Prévention · Audit WordPress

Audit WordPress et WooCommerce. Pas un scan auto.

WordPress propulse 43% du web. C'est aussi le CMS le plus attaqué. Audit complet : plugins (CVE connues + abandonnés), thèmes, comptes admin, hardening WP, sécurité base de données, configuration WooCommerce si présent. Pour entreprises francophones qui veulent dormir tranquille.

WP seulDès 2 500 CHF
+ WooCommerceDès 3 500 CHF
Livraison3 à 7 jours
StackWP + WooCommerce
Site WP/WooCommerce déjà piraté ? Voir notre guide de remédiation et l'audit forensique 24h.
→ Audit Cyber Urgence · 2 900 CHF · 24h
Le diagnostic

Trois signaux qu'il vous faut un audit WordPress.

extension

20+ plugins installés au fil des années

Chaque plugin = surface d'attaque. Audit identifie les plugins inutiles à désinstaller, abandonnés (pas de MAJ depuis 2 ans), avec CVE connues non patchées, ou en versions piratées (nulled).

admin_panel_settings

Plusieurs comptes admin créés au fil des projets

Anciens devs, freelances, prestataires : leurs comptes admin existent encore probablement. Audit inventorie, identifie les inactifs, vérifie les mots de passe faibles et l'usage de 2FA.

shopping_cart

E-commerce avec base clients sensible

WooCommerce + base clients + paiements = cible prioritaire pour skimmers JS et exfiltration. Audit spécifique au checkout, aux hooks de paiement, et à la supply chain JS.

Boutique e-commerce propulsée par WordPress et WooCommerce, surface critique à auditer
Périmètre et méthode

Tous les recoins de WordPress.

Inclus dans l'audit

  • check_circleAudit du core WordPress (version, intégrité fichiers, debug activé)
  • check_circleInventaire et audit de tous les plugins (CVE, abandonnés, nulled, doublons)
  • check_circleAudit des thèmes (code custom, modifications core, child theme)
  • check_circleAudit comptes utilisateurs (rôles, MFA, mots de passe, comptes inactifs)
  • check_circleAudit wp-config.php (debug, salts, clés API, préfixe DB)
  • check_circleAudit base de données (user MySQL, droits, requêtes lentes)
  • check_circleRecherche backdoors et webshells dans /uploads, /themes, /plugins
  • check_circlePour WooCommerce : audit checkout, hooks paiement, supply chain JS, skimmers
  • check_circleRapport 25-40 pages avec criticités et plan de remédiation

Méthodologie en 4 étapes

N°1

Cadrage et accès

Accès admin WP fourni temporairement, accès SFTP/SSH si possible, accès base de données read-only pour audit DB.

N°2

Audit automatisé

WPScan + outils internes pour CVE plugins, vérification intégrité fichiers core, scan vulnérabilités connues.

N°3

Vérifications manuelles

Revue de code des thèmes/plugins custom, recherche manuelle de backdoors, audit checkout WooCommerce si présent.

N°4

Rapport et restitution

Rapport avec criticités, recommandations actionables, call de 60 min pour l'expliquer.

Audits complémentaires

Couvrez toute votre surface.

Questions fréquentes

Ce qu'on nous demande sur WordPress.

Builders supportés (Elementor, Divi, Beaver Builder) ?
Tous les builders majeurs : Elementor, Elementor Pro, Divi, Beaver Builder, Avada, WPBakery, Bricks, Breakdance, Oxygen. On vérifie aussi les vulnérabilités spécifiques connues sur chaque builder (versions, plugins liés).
Sites multilangues (WPML, Polylang) ?
Oui. Audit complet sur WPML (string translations, URL structure, db cleanup), Polylang (taxonomies, REST API), TranslatePress. Pas de surcoût si moins de 5 langues.
Sites avec membres, abonnés, e-learning ?
Audit incluant MemberPress, Restrict Content Pro, LearnDash, Tutor LMS, BuddyPress. Vérification de l'isolation des contenus restreints, exposition des données utilisateurs, gestion des sessions, paiements abonnements.
Plugins premium dont licence expirée — vous testez quand même ?
Oui. Même sans licence active, le code est sur votre serveur et expose des vulnérabilités. On audite. Recommandation systématique : remplacer ou désinstaller les plugins premium dont la licence ne sera pas renouvelée.
WooCommerce + Stripe — vous auditez le checkout ?
Oui. Audit du checkout : intégration Stripe (clés API en config, webhooks signés, idempotency), conformité PCI-DSS SAQ-A (paiement off-site Stripe redirect), gestion des sessions checkout, anti-fraude basique. Pas d'audit PCI-DSS formel — pour ça, les certifications requises ne sont pas chez nous.
Multisite WordPress ?
Oui. Audit incluant network admin, sub-sites, plugins network-activated, shared db schema, isolation des données entre sites. Compter +50% sur le forfait audit-wordpress de base.
Pas certain WP ou WP + Woo ?

Appel de cadrage offert (30 min).

Un de nos engineers WordPress regarde votre installation (thème, plugins, comptes admin, base), identifie les vulnérabilités évidentes et vous oriente vers le bon scope. Sans engagement.

Réserver un appel de cadrage
Tunnel de paiement WooCommerce, point critique sécurité d'une boutique en ligne WordPress
Avant l'incident

43% du web tourne sur WordPress. Le vôtre est-il à l'épreuve ?

Devis personnalisé sous 48h après un appel de cadrage.