Aller au contenu principal
Rooting/studio

5 erreurs de sécurité qu'on retrouve dans 80 % des sites

2 janvier 2025
7 min de lecture

Les failles coûteuses ne sont pas toujours complexes. Voici cinq erreurs simples que je vois dans 80 % des sites, avec les corrections rapides.

5 erreurs de sécurité qu'on retrouve dans 80 % des sites

Après avoir audité plus de 200 sites web de PME, j'ai identifié 5 erreurs récurrentes qui représentent 80 % des failles de sécurité. La bonne nouvelle ? Elles sont toutes facilement corrigeables.

1. Mots de passe par défaut

Le problème : Les administrateurs laissent les mots de passe par défaut (admin/admin, admin/123456, etc.).

Le risque : Accès total au back-office en quelques secondes.

La solution :

  • Changez immédiatement tous les mots de passe par défaut
  • Utilisez des mots de passe complexes (12+ caractères, majuscules, chiffres, symboles)
  • Activez l'authentification à deux facteurs (2FA)

2. Versions obsolètes

Le problème : CMS, plugins et frameworks non mis à jour.

Le risque : Exploitation de failles connues et corrigées.

La solution :

  • Mettez à jour régulièrement votre CMS (WordPress, Drupal, etc.)
  • Supprimez les plugins non utilisés
  • Configurez les mises à jour automatiques quand c'est possible

3. Permissions de fichiers trop permissives

Le problème : Dossiers et fichiers accessibles en écriture par tous.

Le risque : Injection de code malveillant, défacement.

La solution :

# Permissions recommandées
chmod 755 pour les dossiers
chmod 644 pour les fichiers
chmod 600 pour les fichiers sensibles (config, .htaccess)

4. Absence de HTTPS

Le problème : Site accessible en HTTP, données transmises en clair.

Le risque : Interception des données, attaques man-in-the-middle.

La solution :

  • Installez un certificat SSL (gratuit avec Let's Encrypt)
  • Redirigez tout le trafic HTTP vers HTTPS
  • Activez HSTS (HTTP Strict Transport Security)

5. Logs d'erreur exposés

Le problème : Messages d'erreur détaillés visibles par les visiteurs.

Le risque : Fuite d'informations sur la structure du site.

La solution :

  • Désactivez l'affichage des erreurs en production
  • Configurez des pages d'erreur personnalisées (404, 500)
  • Loggez les erreurs dans des fichiers protégés

Checklist rapide

  • [ ] Mots de passe complexes et 2FA activé
  • [ ] CMS et plugins à jour
  • [ ] Permissions de fichiers correctes
  • [ ] HTTPS activé et redirection configurée
  • [ ] Logs d'erreur sécurisés

Points clés à retenir

Ces 5 erreurs représentent 80 % des failles

Toutes sont facilement corrigeables

Un audit de sécurité coûte moins cher qu'une faille exploitée

La sécurité n'est pas un coût, c'est un investissement

Vous souhaitez une évaluation complète avec preuves et priorisation ? Consultez notre **pentest web**.

Votre site est-il sécurisé ?

Faites analyser la sécurité de votre site web par nos experts en cybersécurité.

Articles similaires

AnyComment <= 0.3.6: SQL Injection permettant la suppression massive de fichiers

Le plugin WordPress AnyComment jusqu'à la version 0.3.6 est vulnérable à une injection SQL dans l'endpoint de suppression de fichiers. Un abonné peut supprimer massivement les fichiers uploadés.

Shortcode Redirect <= 1.0.02: XSS stockée via le paramètre sec

Le plugin WordPress Shortcode Redirect jusqu'à la version 1.0.02 est vulnérable à une XSS stockée via le paramètre 'sec' du shortcode [redirect]. Corrigé en 1.0.03.

Gestion d'incidents cybersécurité : Guide complet pour PME

Découvrez comment gérer efficacement les incidents de cybersécurité. Guide pratique avec procédures, checklists et bonnes pratiques pour les PME.