Sécuriser son site web : 10 étapes actionnables

La majorité des attaques réussies contre des sites web exploitent des vulnérabilités connues, mal configurées ou non corrigées. La bonne nouvelle : 80% de ces risques peuvent être éliminés en moins d'une heure avec les 10 étapes ci-dessous.

Ce guide est pensé pour les PME et les responsables techniques qui veulent améliorer leur posture de sécurité rapidement, sans expertise avancée en cybersécurité.

Étape 1 : Forcer HTTPS sur l'ensemble du site

HTTPS chiffre les communications entre votre serveur et les navigateurs des visiteurs. Sans lui, n'importe qui sur le même réseau peut intercepter les données échangées — mots de passe, données personnelles, informations de paiement.

Comment faire :

Si vous utilisez un hébergeur comme OVH, Infomaniak, ou un hébergeur mutualisé, activez le certificat SSL gratuit Let's Encrypt depuis votre panneau de contrôle. Cette opération prend 5 minutes.

Ensuite, configurez une redirection permanente de HTTP vers HTTPS :

# Apache (.htaccess)
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

# Nginx
server {
    listen 80;
    return 301 https://$host$request_uri;
}

Vérification : Tapez http://votresite.com dans un navigateur — vous devez être automatiquement redirigé vers https://.

Étape 2 : Configurer les headers de sécurité essentiels

Les headers HTTP de sécurité protègent contre les attaques XSS, le clickjacking, et le MIME sniffing. Ils s'ajoutent en quelques lignes de configuration.

Les 4 headers prioritaires :

# Apache (.htaccess)
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Pour un guide complet sur les headers de sécurité, consultez notre article dédié : Headers HTTP de sécurité.

Vérification : Utilisez WarDek ou securityheaders.com pour obtenir un score et vérifier que vos headers sont correctement configurés.

Étape 3 : Mettre à jour votre CMS et ses plugins

Les CMS (WordPress, Joomla, Drupal...) et leurs plugins sont la cible principale des attaques automatisées. Les bots scannent en permanence internet à la recherche de versions vulnérables connues.

WordPress : Tableau de bord → Mises à jour → Mettre à jour WordPress core, puis tous les plugins, puis tous les thèmes.

Règle à retenir : Un plugin WordPress non mis à jour depuis plus de 6 mois est un risque. Un plugin abandonné par son développeur doit être remplacé.

Désactivez et supprimez les plugins et thèmes inactifs. Même désactivés, ils restent sur votre serveur et peuvent être exploités.

Pour les développeurs : Activez les mises à jour automatiques pour les mises à jour de sécurité critiques. Sur WordPress, ajoutez dans wp-config.php :

define( 'WP_AUTO_UPDATE_CORE', 'minor' );
add_filter( 'auto_update_plugin', '__return_true' );

Étape 4 : Renforcer la politique de mots de passe

Les mots de passe faibles et réutilisés sont responsables de la majorité des compromissions de comptes d'administration.

Actions immédiates :

1. Changez le mot de passe admin de votre CMS/panneau d'hébergement si vous ne l'avez pas fait depuis plus de 6 mois
2. Utilisez un mot de passe d'au moins 16 caractères, généré aléatoirement (gestionnaire de mots de passe recommandé)
3. Activez l'authentification à deux facteurs (2FA) sur votre interface d'administration — c'est disponible en standard dans WordPress, Joomla, et la plupart des hébergeurs

Pour les équipes : Mettez en place une politique formelle imposant des mots de passe forts et le 2FA pour tous les accès aux systèmes de production. Un seul compte compromis peut suffire à accéder à l'ensemble du site.

Vérification : Allez sur haveibeenpwned.com et vérifiez si votre email professionnel apparaît dans des bases de données de fuites.

Étape 5 : Mettre en place des sauvegardes automatiques

Une sauvegarde récente et testée est votre assurance contre les ransomwares, les erreurs humaines, et les corruptions de données.

Règle du 3-2-1 :

• 3 copies de vos données
• Sur 2 supports différents
• Dont 1 hors site (cloud ou serveur distant)

Pour WordPress : Le plugin UpdraftPlus (gratuit) permet de planifier des sauvegardes automatiques vers Google Drive, Dropbox, ou Amazon S3 en 10 minutes de configuration.

Fréquence recommandée :

• Sauvegardes quotidiennes pour les sites e-commerce ou avec contenu dynamique
• Sauvegardes hebdomadaires pour les sites vitrine avec peu de changements

Test obligatoire : Une sauvegarde non testée n'est pas une sauvegarde. Restaurez votre site depuis la sauvegarde au moins une fois par trimestre sur un environnement de test.

Étape 6 : Désactiver le directory listing

Le directory listing affiche le contenu de vos répertoires si aucun fichier index.html ou index.php n'est présent. Cela peut exposer des fichiers de configuration, des sauvegardes, ou du code source.

Apache :

Options -Indexes

Nginx :

autoindex off;

Vérification : Tapez https://votresite.com/wp-content/uploads/ — vous devez obtenir une erreur 403 ou être redirigé, pas voir la liste des fichiers.

Étape 7 : Scanner les vulnérabilités de votre site

Une fois les étapes précédentes effectuées, lancez un scan de sécurité pour identifier les vulnérabilités résiduelles.

WarDek effectue un scan passif en quelques minutes couvrant 20 catégories de risques : headers de sécurité, configuration HTTPS/TLS, cookies non sécurisés, informations exposées, sous-traitants tiers...

Pour les vulnérabilités applicatives (injections SQL, XSS, CSRF), des outils dédiés comme OWASP ZAP (gratuit) ou Burp Suite permettent des analyses plus approfondies — mais nécessitent une expertise technique.

Consultez notre guide complet : Protection XSS et scanner de vulnérabilités pour les attaques les plus courantes.

Étape 8 : Sécuriser vos cookies

Les cookies non sécurisés peuvent être volés ou manipulés par des attaquants. Trois attributs sont essentiels :

Set-Cookie: session=xxx; HttpOnly; Secure; SameSite=Strict

• HttpOnly : empêche JavaScript d'accéder au cookie (protection contre XSS)
• Secure : cookie transmis uniquement sur HTTPS
• SameSite=Strict : protection contre les attaques CSRF

Pour WordPress : Des plugins comme "Really Simple SSL" ou la configuration manuelle du wp-config.php permettent de configurer ces attributs.

Pour les sites RGPD : Les cookies de session et d'authentification entrent dans la catégorie "strictement nécessaires" — ils ne requièrent pas de consentement mais doivent être sécurisés techniquement.

Pour approfondir la conformité cookies, consultez notre guide : Cookies et RGPD.

Étape 9 : Implémenter un rate limiting

Le rate limiting limite le nombre de requêtes qu'un utilisateur ou une IP peut envoyer dans un intervalle de temps. Il protège contre les attaques par force brute sur vos formulaires de connexion et les tentatives de spam.

Pour Apache :

# Limiter les tentatives de connexion
LimitRequestBody 512000

Avec le module mod_evasive ou fail2ban pour une protection plus robuste.

Pour Nginx :

limit_req_zone $binary_remote_addr zone=login:10m rate=5r/m;

location /wp-login.php {
    limit_req zone=login burst=3;
}

Si vous utilisez Cloudflare : Activez les règles de rate limiting depuis le tableau de bord — c'est disponible même sur le plan gratuit pour les cas les plus simples.

Étape 10 : Configurer un monitoring de sécurité

Sans monitoring, vous découvrez les incidents après coup — souvent trop tard. Quelques outils simples permettent d'être alerté rapidement.

Monitoring de disponibilité (gratuit) :

• UptimeRobot : vérifie votre site toutes les 5 minutes et vous alerte par email si il est inaccessible
• Better Uptime : similaire avec des fonctionnalités supplémentaires

Surveillance des changements de fichiers (WordPress) : Le plugin Wordfence (gratuit) scanne vos fichiers et vous alerte en cas de modification non autorisée.

Alertes Google Search Console : Activez les notifications pour les problèmes de sécurité détectés par Google (malware, phishing, contenu piraté).

Logs d'accès : Consultez régulièrement vos logs d'accès pour détecter des patterns suspects (nombreuses tentatives de connexion échouées, accès à des URLs inexistantes...).

Vérifiez votre progression avec WarDek

Après avoir appliqué ces 10 étapes, lancez un scan WarDek gratuit pour mesurer objectivement votre niveau de sécurité. WarDek génère un rapport détaillé avec un score de sécurité global et les actions restantes priorisées par niveau de risque.

Pour une conformité complète avant une mise en production importante, consultez également notre checklist sécurité avant production — 25 points organisés par catégorie pour une couverture exhaustive.