Document exemple · anonymisé

Voici un rapport d'audit type

Pour que vous sachiez exactement ce que vous recevez, voici le rapport complet d'un audit réalisé sur un site anonymisé. Tous les noms, domaines et données personnelles ont été remplacés.

Demander votre propre rapport

Rapport d'audit de sécurité

exemple-societe.fr

Date de l'audit
12 mars 2026
Référence
DC-2026-0312-EXE
CMS détecté
WordPress 5.8.2
Auditeur
Quentin Drack

78

/100

Criticité élevée

Synthèse exécutive

Le site exemple-societe.fr présente 3 vulnérabilités critiques, 7 vulnérabilités élevées et 12 vulnérabilités modérées. Les principales sources de risque sont une version obsolète du CMS WordPress (5.8.2, publiée il y a plus de 30 mois), l'absence des en-têtes de sécurité HTTP les plus fondamentaux, et l'activation d'un protocole historique connu pour ses vecteurs d'attaque.

Impact potentiel : prise de contrôle administrateur, défiguration publique, vol de données de formulaire, blacklistage moteurs de recherche, rançongiciel. L'essentiel des failles est corrigible en 3 à 5 jours d'intervention.

Détail des vulnérabilités critiques

Critique · #1

Version WordPress obsolète (5.8.2)

CVSS 9.1

La version installée est sortie le 11 novembre 2021. Plusieurs vulnérabilités à fort impact ont été publiées depuis, incluant des RCE (exécution de code à distance) non corrigées. L'attaquant peut prendre le contrôle du site à distance sans authentification.

Correctif : mise à jour vers WordPress 6.7 (dernière version stable). Durée estimée : 1-2 h.

Critique · #2

Plugin vulnérable détecté : Contact Form 7 ≤ 5.3.1

CVSS 8.3

CVE-2020-35489 : vulnérabilité d'upload non-authentifié permettant d'injecter des fichiers malveillants via les formulaires publics. Exploitation déjà observée dans la nature.

Correctif : mise à jour Contact Form 7 vers 5.9+. Durée estimée : 30 min.

Critique · #3

Comptes administrateurs exposés via l'API REST

CVSS 7.5

L'endpoint /wp-json/wp/v2/users renvoie la liste complète des identifiants (slugs) des utilisateurs administrateurs sans authentification, facilitant les attaques par force brute ciblée.

Correctif : restreindre l'accès à l'API REST via filtre WordPress ou extension de durcissement. Durée estimée : 1 h.

Vulnérabilités élevées (synthèse)

Vulnérabilité Effort
En-tête Content-Security-Policy manquant 30 min
En-tête Strict-Transport-Security manquant 15 min
En-tête X-Frame-Options manquant 15 min
Protocole XMLRPC actif (brute force, amplification) 20 min
Version PHP 7.4 (fin de vie depuis nov. 2022) 2 h
5 plugins non mis à jour depuis 18+ mois 1-2 h
Cookies sans flag Secure + HttpOnly + SameSite 30 min

Plan de remédiation recommandé

  1. 1
    Urgent (48h) : mise à jour WordPress core + Contact Form 7 + fermeture de l'API REST /users.
  2. 2
    Court terme (1 semaine) : migration PHP 8.2, ajout des 4 en-têtes de sécurité HTTP, désactivation XMLRPC.
  3. 3
    Moyen terme (1 mois) : mise à jour plugins, durcissement cookies, mise en place monitoring.
  4. 4
    Continu : activation de la surveillance Drack Cyber (scan hebdomadaire + alertes + rapport mensuel). Retest de validation à J+30.

Méthodologie de l'audit

Analyse 100 % passive, sans tentative d'intrusion ni charge significative sur le serveur. Les données observées sont celles publiquement accessibles via des requêtes HTTP standards. Mandat d'autorisation signé préalablement par le client. Conformité RGPD sur l'ensemble des étapes.

Base de vulnérabilités : WPScan DB, NIST NVD, CVE détails. Scanner propriétaire Drack Cyber avec rotation d'empreintes et 30+ familles de plugins surveillés.

Rapport établi par Quentin Drack · Drack Cyber · SIREN 841 809 387

contact@drack-cyber.fr · +33 6 73 55 22 31 · drack-cyber.fr

Un rapport pour votre site ?

Le rapport ci-dessus est un exemple anonymisé. Pour recevoir votre propre rapport personnalisé (audit offert), décrivez-nous votre site en 2 clics.

Prêt à recevoir votre propre rapport ?

L'audit offert est adapté à votre site. Rapport livré sous 48h.

Demander un audit offert