Audit de Vulnérabilités : Site WordPress

TPE, 2 employés, Guadeloupe

2 jours

WordPress + WooCommerce

Contexte de la mission

Le défi

Contexte

Une petite entreprise souhaitait s'assurer de la sécurité de son site après avoir appris que des entreprises locales avaient été piratées.

Le site gérait une boutique en ligne avec des données clients.

Aucun audit de sécurité n'avait été réalisé depuis la mise en ligne.

Objectifs

Obtenir un état des lieux de la sécurité du site
Identifier les failles exploitables par un attaquant externe
Protéger les données clients de la boutique en ligne

Déroulement

Découvertes clés

Périmètre testé

Extensions et plugins installés
Configuration du serveur
Protection de la page de connexion
Exposition des fichiers et données sensibles

Méthodologie

Combinaison de scans automatisés et de vérification manuelle :

Analyse des plugins et de leurs versions
Tests de résistance de la page de connexion aux attaques par mots de passe
Revue de la configuration serveur

Élevé

3 extensions obsolètes avec des failles de sécurité connues

Élevé

Page de connexion non protégée : un attaquant peut tester des milliers de mots de passe

Moyen

Compte administrateur sans double authentification

Élevé

Répertoire de fichiers accessible publiquement, exposant les pièces jointes des réclamations clients

Moyen

Version de PHP obsolète avec des failles de sécurité connues

Résultats

Bilan et recommandations

Bilan

11 vulnérabilités : 0 critique, 3 élevées, 4 moyennes, 4 faibles

Le dirigeant a corrigé les failles les plus urgentes immédiatement avec l'aide de son prestataire web. Les réclamations clients ne sont plus accessibles publiquement et les extensions ont été mises à jour.

Recommandations

Mettre à jour immédiatement toutes les extensions et WordPress
Bloquer l'accès public aux répertoires de fichiers
Installer une protection contre les tentatives de connexion répétées
Activer la double authentification sur le compte administrateur
Mettre en place des sauvegardes automatiques quotidiennes

Enseignements

Leçons apprises

Les plugins WordPress non mis à jour sont la première cause de piratage
L'absence de 2FA sur le compte admin rend le site vulnérable à une attaque par brute force
Un audit de vulnérabilités est accessible même aux très petites structures

Continuité

Prochaines étapes

Audit de suivi pour valider les corrections

Autres études de cas

Découvrez nos autres interventions en cybersécurité.

Accompagnement

Accompagnement Cybersécurité : Startup application mobile

Un MVP avec des failles critiques transformé en application prête pour la production grâce à un accompagnement cybersécurité sur 3 mois.

Phishing

Campagne de Phishing : PME

38% des collaborateurs ont cliqué sur le lien frauduleux. Le scénario le plus simple (réinitialisation de mot de passe) a été le plus efficace.

Pentest Active Directory

Pentest Active Directory : Collectivité territoriale

Des serveurs obsolètes et des dossiers partagés trop permissifs ont permis de prendre le contrôle total du réseau en quelques heures.

Un projet similaire ?

Contactez-nous pour un premier échange gratuit et un devis adapté à vos besoins.

Demander un devis Voir les services