Sélectionner une page

La sécurité web, un sujet barbant devenu urgent

par | Publié le 17 Juin 2026 | Actus et humeur

secuite-site-ia

Je ne voudrais pas faire flipper tout le monde, ce n’est pas du tout le but. La sécurité web n’est pas un sujet qui me passionne particulièrement, mais il faut bien vivre avec son temps. Et les temps changent vite.

Ce qui s’est passé hier

Si on compare un serveur web à un immeuble avec des appartements en location, hébergeant chacun un site, mercredi matin un script malveillant s’est introduit dans l’un des appartements que je gère. Un site en sommeil depuis quelques années, sans grand intérêt apparent. Une fois à l’intérieur, le cambrioleur a fait des trous dans les murs pour accéder aux logements voisins. Si je ne m’en étais pas aperçu rapidement, tout l’étage aurait été contaminé.

Les hackers ont eux aussi adopté l’IA

Comme c’est la deuxième fois en peu de temps que j’ai un site infecté, j’ai cherché comment ils étaient entrés. La technique utilisée était impressionnante et révélatrice. La réponse est simple : les hackers utilisent désormais l’IA pour scanner le web, identifier des vulnérabilités et les exploiter automatiquement.

Pourquoi ce qui marchait avant ne suffit plus

Depuis le début d’internet, des scripts automatisés tentent des intrusions en permanence. C’était une sorte de jeu du chat et de la souris : une faille est découverte, la communauté la corrige, on fait ses mises à jour, et on est tranquille.

Ce modèle est dépassé. Aujourd’hui, ces scripts intègrent de l’IA : ils analysent un site entier en quelques secondes, ont accès à toutes les failles connues y compris les plus récentes, et les exploitent sans intervention humaine.

La vitesse et l’échelle ont complètement changé.

Les bons réflexes, sans se prendre la tête

Les indispensables à mettre en place une fois pour toutes

1. Activer les mises à jour automatiques. Pour ceux qui me connaissent, je n’ai jamais été pour. Les mises à jour automatique se passent quasiment toujours bien, le souci étant le quasiment. Mais aujourd’hui il vaut mieux avoir une site planté par une mises à jour qui n’a pas fonctionné, qu’un site planté parce qu’il n’était pas à jour.

Les conséquences sont bien plus lourdes.

Allez dans : Tableau de bord > Mises à jour et activez l’option Activer les mises à jour automatiques pour toutes les nouvelles versions de WordPress. Faites de même pour vos extensions et thèmes. Sachez que désactiver cette fonction est la première chose que fait un script malveillant une fois qu’il s’est introduit. Donc si cette option n’apparaît pas dans votre admin, votre site mérite une vérification urgente.

Wordpress-mise-a-jour-automatique

2. Installer un plugin de surveillance des fichiers. Toute intrusion modifie forcément des fichiers sur votre hébergement. Il existe des plugins légers, comme Website File Changes Monitor ou la version gratuite de Sucuri, qui font une seule chose : vous envoyer un email si un fichier est modifié sur votre hébergement. Pas besoin de comprendre les détails techniques :

Si vous recevez une alerte sans avoir rien touché, vous savez qu’il faut réagir vite.

À faire soi-même, de temps en temps

  • Jeter un œil à la liste de vos utilisateurs (Menu comptes dans l’administration). Un compte inconnu est un signal d’alarme immédiat
  • Changer votre mot de passe de connexion régulièrement. Et bien sur choisissez un mot de passe sécurisé.
  • Désactiver les commentaires si vous ne les utilisez pas, c’est une porte d’entrée classique souvent oubliée (Réglages > Discussion)
  • Supprimer les extensions et thèmes inactifs. S’ils ne servent pas, ils ne font qu’offrir des points d’entrée supplémentaires. Et essayez de limiter le nombre de plugin que vous utilisez.

Pour aller plus loin, me demander

Ces actions nécessitent une petite intervention technique, je peux les faire pour vous :

  • Déplacer la page d’accès à l’administration (par défaut, tout le monde sait où elle est)
  • Bloquer les tentatives de connexion en force (bloquer l’accès à la page d’identification après plusieurs tentatives échouées)
  • Changer les mots de passe techniques (base de données, FTP…)
  • Enlever tout ce qui ne sert à rien et rendre inaccessible toute les fonctionnalités que ne vous servent pas
  • Faire un audit rapide de sécurité de votre site

Pour ceux qui sont hébergés chez moi

J’avais intégré une mise à jour annuelle à mon offre d’hébergement, mais ce n’est clairement plus suffisant face à la vitesse à laquelle les choses évoluent.

Et comme vous partagez un serveur, la sécurité de chacun engage celle de tous.

J’y ai passé la journée d’hier et une partie de la nuit. L’étage concerné est désormais sécurisé. Je vais passer en revue les autres étages dans les prochains jours, chaque site doit être sécurisé. Je reviendrai vers vous si nécessaire.

Si vous n’étiez pas sur l’étage touché et souhaitez ne pas attendre, vous pouvez me contacter directement pour qu’on fasse le point et anticiper ce qui doit l’être.

Pour ceux dont le site est hébergé ailleurs

Si vous avez préféré que votre site soit hébergé ailleurs et que vous voulez vous assurer qu’il est bien sécurisé, je peux jeter un œil. Ce n’est pas ma passion, mais c’est une vérification que je peux faire, et mieux vaut prévenir.

Prendre contact

En résumé

Nous sommes entrés dans une nouvelle ère : des IA qui maîtrisent le code et ont accès à l’ensemble du web tentent désormais de s’introduire dans les sites. Ce n’est pas une raison de paniquer, mais c’est une raison de s’adapter. Et c’est ce que nous allons faire.

Crédit Photo : photo générée avec DALL-E, ia générative, ce n’est pas l’outil qui est à mettre en cause mais son utilisation 🙂

favicon

Abonnement au blog

Abonnez-vous pour être alerté de mes prochaines publications

Nous ne spammons pas ! Consultez notre politique de confidentialité pour plus d’informations.

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *