Combien coûte un site WordPress piraté ?

Le piratage WordPress : un risque sous-estimé aux conséquences lourdes

Quand on parle de piratage, beaucoup de propriétaires de sites pensent : "Ça n'arrive qu'aux gros sites" ou "Mon site est trop petit pour intéresser les hackers." C'est exactement l'inverse. Les attaques automatisées ne ciblent pas un site en particulier : elles scannent des millions de sites à la recherche de failles connues. Un plugin obsolète, un mot de passe faible, un WordPress non mis à jour, et votre site devient une cible facile.

Le vrai problème n'est pas le piratage en lui-même. C'est ce qu'il coûte. Et la facture dépasse très largement le simple nettoyage technique.

Les coûts directs : la partie visible de l'iceberg

Nettoyage et désinfection

Le premier réflexe après un piratage est de faire appel à un développeur ou une agence spécialisée pour nettoyer le site. Selon la complexité de l'infection, les tarifs varient :

• Infection simple (injection de liens spam, redirection) : 300 à 800 EUR
• Infection modérée (backdoor, fichiers modifiés, base de données compromise) : 800 à 2 000 EUR
• Infection grave (ransomware, défacement, vol de données) : 2 000 à 5 000 EUR et plus

Et encore, ces tarifs supposent qu'une sauvegarde saine existe. Sans backup, il faut reconstruire le site partiellement ou totalement, ce qui multiplie la facture par deux ou trois.

Temps d'indisponibilité

Pendant le nettoyage, le site est souvent mis hors ligne. Pour un site vitrine, c'est gênant. Pour un site e-commerce, c'est catastrophique. Calculez simplement :

Un e-commerce qui génère 500 EUR/jour de chiffre d'affaires et reste hors ligne 5 jours perd 2 500 EUR de ventes directes. Ajoutez le coût de nettoyage, et vous dépassez facilement les 4 000 EUR.

Intervention hébergeur

De nombreux hébergeurs suspendent automatiquement un site compromis pour protéger leurs serveurs. La remise en ligne nécessite parfois de prouver que l'infection a été éliminée, ce qui ajoute des délais et parfois des frais supplémentaires. Certains hébergeurs facturent le scan et la restauration entre 50 et 200 EUR.

Les coûts indirects : la partie immergée

Perte de référencement

Google détecte les sites compromis et les signale dans les résultats de recherche avec un avertissement "Ce site peut être piraté". L'impact est immédiat :

• Le taux de clics chute de 60 à 90 %
• Google peut désindexer temporairement les pages infectées
• Même après nettoyage, la récupération du positionnement prend 2 à 6 mois

Si votre site génère du trafic organique (et donc des leads ou des ventes), chaque mois de positionnement perdu a un coût direct sur votre chiffre d'affaires.

Perte de confiance des clients

Un visiteur qui tombe sur un site défiguré, redirigé vers du contenu malveillant ou signalé comme dangereux par son navigateur ne reviendra pas. Pire, il en parlera. La réputation en ligne se construit lentement et se détruit en un instant.

Pour un e-commerce, la confiance est la monnaie d'échange. Un client qui apprend que ses données personnelles ont pu être compromises ne commandera plus jamais sur votre site.

Sanctions RGPD

Si le piratage entraîne une fuite de données personnelles (emails, noms, adresses, données de paiement), le RGPD impose des obligations strictes :

• Notification à la CNIL dans les 72 heures suivant la découverte de la fuite
• Notification aux personnes concernées si le risque est élevé
• Amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial

En pratique, les PME ne reçoivent pas des amendes de millions d'euros. Mais la CNIL peut imposer des sanctions proportionnées : mises en demeure publiques, amendes de quelques milliers à quelques dizaines de milliers d'euros, et obligation de mettre en conformité sous contrainte. Le coût juridique (avocat spécialisé, DPO externe) s'ajoute à la facture.

Blacklisting email

Un site piraté est souvent utilisé pour envoyer du spam. Résultat : l'adresse IP du serveur et le domaine se retrouvent sur des listes noires. Vos emails légitimes (factures, confirmations de commande, newsletters) atterrissent dans les spams de vos clients. La sortie d'une blacklist peut prendre des semaines.

Le coût total réaliste pour une PME

Mettons les chiffres bout à bout pour un site e-commerce de PME :

• Nettoyage technique : 1 500 EUR
• Indisponibilité (3 jours) : 1 500 EUR de CA perdu
• Perte SEO (3 mois de trafic réduit) : 3 000 à 8 000 EUR
• Gestion de crise (communication clients, juridique) : 1 000 EUR
• Mise en conformité RGPD post-incident : 500 à 2 000 EUR

Total estimé : 7 500 à 14 000 EUR pour un piratage "classique". Un ransomware ou une fuite de données massives peut faire exploser cette estimation.

Pour un site vitrine de TPE, le coût reste significatif : entre 2 000 et 5 000 EUR tout compris, soit souvent le prix du site lui-même.

Prévention vs guérison : un calcul simple

Comparez le coût d'un piratage avec celui de la prévention :

• Maintenance mensuelle (mises à jour, sauvegardes, monitoring) : 80 à 200 EUR/mois
• Audit de sécurité trimestriel : 0 à 50 EUR par audit avec un outil automatisé
• Hébergement sécurisé (WAF, isolation, backups) : 20 à 50 EUR/mois

Sur un an, la prévention coûte entre 1 200 et 3 000 EUR. C'est 3 à 10 fois moins que le coût d'un seul piratage. Sans compter que le piratage peut se reproduire si les failles ne sont pas corrigées en profondeur.

Un audit régulier avec Orilyt permet de détecter les vulnérabilités avant qu'elles ne soient exploitées : plugins obsolètes, headers de sécurité manquants, exposition de fichiers sensibles, configuration SSL incorrecte. Chacun de ces points est un vecteur d'attaque potentiel qu'un scan automatisé identifie en moins d'une minute.

Les 5 actions immédiates après un piratage

Si votre site est déjà compromis, voici la marche à suivre :

• Isoler le site : mettez-le en maintenance pour stopper la propagation
• Changer tous les mots de passe : WordPress, FTP, base de données, hébergeur, email
• Identifier le vecteur d'attaque : quel plugin, quelle faille a été exploitée ?
• Restaurer depuis une sauvegarde saine puis appliquer les correctifs de sécurité
• Demander une revue à Google via la Search Console si le site a été flaggé

Conclusion : investir dans la prévention, pas dans la réparation

Le coût d'un site WordPress piraté n'est jamais "juste" le nettoyage. C'est la somme des pertes de revenus, de référencement, de réputation et de conformité. Pour une PME, un piratage peut représenter l'équivalent de plusieurs mois de budget marketing réduit à néant.

La question n'est pas de savoir si votre site sera attaqué, mais quand. Investir dans la sécurité proactive, c'est une assurance dont le coût est dérisoire comparé aux conséquences d'une intrusion. Commencez par un audit de sécurité pour connaître votre niveau de risque actuel.