Votre site WordPress est une cible. Et les attaquants le savent déjà.
La maintenance WordPress, ce n’est pas mettre à jour de temps en temps. C’est d’abord savoir exactement dans quel état se trouve un site. Version du core, version PHP, plugins actifs, comptes utilisateurs exposés, en-têtes de sécurité HTTP, conformité légale. Des informations visibles depuis l’extérieur, sans toucher au moindre fichier.
Pour avoir cette vision à grande échelle, on a construit de A à Z un outil de scan automatisé. L’idée : voir les sites tels qu’ils sont vraiment, pas tels qu’ils nous sont décrits. En quelques secondes par domaine, on remonte l’ensemble de ces données. On a ainsi analysé plus de 7 000 sites WordPress en France, en Belgique, au Luxembourg et en Suisse. Ce qu’on a trouvé mérite d’être dit clairement.
Premier point, et il a son importance : tout ce que notre outil a pu lire depuis l’extérieur, les attaquants peuvent le lire aussi. Sans identifiant, sans accès, sans que le propriétaire du site s’en aperçoive. Les cybercriminels ne procèdent plus site par site. Ils opèrent en masse, avec des pipelines automatisés capables de scanner des centaines de milliers de sites par heure, de repérer les configurations vulnérables et de les transmettre à l’étape suivante de l’attaque. Notre démarche et la leur utilisent les mêmes méthodes. Ce qui change, c’est uniquement ce qu’on en fait.
Conformité légale : un chantier permanent
Avant les chiffres, une précision utile. Les obligations légales d’un site web ne sont pas les mêmes pour tout le monde. Mentions légales, bandeau de consentement cookies, conditions générales de vente : ces trois éléments n’ont pas le même statut selon l’activité. Les CGV ne s’imposent pas à un site vitrine, elles concernent les sites qui vendent en ligne ou proposent des prestations de service à distance.
Ce qui ne change pas, en revanche, c’est ce que les données montrent.
39 % des sites n’ont pas de mentions légales. C’est pourtant une obligation qui s’applique à pratiquement tous les sites professionnels, quelle que soit l’activité.
29 % ne gèrent pas correctement les cookies. Le RGPD n’est pas une nouveauté. Les recommandations CNIL non plus. Mais une part significative des sites analysés n’est toujours pas en règle sur ce point.
51 % présentent au moins l’un de ces deux manquements.
17 % cumulent les deux : ni mentions légales, ni gestion correcte des cookies.
La vraie raison derrière ces chiffres, ce n’est pas la négligence. C’est le temps qui passe. Un site livré conforme en 2021 par une agence externe ne l’est plus forcément aujourd’hui. Les référentiels CNIL évoluent, les mentions se périment, les bandeaux cookies qui semblaient corrects ne le sont plus. La conformité n’est pas une case qu’on coche une fois pour toutes.
Versions techniques : le vrai terrain de jeu des attaquants
C’est là que les choses deviennent critiques.
WordPress lui-même : parmi les 4 902 sites dont la version est détectable, 7,9 % tournent sur une version antérieure à WordPress 6.0. On trouve des installations en 4.7, 4.8 ou 4.9. Des branches abandonnées depuis des années, qui ne reçoivent plus aucun correctif de sécurité, pas même les patches d’urgence.
PHP : c’est le point le plus préoccupant. Sur les 3 082 sites avec une version PHP détectée :
- 29,4 % tournent sur PHP 7.x, dont le support officiel a pris fin en décembre 2022.
- 2,1 % sont encore sur PHP 5.x, abandonné en 2018. Six ans sans patch de sécurité sur la couche d’exécution qui traite chaque requête du site.
Au total, 31,5 % des sites scannés tournent sur une version PHP en fin de vie.
PHP 7.x et 5.x, ce ne sont pas seulement des versions dépassées au sens fonctionnel. Ce sont des versions dont les vulnérabilités connues sont publiques, documentées, et pour lesquelles des exploits circulent librement. Un attaquant qui sait que vous tournez sur PHP 7.4 sait exactement quelles failles chercher.
Comptes utilisateurs exposés : 57 % des sites analysés exposent publiquement l’identifiant d’au moins un compte, via l’API REST de WordPress ou les liens d’auteur. La médiane est à 1 utilisateur visible. Le maximum atteint 10 comptes exposés sur un seul site. Un nom d’utilisateur visible, c’est la moitié du travail d’une attaque par force brute déjà réalisée.
L’IA a changé les règles du jeu
Pendant longtemps, mener une attaque ciblée demandait un vrai investissement. Choisir ses cibles, les étudier une par une, adapter l’approche à chaque cas. Le volume avait un coût humain réel, ce qui limitait mécaniquement l’ampleur des campagnes malveillantes.
Ce frein n’existe plus.
L’ENISA, l’Agence européenne de cybersécurité, a officiellement classé l’IA comme amplificateur de menaces dès 2024. Pas parce qu’elle crée de nouveaux types de vulnérabilités, mais parce qu’elle supprime les contraintes qui ralentissaient les attaquants : temps d’analyse, capacité de traitement, nécessité d’expertise technique. Les services de renseignement britanniques estiment qu’à horizon 2027, le délai entre la découverte d’une faille et son exploitation sera quasi nul.
On en voit déjà les effets concrètement. Des bots pilotés par du machine learning analysent des milliers de sites WordPress en quelques secondes, croisent automatiquement les versions de plugins détectées avec des bases de données de vulnérabilités connues, et remontent les cibles exploitables sans intervention humaine. Plus de la moitié des failles WordPress exploitées en conditions réelles ne nécessitent aucune authentification préalable.
Les données les plus récentes montrent que les failles les plus ciblées sont exploitées en moyenne dans les cinq heures suivant leur publication. Cinq heures. Si vos plugins ne sont pas à jour le matin, votre site peut être compromis avant le déjeuner.
Les chiffres WordPress 2025 : une trajectoire qui ne ralentit pas
Les données de Patchstack donnent une mesure précise de l’accélération. En 2023 : 5 948 vulnérabilités découvertes dans l’écosystème WordPress. En 2024 : 7 966. En 2025 : 11 334. Une hausse de 42 % en un an.
La répartition est claire : 91 % concernent des plugins, 9 % des thèmes. Le cœur de WordPress lui-même ne compte que 6 vulnérabilités sur l’ensemble, toutes classées basse priorité.
C’est un point qu’on ne répète pas assez. WordPress en tant que logiciel est sérieusement maintenu, audité, mis à jour par une communauté mondiale. Ce n’est pas le core qui met votre site en danger. Ce sont les plugins installés au fil des années, certains actifs, d’autres désactivés mais toujours présents, beaucoup jamais mis à jour, qui représentent l’essentiel du risque. Un plugin inactif laissé sur un serveur reste une porte d’entrée potentielle.
Pour compléter le tableau : les attaques par force brute sur WordPress ont progressé de 130 % en 2024. Les vulnérabilités classées hautement exploitables ont bondi de 113 % d’une année sur l’autre.
Trois phrases qu’on entend tout le temps, et ce qu’elles cachent vraiment
Mon site tourne depuis trois ans sans le moindre problème.
Un site WordPress compromis ne tombe pas. C’est précisément ce qui rend la situation dangereuse. Dans la grande majorité des cas, une intrusion reste totalement invisible pendant des semaines, parfois des mois. Le site continue d’afficher ses pages normalement pendant que des scripts malveillants s’exécutent en arrière-plan, que les données saisies dans vos formulaires de contact partent ailleurs, que votre serveur sert de relais pour des campagnes de spam ou des attaques vers d’autres cibles. Vous payez l’hébergement. Vos clients font confiance à votre site. Quelqu’un d’autre exploite les deux.
Les attaquants qui opèrent à grande échelle n’ont aucun intérêt à détruire ce qu’ils ont compromis. Un site qui reste en ligne est un site qu’on peut continuer à exploiter : détournement de trafic SEO vers des sites frauduleux, injections de liens invisibles, vol silencieux de données de formulaires, crypto-mining sur votre infrastructure d’hébergement. Vous n’êtes pas ciblé parce que vous êtes important. Vous êtes utilisé parce que vous n’avez rien vu venir.
Je n’ai pas de boutique en ligne, je ne suis pas une cible.
Les scanners automatisés ne lisent pas votre secteur d’activité. Ils lisent votre version de PHP et l’état de vos plugins. Un site vitrine non maintenu est aussi intéressant qu’une boutique en ligne pour quelqu’un qui cherche un serveur relais ou un vecteur de spam. La taille et le chiffre d’affaires ne sont pas des critères de ciblage à l’échelle à laquelle opèrent ces outils.
Mon hébergeur gère la sécurité.
Un hébergeur sécurise une infrastructure : le réseau, les serveurs, les accès physiques. Il ne sécurise pas votre application WordPress. Ce n’est pas sa responsabilité contractuelle, et ce n’est pas non plus son périmètre technique. Les tests menés par Patchstack sont sans appel : dans des conditions réelles, 87,8 % des attaques WordPress ont contourné les protections standard des hébergeurs. La couche réseau est nécessaire. Elle ne suffit pas à protéger ce qui tourne au-dessus.
Ce que la maintenance change concrètement
Les mises à jour ne s’appliquent pas en un clic sans réflexion. Une mise à jour déployée sans test préalable peut casser des éléments critiques : un formulaire qui ne soumet plus rien, un tunnel de commande qui plante à mi-parcours, des blocs de mise en page qui partent en vrille. À l’inverse, une mise à jour repoussée indéfiniment laisse une faille connue exposée sur le serveur. La maintenance, c’est gérer cet équilibre dans la durée, en continu.
La version PHP est un cas à part. C’est l’hébergeur qui contrôle les versions disponibles sur le serveur, mais la décision de migrer appartient au propriétaire du site ou à son prestataire. Passer de PHP 7.4 à PHP 8.2 demande une analyse préalable : certains plugins ou thèmes peuvent présenter des incompatibilités, et une migration mal préparée peut rendre un site inaccessible. Ce n’est pas une opération qu’on improvise.
Les comptes utilisateurs sont une surface d’attaque que beaucoup sous-estiment. Des comptes créés pour un ancien prestataire, jamais supprimés. Des identifiants type “admin” ou “webmaster” toujours en place. Aucune limite sur les tentatives de connexion. Pas d’authentification à deux facteurs. Pris isolément, chacun de ces points semble anodin. Ensemble, ils forment une porte d’entrée que les bots de force brute testent méthodiquement, en permanence.
Les sauvegardes méritent qu’on s’y attarde, parce qu'”avoir une sauvegarde” et “pouvoir restaurer un site” ne sont pas la même chose. Une sauvegarde non testée est une fausse sécurité. La bonne question n’est pas “est-ce qu’on sauvegarde ?” mais “dans combien de temps on est de nouveau en ligne si quelque chose se passe ce soir ?”
La conformité légale n’est pas figée dans le temps. Les recommandations de la CNIL évoluent, une refonte graphique peut invalider un bandeau cookies qui fonctionnait avant, les traitements de données changent. Mentions légales, politique de confidentialité, gestion du consentement : ces éléments ont besoin d’être relus régulièrement, pas une fois à la mise en ligne et jamais plus.
Pour finir
Les entreprises que nous avons analysées ne sont pas des blogs personnels abandonnés. Ce sont des structures actives, avec une clientèle réelle et une réputation construite dans le temps. La note Google moyenne du panel est de 4,67/5. Des restaurants avec plusieurs centaines d’avis, des cabinets comptables installés depuis vingt ans, des photographes avec un portefeuille client solide. Des gens sérieux, dont le site web est aujourd’hui l’un des premiers points de contact avec leurs clients.
Ce qui est rassurant, c’est que la grande majorité des incidents WordPress ne résultent pas d’attaques élaborées. Pas de hackers acharnés, pas de ciblage sophistiqué. Dans la plupart des cas, c’est une faille connue, publiquement documentée, sur un site que personne ne surveillait.
C’est exactement ce que la maintenance évite.
WProactive est un service français de maintenance WordPress. Toutes les opérations sont réalisées en interne, sans sous-traitance. Nos offres couvrent la mise à jour technique, la surveillance de sécurité, les sauvegardes et l’accompagnement à la conformité légale.