1. Accueil
  2. >
  3. Sécurité CMS
Guide CMS · WordPress, PrestaShop, WooCommerce

Sécurité CMS : protégez votre site web

43 % des sites web dans le monde utilisent un CMS. WordPress, PrestaShop, WooCommerce : chaque plugin installé est un vecteur d'attaque potentiel. Découvrez comment auditer la sécurité de votre CMS et protéger vos données, vos clients et votre activité.

Auditer mon CMS → 99€ HT Voir notre méthodologie
Contexte

Pourquoi la sécurité CMS est critique

Les CMS sont les cibles privilégiées des attaquants. Leur popularité, la profusion de plugins tiers et le manque de suivi des mises à jour créent un terrain favorable aux compromissions.

43 %
des sites web dans le monde utilisent WordPress
97 %
des vulnérabilités WordPress viennent des plugins et thèmes
29 %
des plugins WordPress populaires n'ont jamais été audités
🧩

Plugins et extensions

Chaque module installé ajoute du code tiers non audité à votre site. Un seul plugin vulnérable suffit pour compromettre l'ensemble de votre installation, même si le CMS est à jour.

Mises à jour négligées

35 % des sites WordPress ne sont pas à jour. Les versions obsolètes exposent des vulnérabilités connues et documentées dans les bases CVE publiques, exploitables en quelques minutes.

🌐

Surface d'attaque étendue

Backoffice accessible depuis Internet, API REST exposées, fichiers de configuration lisibles, XML-RPC activé : chaque point d'entrée est une opportunité pour un attaquant.

🔒

Données sensibles

Clients, paiements, mots de passe, données personnelles : les CMS e-commerce stockent des informations critiques. Une fuite de données entraîne des sanctions RGPD et une perte de confiance.

Un audit CMS ne vérifie pas seulement le coeur du CMS — il analyse chaque plugin, thème et extension installés contre les bases de vulnérabilités connues (Wordfence Intelligence, Friends of Presta, NVD, Drupal Security Advisories). Les failles sont classifiées selon le référentiel OWASP Top 10 et enrichies avec les CVE officielles de la base CVE Mitre.

CMS principaux

Les CMS que nous auditons

Nos scanners spécialisés couvrent les trois CMS les plus utilisés en France. Chaque audit combine détection automatique, énumération des modules et vérification CVE multi-sources.

📦

WordPress

WPScan + Wordfence API
43 % des sites web · 60 000+ plugins

WordPress domine le web mondial, mais son écosystème massif de plugins et thèmes constitue sa principale faiblesse. Notre audit combine WPScan pour l'énumération exhaustive et l'API Wordfence Intelligence pour l'enrichissement CVE en temps réel.

  • Plugins et thèmes vulnérables détectés individuellement
  • Thèmes outdated et versions en fin de vie (EOL)
  • Utilisateurs exposés (énumération auteur)
  • XML-RPC, WP-Cron, fichiers sensibles
  • Plugins supprimés de wordpress.org (WPOrg checker)
Sécurité WordPress →
🛒

PrestaShop

Nuclei + Friends of Presta
CMS e-commerce français · 300 000 boutiques

PrestaShop propulse des centaines de milliers de boutiques en ligne françaises. Les modules tiers, souvent développés sans audit de sécurité, concentrent les vulnérabilités les plus critiques : injections SQL, exécution de code à distance (RCE).

  • Modules vulnérables détectés via Nuclei templates dédiés
  • CVE critiques enrichies via Friends of Presta (base CVE spécialisée)
  • Fichiers sensibles exposés (config, logs, backups)
  • Version du CMS et des modules vérifiée contre NVD
  • Score CVSS 3.1 pour chaque vulnérabilité
Sécurité PrestaShop →
🛒

WooCommerce

WPScan + Extensions paiement
Plugin e-commerce WordPress · 5M+ installations

WooCommerce hérite de toutes les vulnérabilités WordPress, auxquelles s'ajoutent les risques spécifiques au e-commerce : extensions de paiement, gateways, gestion des commandes. Un double vecteur d'attaque que notre audit couvre intégralement.

  • Double audit : vulnérabilités WordPress + vulnérabilités e-commerce
  • Extensions de paiement vérifiées (Stripe, PayPal, Mollie)
  • Plugins WooCommerce analysés individuellement
  • Points d'entrée API REST (wp-json/wc/) vérifiés
  • Données clients et transactions protégées
Sécurité WooCommerce →
Compatibilité

Autres CMS supportés

Au-delà des trois CMS principaux, notre outil détecte et audite un large éventail de plateformes web grâce à des scanners dédiés et des templates Nuclei spécialisés.

🔧 Joomla

Scanner dédié JoomlaScanner avec templates Nuclei personnalisés. Détection de version, thème, extensions et CVE critiques. Enrichissement NVD automatique.

💧 Drupal

Analyse via Nuclei + Drupwn (tests CVE actifs) + Drupal Security Advisories. Détection Drupalgeddon2, REST RCE et modules vulnérables.

🏪 Magento / Adobe Commerce

Nuclei templates + MageVulnDB (base Sansec). Détection extensions vulnérables, fichiers sensibles et version du CMS. Supporte Magento 1.x et 2.x.

🛍 Shopify

Audit de la plateforme SaaS : détection tokens exposés, headers de sécurité, endpoints sensibles, subdomain takeover et données clients accessibles.

Wix

Analyse SaaS complète : type de site (Editor, ADI, Velo, Studio), apps installées, data exposure (emails, clés API), headers de sécurité vérifiés.

🔍 +170 autres via CMSeeK

Notre moteur CMSeeK détecte plus de 170 CMS différents : Craft CMS, Odoo, TYPO3, Concrete5, Ghost, Hugo, et bien d'autres. Scan Nuclei générique inclus.

Au total, notre outil détecte et audite plus de 180 CMS différents. Le scan s'adapte automatiquement aux technologies détectées sur votre site.

Processus

Comment fonctionne l'audit CMS

De la détection du CMS à la livraison du rapport, chaque étape est automatisée pour vous fournir un diagnostic complet en moins de 2 heures.

01

Détection automatique du CMS

Notre moteur CMSeeK identifie votre CMS, sa version exacte et son thème actif. Pour les CMS majeurs (WordPress, PrestaShop, Joomla, Drupal, Magento), des scanners spécialisés prennent le relais avec une analyse approfondie. La détection couvre plus de 180 plateformes différentes.

02

Énumération des modules installés

Chaque plugin, thème et extension installé sur votre site est identifié avec sa version. Pour WordPress, WPScan énumère l'intégralité des composants. Pour PrestaShop, Nuclei analyse les fichiers config.xml. Pour Drupal et Joomla, des parsers dédiés extraient la liste complète des modules actifs.

03

Vérification CVE multi-sources

Chaque module détecté est vérifié contre plusieurs bases de vulnérabilités : Wordfence Intelligence (WordPress), Friends of Presta (PrestaShop), Drupal Security Advisories, MageVulnDB Sansec (Magento), GitHub Advisory Database (Node.js) et la base NVD du NIST. Les résultats sont enrichis avec les scores CVSS 3.1 et les identifiants CWE.

04

Rapport détaillé avec recommandations priorisées

Le rapport final liste chaque module analysé avec son statut : à jour, outdated, vulnérable ou en fin de vie (EOL). Les CVE critiques sont mises en avant avec leur score CVSS, et les recommandations de remédiation sont triées par priorité d'impact. Vous savez exactement quoi corriger en premier.

L'audit teste activement vos défenses sans exploiter les failles : aucun accès admin n'est requis. L'analyse se fait depuis l'extérieur, exactement comme le ferait un attaquant. Vos données ne sont jamais modifiées.

En savoir plus sur notre méthodologie →

Cas réel

Exemple concret : un site PrestaShop audité

Voici le résumé anonymisé d'un audit réel réalisé sur une boutique PrestaShop française. Les résultats illustrent la profondeur de l'analyse CMS.

  • 24 modules PrestaShop analysés individuellement
  • 5 CVE critiques détectées (CVSS 8.1 à 9.8) dont injection SQL et RCE
  • 3 modules nécessitant une mise à jour immédiate
  • 16/100 score global — note F (Critique), remédiation urgente requise
  • 36 vulnérabilités uniques identifiées, classées par sévérité CVSS
  • < 2h délai de livraison du rapport complet avec recommandations
Voir le rapport complet →
boutique-exemple.fr 2026-02-15
16/100
F — Critique
Niveau critique. Remédiation immédiate nécessaire.
CRITICAL PrestaShop SQL Filter Bypass (CVSS 9.8)
CRITICAL Admin Token Exposé dans l'URL
CRITICAL CVE-2023-39640 SQL Injection
CRITICAL CVE-2023-28843 PayPal Module RCE
HIGH CVE-2002-20001 D(HE)ater DoS
——————————————————
ACTIONS 23 groupes correctifs priorisés
SOURCES Nuclei · FOP · ZAP · NVD
FAQ

Questions fréquentes sur la sécurité CMS

Non. Mettre à jour le coeur du CMS est nécessaire mais insuffisant. 97 % des vulnérabilités WordPress proviennent des plugins et thèmes tiers, pas du coeur. Un plugin non maintenu ou supprimé du dépôt officiel reste vulnérable même avec un WordPress à jour. Notre audit vérifie chaque module individuellement contre les bases de vulnérabilités Wordfence Intelligence, NVD et WPOrg.
Oui. Notre moteur CMSeeK détecte plus de 180 CMS différents. Pour les CMS non reconnus ou les développements sur mesure, les scanners génériques (OWASP ZAP, Nuclei avec templates communautaires) analysent quand même les vulnérabilités web classiques : injection SQL, XSS, CSRF, headers de sécurité manquants, fichiers sensibles exposés et mauvaises configurations HTTP.
Tous ceux détectés sur votre site. Pour WordPress, WPScan énumère l'intégralité des plugins et thèmes installés, y compris les inactifs. Pour PrestaShop, Nuclei analyse les modules déclarés dans le config.xml et les répertoires de modules. Pour Joomla et Drupal, des scanners dédiés (JoomlaScanner, Drupwn) extraient la liste complète des extensions. Chaque module est ensuite vérifié individuellement contre les bases CVE.
Oui. Notre vérificateur WPOrg interroge l'API wordpress.org pour chaque plugin et thème détecté. Si un composant a été supprimé du dépôt officiel — souvent pour des raisons de sécurité — il est signalé dans le rapport avec une recommandation de remplacement. Un plugin supprimé ne reçoit plus de correctifs de sécurité et représente un risque majeur pour votre installation.
Un scan de vulnérabilités classique vérifie les CVE connues sur les technologies détectées. Notre audit CMS va beaucoup plus loin : il identifie la version exacte du CMS et de chaque module, détecte les versions en fin de vie (EOL), analyse chaque extension individuellement contre plusieurs sources de vulnérabilités (Wordfence, Friends of Presta, NVD, Drupal SA, MageVulnDB), détecte les plugins supprimés des dépôts officiels et fournit des recommandations priorisées par impact. C'est un audit de sécurité CMS complet, pas un simple scan.
Prêt à sécuriser votre CMS ?

Auditez la sécurité de votre CMS

99€ HT
Rapport livré en moins de 2h · Tous les CMS supportés · Sans abonnement
Auditer mon site →
Voir un exemple de rapport → Nos tarifs →