Guides Sécurité Piratage Urgence Nettoyage
Par Yohann LE DU Publié le 15 janvier 2025 Mis à jour le 7 mai 2026 7 min de lecture

Site WordPress piraté : que faire ? Le guide complet pas à pas

Vous venez de constater que votre site WordPress affiche du contenu bizarre, redirige vos visiteurs vers des sites douteux, ou vous avez reçu une alerte de votre hébergeur ? Respirez. Dans la grande majorité des cas, un site WordPress piraté est réparable. Les pirates effacent rarement les données - ils ajoutent du contenu malveillant pour exploiter votre site à leur profit.

Besoin d'une intervention immédiate ? Si votre site est actuellement piraté et que vous n'avez pas le temps de tout lire, contactez notre service de réparation d'urgence →

Sommaire

  1. Les 9 signes d'un site WordPress piraté
  2. Les premières actions immédiates
  3. Les 7 étapes pour réparer votre site
  4. Ce qu'il ne faut surtout PAS faire
  5. Après la réparation : éviter la récidive

Comment savoir si votre site WordPress a été piraté ?

Avant tout, confirmez que vous êtes bien face à un piratage. Voici les 9 signes les plus courants :

  1. Redirections suspectes : vos visiteurs sont redirigés vers des sites de casino, de pharmacie en ligne ou à contenu adulte
  2. Contenu inconnu : des pages, articles ou liens apparaissent sans que vous les ayez créés
  3. Texte en langues étrangères : du japonais, du russe ou du chinois apparaît dans vos pages ou vos méta-descriptions Google
  4. Avertissement Google : votre site affiche un écran rouge « Ce site est peut-être piraté » ou « Site trompeur »
  5. Alerte de votre hébergeur : vous avez reçu un email signalant des fichiers malveillants détectés
  6. Accès administration bloqué : vous ne pouvez plus vous connecter à votre tableau de bord WordPress
  7. Publicités ou pop-ups intempestifs : des publicités apparaissent sur votre site sans que vous les ayez autorisées
  8. Chute brutale de trafic : Google a délisté ou pénalisé votre site suite à la détection de contenu malveillant
  9. Votre antivirus se déclenche lors de la visite de votre site

Les premières actions à faire immédiatement

Dès que vous confirmez ou soupçonnez un piratage, agissez dans cet ordre précis :

Étape 1 - Mettez votre site en mode maintenance

Si votre hébergeur le permet, activez le mode maintenance pour que vos visiteurs ne soient plus exposés au contenu malveillant pendant la durée de l'intervention. N'utilisez pas le mode maintenance WordPress depuis l'interface d'administration si celle-ci est compromise.

Étape 2 - Sauvegardez le site dans son état actuel

Même infecté, sauvegardez votre site via FTP et votre base de données via phpMyAdmin ou votre hébergeur. Cette sauvegarde vous permettra de revenir en arrière si nécessaire et d'analyser les fichiers infectés.

Étape 3 - Changez tous vos mots de passe

Changez immédiatement : mot de passe administrateur WordPress, mot de passe FTP/SFTP, mot de passe base de données MySQL, mot de passe compte hébergeur, mot de passe de l'adresse email associée à WordPress.

Étape 4 - Contactez votre hébergeur

Informez votre hébergeur du piratage. Il peut vous fournir des logs d'accès qui vous aideront à identifier comment le pirate a pénétré sur votre site. Certains hébergeurs proposent également des outils de scan de malwares.

Les 7 étapes pour réparer un site WordPress piraté

1. Identifier les fichiers infectés

Utilisez un plugin de sécurité comme Wordfence pour scanner tous les fichiers de votre site et identifier ceux qui contiennent du code malveillant. Vous pouvez aussi comparer manuellement vos fichiers avec les fichiers originaux de WordPress téléchargés depuis wordpress.org.

2. Supprimer les fichiers malveillants

Via FTP, supprimez les fichiers infectés identifiés et remplacez les fichiers WordPress core par des fichiers propres téléchargés depuis wordpress.org. Attention : ne remplacez pas vos fichiers wp-config.php, wp-content/uploads/ et votre thème - ils contiennent votre configuration et vos données.

3. Nettoyer la base de données

Les pirates injectent souvent du code malveillant directement dans la base de données (contenu des pages, options WordPress, comptes utilisateurs). Utilisez l'outil de recherche de votre hébergeur ou un plugin de sécurité pour détecter les injections SQL.

4. Supprimer les backdoors

Les pirates laissent généralement des « portes dérobées » (backdoors) - des fichiers PHP dissimulés qui leur permettent de revenir sur votre site même après un nettoyage superficiel. Cherchez les fichiers PHP dans les dossiers de téléchargement (/wp-content/uploads/) - ils ne devraient pas y être.

5. Mettre à jour tous les composants

Après le nettoyage, mettez à jour WordPress core, tous vos plugins et votre thème. Supprimez les plugins et thèmes que vous n'utilisez pas - ils représentent autant de failles potentielles.

6. Renforcer la sécurité

  • Installez et configurez un pare-feu applicatif (WAF)
  • Activez la protection anti-brute-force sur votre page de connexion
  • Activez l'authentification à deux facteurs (2FA) sur votre compte admin
  • Limitez les tentatives de connexion
  • Modifiez l'URL de votre page de connexion WordPress (par défaut : /wp-admin)

7. Demander un réexamen à Google

Si votre site a été signalé comme dangereux par Google, après nettoyage complet, connectez-vous à Google Search Console et soumettez une demande de réexamen. Le délai de traitement est généralement de quelques jours à deux semaines.

Ce qu'il ne faut surtout PAS faire

Erreurs à éviter absolument :
  • Ne restaurez pas une sauvegarde infectée : si votre sauvegarde date d'après le piratage, elle peut contenir du code malveillant
  • Ne faites pas confiance aux plugins de nettoyage automatique seuls : ils ne détectent pas toujours les backdoors sophistiquées
  • Ne pensez pas que supprimer et réinstaller WordPress suffit : sans nettoyage de la base de données et des fichiers, les backdoors restent
  • Ne vous reconnectez pas à l'admin WordPress depuis un appareil non sécurisé : vous risquez de transmettre vos identifiants au pirate

Après la réparation : protégez-vous contre la récidive

Vous voulez comprendre comment les pirates ont opéré pour mieux fermer les portes d'entrée ? Notre guide détaille le déroulement complet d'un piratage WordPress, de la reconnaissance automatisée à l'installation du backdoor.

Un site WordPress piraté une fois est susceptible de l'être à nouveau si la cause profonde n'est pas traitée. La majorité des piratages résultent de composants non mis à jour. La solution durable est la mise en place d'une maintenance WordPress mensuelle qui inclut les mises à jour régulières, la surveillance de sécurité et des sauvegardes automatisées.

Vous n'avez pas le temps ou les compétences pour gérer ce nettoyage vous-même ? Nous proposons un service de réparation de site WordPress piraté avec intervention rapide et garantie de résultat.

Un point souvent négligé après la réparation : l’impact du piratage sur votre référencement naturel. Blacklistage Google, spam SEO injecté, perte de positions - ces conséquences SEO persistent souvent bien après le nettoyage technique et demandent un suivi spécifique.

FAQ - Site WordPress piraté

Mon site WordPress piraté peut-il être totalement irrécupérable ?

Seulement dans des cas très rares où les pirates ont délibérément supprimé toutes les données et où aucune sauvegarde n'existe. Avec une sauvegarde récente et saine, la restauration est toujours possible.

Combien de temps faut-il pour nettoyer un site WordPress piraté ?

Entre 4 et 24 heures selon la sévérité du piratage, l'état des sauvegardes et la complexité du site. Nous réalisons un diagnostic en moins d'une heure.

Le piratage peut-il affecter les ordinateurs de mes visiteurs ?

Oui, dans certains cas. Des malwares peuvent tenter de télécharger des fichiers malveillants sur les appareils de vos visiteurs. C'est pourquoi une intervention rapide est cruciale.

Mon hébergeur peut-il réparer mon site piraté ?

Certains hébergeurs proposent des outils de scan basiques, mais ils passent souvent à côté des backdoors dissimulées dans les dossiers médias ou les tables de base de données. Une réparation sérieuse demande un examen manuel.

À propos de l'auteur

Yohann LE DU

Expert WordPress & Sécurité web

Développeur senior depuis plus de 20 ans, spécialiste WordPress et sécurité web. Yohann accompagne les TPE, PME et associations dans la maintenance préventive et la sécurisation de leurs sites WordPress.

Voir le profil complet →
Pour aller plus loin
Sécurité WordPress

Comment se déroule le piratage d'un site WordPress

Les 6 étapes d'une attaque réelle, les failles exploitées et comment protéger efficacement votre site.

SEO & Sécurité

Piratage WordPress : l'impact sur votre référencement naturel

Blacklist Google, spam SEO injecté, pénalité manuelle : comment récupérer vos positions après un piratage.

Sécurité

7 risques concrets d'un site WordPress sans maintenance

Piratage, perte de données, déréférencement : les risques réels d'un WordPress non maintenu.

Votre site WordPress a été piraté ?

Nous intervenons rapidement avec un protocole de nettoyage rigoureux et une garantie de résultat.

Demander une réparation d'urgence → Prévenir avec la maintenance