Sécurité WordPress Guide complet Par Yohann LE DU Publié le 6 mai 2026 Mis à jour le 7 mai 2026 15 min de lecture

Comment se déroule le piratage d'un site WordPress (et comment l'éviter)

Chaque jour, des dizaines de milliers de sites WordPress sont attaqués. Comprendre comment ça fonctionne, c'est la première étape pour s'en protéger.

Sommaire

  1. Pourquoi WordPress est une cible privilégiée
  2. Les failles exploitées par les hackers
  3. Les étapes d'un piratage
  4. Signes que votre site est piraté
  5. Pourquoi les attaques sont massives
  6. Peut-on empêcher un piratage ?
  7. Comment protéger son site WordPress
  8. Que faire si votre site est piraté ?
  9. FAQ – Piratage WordPress

Vous tapez l'URL de votre site. Votre navigateur affiche une page étrange, en russe, ou pire - rien du tout. Ou peut-être que c'est Google qui vous a envoyé un email : « Votre site contient des logiciels malveillants. » Le cœur qui lâche, la question qui arrive immédiatement : comment c'est arrivé ?

Cet article répond exactement à ça. Pas pour vous donner un cours de hacking, mais pour que vous compreniez comment les pirates opèrent, quelles failles ils exploitent, et comment vous protéger avant que ça arrive - ou vous en sortir si c'est déjà le cas.

Pourquoi les sites WordPress sont des cibles privilégiées

WordPress fait tourner plus de 43 % du web mondial (W3Techs). C'est une position dominante qui a un revers direct : plus un CMS est répandu, plus il est rentable à attaquer à grande échelle. Les hackers n'opèrent pas comme dans les films - il n'y a pas un site précis dans le viseur. Ils lancent des filets.

43 % des sites web tournent sur WordPress
90 000 attaques par minute (Wordfence)
56 % des CMS compromis étaient WordPress
97 % des failles viennent de plugins ou thèmes

Trois facteurs font de WordPress une cible de choix :

  • Un écosystème de plugins immense - plus de 60 000 extensions dans le répertoire officiel, avec des niveaux de qualité très variables. Chaque plugin installé est une surface d'attaque potentielle.
  • Les mises à jour souvent négligées - un WordPress version 6.0 qui tourne encore en 2026 avec des plugins datant de 2022, c'est une invitation ouverte.
  • Une architecture connue de tous - les chemins par défaut (/wp-admin, wp-config.php), les conventions de nommage, les API exposées… tout est documenté, y compris pour les pirates.

Pour aller plus loin : notre guide sur la sécurité des plugins WordPress détaille les mesures de base à mettre en place sur tout site.

Les principales failles exploitées par les hackers

Les hackers n'inventent rien : ils exploitent des failles connues, souvent répertoriées publiquement.

Plugins vulnérables La source principale. Un plugin non maintenu expose des failles exploitables en quelques secondes par un bot. On l'a encore vu avec Ninja Forms ou les attaques supply chain.
Thèmes obsolètes Un thème premium jamais mis à jour ou abandonné par son développeur contient souvent des vulnérabilités non corrigées.
PHP ou WordPress non à jour Les versions obsolètes ne reçoivent plus les correctifs de sécurité. Chaque vulnérabilité découverte reste ouverte indéfiniment.
Mots de passe faibles "admin", "123456", le nom du site… Les attaques par force brute testent des milliers de combinaisons par minute sur /wp-login.php. Un mot de passe simple ne tient pas.
Mauvaise configuration serveur Permissions trop permissives, accès FTP non sécurisé, PHP exposant des informations sensibles : des erreurs de config que beaucoup ignorent.

Plugins vulnérables

Un plugin populaire avec une vulnérabilité connue devient une cible massive : si 200 000 sites l'utilisent, les bots vont scanner ces 200 000 sites en quelques heures. Les failles de type XSS (injection de scripts), SQLi (injection SQL) et les uploads non sécurisés sont les plus fréquentes. Notre article sur les failles critiques WordPress 2026 illustre les conséquences concrètes sur des extensions très répandues.

Thèmes obsolètes

Un thème "acheté une fois pour toujours" qui n'a pas été mis à jour depuis 18 mois est une bombe à retardement. Les thèmes abandonnés par leurs développeurs posent un problème supplémentaire : les failles découvertes ne seront jamais corrigées.

Version PHP ou WordPress non à jour

PHP 7.4 est en fin de vie depuis début 2023. WordPress 5.x, idem. Utiliser ces versions, c'est tourner avec un moteur auquel on a retiré les airbags - les correctifs de sécurité ne sont plus publiés. Notre guide sur la migration vers PHP 8 sous WordPress détaille la marche à suivre pour passer à la version actuelle sans risque.

Mots de passe faibles

Les attaques par force brute sont entièrement automatisées. Des outils testent des dizaines de milliers de combinaisons par minute. Le compte "admin" avec un mot de passe simple tombe en quelques minutes. Point.

Mauvaise configuration serveur

Des fichiers avec des permissions 777, un wp-config.php lisible depuis l'extérieur, l'absence de restriction d'exécution PHP dans le dossier uploads… ces erreurs de configuration ouvrent des portes que beaucoup ignorent.

Les étapes d'un piratage WordPress

Un piratage ne ressemble pas à ce qu'on voit dans les films. Il n'y a pas un "hacker" qui tape furieusement sur son clavier en regardant des lignes de code défiler. Dans 99 % des cas, c'est entièrement automatisé - des bots, des scripts, des listes de cibles.

Anatomie d'une attaque WordPress - de la découverte à la compromission

1
Scan automatisé du site
Des bots scrutent en permanence des plages d'IP pour identifier les sites WordPress : version du CMS, plugins actifs, chemins exposés.
Shodan WPScan bots automatisés
2
Identification d'une vulnérabilité
Le bot croise les données collectées avec les bases de vulnérabilités publiques. Si une faille connue est détectée, l'attaque passe à l'étape suivante.
CVE WPVulnDB REST API
3
Exploitation de la faille
L'exploit s'exécute automatiquement : injection SQL, upload d'un fichier PHP malveillant, contournement d'authentification. L'attaquant obtient son premier accès.
SQL injection file upload RCE XSS
4
Installation d'un backdoor
Une porte dérobée est implantée pour maintenir l'accès même si la faille initiale est corrigée : webshell PHP, utilisateur admin fantôme, plugin malveillant.
webshell wp-user fantôme plugin malveillant
5
Prise de contrôle du site
L'attaquant a accès complet : tableau de bord WordPress, fichiers serveur, base de données. Il peut modifier, lire ou exfiltrer n'importe quelle donnée.
accès wp-admin FTP/SSH base de données
6
Exploitation du site piraté
Le site devient un outil : envoi de spam, redirections frauduleuses, phishing, distribution de malware, spam SEO. Le propriétaire ne voit parfois rien pendant des semaines. Ces conséquences ont un impact direct sur le référencement naturel du site : découvrez l’impact concret d’un piratage sur votre SEO.
spam SEO phishing malware redirections

Si vous reconnaissez des signes de compromission sur votre site, notre service de dépannage WordPress peut intervenir rapidement pour analyser, nettoyer et sécuriser votre installation.

1. Scan automatisé du site

Des bots balayent en permanence des millions d'adresses IP à la recherche de sites WordPress. Ils détectent le CMS via des éléments caractéristiques : fichier readme.html, chemins /wp-content/, méta-tag generator… En quelques secondes, ils savent que vous êtes sous WordPress, quelle version, et quels plugins sont actifs.

2. Identification d'une vulnérabilité

Le bot croise ces informations avec des bases de vulnérabilités connues (CVE, WPVulnDB). Si votre site tourne sur un plugin avec une faille documentée, c'est détecté automatiquement. Aucun humain n'est impliqué - c'est entièrement scripté.

3. Exploitation de la faille

L'exploit est lancé. Selon la faille, ça peut prendre la forme d'une requête SQL malformée, d'un upload de fichier PHP déguisé en image, ou d'une manipulation de l'API REST WordPress. Résultat : l'attaquant obtient un premier accès - lecture de fichiers sensibles, exécution de code, accès à la base de données.

4. Installation d'un backdoor

C'est ici que beaucoup de propriétaires font une erreur fatale : ils "nettoient" leur site sans chercher la backdoor. Un webshell PHP (un fichier malveillant qui accepte des commandes à distance) peut être caché dans n'importe quel dossier - souvent dans /uploads/, là où l'exécution PHP est rarement bloquée. Un utilisateur administrateur fantôme peut aussi être créé avec un email aléatoire difficile à repérer.

Règle absolue : un site nettoyé sans backdoor trouvée sera repiraté en quelques jours. C'est la règle, pas l'exception.

5. Prise de contrôle du site

L'attaquant dispose d'un accès durable. Il peut lire votre base de données (données clients, emails, commandes), modifier vos fichiers, accéder à vos credentials FTP, et utiliser votre hébergement comme base pour d'autres attaques. Votre site est devenu un outil dans son infrastructure.

6. Exploitation du site piraté

Les usages sont multiples. Le site peut servir à distribuer du malware aux visiteurs, envoyer des millions de spams via votre serveur mail, injecter des liens vers des sites tiers dans votre contenu (spam SEO), ou rediriger vos visiteurs vers des pages frauduleuses. Votre réputation et votre référencement en prennent un coup durable.

⚠️ À retenir : un site piraté peut rester compromis pendant des semaines ou des mois sans que le propriétaire s'en aperçoive. Les attaquants ont tout intérêt à rester discrets.

Les signes qui montrent que votre site est piraté

Tous les piratages ne s'annoncent pas avec une page d'accueil défacée. Souvent, les signaux sont subtils - et c'est précisément ce qui les rend dangereux.

  • Site anormalement lent ou qui plante Un webshell ou un script de spam consomme des ressources serveur. Si votre hébergeur vous contacte pour un dépassement de charge inexpliqué, c'est souvent un indice.
  • Redirections vers des sites inconnus Vous accédez à votre site et vous êtes redirigé vers un site en russe, un casino en ligne ou une page de phishing.
  • Comptes administrateurs inconnus Dans la liste des utilisateurs WordPress, des comptes apparaissent que vous n'avez pas créés - souvent avec des emails aléatoires.
  • Fichiers PHP suspects dans /uploads/ Des fichiers PHP dans le dossier uploads n'ont aucune raison d'être là. Ce sont presque toujours des webshells ou des backdoors.
  • Alerte Google Search Console Google vous notifie que votre site contient du malware ou des pages qui n'existent pas dans votre CMS - signe classique de spam SEO injecté.
  • Votre domaine est blacklisté Vos emails arrivent en spam partout ? Votre serveur a peut-être été utilisé pour envoyer des milliers de messages frauduleux.

Si vous avez le moindre doute, ne perdez pas de temps - notre service de dépannage WordPress urgent intervient rapidement. Plus un site compromis tourne longtemps, plus les dégâts (SEO, réputation, données) s'accumulent.

Notre article site WordPress piraté : que faire ? détaille la marche à suivre étape par étape si vous avez déjà identifié une compromission.

Pourquoi les attaques sont aujourd'hui massives

Ce n'est pas une impression : les attaques sur WordPress ont explosé ces dernières années. Plusieurs raisons à ça.

L'automatisation a rendu les attaques quasi gratuites. Des outils comme WPScan, Nuclei ou des frameworks personnalisés permettent à quelqu'un avec des compétences techniques modestes de lancer des scans sur des millions de sites en quelques heures. Le coût marginal d'une attaque supplémentaire est proche de zéro.

Les bots ne s'arrêtent jamais. Votre site reçoit des tentatives de connexion sur /wp-login.php à toute heure - souvent plusieurs centaines par jour. Regardez vos logs serveur si vous ne l'avez jamais fait. C'est édifiant.

L'IA a accéléré la découverte de failles. Des acteurs malveillants utilisent désormais des modèles de langage pour analyser le code source de plugins et identifier des vulnérabilités plus rapidement. Le délai entre la publication d'une faille et son exploitation massive se réduit. Parfois, c'est une question d'heures.

Les vulnérabilités sont publiques. La base CVE (Common Vulnerabilities and Exposures) répertorie toutes les failles connues, y compris celles de WordPress et de ses plugins. Utile pour les défenseurs - mais c'est aussi un catalogue pour les attaquants.

À retenir : quand une faille critique est publiée dans un plugin WordPress populaire, les attaques à grande échelle démarrent souvent dans les 24 à 48 heures. La fenêtre pour appliquer la mise à jour est très courte.

Peut-on empêcher un piratage ?

Réponse honnête : pas à 100 %. Aucun système connecté à Internet n'est inattaquable. Les grandes entreprises, avec des budgets sécurité colossaux, se font pirater. Alors un site WordPress de PME, seul contre les bots…

Mais cette réalité n'est pas une invitation à baisser les bras. Il faut raisonner en termes de risque, pas de certitude. L'objectif n'est pas de rendre votre site impiratable - c'est de le rendre assez difficile à pirater pour que les bots passent à une cible plus facile. Les attaques sont massives et automatisées : elles cherchent les fruits accessibles. Un site bien maintenu avec un firewall actif disparaît du radar.

Posez-vous plutôt cette question : mon site est-il plus facile à pirater que les autres ? Si vous négligez les mises à jour, utilisez des mots de passe simples et n'avez aucune protection active, la réponse est probablement oui.

Comment protéger efficacement son site WordPress

Les mesures les plus efficaces sont aussi les plus simples. Pas besoin d'être expert en cybersécurité.

Mettre à jour régulièrement

WordPress core, plugins, thèmes : tout doit être maintenu à jour. La plupart des failles exploitées en production ont des correctifs disponibles depuis des semaines - les sites piratés utilisaient simplement une version vulnérable. Un service de maintenance WordPress prend ce travail en charge automatiquement, avec les vérifications de compatibilité nécessaires avant chaque mise à jour.

Limiter les plugins

Chaque plugin est une surface d'attaque. Désactivez et supprimez ce que vous n'utilisez pas. Préférez des plugins activement maintenus - regardez la date de la dernière mise à jour et le nombre d'installations actives. Notre guide sur la sécurité des plugins WordPress donne les critères pour bien choisir et auditer ses extensions.

Sécuriser les accès

Commencez par les accès : mot de passe long et unique sur le compte admin (un gestionnaire comme Bitwarden ou 1Password rend ça indolore), double authentification activée, et suppression du nom d'utilisateur "admin" par défaut. Ajoutez une limitation des tentatives de connexion et la grande majorité des attaques par force brute passent à la trappe.

Mettre en place un firewall

Un WAF (Web Application Firewall) comme Wordfence, Cloudflare ou Sucuri filtre le trafic malveillant avant qu'il n'atteigne votre site. Il bloque les tentatives de brute force, les injections SQL, les requêtes vers des fichiers sensibles.

Sauvegarder régulièrement

Une sauvegarde récente, testée et stockée hors du serveur principal, c'est votre filet de sécurité ultime. En cas de piratage, une restauration propre est souvent la solution la plus rapide. Notre guide sur la sauvegarde WordPress couvre les méthodes, les plugins et les règles d'or à respecter.

Surveiller son site

Un scan de fichiers régulier, des alertes sur les modifications et un monitoring des utilisateurs permettent de repérer une compromission tôt - avant que les dégâts sur le SEO et la réputation deviennent sérieux. Wordfence, Sucuri SiteCheck, ou un prestataire de maintenance WordPress assurent cette veille à votre place.

Mises à jour WordPress + plugins + thèmes, sans exception
Accès sécurisés MDP forts + 2FA + IP whitelist wp-admin
Firewall WAF Wordfence ou Cloudflare actif
Sauvegardes Quotidiennes, stockées hors serveur
Surveillance Scan de malware + alertes temps réel
Plugins inutiles Supprimer, pas juste désactiver

Que faire si votre site WordPress est piraté ?

Votre site est compromis. La panique est naturelle, mais agir dans le mauvais ordre peut aggraver les choses. Pour un guide encore plus détaillé, consultez notre article site WordPress piraté : que faire ?

Actions immédiates

  1. Isolez le site si possible - mettez-le en mode maintenance ou coupez l'accès public pour éviter de continuer à infecter vos visiteurs.
  2. Changez immédiatement tous les mots de passe - WordPress admin, FTP, base de données, hébergeur. Depuis un appareil sain.
  3. Révoquez les sessions actives - changez les clés secrètes dans wp-config.php pour déconnecter toutes les sessions en cours.
  4. Prévenez votre hébergeur - certains hébergeurs ont des outils de détection et peuvent vous aider à identifier les fichiers infectés.
  5. Ne supprimez rien encore - conservez les fichiers infectés le temps de l'analyse. Ils contiennent des indices sur le mode d'entrée.

Nettoyage et restauration

Si vous avez une sauvegarde récente et saine, la restauration est la solution la plus sûre et la plus rapide. Mais attention : restaurer sans avoir identifié et corrigé la faille initiale, c'est s'exposer au même piratage dans les heures qui suivent.

Sans sauvegarde propre, le nettoyage manuel s'impose : analyse de tous les fichiers PHP (comparaison avec une installation WordPress fraîche), vérification de la base de données pour des contenus injectés, audit des utilisateurs et des plugins actifs. Notre service de réparation de site WordPress gère l'ensemble de ce processus.

Sécurisation post-attaque

Après le nettoyage, c'est le bon moment pour appliquer toutes les mesures préventives qui manquaient : mise à jour complète, réinitialisation des mots de passe, 2FA, firewall, blocage des IP offensives, restrictions sur wp-login.php. Et, si ça n'était pas encore en place, mise en place d'un plan de maintenance WordPress pour éviter la récidive.

En cas d'incident, Cybermalveillance.gouv.fr propose un accompagnement gratuit pour les particuliers et les professionnels victimes de piratage en France.

Checklist sécurité

20 points de contrôle pour sécuriser votre site WordPress

Passez en revue ces points pour auditer rapidement la sécurité de votre installation.

  • WordPress à jour
  • Plugins à jour
  • Thème à jour
  • PHP 8.2+ actif
  • Pas de compte "admin"
  • 2FA sur wp-admin
  • Mot de passe fort (16+ cars)
  • Sauvegarde quotidienne
  • Firewall WAF actif
  • Scan malware planifié
  • Plugins inutiles supprimés
  • HTTPS uniquement
  • wp-config.php protégé
  • Uploads sans exécution PHP
  • xmlrpc.php désactivé
  • Logs de connexion activés
  • Google Search Console actif
  • Sauvegarde hors serveur
  • Permissions fichiers correctes
  • En-têtes sécurité HTTP actifs
Demander un audit de sécurité gratuit

FAQ – Piratage WordPress

Un site WordPress peut-il être piraté facilement ?

Oui, si le site n'est pas maintenu. Un WordPress à jour avec des plugins fiables et des accès sécurisés est difficile à compromettre. Un site non maintenu, avec des plugins obsolètes ou des mots de passe faibles, peut être piraté en quelques minutes par un bot automatisé. La plupart des piratages n'impliquent aucun humain - ce sont des scripts qui cherchent des cibles faciles.

Combien de temps dure un piratage WordPress ?

L'attaque initiale prend quelques secondes à quelques minutes. Mais les pirates peuvent rester actifs sur un site pendant des semaines ou des mois sans que le propriétaire s'en aperçoive, notamment grâce aux backdoors installées. C'est pourquoi la surveillance proactive compte : attendre de voir quelque chose d'anormal, c'est souvent découvrir le problème bien trop tard.

Google pénalise-t-il un site WordPress piraté ?

Oui, et sévèrement. Google détecte les sites qui distribuent du malware, servent des redirections malveillantes ou contiennent du spam SEO injecté. Le site peut être déréférencé, signalé dans les résultats ("Ce site est peut-être piraté") ou placé sur liste noire par des services antivirus. La récupération du référencement après un piratage peut prendre plusieurs semaines, même après un nettoyage complet.

Peut-on récupérer un site WordPress piraté ?

Dans la grande majorité des cas, oui. La récupération passe par l'analyse des fichiers infectés, leur nettoyage ou remplacement par des versions propres, la restauration d'une sauvegarde saine si disponible, et une sécurisation post-attaque pour éviter la récidive. Notre service de réparation WordPress intervient sur l'ensemble de ces situations. Ce qui est rarement récupérable sans sauvegarde : une base de données entièrement chiffrée par un ransomware, ou des données clients exfiltrées.

À propos de l'auteur

Yohann LE DU

Expert WordPress & Sécurité web

Développeur senior depuis plus de 20 ans, spécialiste WordPress et sécurité web. Yohann accompagne les TPE, PME et associations dans la maintenance préventive et la sécurisation de leurs sites WordPress.

Voir le profil complet →
Pour aller plus loin
SEO & Sécurité

Piratage WordPress : l'impact sur votre référencement naturel

Blacklist Google, spam SEO, pénalité manuelle : comment un piratage détruit des mois de travail SEO.

Lire l'article → Guide pratique

Site WordPress piraté : que faire ?

Guide complet en 7 étapes pour nettoyer et sécuriser votre site après une compromission.

Lire l'article → Sécurité

7 risques concrets d'un site WordPress sans maintenance

Piratage, perte de données, déréférencement : les risques réels d'un WordPress non maintenu.

Lire l'article →

Votre site est piraté - ou vous voulez l'empêcher de l'être ?

On intervient rapidement pour diagnostiquer, nettoyer et sécuriser votre site WordPress. Ou on met en place la maintenance qui évite d'en arriver là.

Dépannage WordPress urgent → Découvrir la maintenance WordPress