Maintenance Web WordPress

Site WordPress piraté : que faire en urgence ?

Votre site WordPress a été piraté ? Suivez ce guide étape par étape pour identifier le piratage, nettoyer votre site et éviter une récidive.

Par Maintenance Web WordPress10 min de lecture
Site WordPress piraté : que faire en urgence ?

Votre site WordPress est-il vraiment piraté ?

Chaque jour, plus de 90 000 sites WordPress sont piratés dans le monde. Si vous suspectez que votre site WordPress a été compromis, chaque minute compte : les pirates utilisent votre site pour diffuser des malwares, envoyer des spams ou voler des données clients. Voici comment réagir.

Signes évidents d'un site WordPress piraté

  • Redirections inattendues : vos visiteurs sont redirigés vers des sites de casino, pharmacie ou contenu adulte
  • Avertissement Google : "Ce site risque d'endommager votre ordinateur" dans les résultats de recherche
  • Hébergeur suspend le compte : email d'alerte pour activité malveillante ou spam
  • Contenu inconnu : pages, articles ou liens que vous n'avez pas créés apparaissent sur le site
  • Compte admin inconnu : un utilisateur administrateur que vous n'avez pas créé existe dans WordPress
  • Performance dégradée soudainement : le site est anormalement lent sans raison technique apparente
  • Google Search Console alerte : notifications de contenu piraté ou de malwares détectés

Signes plus discrets (souvent ignorés)

  • Fichiers PHP modifiés récemment dans wp-content/uploads (vérifier via FTP)
  • Emails envoyés depuis votre domaine sans votre accord (spam blacklist)
  • Nouveau fichier index.php ou .htaccess modifié à la racine
  • Code base64_decode() ou eval() dans vos fichiers PHP (injection de code)

Étape 1 : Mettre le site en maintenance immédiatement

Avant toute chose, protégez vos visiteurs. Activez le mode maintenance pour qu'aucun internaute ne soit exposé au contenu malveillant pendant le nettoyage.

Si vous avez accès à wp-admin : installez le plugin WP Maintenance Mode. Si wp-admin est inaccessible, créez un fichier .maintenance à la racine de votre site (WordPress affichera automatiquement une page de maintenance).

Étape 2 : Changer tous les mots de passe

En urgence, modifiez :

  • Mot de passe du compte administrateur WordPress (et tous les comptes éditeurs)
  • Mot de passe FTP / SFTP de l'hébergeur
  • Mot de passe de la base de données MySQL (dans wp-config.php)
  • Mot de passe du panneau d'administration de l'hébergeur (cPanel, Plesk...)
  • Mot de passe de l'email lié au compte admin WordPress

Utilisez des mots de passe d'au moins 20 caractères avec chiffres, majuscules et caractères spéciaux. Un gestionnaire comme Bitwarden simplifie cette étape.

Étape 3 : Identifier l'étendue du piratage

Plusieurs outils gratuits permettent de scanner votre site WordPress :

Outils de scan en ligne

  • Sucuri SiteCheck (sitecheck.sucuri.net) : détecte malwares, blacklists et code malveillant visible
  • VirusTotal : analyse votre URL avec 70+ antivirus
  • Google Safe Browsing : transparencyreport.google.com/safe-browsing/search
  • MXToolbox Blacklist Check : vérifie si votre domaine est blacklisté pour spam

Scan depuis WordPress

Le plugin Wordfence Security (gratuit) effectue un scan complet des fichiers WordPress contre sa base de signatures malwares. Il identifie les fichiers modifiés et le code suspect.

Étape 4 : Nettoyer ou restaurer

Deux approches selon la gravité du piratage :

Option A : Restaurer depuis une sauvegarde propre

Si vous avez une sauvegarde récente (avant le piratage), c'est la méthode la plus sûre et la plus rapide. Restaurez la sauvegarde, puis mettez à jour WordPress, tous les plugins et thèmes vers leurs dernières versions — le vecteur d'entrée du pirate doit être fermé.

Attention : si votre dernière sauvegarde est déjà infectée, la restauration réintroduira le malware. Vérifiez la date du piratage avant de choisir quelle sauvegarde restaurer.

Option B : Nettoyage manuel des fichiers infectés

Sans sauvegarde propre, le nettoyage manuel est nécessaire :

  1. Télécharger une version fraîche de WordPress et remplacer les dossiers wp-admin et wp-includes (ne pas toucher wp-content)
  2. Examiner wp-content/plugins et wp-content/themes pour du code suspect
  3. Vérifier wp-config.php et .htaccess pour des injections
  4. Scanner la base de données pour des liens ou scripts malveillants (via phpMyAdmin)
  5. Supprimer les comptes administrateurs non reconnus

Étape 5 : Soumettre le site à Google pour réexamen

Si Google a blacklisté votre site (Safe Browsing), après le nettoyage vous devez demander un réexamen :

  1. Vérifiez que votre site est dans Google Search Console
  2. Allez dans "Questions de sécurité et actions manuelles"
  3. Demandez un réexamen en expliquant les mesures prises

Google lève généralement l'avertissement en 24-72h après confirmation du nettoyage.

Comment éviter que ça recommence

Un site WordPress piraté une fois est souvent repiraté rapidement si les failles ne sont pas corrigées. Les mesures de protection essentielles :

  • Mises à jour automatiques : WordPress core, plugins et thèmes en version à jour
  • Mots de passe forts + double authentification (2FA) sur wp-admin
  • Firewall applicatif (WAF) : Cloudflare (gratuit) ou Wordfence Premium
  • Sauvegardes quotidiennes stockées hors du serveur (cloud)
  • Surveillance continue : alertes en temps réel en cas d'anomalie
  • Limiter les tentatives de connexion : bloquer les attaques brute-force
  • Masquer la page /wp-admin : changer l'URL de connexion
  • Supprimer les plugins et thèmes inutilisés

Faire appel à un expert : quand et pourquoi

Le nettoyage d'un site WordPress piraté est technique, stressant et chronophage. Si votre site est votre outil de travail principal (e-commerce, prise de rendez-vous, génération de leads), chaque heure d'indisponibilité a un coût direct.

Notre équipe intervient sous 4h pour les situations d'urgence : nettoyage complet, suppression des malwares, renforcement de la sécurité et surveillance post-nettoyage pendant 30 jours.

Demander une intervention d'urgence →

Pour éviter d'en arriver là, notre service de sécurité WordPress inclut une surveillance proactive, un firewall WAF et des sauvegardes quotidiennes hors-site.

Tags :

#piratage#securite#wordpress#malware#hack

Besoin d'aide avec votre WordPress ?

Nous vous proposons un audit gratuit de votre site et un plan d'action personnalisé.

Demander un audit gratuit

Articles similaires

Pourquoi la maintenance WordPress est obligatoire (risques ignorés)

Les 5 risques majeurs ignorés par 80% des sites WordPress. Stats, cas concrets et plan de sécurisation.