Un site web piraté coûte en moyenne 1,2 million d'Ar pour une PME malgache (récupération + perte de business + atteinte à la réputation). 80 % des piratages exploitent une faiblesse triviale qu'on aurait pu corriger en 5 minutes. Voici les 10 actions à appliquer maintenant.
1. SSL/TLS partout (HTTPS obligatoire)
Si votre site est en HTTP simple, Chrome affiche « Non sécurisé » dans la barre d'adresse — vos visiteurs partent. Activez Let's Encrypt, c'est gratuit et automatique sur tous les hébergeurs sérieux. Sur DagoCloud, c'est activé par défaut.
Vérifiez que votre site redirige http:// vers https:// (301 permanent). Test rapide : curl -I http://votre-site.com doit renvoyer une Location: https://....
2. Mot de passe fort + 2FA sur l'admin
Le mot de passe admin/admin123 est encore le plus testé par les bots. Règle : 14 caractères minimum, mélange de casses, chiffres, symboles. Utilisez un gestionnaire (Bitwarden gratuit, 1Password, KeePass).
Activez la double authentification (2FA) sur :
- Votre espace cPanel / WHMCS
- Votre admin WordPress (plugin Wordfence ou WP 2FA)
- Votre email pro (chez DagoCloud, c'est dans les paramètres webmail)
- Votre registrar de domaine (sinon hijack possible !)
3. Mises à jour automatiques activées
70 % des piratages WordPress exploitent une vulnérabilité connue dans un plugin obsolète. La fix : activer les mises à jour auto pour le cœur, les thèmes et les plugins.
Dans WordPress, allez dans Extensions → cliquez « Activer les mises à jour automatiques » sur chaque plugin. Pour Joomla/Drupal, c'est dans les paramètres de maintenance.
Compromis : les MAJ auto peuvent casser un thème custom. Pour un site critique, activez-les seulement sur les plugins de sécurité, et programmez une revue manuelle mensuelle pour le reste.
4. Sauvegardes quotidiennes (et testez-les)
Un site sans sauvegarde est un site mort en attente. Vérifiez que vous avez :
- Une sauvegarde automatique quotidienne chez l'hébergeur (DagoCloud : 21 jours d'historique inclus).
- Une sauvegarde externe hors-hébergeur (Backblaze, Google Drive, disque dur). Si l'hébergeur disparaît, vous gardez tout.
- Un test de restauration tous les 6 mois — la moitié des backups ne marchent pas le jour J si on ne les teste pas.
5. Limitez les tentatives de connexion (anti brute-force)
Sur WordPress, installez Wordfence ou Limit Login Attempts. 5 tentatives ratées = blocage IP 1 heure. Ça stoppe instantanément 99 % des bots.
Côté serveur, fail2ban fait pareil pour SSH, FTP, mail. Sur cPanel, c'est intégré (cPHulk Brute Force Protection — vérifiez qu'il est activé dans WHM).
6. Désactivez ce que vous n'utilisez pas
Chaque thème/plugin installé est une porte d'entrée potentielle, même désactivé. Règle : supprimez tout ce qui n'est pas en usage actif.
- Thèmes inutilisés (gardez juste votre actif + le thème par défaut WP)
- Plugins désactivés depuis 3 mois
- Comptes utilisateurs anciens (ex-employés, freelances)
- Comptes FTP/SSH inutilisés
7. Permissions de fichiers strictes
Erreur classique : chmod 777 sur tout le site « parce que ça marchait pas ». C'est un trou béant. Permissions saines :
# Dossiers
find /home/user/public_html -type d -exec chmod 755 {} \;
# Fichiers
find /home/user/public_html -type f -exec chmod 644 {} \;
# Sauf wp-config.php (lecture seule pour le proprio)
chmod 600 wp-config.phpSur DagoCloud cPanel, vous pouvez le faire en masse via le File Manager (Permissions → Apply to subdirs).
8. Configurez SPF, DKIM et DMARC sur vos emails
Sans ça, vos emails partent en spam ET un attaquant peut envoyer des emails au nom de votre domaine. Trois enregistrements DNS à ajouter (zone .txt) :
- SPF : autorise les serveurs qui peuvent envoyer pour vous.
- DKIM : signe vos emails avec une clé cryptographique.
- DMARC : dit aux destinataires quoi faire des emails non conformes.
Chez DagoCloud, ces enregistrements sont configurés automatiquement quand vous achetez un Email Pro. Si vous gérez vos DNS ailleurs (Cloudflare, OVH), nous vous fournissons les valeurs exactes.
9. Pare-feu applicatif (WAF)
Un WAF analyse chaque requête HTTP entrante et bloque les patterns d'attaque connus (SQL injection, XSS, Local File Inclusion). Options :
- Cloudflare gratuit : passe votre trafic via leur réseau, WAF basique inclus. Bon ratio gain/effort.
- Wordfence Premium : WAF côté serveur, règles maintenues par Defiant Inc.
- ModSecurity + OWASP CRS : niveau pro, déjà actif sur cPanel DagoCloud.
10. Surveillez (vous ne pouvez pas réparer ce que vous ne voyez pas)
Sans monitoring, vous découvrez un piratage 30 jours après les faits. Configurez :
- Google Search Console (gratuit) — alerte si Google détecte un malware.
- UptimeRobot (gratuit) — vous prévient si le site tombe.
- Wordfence ou Sucuri — scan quotidien des fichiers, alerte si modification suspecte.
- Connectez aussi votre statut email à
mail-tester.compour vérifier votre réputation tous les mois.
Bonus : checklist rapide à imprimer
Cochez en faisant :
- ☐ HTTPS forcé partout
- ☐ Mot de passe admin 14+ caractères + 2FA
- ☐ Mises à jour auto plugins
- ☐ Sauvegarde quotidienne externe testée
- ☐ Limit login attempts actif
- ☐ Plugins/thèmes inutiles supprimés
- ☐ Permissions 644/755
- ☐ SPF/DKIM/DMARC vérifiés
- ☐ Cloudflare ou Wordfence en place
- ☐ UptimeRobot + Search Console actifs
Si vous bloquez sur l'une de ces étapes, notre support technique peut vous aider gratuitement (clients DagoCloud) ou en prestation ponctuelle (forfait audit sécurité 80 000 Ar).