Pourquoi un site Next.js ne se fait jamais pirater (contrairement à WordPress)
Vous ne le voyez pas venir. Vous ne le sentez pas. Mais un beau matin, votre site affiche des publicités pour des médicaments russes. Ou pire : il vole les données de vos visiteurs.
Les piratages de sites web sont dramatiquement sous-estimés. On pense que ça n'arrive qu'aux autres. Jusqu'à ce que ça arrive à nous.
Voici la vérité chiffrée : plus de 30 000 sites sont piratés chaque jour. Et la grande majorité tournent sur WordPress.
Pourquoi WordPress est une cible si facile
1. La popularité = la cible
WordPress alimente 43% du web. Pour un hacker, c'est l'effort le plus rentable. Une seule faille dans le core WordPress = des millions de sites vulnérables.
2. L'architecture monolithique
WordPress combine tout en un seul bloc :
- Le code PHP
- La base de données MySQL
- Le panneau d'administration
- Les plugins
- Les thèmes
Chaque composant peut être attaqué. Et ils communiquent tous entre eux. Une faille dans un plugin peut compromettre toute la base de données.
3. Le panneau d'administration exposé
L'URL /wp-admin est universelle. Tout le monde la connaît. Des bots la scannent 24h/24. Ils tentent des milliers de combinaisons login/mot de passe par seconde.
Même avec un bon mot de passe, c'est du stress inutile.
4. Les plugins, bombe à retardement
Un site WordPress moyen utilise 15 à 30 plugins. Chacun est développé par une équipe différente, avec des niveaux de qualité variables.
- Contact Form 7 : 5 failles critiques historiques
- Elementor : plusieurs vulnérabilités majeures
- Yoast SEO : failles de sécurité documentées
- WooCommerce : cible privilégiée pour le vol de données clients
55% des failles WordPress viennent des plugins.
5. Les mises à jour, course permanente
Chaque mise à jour WordPress, plugin ou thème peut casser votre site. Mais ne pas mettre à jour, c'est laisser une porte ouverte.
C'est un dilemme impossible. Vous perdez dans les deux cas.
Pourquoi Next.js est quasiment inviolable
1. Pas de base de données exposée
Un site Next.js statique n'a pas de base de données accessible depuis le web. Il n'y a aucun point d'entrée pour une injection SQL.
Injection SQL : technique n°1 des hackers. Elle consiste à insérer du code malveillant dans une requête base de données. Sur un site sans base de données, impossible.
2. Pas de panneau d'administration public
Il n'y a pas de /wp-admin sur un site Next.js. Il n'y a pas de page de login à attaquer. Il n'y a pas de mot de passe admin à brute-forcer.
Le CMS Headless (Sanity, DatoCMS) vit sur un domaine séparé, protégé par une authentification moderne (SSO, 2FA).
3. Pas de plugins tiers sur le serveur
Les fonctionnalités d'un site Next.js sont du code que votre développeur écrit et contrôle. Pas de plugin téléchargé sur un marché sommairement vérifié.
Pas de backdoor cachée dans un "SEO Pack Ultimate Pro" acheté 29€.
4. Des fichiers immuables
Une fois déployé, un site Next.js statique est constitué de fichiers HTML, CSS et JS. Ils ne changent pas tant qu'on ne redéploie pas.
Même si un fichier était compromis (hypothèse quasi impossible), le prochain déploiement l'écraserait proprement.
5. Pas de PHP à exploiter
PHP est un langage puissant mais complexe. Ses failles historiques sont légion. WordPress est construit sur PHP. Next.js est construit sur Node.js, avec une surface d'attaque bien plus réduite en mode statique.
6. Hébergement sur CDN
Les sites Next.js sont servis depuis des CDN globaux (Vercel, Netlify, Cloudflare). Ce ne sont pas des serveurs traditionnels avec un système d'exploitation à patcher.
Le CDN sert des fichiers. Point. Pas de shell à accéder. Pas de configuration serveur à exploiter.
La comparaison en chiffres
| Type d'attaque | WordPress | Next.js statique |
|---|---|---|
| SQL injection | ⚠️ Très courant | ✅ Impossible |
| XSS | ⚠️ Plugin dépendant | ✅ Très limité |
| Brute force login | ⚠️ Cible permanente | ✅ Pas de login public |
| Faille plugin | ⚠️ 55% des attaques | ✅ Pas de plugin |
| Upload malveillant | ⚠️ Fréquent | ✅ Pas d'upload serveur |
| Zero-day core | ⚠️ Patch urgent | ✅ Pas applicable |
| DDoS | ⚠️ Serveur vulnérable | ✅ CDN absorbe |
Mais les grands sites utilisent WordPress ?
Oui. The New Yorker, BBC America, Sony Music utilisent WordPress. Mais :
- Ils ont des équipes de sécurité dédiées
- Ils utilisent WordPress.com VIP (version enterprise sécurisée)
- Ils ont des budgets sécurité de 6 chiffres
- Ils auditent chaque plugin
Vous n'avez pas ces ressources. Moi non plus. C'est pourquoi on choisit une architecture qui ne nécessite pas une équipe de sécurité pour rester en ligne.
Le coût caché de l'insécurité
Quand votre site WordPress est piraté :
- Journées de panne : 1 à 5 jours sans site
- Nettoyage : 500€ à 3000€
- Perte de confiance : vos clients voient un site corrompu
- Pénalité Google : votre site peut être blacklisté
- Données volées : si vous avez un formulaire, des emails peuvent fuiter
- Stress : impossible à quantifier, mais réel
Avec Next.js, ce coût est de 0€. Pas de temps perdu. Pas de stress. Pas de nuits blanches.
Conclusion
La sécurité n'est pas un plugin qu'on ajoute. C'est une conséquence de l'architecture qu'on choisit.
WordPress a été conçu dans une ère différente. Son architecture monolithique expose naturellement des surfaces d'attaque énormes.
Next.js, en mode statique, élimine ces surfaces d'attaque par design. Pas de base de données, pas de login public, pas de plugins vulnérables. Juste des fichiers HTML servis depuis un CDN.
Pour une PME ou un indépendant qui n'a pas les moyens d'embaucher un expert cybersécurité, c'est la différence entre dormir tranquille et attendre le prochain piratage.
Chez Promto.be, on ne propose pas WordPress. Pas par idéologie. Parce qu'on ne veut pas que nos clients nous appellent un lundi matin en disant que leur site affiche des pubs pour des casinos en ligne.