un signe de compromission.
Que faire en cas de piratage
Si vous suspectez que votre site a été piraté (redirections suspectes, contenu modifié, avertissement Google), voici la marche à suivre :
- Ne paniquez pas mais agissez vite
- Mettez le site en maintenance pour protéger vos visiteurs
- Changez tous les mots de passe (WordPress, hébergement, FTP, base de données)
- Restaurez une sauvegarde saine (d'avant la compromission)
- Scannez le site restauré pour vérifier qu'il est propre
- Mettez tout à jour (WordPress, plugins, thèmes)
- Identifiez la faille et corrigez-la pour éviter que ça se reproduise
- Demandez un réexamen à Google si votre site a été signalé comme dangereux
Si vous n'avez pas les compétences techniques, faites appel à un professionnel. Le nettoyage d'un site piraté coûte entre 300 et 1 500 euros selon la gravité. C'est bien moins cher que de perdre des semaines de référencement et la confiance de vos clients.
Questions fréquentes
Mon hébergeur fait des sauvegardes, ai-je besoin d'en faire d'autres ?
Oui. Les sauvegardes de votre hébergeur sont un premier niveau de protection, mais elles sont stockées chez le même prestataire. Si votre hébergeur a un problème majeur (incendie de datacenter, comme celui d'OVH en 2021), vos sauvegardes peuvent être perdues aussi. Ayez toujours une copie externe, sur un service cloud différent.
Comment savoir si mon site a été piraté ?
Les signes les plus courants : votre site redirige vers un autre site, du contenu que vous n'avez pas écrit apparaît, Google affiche un avertissement "Ce site est dangereux", votre hébergeur vous envoie un email d'alerte, ou vous remarquez des comptes utilisateurs que vous n'avez pas créés. Un scan avec Wordfence ou Sucuri peut confirmer ou infirmer vos soupçons.
Le HTTPS suffit-il à protéger mon site ?
Non. Le HTTPS protège les données en transit (entre le navigateur et votre serveur), mais il ne protège pas votre site contre les piratages, les malwares ou les failles de sécurité dans vos plugins. C'est une couche de protection nécessaire mais pas suffisante. Les mesures décrites dans cet article sont complémentaires.
Combien de temps faut-il garder ses sauvegardes ?
Pour un site vitrine, conservez les 4 dernières semaines de sauvegardes. Pour un e-commerce, gardez au moins 30 jours. Certaines obligations légales peuvent imposer des durées plus longues pour certaines données. Dans tous les cas, gardez au minimum une sauvegarde de référence mensuelle sur les 6 derniers mois.
Besoin d'aide ? Chez Dwenola, on crée votre site pro dès 49€/mois. On en discute ?
ChatGPT
Claude
Gemini
Perplexity