DÉMONSTRATION

Rapport d'audit de cybersécurité

Site WordPress « MonCabinet.fr » — Réalisé le 20/06/2026

Client : MonCabinet.fr (démonstration)
Type d'audit : WordPress Security Scan
Méthodologie : OWASP + WPScan
Référence : RAP-2026-002
8
Vulnérabilités
1
Critique
3
Élevées
3
Moyennes
1
Faible

Résumé pour le chef d'entreprise

Ce site WordPress présente 8 vulnérabilités, dont une critique qui peut permettre à un attaquant de prendre le contrôle total du site. Le problème principal : des plugins et le cœur WordPress ne sont pas à jour.

Bilan WordPress

Version WordPress
✗ 6.4.2 (obsolète — 6.7.2 dispo)
Plugins à jour
✗ 4 plugins obsolètes sur 12
Thème
✓ À jour
SSL / HTTPS
✓ Activé (Let's Encrypt)
Comptes admin
✗ 2 comptes (1 inactif non supprimé)
Sauvegardes
✗ Aucune sauvegarde automatique
Critique

1. Plugin Elementor obsolète (version 3.18.1)

Concrètement : Ce plugin populaire a une faille XSS connue (CVE-2024-XXXX). Un attaquant peut l'exploiter pour prendre le contrôle d'un compte administrateur sans mot de passe.

Impact : Un pirate peut modifier le site, voler les données des visiteurs, injecter des malwares, ou rediriger vers un faux site de paiement.

Recommandation : Mettre à jour Elementor vers la version 3.25+ immédiatement.
Élevée

2. Compte "admin" toujours présent

Concrètement : Le compte administrateur par défaut "admin" existe encore. 50 % des attaques WordPress ciblent ce nom d'utilisateur connu.

Impact : L'attaquant a déjà la moitié des informations pour se connecter (le login). Il ne lui reste plus que le mot de passe à trouver.

Recommandation : Créer un nouveau compte admin avec un nom unique, puis supprimer "admin".
Élevée

3. XML-RPC activé

Concrètement : Le fichier xmlrpc.php est accessible. Il permet aux attaquants de tester des milliers de mots de passe par minute.

Impact : Attaque par force brute massive possible. Un compte avec un mot de passe faible sera piraté en quelques heures.

Recommandation : Désactiver XML-RPC (via plugin ou code).
Élevée

4. Pas de limite de tentatives de connexion

Concrètement : On peut essayer de se connecter autant de fois qu'on veut, sans être bloqué.

Impact : L'attaquant peut lancer une attaque par dictionnaire 24h/24 jusqu'à trouver le bon mot de passe.

Recommandation : Installer "Limit Login Attempts Reloaded" — 3 essais max, puis blocage 15 minutes.
Moyenne

5. Éditeur de fichier activé dans l'admin

Concrètement : Un administrateur peut modifier les fichiers PHP du site depuis le panneau d'admin. Si un attaquant vole un compte admin, il peut modifier n'importe quel fichier.

Recommandation : Désactiver l'éditeur de fichier (define('DISALLOW_FILE_EDIT', true);).
Moyenne

6. REST API WordPress exposée

Concrètement : L'API REST de WordPress est accessible sans authentification, permettant de lister les utilisateurs et leurs informations.

Recommandation : Restreindre l'accès à l'API REST aux utilisateurs connectés.
Moyenne

7. Pages d'erreur PHP visibles

Concrètement : En cas d'erreur, WordPress affiche des messages détaillés qui révèlent la structure du site aux attaquants.

Recommandation : Désactiver l'affichage des erreurs dans wp-config.php.
Faible

8. Version WordPress visible dans le code source

La version de WordPress est visible dans le code HTML, permettant aux attaquants de cibler les failles connues de cette version.

Plan d'action prioritaire

1

Urgence (24h) — Mettre à jour Elementor et WordPress

Corriger la faille critique qui expose le site à une prise de contrôle totale.

2

Urgence (48h) — Supprimer le compte admin + désactiver XML-RPC

Bloquer les attaques par force brute en supprimant les accès par défaut.

3

Important — Installer Wordfence + limite de connexion

Ajouter un pare-feu WordPress et limiter les tentatives de connexion.

4

Important — Mettre en place les sauvegardes automatiques

Sauvegarde quotidienne vers le cloud (UpdraftPlus ou l'hébergeur).

← Retour au portfolio NovaSec