Se rendre au contenu

Votre site peut se faire attaquer

Pourquoi protéger Odoo, PrestaShop, WordPress & Co n’est plus optionnel, et quels outils mettre devant sans devenir expert en cybersécurité
2 décembre 2025 par
Votre site peut se faire attaquer
AUGURIA, Cyrille de LAMBERT

Actualités Auguria

Votre site peut très bien fonctionner parfaitement aujourd’hui… et se retrouver en difficulté demain, sans que vous ayez changé quoi que ce soit.

Un message “Too Many Requests”, un site qui rame, une page qui ne répond plus : souvent, ce n’est pas un bug, c’est Internet qui s’invite un peu trop fort.

C’est exactement ce qui est arrivé récemment à notre instance Odoo.sh : plusieurs requêtes par seconde sur une simple page de blog, trafic multiplié par dix et Odoo qui commence à souffrir.

La différence, c’est que cette instance n’était pas exposée “toute seule” : elle passait par Cloudflare. En activant le mode “I’m Under Attack”, Cloudflare a renforcé les contrôles et l’instance a pu reprendre une activité normale. Les robots ont continué à frapper, mais le trafic indésirable a été filtré avant d’atteindre Odoo.

Ce genre de scénario peut arriver à n’importe qui, TPE comprise.

C’est justement ce que nous allons voir dans cet article.

1. Internet n’attaque pas que les “gros”

On imagine souvent que les attaques sur Internet visent :

  • les banques,
  • les géants du e-commerce,
  • les grandes entreprises très visibles.

En réalité, la plupart du temps, ce ne sont même pas des “humains” qui attaquent, mais des robots automatiques.

Ces robots :

  • testent des adresses,
  • visitent des pages au hasard,
  • essayent des failles connues,
  • envoient parfois beaucoup trop de demandes d’un coup.

Si vous avez :

  • un site vitrine,
  • une boutique en ligne,
  • un ERP comme Odoo accessible via un navigateur,

alors votre système peut se faire attaquer, même si vous êtes une TPE, même si votre trafic est modeste.

Pour ces robots, vous n’êtes pas “trop petit pour intéresser quelqu’un” : vous êtes simplement une adresse de plus sur Internet.

2. Ce qu’il faut protéger : bien plus que le “petit site web”

Quand on pense sécurité, on pense souvent uniquement au site institutionnel.

En réalité, de plus en plus de briques critiques sont en ligne.

Odoo et les ERP

Odoo peut gérer :

  • les ventes,
  • les achats,
  • les stocks,
  • la facturation,
  • la relation client (CRM),
  • les projets.

Si Odoo ne répond plus, une bonne partie de l’entreprise s’arrête : plus de saisie, plus de visibilité, plus de facturation.

PrestaShop, WooCommerce, Magento, Shopify

Ces solutions portent votre chiffre d’affaires en ligne :

  • commandes,
  • paiements,
  • comptes clients.

Si la boutique ne répond plus, ce sont des ventes perdues et une image dégradée.

WordPress et autres CMS

WordPress sert souvent de :

  • site vitrine,
  • blog,
  • générateur de leads,
  • support de votre image de marque.

S’il tombe ou se fait pirater, l’impact est réel, même si vous ne “vendez” rien en ligne.

Toutes ces solutions sont :

  • très répandues,
  • donc très bien connues de ceux qui cherchent des failles.

Dès qu’elles sont accessibles sur Internet, elles deviennent visibles.

3. Le “vigile numérique” : l’idée du bouclier en frontal

Sans protection, votre site ou votre ERP, c’est un peu comme un magasin :

  • porte ouverte sur la rue,
  • aucun vigile,
  • aucune gestion du flux à l’entrée.

Résultat :

  • n’importe qui peut entrer,
  • revenir 100 fois par minute,
  • poser des “questions” qui épuisent votre caisse (votre serveur),
  • ou simplement bloquer le passage par sa présence.

Un service comme Cloudflare (et plusieurs autres outils similaires) agit comme :

  • un vigile,
  • un filtre,
  • un portier intelligent.

Ce “vigile numérique” :

  1. Observe qui arrive
    • d’où viennent les demandes (pays, fournisseur d’accès),
    • à quelle fréquence,
    • si le comportement ressemble à celui d’un visiteur normal ou d’un robot.
  2. Freine ou bloque ce qui exagère
    • si une adresse fait trop de demandes d’un coup,
    • si un comportement est suspect,
    • si le trafic vient d’une source peu crédible.
  3. Allège le travail de votre serveur
    • en gardant en mémoire (cache) les images, fichiers statiques, etc.,
    • en évitant que le serveur ne refasse mille fois le même travail inutile.

Chez Auguria, ce vigile a fait la différence : Odoo.sh n’a plus reçu le flot d’attaques directement.

C’est Cloudflare qui a géré la vague, en amont.

4. Deux grands types de problèmes, expliqués simplement

Pour rester compréhensible, on peut décomposer le risque en deux grandes familles.

4.1. Trop de monde d’un coup : l’effet “bouchon”

C’est ce qui provoque des messages comme “Too Many Requests”.

Ce type de situation arrive quand :

  • il y a un très gros volume de demandes en même temps,
  • parfois depuis de nombreux ordinateurs,
  • parfois depuis quelques robots qui envoient tout simplement trop de requêtes.

Effet :

  • le serveur se retrouve saturé,
  • le site devient extrêmement lent,
  • ou ne répond plus du tout.

On parle souvent d’attaque DDoS pour ce genre de scénario,

mais ce qui compte à retenir est simple :

votre serveur est submergé.

Dans ce cas, les protections à l’intérieur du site ne suffisent plus :

il faut un outil en amont, qui encaisse le volume et filtre le superflu.

4.2. Le “cambrioleur” qui cherche une faille

Deuxième catégorie de risque : l’intrusion.

L’objectif ici est :

  • de deviner un mot de passe,
  • d’exploiter un formulaire mal protégé,
  • d’installer du code malveillant,
  • d’accéder aux données ou à l’administration.

Ce type de menace est traité par :

  • des mises à jour régulières,
  • une bonne gestion des mots de passe,
  • des modules de sécurité internes,
  • le renforcement de la configuration (droits, accès, etc.).

Ici, on est plus sur des protections dans l’application.

Les deux familles sont importantes,

mais on ne les traite pas avec les mêmes outils.

5. Les boucliers à mettre devant votre site ou votre ERP

Voici quelques exemples d’outils qui jouent ce rôle de “vigile” en frontal.

Le principe est toujours le même :

le trafic passe d’abord chez eux,

puis seulement ensuite chez vous.

Exemples de services de protection en frontal

  • Cloudflare
    Service très connu.
    Il permet de filtrer le trafic, de protéger des attaques par volume,
    et d’accélérer l’affichage du site.
    Il existe une version gratuite qui suffit déjà pour beaucoup de TPE/PME.
  • OVHcloud (Anti-DDoS + CDN)
    Si votre serveur est chez OVH, l’anti-DDoS fait déjà partie du paysage.
    Il est possible d’ajouter des services de cache et de filtrage supplémentaires.
  • Amazon CloudFront (avec AWS Shield / AWS WAF)
    Pour les infrastructures hébergées chez AWS.
  • Google Cloud CDN + Cloud Armor
    Pour les systèmes hébergés sur Google Cloud.
  • Azure Front Door + WAF
    Pour les environnements Microsoft Azure.
  • Bunny.net, KeyCDN, etc.
    D’autres services plus simples et souvent économiques,
    qui proposent également un “bouclier” et un cache.

L’essentiel à retenir :

  • ces outils ne remplacent pas votre site ou votre ERP,
  • ils se placent devant,
  • et ils prennent le choc en premier.

6. Les protections “dans” le site : utiles, mais différentes

À côté des boucliers en frontal, il existe des protections à l’intérieur même de WordPress, PrestaShop, Odoo, etc.

Elles sont importantes, mais il ne faut pas les confondre avec une protection contre un “bouchon” de trafic.

WordPress

On trouve par exemple :

  • Wordfence,
  • iThemes Security,
  • et d’autres plugins de sécurité.

Ces outils permettent de :

  • limiter les tentatives de connexion,
  • détecter des fichiers suspects,
  • bloquer certaines adresses IP,
  • ajouter des captchas,
  • surveiller certains comportements.

Ils sont très utiles pour :

  • réduire les risques d’intrusion,
  • rendre la prise de contrôle du site plus difficile.

En revanche, il est important de le dire clairement :

  • ces plugins ne sont pas conçus pour absorber un gros volume de trafic,
  • ils ne sont pas une solution anti-DDoS.

PrestaShop, WooCommerce, Magento

Même logique :

  • modules de sécurité,
  • limitation des tentatives de login,
  • captchas,
  • durcissement de l’accès à l’administration.

Là encore :

  • très bien pour limiter les intrusions et les abus,
  • mais ce n’est pas une “solution anti-bouchon”.

Odoo

Pour Odoo, on parle plutôt de :

  • gestion des droits utilisateurs,
  • séparation des environnements (production / test),
  • configuration soignée des accès,
  • mise en place d’un reverse proxy (Nginx, Apache, Traefik…) pour mieux contrôler ce qui est exposé.

Ce sont des protections internes nécessaires.

Mais pour les attaques par volume de trafic,

il faut un bouclier externe en complément.

En résumé :

  • bouclier en frontal : gère le volume et filtre le gros du trafic,
  • protections internes : compliquent la vie aux attaquants qui auraient réussi à franchir la première barrière.

Les deux se complètent.

7. Par où commencer quand on n’est pas technique ?

Voici un plan simple à suivre, même sans être informaticien.

Étape 1 : mettre un bouclier devant

Demandez à votre prestataire ou hébergeur :

  • “Peut-on mettre un service comme Cloudflare ou un équivalent devant mon site / mon Odoo ?”
  • “OVH propose-t-il un CDN + protection adapté à ma configuration ?”

Rien que cette étape réduit déjà considérablement le risque.

Étape 2 : renforcer les portes d’entrée

Les pages de connexion et d’administration doivent être particulièrement soignées :

  • Odoo : accès /web, /web/login, interface d’administration,
  • PrestaShop, WooCommerce, Magento : back-office,
  • WordPress : /wp-admin, /wp-login.php.

Idées concrètes :

  • limiter le nombre d’essais de mot de passe,
  • activer des captchas,
  • utiliser des mots de passe solides,
  • restreindre les accès d’administration (par IP, VPN, etc., si possible).

Étape 3 : surveiller les signaux faibles

Quelques signaux qui doivent alerter :

  • site soudainement très lent, sans raison,
  • trafic multiplié par 5 ou 10, sans campagne marketing,
  • beaucoup de requêtes venant du même pays ou du même fournisseur d’accès.

Ce ne sont pas forcément de “bonnes nouvelles” :

cela peut signifier que des robots s’intéressent un peu trop à vous.

Étape 4 : accepter que le risque concerne tout le monde

Il ne s’agit pas de devenir parano, mais de sortir de l’illusion : “Nous sommes trop petits pour intéresser qui que ce soit.”

Les robots d’Internet ne regardent pas la taille de votre entreprise.

Ils testent ce qui est en ligne, point.

8. Et Auguria dans tout ça ?

Auguria ne vend pas de pare-feu, de licences de sécurité ou de solutions de cybersécurité.

Notre métier, c’est :

aider les entreprises à structurer et déployer leur système d’information autour d’Odoo,

pour que ce système soit utile, clair et pilotable.

Mais l’épisode que nous avons vécu nous rappelle une chose simple :

  • un bon système d’information n’est pas seulement “bien conçu” fonctionnellement,
  • il doit aussi être protégé, surveillé, et capable de tenir le coup quand Internet se réveille du mauvais pied.

Odoo, PrestaShop, WordPress, et les autres outils métiers ne sont plus de simples briques techniques.

Ce sont des actifs critiques.

La vraie question à se poser, en fin de lecture, est la suivante :

Aujourd’hui, vos sites, vos instances Odoo, vos boutiques en ligne :

sont-ils seuls face à Internet,

ou sont-ils déjà protégés par un véritable “vigile numérique” ?

Si la réponse n’est pas évidente,

c’est peut-être le bon moment pour y réfléchir sérieusement.

dans Blog
Partager cette publication
Étiquettes
Nos blogs
Lire le prochain
Intégrateur ERP, levier de performance
Comment Auguria transforme vos processus en avantage compétitif

Actualités Auguria