Prévention · Audit WordPress

Audit WordPress et WooCommerce. Pas un scan auto.

WordPress propulse 43% du web. C'est aussi le CMS le plus attaqué. Audit complet : plugins (CVE connues + abandonnés), thèmes, comptes admin, hardening WP, sécurité base de données, configuration WooCommerce si présent. Pour entreprises francophones qui veulent dormir tranquille.

TarifSur devis

Livraison3 à 7 jours

StackWP + WooCommerce

Demander un devis Voir le périmètre

═══ Périmètre audit WordPress

✓ Core WP (version, intégrité fichiers core)

✓ Plugins (CVE, abandonnés, nulled, doublons)

✓ Thèmes (custom, child, code injecté)

✓ Comptes utilisateurs et rôles

✓ wp-config.php (clés, debug, SALT)

✓ Base de données (préfixe, user, droits)

✓ Fichiers uploads/ (webshells, scripts)

✓ Permissions fichiers et dossiers

═══ Si WooCommerce

→ Audit plugins paiement (passerelles)

→ Sécurité du checkout et données CB

→ Hooks et filters custom modifiés

→ API REST exposée

→ Recherche skimmers JS injectés

Le diagnostic

Trois signaux qu'il vous faut un audit WordPress.

extension

20+ plugins installés au fil des années

Chaque plugin = surface d'attaque. Audit identifie les plugins inutiles à désinstaller, abandonnés (pas de MAJ depuis 2 ans), avec CVE connues non patchées, ou en versions piratées (nulled).

admin_panel_settings

Plusieurs comptes admin créés au fil des projets

Anciens devs, freelances, prestataires : leurs comptes admin existent encore probablement. Audit inventorie, identifie les inactifs, vérifie les mots de passe faibles et l'usage de 2FA.

shopping_cart

E-commerce avec base clients sensible

WooCommerce + base clients + paiements = cible prioritaire pour skimmers JS et exfiltration. Audit spécifique au checkout, aux hooks de paiement, et à la supply chain JS.

Périmètre et méthode

Tous les recoins de WordPress.

Inclus dans l'audit

check_circleAudit du core WordPress (version, intégrité fichiers, debug activé)
check_circleInventaire et audit de tous les plugins (CVE, abandonnés, nulled, doublons)
check_circleAudit des thèmes (code custom, modifications core, child theme)
check_circleAudit comptes utilisateurs (rôles, MFA, mots de passe, comptes inactifs)
check_circleAudit wp-config.php (debug, salts, clés API, préfixe DB)
check_circleAudit base de données (user MySQL, droits, requêtes lentes)
check_circleRecherche backdoors et webshells dans /uploads, /themes, /plugins
check_circlePour WooCommerce : audit checkout, hooks paiement, supply chain JS, skimmers
check_circleRapport 25-40 pages avec criticités et plan de remédiation

Méthodologie en 4 étapes

N°1

Cadrage et accès

Accès admin WP fourni temporairement, accès SFTP/SSH si possible, accès base de données read-only pour audit DB.

N°2

Audit automatisé

WPScan + outils internes pour CVE plugins, vérification intégrité fichiers core, scan vulnérabilités connues.

N°3

Vérifications manuelles

Revue de code des thèmes/plugins custom, recherche manuelle de backdoors, audit checkout WooCommerce si présent.

N°4

Rapport et restitution

Rapport avec criticités, recommandations actionables, call de 60 min pour l'expliquer.

Audits complémentaires

Couvrez toute votre surface.

Audit sécurité web

OWASP Top 10, en-têtes HTTP, TLS, sessions, injections.

En savoir plus → dns

Audit serveur

Configuration Linux, hardening kernel, SSH, services exposés.

En savoir plus → warning

WordPress déjà piraté ?

Voir la page dédiée remédiation post-incident WordPress.

En savoir plus →

Avant l'incident

43% du web tourne sur WordPress. Le vôtre est-il à l'épreuve ?

Devis personnalisé sous 48h après un appel de cadrage.

Réserver un appel de cadrage WordPress déjà piraté ?