Audit de Vulnérabilités — TPE WordPress

TPE — 5 employés, Guadeloupe

1 jour

WordPress + WooCommerce

Contexte de la mission

Le défi

Contexte

Une petite entreprise de négoce souhaitait s'assurer de la sécurité de son site après avoir appris que des entreprises locales avaient été piratées.

Le dirigeant avait besoin d'une évaluation rapide et abordable. Mission financée à 80% par le dispositif Chèque TIC.

Objectifs

Obtenir une évaluation rapide et abordable de la sécurité du site
Identifier les failles exploitables par un attaquant externe
Protéger les données clients de la boutique en ligne

Déroulement

Découvertes clés

Périmètre testé

Extensions et plugins installés
Configuration du serveur
Protection de la page de connexion
Exposition des fichiers et données sensibles

Méthodologie

Combinaison de scans automatisés (WPScan, Nuclei) et de vérification manuelle : analyse des plugins, tests de connexion, revue de la configuration serveur.

Élevé

3 extensions obsolètes avec des failles de sécurité connues, dont une permettant de lire la base de données

Élevé

Page de connexion non protégée — un attaquant peut tester des milliers de mots de passe

Moyen

Compte administrateur sans double authentification

Élevé

Répertoire de fichiers accessible publiquement, exposant les factures clients

Résultats

Livrables et recommandations

Livrables

7 vulnérabilités : 0 critique, 4 élevées, 3 moyennes
Rapport technique avec preuves d'exploitation
Feuille de route de remédiation priorisée
Présentation et restitution orale

Recommandations

Mettre à jour immédiatement toutes les extensions et WordPress
Bloquer l'accès public aux répertoires de fichiers
Installer une protection contre les tentatives de connexion répétées
Activer la double authentification sur le compte administrateur
Mettre en place des sauvegardes automatiques quotidiennes

Enseignements

Leçons apprises

Les plugins WordPress non mis à jour sont la première cause de piratage des sites de TPE/PME
L'absence de 2FA sur le compte admin rend le site vulnérable à une attaque par brute force
Le Chèque TIC rend les audits accessibles même aux très petites structures

Issue

Ce qui a changé

Le dirigeant a corrigé les 3 urgences immédiatement. Coût réel pour la TPE : 500€ après subvention Chèque TIC.

Prochaines étapes

Audit de suivi dans 6 mois
Formation du dirigeant à la maintenance sécurité WordPress
Mise en place d'un contrat de maintenance mensuel

Autres études de cas

Découvrez nos autres interventions en cybersécurité.

Pentest Web

Pentest Web — PME e-commerce

Accès aux factures clients et modification de paniers entre utilisateurs. 12 vulnérabilités identifiées dont 3 critiques.

Mathieu Rutick 2026

Pentest Cloud

Pentest Cloud — PME IT (Azure)

Escalade de privilèges jusqu'à Global Admin via des mauvaises configurations Azure et Entra ID.

Mathieu Rutick 2026

Pentest AD

Pentest Active Directory — Groupe multi-agences

Compromission totale du domaine Active Directory d'un groupe multi-agences en partant d'un accès réseau standard.

Mathieu Rutick 2026

Un projet similaire ?

Contactez-nous pour un premier échange gratuit et un devis adapté à vos besoins.

Demander un devis Voir les services