Je n'y connais rien en informatique, est-ce un problème ?

Absolument pas. C'est mon travail. Vous continuez à gérer vos chantiers — je m'occupe du reste. Après le lancement, vous n'avez rien à toucher. Si vous voulez envoyer une photo de chantier, je vous montre comment en 5 minutes.

J'ai déjà une page Facebook, ça suffit non ?

Facebook et un site internet ne jouent pas le même rôle. Un client qui veut demander un devis pour des travaux importants ira vérifier votre site avant d'appeler. Pas de site = pas de confiance = il appelle votre concurrent. Facebook est un outil de visibilité, le site est un outil de conversion.

Je préfère qu'on en parle directement après un diagnostic gratuit. L'offre est pensée pour les petites entreprises artisanales : tarif adapté, sans surprise. Le diagnostic est gratuit et sans engagement — c'est le meilleur moyen d'avoir un chiffre précis pour votre situation.

Combien de temps pour lancer le site ?

En général, entre 2 et 4 semaines après notre premier échange. Ça dépend surtout de la rapidité à laquelle vous me fournissez les infos (services, zone, photos). Je reste disponible pour aller vite si besoin.

Est-ce que je dois fournir des photos ?

Si vous en avez, oui — les vraies photos de vos chantiers sont bien plus efficaces que des images génériques. Sinon, pas de blocage : je vous accompagne avec une formation rapide à la prise de photos avec votre smartphone. C'est plus simple que vous ne le pensez.

Sécuriser son site internet sans plugin : la vraie méthode pour artisans

94 % des CMS piratés en 2023 étaient des WordPress (source : Sucuri). Paradoxalement, les plugins de sécurité comme Wordfence ou iThemes sont eux-mêmes régulièrement victimes de vulnérabilités critiques. Ce guide vous explique les vraies mesures de sécurité — celles qui fonctionnent indépendamment des plugins.

Pourquoi les plugins de sécurité WordPress créent parfois les failles qu'ils prétendent bloquer

L'ironie de WordPress est totale : vous installez des plugins pour sécuriser votre site, mais chaque plugin est lui-même une surface d'attaque potentielle. En 2023, Wordfence Security a corrigé plusieurs vulnérabilités critiques dans ses propres versions. iThemes Security a eu des failles qui permettaient l'escalade de privilèges.

La réalité : WordPress repose sur une architecture PHP dynamique avec une base de données. Tant que cette architecture existe, des vecteurs d'attaque existent. Aucun plugin ne peut fondamentalement changer ça — il peut seulement dresser des barrières supplémentaires, qui elles-mêmes deviennent des cibles.

La vraie sécurité vient de l'architecture, pas des correctifs.

HTTPS : la base non-négociable en 2026

Si votre site affiche encore "http://" sans S, vous avez un problème à régler immédiatement. HTTPS chiffre les communications entre le navigateur et votre serveur. Sans lui, les données de vos formulaires de contact (nom, téléphone, email de vos prospects) transitent en clair sur le réseau.

Google marque les sites HTTP comme "Non sécurisé" dans Chrome, ce qui fait fuir les visiteurs. Il les pénalise aussi dans son classement.

Un certificat SSL Let's Encrypt est gratuit et installable en quelques clics chez la plupart des hébergeurs. Il n'y a aucune excuse pour ne pas l'avoir en 2026.

Les headers de sécurité HTTP : couche de protection native du serveur

Les headers de sécurité sont des instructions que votre serveur envoie au navigateur pour lui dire comment se comporter. Ils ne nécessitent aucun plugin — juste une configuration serveur. Ce sont les mesures les plus efficaces et les plus pérennes.

Header	Ce qu'il fait	Importance
Strict-Transport-Security (HSTS)	Force le navigateur à utiliser HTTPS en permanence, même si l'utilisateur tape http://	Critique
Content-Security-Policy (CSP)	Définit quelles sources de contenu (scripts, images, styles) sont autorisées — bloque les injections XSS	Critique
X-Frame-Options	Empêche votre site d'être affiché dans une iframe sur un autre site (clickjacking)	Élevée
X-Content-Type-Options	Empêche le navigateur d'interpréter les fichiers autrement que déclaré (sniffing)	Élevée
Referrer-Policy	Contrôle quelles informations de navigation sont transmises aux sites tiers	Moyenne

Ces headers se configurent dans le fichier .htaccess (Apache) ou dans la configuration Nginx. Sur un site Next.js, ils sont gérés nativement dans le fichier next.config.ts — appliqués de façon centralisée sans plugin.

WordPress vs site statique moderne : comparatif de surface d'attaque

Vecteur d'attaque	WordPress	Site statique (Next.js)
Paneau d'admin exposé au public	Oui (/wp-admin)	Non (déployé en CI/CD)
Base de données exposée	Oui (MySQL/MariaDB)	Non (fichiers statiques)
Attaques par injection SQL	Risque réel	Impossible (pas de BDD)
Vulnérabilités de plugins	Permanentes (CVE publiés)	Aucune (pas de plugins)
Surface d'attaque globale	Très large	Quasi nulle

Les sauvegardes : votre dernier rempart, souvent oublié

Même le site le mieux sécurisé peut être compromis. La vraie question n'est pas "est-ce que ça peut arriver ?" mais "en combien de temps peut-on récupérer si ça arrive ?"

Pour un WordPress : configurez des sauvegardes automatiques quotidiennes (plugin UpdraftPlus + stockage Dropbox ou Google Drive). Conservez au minimum 14 jours d'historique. Testez la restauration au moins une fois par trimestre — une sauvegarde non testée est une sauvegarde dont vous ne savez pas si elle fonctionne.

Pour un site Next.js : le code source versionné sur Git est la sauvegarde native. Une restauration complète se fait en quelques minutes depuis le dépôt.

Ressources complémentaires

Votre site artisan est-il vraiment sécurisé ?

HookLab audite la sécurité de votre site et vous dit clairement si votre installation est vulnérable. Diagnostic gratuit, sans obligation.

Diagnostic gratuit →Appeler — 06 04 40 81 57

Questions fréquentes sur la sécurité web artisan

WordPress est-il vraiment peu sécurisé ?

WordPress lui-même est maintenu par une équipe sérieuse. Le problème vient de l'écosystème : les plugins tiers sont développés par des milliers de contributeurs indépendants, avec des niveaux de qualité très variables. En 2023, plus de 2 000 vulnérabilités CVE ont été publiées sur des plugins WordPress. C'est le noyau WordPress + ses extensions qui crée le risque, pas le noyau seul.

Comment savoir si mon site WordPress a été piraté ?

Signes d'un piratage : Google vous affiche un avertissement 'Site trompeur' dans ses résultats, vos visiteurs signalent des redirections vers des sites suspects, votre hébergeur vous envoie une alerte de malware, votre site affiche des contenus que vous n'avez pas créés (spams de liens, publicités), ou votre compte admin a été créé par quelqu'un que vous ne connaissez pas.

Faut-il installer Wordfence pour sécuriser WordPress ?

Wordfence apporte une couche de sécurité réelle (firewall, scanner de malwares) mais il est lui-même un plugin — donc une surface d'attaque supplémentaire. Il a été plusieurs fois victime de vulnérabilités critiques. Il ralentit aussi significativement les sites. C'est une béquille nécessaire si vous maintenez un WordPress, mais pas une vraie solution de fond.

Un site statique peut-il vraiment être piraté ?

Un site statique (HTML/CSS/JS pur) n'a pas de base de données, pas de CMS admin, pas de PHP. Il n'y a rien à pirater dans le sens traditionnel du terme. Le seul vecteur d'attaque serait la compromission de votre dépôt Git ou de votre pipeline de déploiement — ce qui se protège avec une authentification forte et des secrets d'environnement bien gérés.

Mon site artisan a-t-il vraiment besoin d'une sécurité renforcée ?

Oui. Les pirates ne ciblent pas que les grandes entreprises. Les petits sites WordPress sont ciblés massivement par des bots automatisés qui cherchent des versions obsolètes connues. Un site vitrine de peintre à Orchies peut se retrouver à héberger des publicités de casino en ligne ou des redirections malveillantes sans que le propriétaire s'en aperçoive pendant des semaines.