Site WordPress piraté : que faire dans l’ordre pour nettoyer et sécuriser son site

ParJulien
Expert en cybersécurité nettoyant un site WordPress piraté depuis un tableau de bord de sécurité informatique

Un site WordPress piraté peut presque toujours être récupéré, à condition d’agir dans le bon ordre : isoler le site, sauvegarder son état actuel, identifier l’origine de l’infection, nettoyer en profondeur, puis sécuriser pour éviter une réinfection. Cet article détaille les signes qui doivent alerter, les premières actions à mener dans l’heure, la méthode de nettoyage des fichiers et de la base de données, ainsi que la procédure de récupération auprès de Google Search Console.

Reconnaître les signes d’un site WordPress hacké

Avant toute action, encore faut-il confirmer que le site est réellement compromis. Plusieurs symptômes reviennent fréquemment en cas de piratage WordPress :

  • Des redirections inattendues vers des sites tiers, parfois uniquement visibles depuis les résultats de recherche.
  • Des pages inconnues indexées sur Google, souvent en langue étrangère (spam SEO japonais ou chinois notamment).
  • Une alerte directe de Google, par e-mail ou dans Search Console, signalant un contenu piraté ou dangereux.
  • De nouveaux comptes administrateurs créés sans votre intervention.
  • Une perte d’accès au tableau de bord wp-admin, avec un mot de passe qui ne fonctionne plus.
  • Des fichiers modifiés récemment sans action de votre part, visibles via l’hébergeur ou un client FTP.
  • Une lenteur brutale du site ou une consommation anormale de ressources serveur.

La présence d’un seul de ces signes ne suffit pas toujours à conclure à un piratage, mais leur cumul, ou une alerte officielle de Google, doit déclencher une vérification immédiate. Un test simple consiste à ouvrir le site depuis une navigation privée et un appareil différent : certaines redirections malveillantes ne s’affichent que pour les visiteurs venant des résultats de recherche, et restent invisibles lorsque l’administrateur consulte directement son site.

Isoler le site et prévenir l’hébergeur sans attendre

Dès qu’un piratage est suspecté, la priorité est de limiter les dégâts plutôt que de se précipiter sur le nettoyage. Trois actions doivent être menées rapidement :

Mettre le site en mode maintenance ou le rendre temporairement inaccessible permet d’éviter que les visiteurs ne soient exposés à un contenu malveillant ou à une redirection dangereuse. Contacter l’hébergeur est tout aussi important : beaucoup disposent d’outils de détection de malware et peuvent indiquer si d’autres sites mutualisés sont concernés, ou isoler le compte du reste du serveur.

Changer immédiatement les mots de passe critiques constitue la troisième urgence : accès wp-admin, base de données, FTP/SFTP, et compte d’hébergement lui-même. Si un accès administrateur a été compromis, il faut considérer que tous les mots de passe associés au site doivent être renouvelés, pas seulement celui de l’utilisateur visiblement touché.

Sauvegarder l’état infecté avant de nettoyer quoi que ce soit

Cette étape est souvent négligée, alors qu’elle est essentielle. Avant de supprimer ou modifier un seul fichier, il faut réaliser une sauvegarde complète du site dans son état actuel, fichiers et base de données compris. Cette copie sert de référence en cas d’erreur pendant le nettoyage, et peut être utile pour identifier précisément la faille exploitée.

Lire aussi :  Création site internet Sausheim : quelle solution pour votre activité

Cette sauvegarde de l’état piraté ne doit jamais être confondue avec une sauvegarde saine destinée à la restauration : elle sert uniquement d’archive de travail, à conserver à l’écart du site en ligne.

Identifier l’origine de l’infection avant d’agir

Nettoyer un site sans comprendre comment l’attaque a eu lieu expose à une réinfection rapide, parfois en quelques heures. L’identification passe par plusieurs vérifications :

  • Examiner les fichiers modifiés récemment, en comparant les dates avec votre dernière intervention connue sur le site.
  • Vérifier la liste des comptes administrateurs et supprimer ceux qui n’ont pas été créés volontairement.
  • Contrôler les plugins et thèmes installés, en particulier les versions non mises à jour ou téléchargées hors du répertoire officiel WordPress.
  • Inspecter la base de données WordPress à la recherche d’injections suspectes, notamment dans les tables d’options et de contenus.

Les failles les plus courantes proviennent d’un plugin ou d’un thème obsolète, d’un mot de passe faible ou réutilisé, ou d’une extension téléchargée sur un site non officiel (souvent une version « nulled » d’un plugin premium).

Restaurer une sauvegarde saine, sous conditions strictes

Restaurer une sauvegarde antérieure au piratage peut sembler être la solution la plus rapide, mais elle comporte un piège fréquent : si la faille à l’origine de l’infection n’est pas corrigée, le site restauré peut être piraté à nouveau en quelques jours, voire quelques heures.

Avant de restaurer une sauvegarde WordPress, trois vérifications s’imposent : confirmer que la date de la sauvegarde est bien antérieure aux premiers signes d’infection, vérifier qu’elle ne contient pas elle-même de fichiers compromis, et identifier la faille exploitée pour la corriger avant la remise en ligne. Si aucune sauvegarde fiable n’existe, le nettoyage manuel des fichiers et de la base de données devient la seule option.

Nettoyer les fichiers WordPress, plugins et thèmes infectés

Le nettoyage proprement dit suit une logique simple : remplacer ce qui peut l’être par des versions officielles propres, et examiner ce qui ne peut pas être remplacé.

Les fichiers du cœur de WordPress (wp-admin, wp-includes, et les fichiers à la racine) peuvent être entièrement supprimés et réinstallés depuis une version téléchargée sur le site officiel WordPress.org, à l’exception du dossier wp-content et du fichier wp-config.php qui contiennent vos données spécifiques.

Les plugins et thèmes doivent être traités de la même façon : suppression complète, puis réinstallation depuis leurs sources officielles (répertoire WordPress.org ou site de l’éditeur pour les extensions premium). Un plugin ou thème qui ne peut pas être retéléchargé depuis une source fiable doit être considéré comme suspect et écarté, même s’il semblait fonctionner normalement.

Le dossier uploads mérite une attention particulière : il ne doit contenir que des fichiers médias (images, documents), jamais de fichiers PHP exécutables. La présence d’un fichier .php dans ce dossier est presque toujours le signe d’un script malveillant déposé par l’attaquant.

Vérifier et nettoyer la base de données WordPress

La base de données WordPress peut elle aussi contenir du code injecté, en particulier dans les tables wp_options, wp_posts et wp_users. Les signes à rechercher incluent des scripts JavaScript insérés dans le contenu des articles ou des widgets, des valeurs d’options modifiées pointant vers des domaines inconnus, ou des comptes utilisateurs créés avec des adresses e-mail suspectes.

Élément à vérifierSigne d’infection fréquentAction recommandéeNiveau d’urgence
Fichiers core WordPressFichiers modifiés hors mise à jourRéinstaller depuis WordPress.orgÉlevé
Dossier uploadsPrésence de fichiers .phpSupprimer immédiatementÉlevé
Table wp_usersComptes admin inconnusSupprimer les comptes suspectsÉlevé
Table wp_optionsValeurs pointant vers domaines tiersComparer avec une sauvegarde saineMoyen

En cas de doute sur l’ampleur de l’infection dans la base de données, faire appel à un professionnel spécialisé en nettoyage WordPress limite le risque d’oublier une injection persistante.

Lire aussi :  Refonte WordPress : comment moderniser son site sans perdre son SEO

Sécuriser WordPress après le nettoyage pour éviter une récidive

Le nettoyage seul ne suffit pas si la cause initiale n’est pas traitée : une réinfection après restauration est statistiquement fréquente lorsque la faille reste ouverte. Plusieurs mesures doivent être mises en place systématiquement après un piratage :

  • Mettre à jour WordPress, tous les plugins et le thème actif vers leurs dernières versions stables.
  • Définir des mots de passe forts et uniques pour tous les comptes, en particulier les comptes administrateurs.
  • Activer la double authentification (2FA) sur les accès wp-admin.
  • Limiter le nombre de tentatives de connexion pour bloquer les attaques par force brute.
  • Supprimer les plugins et thèmes inutilisés, même désactivés, car ils restent une surface d’attaque potentielle.
  • Vérifier et restreindre les permissions des fichiers et dossiers sur le serveur.
  • Mettre en place des sauvegardes automatiques régulières, stockées en dehors du serveur d’hébergement.
  • Installer un plugin de sécurité reconnu pour la surveillance des fichiers et la détection d’intrusions.

Multiplier les plugins de sécurité n’apporte pas de protection supplémentaire et peut au contraire créer des conflits techniques : un plugin de sécurité bien configuré suffit dans la grande majorité des cas.

Vérifier Search Console et récupérer la visibilité SEO

Un piratage WordPress peut avoir un impact direct sur le référencement : pages spam indexées, redirections malveillantes détectées par Google, voire désindexation temporaire du site. La Search Console est l’outil de référence pour mesurer et corriger ces dégâts.

La section « Sécurité et actions manuelles » indique si Google a détecté un problème de sécurité sur le site et précise sa nature : contenu piraté, logiciel malveillant ou ingénierie sociale. Il faut également vérifier la liste des URLs indexées pour repérer d’éventuelles pages spam créées par l’attaquant, et contrôler que le sitemap n’a pas été modifié pour pointer vers du contenu indésirable.

Une fois le nettoyage terminé et la faille corrigée, une demande de réexamen peut être soumise directement depuis la section sécurité de Search Console. Cette demande ne doit être envoyée qu’après un nettoyage complet et vérifié : une demande prématurée, alors que le problème persiste encore partiellement, peut allonger le délai de traitement et nuire à la crédibilité des demandes suivantes. Le traitement prend généralement de quelques jours à plusieurs semaines selon la nature du problème signalé, et un e-mail de confirmation est envoyé dès la réception de la demande, puis un second à l’issue de l’examen. Il est préférable d’attendre cette réponse avant d’envoyer une nouvelle demande, même si l’avertissement semble persister plus longtemps que prévu.

Les erreurs qui aggravent un piratage WordPress

Certains réflexes, pourtant naturels face à l’urgence, peuvent compliquer la récupération du site :

  • Supprimer des fichiers au hasard sans sauvegarde préalable, au risque de casser des fonctionnalités essentielles sans pour autant éliminer l’infection.
  • Installer plusieurs plugins de sécurité simultanément, ce qui génère des conflits et ralentit le site sans améliorer la protection.
  • Restaurer une sauvegarde sans vérifier qu’elle est saine, ce qui peut simplement réinstaller le malware.
  • Oublier de changer les accès FTP et hébergement, en se concentrant uniquement sur le mot de passe wp-admin.
  • Envoyer une demande de réexamen Google avant d’avoir terminé le nettoyage complet du site.

Agir méthodiquement pour restaurer un site fiable et sécurisé 🔒

Un site WordPress piraté n’est pas une fatalité, mais sa récupération dépend entièrement de la méthode suivie : isoler avant d’agir, sauvegarder avant de nettoyer, identifier la faille avant de restaurer, puis sécuriser durablement avant de demander un réexamen à Google. Pour les sites e-commerce, les sites clients ou les infections récurrentes malgré plusieurs tentatives de nettoyage, l’intervention d’un professionnel spécialisé reste la solution la plus sûre pour garantir un nettoyage complet et une sécurisation durable.

Publications similaires :

  1. Référencer son entreprise sur Google : le guide complet pour apparaître sur Maps et dans les recherches locales
  2. Refonte WordPress : comment moderniser son site sans perdre son SEO
  3. Créer une adresse Gmail : le guide pour ouvrir son compte gratuitement
  4. Création site internet Sausheim : quelle solution pour votre activité

Curieux du web et des outils numériques, Julien aime rendre l’informatique plus simple à comprendre. À travers Elsassnet, il partage des repères clairs, des conseils pratiques et un regard accessible sur les usages digitaux du quotidien.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *