Un site WordPress ou PrestaShop peut-il être victime d'un ransomware ?

Oui, absolument. Les ransomwares peuvent cibler le serveur qui héberge votre CMS, chiffrer les fichiers du site, la base de données, ou même exploiter des vulnérabilités dans des plugins obsolètes pour s'introduire dans l'infrastructure. Les sites e-commerce PrestaShop sont des cibles particulièrement attractives car ils contiennent des données clients sensibles et leur indisponibilité a un impact financier direct et mesurable.

Faut-il payer la rançon si mon site web est chiffré par un ransomware ?

Les autorités comme l'ANSSI et Cybermalveillance.gouv.fr recommandent fermement de ne jamais payer la rançon. Payer ne garantit pas la récupération des données, finance les activités criminelles et fait de vous une cible récurrente. La meilleure protection reste d'avoir des sauvegardes externalisées, testées et récentes, qui permettent une restauration autonome sans dépendre des attaquants.

Ransomware et sites web : prévention et réaction en 2025

Le ransomware ne cible plus seulement les postes de travail

Pendant longtemps, les ransomwares évoquaient un scénario bien précis : un employé ouvre une pièce jointe piégée, son PC se retrouve chiffré, un message exige un paiement en Bitcoin. Cette image est devenue terriblement réductrice.

En 2025, les ransomwares ciblent les infrastructures web entières : serveurs d’hébergement, bases de données, CMS, boutiques en ligne. Selon le rapport Sophos 2024, 59 % des organisations ont été touchées par un ransomware au cours de l’année précédente, et le coût moyen de récupération (hors paiement de rançon) atteint 1,82 million de dollars.

Pour les propriétaires de sites web — qu’il s’agisse d’un site vitrine WordPress, d’une boutique PrestaShop ou d’une application métier — la menace est réelle, concrète et en pleine expansion.

Comment un ransomware peut toucher votre site web

Les vecteurs d’attaque les plus courants

Contrairement aux idées reçues, un ransomware ne se contente pas d’arriver par e-mail. Voici les principaux vecteurs d’infection ciblant les sites web :

Exploitation de vulnérabilités CMS : plugins WordPress ou modules PrestaShop obsolètes contenant des failles connues (CVE publiques)
Accès SSH/FTP compromis : identifiants faibles ou fuités, absence d’authentification à deux facteurs
Injection via des composants tiers : bibliothèques JavaScript, thèmes piratés (“nulled”), extensions non vérifiées
Élévation de privilèges serveur : exploitation d’une faille applicative pour remonter au niveau système et chiffrer l’ensemble du serveur
Attaque de la chaîne d’approvisionnement : compromission d’un fournisseur d’hébergement ou d’un prestataire technique

Ce que l’attaquant peut chiffrer

Une fois à l’intérieur, le ransomware peut s’attaquer à :

Élément ciblé	Impact direct	Gravité
Fichiers du site (PHP, HTML, CSS, JS)	Site totalement hors ligne	Critique
Base de données MySQL/MariaDB	Perte des contenus, commandes, clients	Critique
Répertoire de médias (images, PDF)	Contenu visuel inaccessible	Élevée
Fichiers de configuration (wp-config.php, parameters.php)	Impossibilité de restaurer sans connaissances	Élevée
Sauvegardes stockées sur le même serveur	Aucune possibilité de restauration autonome	Catastrophique

Le dernier point est particulièrement dangereux : si vos sauvegardes sont sur le même serveur que votre site, elles seront chiffrées en même temps. C’est une erreur que nous observons fréquemment chez Lueur Externe lors d’audits de sécurité.

Stratégie de prévention : les 7 piliers de la défense

1. Politique de sauvegarde robuste (règle 3-2-1)

La règle d’or reste incontournable :

3 copies de vos données
Sur 2 supports différents
Dont 1 copie hors site (externalisée)

Pour un site web, cela signifie concrètement :

Une sauvegarde quotidienne automatique sur le serveur
Une réplication vers un stockage objet distant (Amazon S3, par exemple)
Un export périodique chiffré sur un support déconnecté

Chez Lueur Externe, en tant qu’experts certifiés AWS Solutions Architect, nous déployons des stratégies de sauvegarde exploitant les services S3 avec versioning et verrouillage d’objets (Object Lock), ce qui rend les sauvegardes immuables — même un attaquant ayant accès au serveur ne peut pas les supprimer.

2. Mises à jour systématiques

C’est la mesure la plus simple et la plus négligée. Les chiffres sont éloquents :

56 % des cyberattaques exploitent des vulnérabilités connues depuis plus de 2 ans (rapport Verizon DBIR 2024)
Un plugin WordPress non mis à jour pendant 6 mois multiplie par 3 le risque de compromission

Concrètement, votre politique de mises à jour doit couvrir :

Le cœur du CMS (WordPress, PrestaShop)
Tous les plugins et modules
Le thème actif
PHP, MySQL/MariaDB et le système d’exploitation du serveur
Les certificats SSL/TLS

3. Pare-feu applicatif web (WAF)

Un WAF (Web Application Firewall) filtre le trafic malveillant avant qu’il n’atteigne votre site. Il bloque les tentatives d’injection SQL, les attaques XSS et les exploits ciblant des vulnérabilités connues.

Plusieurs options existent selon votre infrastructure :

Cloudflare WAF : accessible et efficace, plan gratuit disponible
AWS WAF : puissant, intégré à l’écosystème AWS
ModSecurity : solution open source à configurer sur le serveur
Sucuri : spécialisé WordPress/CMS

4. Principe du moindre privilège

Chaque utilisateur, chaque service, chaque processus ne doit avoir que les droits strictement nécessaires à son fonctionnement. Voici un exemple concret de configuration des permissions pour un site WordPress :

# Permissions recommandées pour WordPress
# Propriétaire : l'utilisateur du serveur web (www-data)
# Les fichiers ne doivent PAS être en 777

# Répertoires : lecture + exécution pour le propriétaire et le groupe
find /var/www/html -type d -exec chmod 755 {} \;

# Fichiers : lecture seule pour le propriétaire et le groupe
find /var/www/html -type f -exec chmod 644 {} \;

# wp-config.php : accès restreint
chmod 600 /var/www/html/wp-config.php

# Désactiver l'édition de fichiers depuis l'admin WordPress
# Ajoutez dans wp-config.php :
define('DISALLOW_FILE_EDIT', true);

# Restreindre l'accès SSH par clé uniquement
# Dans /etc/ssh/sshd_config :
# PasswordAuthentication no
# PermitRootLogin no

5. Authentification renforcée

Authentification à deux facteurs (2FA) sur tous les accès : panneau d’administration, SSH, FTP, hébergeur
Mots de passe complexes et uniques gérés via un gestionnaire de mots de passe
Limitation des tentatives de connexion : un plugin comme Wordfence (WordPress) ou un module de brute-force protection (PrestaShop)
Changement des URL d’administration par défaut : /wp-admin/, /admin/ sont les premières cibles scannées

6. Surveillance et détection

La prévention seule ne suffit pas. Vous devez être capable de détecter une compromission rapidement. Les outils indispensables :

Monitoring d’intégrité des fichiers : alerte en cas de modification non autorisée
Logs d’accès centralisés : analysez qui se connecte, quand et depuis où
Scan de malware automatisé : vérification quotidienne des fichiers du site
Alertes en temps réel : notification immédiate en cas d’anomalie (pic de trafic suspect, création de fichiers inhabituels)

7. Segmentation et isolation

Si vous hébergez plusieurs sites sur le même serveur, une compromission peut se propager à tous. Bonnes pratiques :

Un utilisateur système distinct par site
Des bases de données séparées avec des identifiants uniques
Idéalement, des conteneurs Docker ou des instances séparées
Le panneau d’administration et le back-office ne doivent pas être accessibles publiquement sans restriction IP

Plan de réaction : que faire en cas d’attaque ransomware

Même avec une prévention exemplaire, le risque zéro n’existe pas. L’important est de savoir exactement quoi faire lorsque l’alerte tombe.

Phase 1 : Isolation immédiate (0 à 30 minutes)

Le temps joue contre vous. Chaque minute compte pour limiter la propagation.

Isoler le serveur du réseau : coupez l’accès internet du serveur compromis (sans l’éteindre, pour préserver les preuves en mémoire)
Couper les accès distants : révoquez immédiatement toutes les clés SSH, mots de passe FTP et tokens API
Préserver les logs : copiez les logs d’accès et les logs système vers un support externe avant toute intervention
Alerter votre hébergeur : il peut isoler l’infrastructure de son côté et vous fournir des informations complémentaires

Phase 2 : Évaluation et analyse (30 minutes à 4 heures)

Identifiez le type de ransomware (le message de rançon contient souvent des indices)
Vérifiez l’étendue des dégâts : quels fichiers sont chiffrés, la base de données est-elle touchée ?
Consultez des ressources comme No More Ransom : un outil de déchiffrement gratuit existe peut-être
Déterminez le vecteur d’entrée : plugin vulnérable, accès compromis, injection ?

Phase 3 : Restauration (4 à 48 heures)

Si vous disposez de sauvegardes saines et externalisées :

Provisionner un nouveau serveur propre (ne jamais restaurer sur un serveur compromis sans reformatage complet)
Restaurer les fichiers et la base de données depuis la dernière sauvegarde saine
Mettre à jour immédiatement tous les composants avant la remise en ligne
Changer tous les mots de passe et clés : administration, base de données, FTP, SSH, API
Vérifier qu’aucune porte dérobée (backdoor) n’a été déposée dans les fichiers restaurés

Phase 4 : Post-incident

Déposez plainte auprès des autorités compétentes (police/gendarmerie, ANSSI pour les opérateurs critiques)
Déclarez l’incident à la CNIL dans les 72 heures si des données personnelles sont concernées (obligation RGPD)
Documentez tout : chronologie, actions entreprises, leçons apprises
Communiquez de manière transparente envers vos clients si leurs données sont impactées
Renforcez les défenses en comblant la faille exploitée et en améliorant votre posture de sécurité globale

Les erreurs qui coûtent cher

Après plus de 20 ans d’accompagnement de clients sur leurs projets web, l’équipe de Lueur Externe a identifié des erreurs récurrentes qui transforment un incident gérable en catastrophe :

Sauvegardes jamais testées : 40 % des entreprises découvrent que leurs sauvegardes sont corrompues au moment où elles en ont besoin (source : Unitrends)
Sauvegardes sur le même serveur : elles sont chiffrées en même temps que le site
Absence de plan de réponse : l’improvisation en situation de crise multiplie le temps d’indisponibilité par 3 à 5
Paiement de la rançon : 80 % des entreprises qui paient sont attaquées à nouveau (rapport Cybereason 2024)
Thèmes et plugins piratés : les versions “nulled” contiennent quasi systématiquement du code malveillant
Un seul compte administrateur partagé : impossible de tracer l’origine de la compromission

Checklist de sécurité anti-ransomware pour votre site web

Voici une liste de contrôle à vérifier régulièrement :

Le coût de la prévention vs le coût d’une attaque

Il est tentant de repousser les investissements en sécurité. Pourtant, la comparaison est sans appel :

Poste	Prévention (annuel)	Coût d’un incident
Maintenance et mises à jour	1 000 – 3 000 €	—
Solution de sauvegarde externalisée	200 – 600 €	—
WAF (Cloudflare Pro ou AWS WAF)	240 – 1 200 €	—
Audit de sécurité annuel	1 500 – 4 000 €	—
Total prévention	3 000 – 8 800 €	—
Restauration d’urgence	—	5 000 – 25 000 €
Perte de chiffre d’affaires (e-commerce)	—	1 000 – 50 000 €/jour
Atteinte à la réputation	—	Inestimable
Sanctions CNIL (RGPD)	—	Jusqu’à 4 % du CA
Total incident	—	10 000 – 200 000 €+

La prévention coûte 10 à 50 fois moins cher qu’un incident. C’est un investissement, pas une dépense.

Conclusion : la sécurité web est un processus, pas un produit

Les ransomwares ciblant les sites web ne sont pas une menace théorique. Chaque jour, des sites WordPress, des boutiques PrestaShop et des applications métier sont chiffrés, rendus indisponibles, et leurs propriétaires se retrouvent face à un choix impossible.

La bonne nouvelle, c’est que la grande majorité de ces attaques sont évitables grâce à des mesures de prévention connues, éprouvées et accessibles. Les mises à jour, les sauvegardes externalisées, un WAF correctement configuré et un plan de réponse documenté constituent un bouclier redoutablement efficace.

Mais la sécurité web n’est pas un sujet que l’on traite une fois pour toutes. C’est un processus continu qui demande de la vigilance, de l’expertise et de l’accompagnement.

Vous souhaitez auditer la sécurité de votre site web, mettre en place une stratégie de sauvegarde inviolable ou bénéficier d’un plan de maintenance sécurité ? Les experts de Lueur Externe, forts de plus de 20 ans d’expérience en hébergement, architecture AWS et sécurisation de sites WordPress et PrestaShop, sont à votre disposition pour protéger votre activité en ligne. Contactez-nous dès maintenant pour un diagnostic personnalisé.