WordPress pirate : ces deux mots suffisent a provoquer une montee de stress chez tout proprietaire de site web. Vous ouvrez votre site et quelque chose ne va pas. Des redirections etranges, des pages que vous n’avez jamais creees, un avertissement de Google en rouge… Le constat est brutal : votre site a ete compromis.
Vous n’etes pas seul dans cette situation. Selon les rapports de Sucuri, pres de 90 000 sites WordPress sont pirates chaque jour dans le monde. Ce chiffre vertigineux s’explique par la popularite du CMS, qui propulse plus de 43 % des sites web mondiaux, et par les nombreuses failles exploitables lorsque la securite n’est pas prise au serieux.
Si votre WordPress est pirate, la bonne nouvelle est qu’il est presque toujours possible de recuperer votre site. Encore faut-il agir vite, avec methode, et eviter les erreurs qui aggraveraient la situation. C’est exactement ce que ce guide va vous permettre de faire.
Que vous geriez un site vitrine pour votre activite a Montpellier, une boutique en ligne ou un blog a fort trafic, vous trouverez ici toutes les etapes pour nettoyer, securiser et proteger durablement votre installation WordPress. Et si vous avez besoin d’une aide immediate, notre equipe propose une intervention d’urgence WordPress pirate avec prise en charge rapide.
Les 10 signes qui indiquent que votre WordPress est pirate
Avant de passer a l’action, il faut d’abord confirmer le diagnostic. Un WordPress pirate ne se manifeste pas toujours de maniere evidente. Certains piratages restent silencieux pendant des semaines. Voici les dix signaux d’alerte les plus courants.
1. Redirections vers des sites suspects
C’est le symptome le plus visible d’un site compromis. Vos visiteurs sont automatiquement rediriges vers des pages de phishing, des sites de jeux en ligne ou des pages publicitaires frauduleuses. Cette redirection peut ne se produire que sur mobile ou uniquement pour les visiteurs provenant de Google, ce qui rend la detection plus difficile pour le proprietaire du site.
2. Pages inconnues indexees par Google
En tapant site:votredomaine.fr dans Google, vous decouvrez des centaines de pages que vous n’avez jamais creees. Ces pages en japonais, en turc ou bourrées de mots-cles pharmaceutiques sont injectees par les pirates pour exploiter l’autorite de votre domaine. Ce type de piratage, appele « Japanese keyword hack » ou « pharma hack », est extremement frequent sur les installations WordPress negligees.
3. Comptes administrateurs inconnus
Rendez-vous dans la section Utilisateurs de votre tableau de bord. Si vous voyez des comptes avec le role Administrateur que vous n’avez pas crees, votre site a ete compromis. Les attaquants creent ces comptes pour conserver un acces meme apres un changement de mot de passe.
4. Fichiers modifies ou inconnus
Des fichiers PHP suspects apparaissent a la racine de votre installation ou dans le dossier wp-content/uploads/. Des fichiers legitimes comme wp-config.php ou functions.php ont ete modifies a des dates recentes sans intervention de votre part. C’est un signe classique d’injection de code malveillant.
5. Message d’avertissement de Google
Google affiche un ecran rouge avec le message « Ce site risque d’endommager votre ordinateur » ou « Site trompeur ». Votre site est alors desindexe ou signale dans les resultats de recherche. La Google Search Console vous envoie egalement des notifications de securite. Cette situation fait chuter votre trafic de maniere brutale.
6. Ralentissement anormal du site
Votre site, habituellement rapide, devient soudainement tres lent. Les temps de chargement explosent. Ce ralentissement peut etre cause par des scripts de minage de cryptomonnaie injectes dans votre code, ou par des processus malveillants qui surchargent votre serveur. Un site compromis consomme souvent des ressources serveur considerables.
7. Envoi de spam depuis votre serveur
Votre hebergeur vous informe que votre compte envoie des volumes anormaux d’emails. Votre domaine se retrouve sur des listes noires (blacklists). Les emails legitimes de votre entreprise atterrissent dans les spams de vos correspondants. Les pirates utilisent votre serveur comme relais pour envoyer des campagnes de phishing ou de spam massif.
8. Liens caches dans vos pages
En inspectant le code source de vos pages, vous decouvrez des liens dissimules pointant vers des sites tiers. Ces liens sont souvent rendus invisibles par du CSS (display:none ou positionnement hors ecran). L’objectif est de detourner votre referencement au profit de sites malveillants.
9. Fichiers .php suspects dans les dossiers d’uploads
Le dossier wp-content/uploads/ ne devrait contenir que des images, des PDF et des documents. Si vous y trouvez des fichiers avec l’extension .php, c’est un indicateur serieux de compromission. Ces fichiers servent generalement de « porte derobee » (backdoor) permettant aux pirates de revenir meme apres un nettoyage superficiel.
10. Alertes de votre hebergeur
Votre hebergeur suspend votre compte ou vous envoie un email d’alerte signalant une activite malveillante. Les hebergeurs disposent de systemes de detection automatiques et reagissent lorsqu’un site compromis menace la securite de leur infrastructure. Si votre hebergeur vous contacte, prenez la situation au serieux immediatement.
Si vous reconnaissez un ou plusieurs de ces signes, il est temps d’agir. Votre site est probablement compromis et chaque heure d’inaction augmente les degats : perte de donnees, degradation du referencement, atteinte a votre reputation aupres de vos clients.
Les 8 etapes pour nettoyer un WordPress pirate
Le nettoyage d’un WordPress pirate demande de la rigueur et de la methode. Bruler les etapes ou oublier un element peut laisser une porte ouverte aux attaquants. Voici la procedure complete, dans l’ordre.
Etape 1 : Passer le site en mode maintenance
Avant toute chose, activez le mode maintenance pour empecher vos visiteurs d’acceder a un site compromis. Cela protege vos utilisateurs et votre reputation. Si vous avez encore acces au tableau de bord, installez une extension de maintenance. Sinon, creez un fichier .maintenance a la racine de votre installation ou demandez a votre hebergeur de suspendre temporairement l’affichage du site.
Etape 2 : Changer tous les mots de passe
Changez immediatement tous les mots de passe associes a votre site : compte administrateur WordPress, acces FTP/SFTP, base de donnees MySQL, panneau de controle hebergeur (cPanel, Plesk), et compte email associe. Utilisez des mots de passe forts d’au moins 16 caracteres melangeant majuscules, minuscules, chiffres et caracteres speciaux. Regenerez egalement les cles de securite dans votre fichier wp-config.php (les « salts ») pour invalider toutes les sessions existantes.
Etape 3 : Scanner le site avec des outils specialises
Lancez un scan complet de votre installation avec des outils reconnus comme Wordfence ou Sucuri SiteCheck. Ces outils comparent vos fichiers aux versions officielles du noyau WordPress et detectent les modifications suspectes, les fichiers malveillants et les vulnerabilites connues. Notez tous les elements signales avant de passer au nettoyage. Si votre site est totalement inaccessible, effectuez le scan directement sur les fichiers via FTP.
Etape 4 : Supprimer le code malveillant et les backdoors
Supprimez tous les fichiers identifies comme malveillants par le scan. Recherchez manuellement les patterns suspects dans vos fichiers : eval(, base64_decode(, gzinflate(, str_rot13(. Verifiez en particulier le fichier functions.php de votre theme, le fichier .htaccess et le fichier wp-config.php. Supprimez tout compte administrateur que vous n’avez pas cree. Cette etape est la plus delicate et la plus importante du processus de recuperation d’un site compromis.
Etape 5 : Reinstaller les fichiers du noyau WordPress
Telechargez une copie fraiche de WordPress depuis wordpress.org et remplacez l’integralite des dossiers wp-admin/ et wp-includes/ ainsi que les fichiers a la racine (sauf wp-config.php que vous avez deja nettoye). Reinstallez egalement vos plugins et votre theme depuis des sources officielles. Ne conservez jamais les anciens fichiers de plugins : supprimez et reinstallez proprement.
Etape 6 : Verifier la base de donnees
Les pirates injectent parfois du code directement dans la base de donnees. Accedez a phpMyAdmin et verifiez la table wp_users pour detecter des comptes suspects. Examinez la table wp_options, en particulier les champs siteurl et home qui peuvent avoir ete modifies. Recherchez les contenus suspects dans la table wp_posts en filtrant les articles ou pages contenant des iframes ou des scripts inconnus.
Etape 7 : Restaurer une sauvegarde saine si necessaire
Si le nettoyage manuel s’avere trop complexe ou si l’etendue de la compromission est trop importante, restaurez une sauvegarde anterieure au piratage. Assurez-vous que cette sauvegarde est effectivement saine en la scannant avant la restauration. Apres restauration, appliquez immediatement toutes les mises a jour disponibles et changez a nouveau tous les mots de passe. Attention : une restauration sans correction de la faille initiale vous expose a un nouveau piratage.
Etape 8 : Demander un reexamen a Google
Si Google a signale votre site comme dangereux, rendez-vous dans la Google Search Console, section « Problemes de securite ». Apres avoir nettoye votre site, cliquez sur « Demander un examen » en decrivant les mesures correctives que vous avez prises. Google analyse generalement votre site sous 24 a 72 heures. Si le nettoyage est complet, l’avertissement sera leve et votre site retrouvera progressivement sa position dans les resultats de recherche.
Ces huit etapes constituent la procedure standard pour recuperer un site WordPress pirate. Si vous n’etes pas a l’aise avec les manipulations techniques, ne prenez pas de risque : une erreur peut aggraver la situation. Notre equipe intervient quotidiennement sur ce type de problematique avec un processus eprouve.
Les causes frequentes d’un piratage WordPress
Comprendre comment votre site a ete compromis est indispensable pour eviter que la situation ne se reproduise. Dans la grande majorite des cas, le piratage n’est pas le fait d’un attaquant cible : ce sont des robots automatises qui exploitent des failles connues a grande echelle. Voici les causes les plus courantes.
Plugins et themes obsoletes (52 % des piratages)
C’est la cause numero un. Les plugins et les themes qui ne sont pas mis a jour contiennent des vulnerabilites connues et documentees publiquement. Les pirates n’ont meme pas besoin de chercher : ils exploitent automatiquement les failles referencees dans les bases de donnees CVE. Un seul plugin obsolete suffit a compromettre l’ensemble de votre installation. Plus votre site comporte de plugins, plus la surface d’attaque est grande.
Mots de passe faibles
Les attaques par force brute restent un vecteur de compromission majeur. Les robots testent automatiquement des milliers de combinaisons identifiant/mot de passe sur votre page de connexion wp-login.php. Si votre mot de passe est « admin123 », « motdepasse » ou le nom de votre entreprise suivi de l’annee, il sera trouve en quelques minutes. Un mot de passe faible sur le compte FTP ou la base de donnees est tout aussi dangereux.
Plugins et themes pirates (nulled)
Telecharger des plugins ou des themes premium depuis des sources non officielles est l’un des moyens les plus surs de se faire pirater. Ces versions « nulled » ou « crackees » contiennent presque systematiquement des backdoors et du code malveillant. L’economie realisee sur le cout de la licence se paie au centuple lorsque votre site est compromis et que vous devez payer une intervention de nettoyage.
Hebergement peu securise
Un hebergement mutualise bas de gamme peut exposer votre site aux vulnerabilites des autres sites heberges sur le meme serveur. Si un site voisin est pirate, l’attaquant peut parfois acceder a vos fichiers par contamination croisee. L’absence de pare-feu applicatif (WAF), de detection d’intrusion ou de versions PHP a jour sur le serveur augmente considerablement le risque.
Absence de certificat SSL
Un site sans HTTPS transmet toutes les donnees en clair, y compris les identifiants de connexion. Sur un reseau non securise (Wi-Fi public par exemple), ces informations peuvent etre interceptees par un attaquant. Au-dela de la securite, l’absence de SSL penalise egalement votre referencement puisque Google favorise les sites en HTTPS depuis plusieurs annees.
Dans la plupart des cas, un WordPress pirate est la consequence d’une accumulation de negligences. Aucune de ces failles n’est insurmontable, mais elles exigent une vigilance constante et une gestion rigoureuse de votre installation.
Votre WordPress est pirate ? Ne restez pas seul face a cette situation.
Notre equipe intervient en urgence pour nettoyer et securiser votre site. Diagnostic gratuit, intervention rapide, resultats garantis.
7 mesures pour securiser durablement votre WordPress
Nettoyer un WordPress pirate ne suffit pas. Si vous ne corrigez pas les failles qui ont permis l’intrusion, votre site sera de nouveau compromis dans les semaines ou les mois qui suivent. Voici les sept mesures de securisation que nous recommandons a tous nos clients, qu’ils gerent un site vitrine ou une boutique en ligne.
1. Installer un plugin de securite robuste (Wordfence ou Sucuri)
Un plugin de securite constitue votre premiere ligne de defense. Wordfence, avec sa version gratuite deja tres complete, propose un pare-feu applicatif, un scanner de malwares, une protection contre les attaques par force brute et un monitoring en temps reel. Sucuri offre des fonctionnalites similaires avec en plus un CDN/WAF cloud qui filtre le trafic malveillant avant meme qu’il n’atteigne votre serveur. Configurez les alertes email pour etre prevenu immediatement en cas d’activite suspecte.
2. Activer l’authentification a deux facteurs (2FA)
L’authentification a deux facteurs ajoute une couche de protection decisive a votre connexion. Meme si un attaquant decouvre votre mot de passe, il ne pourra pas se connecter sans le code temporaire genere par votre application d’authentification (Google Authenticator, Authy). Activez le 2FA pour tous les comptes ayant un role d’editeur ou superieur. C’est l’une des mesures les plus simples et les plus efficaces contre le piratage.
3. Limiter les tentatives de connexion
Par defaut, WordPress autorise un nombre illimite de tentatives de connexion. C’est une invitation aux attaques par force brute. Configurez une limitation a 3 ou 5 tentatives avant blocage temporaire de l’adresse IP. Les plugins Wordfence ou Limit Login Attempts Reloaded permettent de mettre cela en place en quelques clics. Vous pouvez egalement modifier l’URL de connexion par defaut (wp-login.php) pour une adresse personnalisee.
4. Activer les mises a jour automatiques
Depuis WordPress 5.6, il est possible d’activer les mises a jour automatiques pour le noyau, les plugins et les themes directement depuis le tableau de bord. Activez au minimum les mises a jour de securite du noyau et les mises a jour des plugins WordPress indispensables. Pour les mises a jour majeures, un processus de test prealable sur un environnement de staging est recommande pour eviter les incompatibilites.
5. Mettre en place des sauvegardes automatiques
Une sauvegarde recente et saine est votre meilleure assurance en cas de piratage. Configurez des sauvegardes automatiques quotidiennes avec un plugin comme UpdraftPlus. Stockez les sauvegardes sur un service externe (Google Drive, Dropbox, Amazon S3) et non sur le meme serveur que votre site. Conservez au moins 30 jours d’historique pour pouvoir restaurer une version anterieure au piratage si celui-ci est detecte tardivement.
6. Modifier le prefixe des tables de la base de donnees
Par defaut, WordPress utilise le prefixe wp_ pour toutes ses tables. Ce prefixe standard facilite les attaques par injection SQL puisque l’attaquant connait d’avance la structure de votre base. Modifiez ce prefixe lors de l’installation ou apres coup a l’aide d’un plugin dedie. Choisissez un prefixe aleatoire comme x7k2_ pour compliquer la tache des scripts automatises.
7. Souscrire un contrat de maintenance WordPress
La securite d’un site WordPress n’est pas un evenement ponctuel, c’est un processus continu. Un contrat de maintenance WordPress professionnel garantit des mises a jour regulieres, une surveillance permanente, des sauvegardes verifiees et une intervention rapide en cas de probleme. C’est l’investissement le plus rentable pour la perennite de votre site web.
Comparatif des mesures de securisation
| Mesure | Cout | Niveau de protection |
|---|---|---|
| Plugin Wordfence (gratuit) | 0 EUR | Eleve |
| Wordfence Premium | 119 EUR/an | Tres eleve |
| Authentification 2FA | 0 EUR | Tres eleve |
| Limitation tentatives de connexion | 0 EUR | Moyen |
| Mises a jour automatiques | 0 EUR | Eleve |
| Sauvegardes UpdraftPlus | 0 a 70 EUR/an | Indispensable |
| Modification prefixe BDD | 0 EUR | Moyen |
| Contrat de maintenance professionnel | 50 a 150 EUR/mois | Maximum |
La combinaison de ces mesures cree un dispositif de securite WordPress solide qui dissuade la grande majorite des attaques automatisees. Aucune protection n’est infaillible, mais un site bien securise devient une cible beaucoup moins attractive pour les pirates.
WordPress pirate : faire soi-meme ou faire appel a un professionnel ?
Face a un WordPress pirate, la question se pose inevitablement : tenter de resoudre le probleme seul ou confier l’intervention a un expert ? Les deux approches ont leurs merites, mais les consequences d’un mauvais choix peuvent etre lourdes.
Le nettoyage en autonomie (DIY)
Si vous avez des competences techniques solides en PHP, en gestion de bases de donnees et en administration serveur, il est possible de nettoyer votre site vous-meme en suivant les etapes decrites dans ce guide. L’avantage principal est evidemment le cout : l’intervention est gratuite, hors le temps que vous y consacrez.
Cependant, les chiffres sont eloquents : environ 40 % des sites nettoyes par leurs proprietaires sont de nouveau pirates dans les trois mois. La raison est simple : sans expertise approfondie, il est extremement difficile d’identifier et de supprimer toutes les backdoors dissimulees dans le code. Un seul fichier oublie et l’attaquant revient. De plus, le temps passe a chercher, comprendre et nettoyer represente souvent plusieurs jours de travail, pendant lesquels votre site reste hors service ou compromis.
L’intervention d’un professionnel
Un specialiste en securite WordPress facture generalement entre 200 et 800 EUR pour une intervention complete de nettoyage et de securisation. Ce tarif inclut le diagnostic approfondi, la suppression de tous les malwares et backdoors, la reinstallation propre, le durcissement de la securite et souvent une garantie de resultat.
L’avantage decisif du professionnel est son experience. Il sait exactement ou chercher les backdoors, quels fichiers verifier, comment auditer la base de donnees et quelles mesures de securisation appliquer pour eviter la recidive. L’intervention est generalement terminee en quelques heures au lieu de plusieurs jours.
Notre intervention a Site Web Montpellier
Chez Site Web Montpellier, nous intervenons sur les sites compromis avec un engagement de prise en charge sous 24 a 48 heures. Notre processus comprend un audit complet de la compromission, un nettoyage integral avec verification manuelle, la mise en place des mesures de securisation, un rapport detaille de l’intervention et un suivi post-nettoyage pour garantir qu’aucune backdoor n’a ete oubliee.
Nos clients partout en France font confiance a notre equipe pour retrouver un site sain et securise. Vous pouvez consulter nos realisations pour decouvrir les projets que nous accompagnons au quotidien.
| Critere | Nettoyage DIY | Intervention professionnelle |
|---|---|---|
| Cout | Gratuit (hors temps) | 200 a 800 EUR |
| Duree | 2 a 5 jours | 4 a 24 heures |
| Taux de reussite durable | ~60 % | ~95 % |
| Risque de re-piratage | Eleve (40 %) | Faible (< 5 %) |
| Garantie | Aucune | Generalement incluse |
| Securisation post-nettoyage | A votre charge | Incluse |
Le choix depend de votre niveau technique et de l’importance de votre site pour votre activite. Pour un site professionnel generant du chiffre d’affaires, l’intervention d’un specialiste est un investissement raisonnable qui vous evite des semaines de stress et de perte de revenus.
Conclusion : agir vite, agir bien
Un WordPress pirate n’est pas une fatalite, mais c’est une urgence. Chaque heure d’inaction permet aux attaquants d’approfondir leur emprise, de voler des donnees, de degrader votre referencement et de compromettre la confiance de vos visiteurs.
Les etapes sont claires : identifier les signes de compromission, nettoyer methodiquement votre installation, corriger les failles qui ont permis l’intrusion, puis mettre en place un dispositif de securisation durable. Que vous choisissiez d’intervenir vous-meme ou de confier la mission a un professionnel, l’essentiel est d’agir sans attendre.
Si votre site WordPress est pirate et que vous avez besoin d’une aide immediate, notre equipe est disponible pour une intervention d’urgence WordPress pirate. Diagnostic, nettoyage, securisation : nous prenons en charge l’integralite du processus pour que vous puissiez vous concentrer sur votre activite en toute serenite.
La securite de votre site web n’est pas un luxe. C’est une responsabilite envers vos visiteurs, vos clients et votre activite. Prenez-la au serieux, et votre WordPress restera un outil fiable et performant au service de votre reussite.
Questions frequentes sur le piratage WordPress
Combien de temps faut-il pour nettoyer un WordPress pirate ?
Le temps necessaire depend de l’ampleur de la compromission. Un nettoyage realise par un professionnel prend generalement entre 4 et 24 heures. En autonomie, comptez 2 a 5 jours si vous avez les competences techniques necessaires. Les cas les plus complexes, impliquant une contamination profonde de la base de donnees et de multiples backdoors, peuvent necessiter davantage de temps. L’important est de ne pas precipiter le nettoyage au risque de laisser des portes ouvertes.
Mon site pirate peut-il infecter les ordinateurs de mes visiteurs ?
Oui, c’est possible. Certains types de piratage injectent des scripts qui tentent de telecharger des malwares sur l’ordinateur des visiteurs ou de les rediriger vers des pages de phishing. C’est pourquoi il est essentiel de passer votre site en mode maintenance des la detection du piratage. Votre responsabilite juridique peut egalement etre engagee si des donnees personnelles de vos utilisateurs sont compromises, conformement au RGPD.
Comment savoir si mon site WordPress a deja ete pirate sans signe visible ?
Certains piratages sont volontairement discrets. Pour les detecter, effectuez regulierement un scan avec Wordfence ou Sucuri SiteCheck. Verifiez les fichiers modifies recemment via FTP, controlez la liste des comptes administrateurs et surveillez les pages indexees par Google avec la commande site:votredomaine.fr. Un plugin de monitoring comme Wordfence peut egalement vous alerter en temps reel de toute modification suspecte de vos fichiers.
Mon hebergeur est-il responsable si mon WordPress est pirate ?
Dans la plupart des cas, non. L’hebergeur est responsable de la securite de son infrastructure serveur, mais la securite de votre installation WordPress (mises a jour, mots de passe, choix des plugins) releve de votre responsabilite en tant que proprietaire du site. Cela dit, un hebergeur de qualite propose des protections supplementaires comme un pare-feu applicatif, des sauvegardes automatiques et une isolation entre les comptes. Le choix de votre hebergeur a donc un impact reel sur votre niveau de securite.
