Sécurité WordPress PME Sénégal : la vraie menace en 2026
Cabinet d'expertise comptable au Point E qui a vu son site WordPress redirigé un matin vers un site de paris en ligne nigérian. Attaque classique : un plugin de calendrier obsolète depuis 18 mois (CVE-2023-3460), exploitation automatisée, injection de code dans le 'wp-content/uploads/'. Aucun backup propre. Trois jours d'indisponibilité, perte de référencement Google, et 450 000 FCFA de réparation. Le tout évitable avec une checklist de 15 minutes par mois.
WordPress propulse 43 % du web mondial. Au Sénégal, la part dépasse 60 % sur le segment PME. Et selon les stats Wordfence 2025, l'Afrique de l'Ouest est devenue la deuxième zone de tentatives de brute force par habitant. Bonne nouvelle : la sécurité WordPress n'est pas sorcière. Il faut juste être méthodique.
Le terrain : ce qu'on observe vraiment au Sénégal
Sur 80+ audits WordPress que nous avons menés en 2025-2026 pour des PME dakaroises, voici la répartition des failles trouvées :
| Faille | Présence | Gravité |
|---|---|---|
| Plugin obsolète (>6 mois sans update) | 72 % | Élevée |
| Thème nullé / pirate | 38 % | Critique |
| Mot de passe admin faible (admin/admin123) | 31 % | Critique |
| Aucun backup automatique | 67 % | Critique |
| Pas de 2FA sur l'admin | 89 % | Élevée |
| Version WordPress en retard de 2+ majeures | 24 % | Élevée |
| URL admin standard (/wp-admin) sans protection | 95 % | Moyenne |
| Pas de WAF (Wordfence ou équivalent) | 78 % | Élevée |
Autrement dit : la majorité des sites WordPress sénégalais sont vulnérables, et les failles sont presque toutes triviales à corriger.
Les 14 points de checklist sécurité 2026
1. Mettre à jour le coeur, thèmes, plugins (chaque semaine)
L'évidence qu'on oublie. Connexion admin → 'Tableau de bord' → 'Mises à jour'. Faire un backup avant toute mise à jour majeure (WP 6.x → 7.x).
2. Supprimer plugins et thèmes inactifs
Un plugin désactivé reste exploitable s'il a une faille. Supprimer tout ce qui n'est pas utilisé en production. Sur les 80 audits 2025, médiane de 14 plugins installés dont 6 inutilisés.
3. Bannir les thèmes et plugins nullés
Un thème "premium gratuit" téléchargé sur un forum est presque toujours infecté (backdoor, mineur de crypto, redirection malveillante). Si vous voulez Astra Pro ou Elementor Pro, acheter la licence : 60 à 90 $/an et vous gardez votre site.
4. Mot de passe admin fort
Minimum 16 caractères, mélange majuscules / minuscules / chiffres / symboles. Utiliser un gestionnaire (Bitwarden gratuit, 1Password). Ne jamais réutiliser un mot de passe.
5. Activer le 2FA sur l'admin
Plugin 'WP 2FA' ou 'Two Factor Authentication' (gratuits). 2 minutes à installer, vous bloquez 99.9 % des attaques brute force. Sur 80 audits, seulement 11 % avaient le 2FA actif.
6. Renommer ou cacher /wp-admin
Plugin 'WPS Hide Login' (gratuit). Au lieu de '/wp-admin' qui est l'URL attaquée par défaut, vous accédez via '/mon-bureau-secret' ou autre. Réduit 95 % des tentatives brute force automatisées.
7. Limiter les tentatives de connexion
Plugin 'Limit Login Attempts Reloaded' (gratuit). Après 3 essais ratés, blocage IP pour 20 minutes. Évite les attaques massives sur '/wp-login.php'.
8. Installer Wordfence (gratuit)
LE plugin sécurité de référence. Free tier suffit pour 95 % des PME : WAF, scanner malware, alertes par email, blocklist temps réel. Premium à 119 $/an pour ceux qui veulent les règles WAF temps réel.
9. Backup automatique quotidien hors-site
Plugin 'UpdraftPlus' (gratuit) qui pousse vers Google Drive, Dropbox, S3. Ou 'BackupBuddy' (premium). Configuration : DB tous les jours, fichiers complets toutes les semaines, rétention 30 jours. Vérifier mensuellement qu'on peut restaurer.
10. SSL HTTPS partout (voir notre article SSL)
Let's Encrypt gratuit via cPanel ou Cloudflare. Plugin 'Really Simple SSL' pour forcer la redirection et corriger le mixed content.
11. Désactiver l'éditeur de fichiers dans l'admin
Par défaut, l'admin WordPress permet de modifier les fichiers PHP des thèmes et plugins directement. Si l'admin est compromis, l'attaquant gagne un shell. Ajouter dans 'wp-config.php' : 'define( ''DISALLOW_FILE_EDIT'', true );'
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
12. Limiter les permissions fichiers serveur
Standard : dossiers en 755, fichiers en 644, 'wp-config.php' en 600. Sur cPanel, gestionnaire de fichiers → clic droit → permissions. Sur SSH : 'find /chemin/wp -type d -exec chmod 755 {} ;' et 'find /chemin/wp -type f -exec chmod 644 {} ;'.
13. Cacher la version WordPress
Par défaut, la version WP est exposée dans le meta tag generator et les feeds. Plugin 'WP Hide Security Enhancer' (gratuit) ou ajout manuel dans 'functions.php' : 'remove_action(''wp_head'', ''wp_generator'');'
14. Monitoring uptime + alertes
Uptime Robot (gratuit) ou Better Uptime. Ping toutes les 5 minutes, alerte email/WhatsApp si down. Permet de savoir tout de suite si le site est tombé ou compromis.
Les 5 plugins sécurité indispensables (tous gratuits)
| Plugin | Rôle | Configuration |
|---|---|---|
| Wordfence Security | WAF + scanner + monitoring | Installer, activer email alertes |
| WPS Hide Login | Cache /wp-admin | Définir nouveau slug admin |
| Limit Login Attempts Reloaded | Limite brute force | 3 essais / 20 min lock |
| UpdraftPlus | Backup auto vers cloud | DB daily, fichiers weekly, Google Drive |
| Really Simple SSL | Force HTTPS | Activation 1-clic |
Coût total : 0 FCFA. Temps installation : 1 heure. Niveau sécurité gagné : majeur.
Tableau prix audit et maintenance Sénégal
| Prestation | Coût FCFA | Délai |
|---|---|---|
| Audit sécurité ponctuel (rapport) | 100-200k | 2 jours |
| Audit + mise en oeuvre checklist 14 points | 200-400k | 3-5 jours |
| Maintenance mensuelle (updates, backups, monitoring) | 25-50k/mois | continu |
| Nettoyage site hacké + restauration | 250-600k | 1-3 jours |
| Audit annuel approfondi + pentest | 500-1.2M | 2 semaines |
Le bon ratio pour une PME : 250k FCFA d'audit initial, puis 35k FCFA / mois de maintenance. Vs 600k FCFA + 3 jours de panne à chaque incident, c'est rentabilisé dès la première année.
Cas concret : un cabinet d'avocats au Plateau
Site WordPress 12 pages, theme premium, 6 plugins. Avant intervention : 18 plugins (12 inutiles), version WP 5.9 (3 majeures en retard), pas de backup, mot de passe admin "cabinet2020". Score Wordfence : critique sur 4 axes.
Après notre intervention en 1 journée : 6 plugins seulement, WP à jour, 2FA actif, Wordfence + UpdraftPlus + WPS Hide Login installés, backup quotidien sur Google Drive, mot de passe à 22 caractères. Coût : 220k FCFA. Maintenance mensuelle ensuite à 30k FCFA. Zéro incident en 14 mois depuis.
Notre méthode en 3 phases
Phase 1 — Audit complet : 2 jours, rapport détaillé des failles, priorisation.
Phase 2 — Remédiation : 1 à 3 jours selon état initial, application des 14 points.
Phase 3 — Maintenance continue : updates hebdo, vérification backups, monitoring, rapport mensuel.
Pour : tout site WordPress qui n'a pas eu d'audit en plus de 12 mois. À éviter si : votre site n'est pas WordPress (pour Shopify, Wix, Webflow, la surface d'attaque est différente).
WhatsApp +221 77 596 93 33 ou audit sécurité gratuit 30 minutes sur /fr/devis-gratuit — on scanne votre site en direct.
FAQ
Mon site WordPress n'a jamais été attaqué, j'ai vraiment besoin d'un audit ?
Oui. Sur 80 audits, 72 % des sites avaient au moins une faille critique sans le savoir. Les attaques automatisées scannent des millions de sites par jour, ce n'est qu'une question de temps avant qu'elles tombent sur le vôtre.
Combien coûte vraiment Wordfence Premium au Sénégal ?
119 $/an (~74 000 FCFA), facturable carte ou PayPal. Pour 90 % des PME, la version gratuite suffit. Premium devient utile au-delà de 50 000 visiteurs/mois ou si vous traitez des données sensibles.
Si mon site est piraté, combien de temps pour le remettre en ligne ?
Si vous avez un backup propre récent (< 24h) : 2 à 4 heures de travail. Sans backup : 1 à 3 jours selon la profondeur de l'infection. Avec données détruites et pas de backup : potentiellement irrécupérable. D'où l'importance du point 9 de notre checklist.
Faut-il un audit annuel obligatoire pour les sites WordPress ?
Pas légalement, mais fortement recommandé. Comme on contrôle techniquement une voiture, un site doit être audité au moins une fois par an. Cabinet conseil, étude notariale, structure publique : un audit annuel signé par un prestataire qualifié est un argument de conformité de plus en plus demandé.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
