Restaurer votre contenu après un piratage

Restaurer un WordPress piraté ne se résume pas à remettre vos articles en ligne. Quand le pirate a effacé des pages, masqué votre contenu ou remplacé votre site par du spam, il faut récupérer ce qui était légitime sans réintroduire l’infection. C’est là que la plupart des gens se trompent et réinfectent leur site dès la première heure.

la règle qui change tout : nettoyer d’abord, restaurer ensuite

Si vous retenez une seule chose, retenez celle-ci. On nettoie le site, on supprime la backdoor et le code injecté, puis seulement après on remet le contenu. Pas l’inverse.

La tentation est forte de prendre votre dernière sauvegarde et de la réinstaller par-dessus tout. Le problème : si cette sauvegarde a été prise après l’intrusion, elle contient la faille, le compte admin pirate ou la porte dérobée. Vous restaurez, le site repart, et quelques heures plus tard il est de nouveau infecté. Vous tournez en rond.

L’ordre correct est donc :

1. Confirmer l’intrusion et nettoyer le site (suppression des fichiers malveillants, des faux comptes, du code injecté).
2. Vérifier que le site est sain.
3. Restaurer uniquement le contenu légitime manquant, depuis une source fiable.

Avant tout ça, prenez le temps de vérifier que le site est bien piraté. Parfois le contenu n’a pas disparu, il est juste masqué ou désindexé, et la restauration n’est même pas nécessaire.

option 1 : restaurer depuis une sauvegarde d’avant l’infection

C’est la meilleure situation. Si vous avez une copie datée d’avant le piratage, vous récupérez votre contenu intact, avec sa mise en forme, ses images et ses métadonnées.

Le mot important ici est “d’avant”. Toute la difficulté est de dater l’infection, puis de choisir une sauvegarde antérieure.

où chercher vos sauvegardes

Chez votre hébergeur. La plupart des hébergeurs (OVH, o2switch, Hostinger, Infomaniak…) conservent des sauvegardes automatiques sur plusieurs jours, parfois plusieurs semaines. Connectez-vous à votre espace client, cherchez la rubrique “sauvegardes” ou “backup”, et regardez les dates disponibles. C’est souvent la source la plus fiable parce qu’elle est hors de portée du pirate.

Via un plugin de sauvegarde. Si vous aviez installé UpdraftPlus, BackWPup ou équivalent, vos archives sont stockées quelque part (Google Drive, Dropbox, un dossier du serveur). Vérifiez l’historique. Attention : un pirate qui a un accès admin peut avoir supprimé ou corrompu les sauvegardes stockées sur le site lui-même. Celles déportées sur un cloud externe sont plus sûres.

bien choisir la date

Repérez d’abord quand l’intrusion a eu lieu : date du premier faux article, date de création du compte admin inconnu, alerte Google. Prenez ensuite une sauvegarde nettement antérieure, pas celle de la veille au cas où l’infection couvait déjà.

Si vous hésitez entre deux dates, prenez la plus ancienne des deux. Quelques jours de contenu en moins valent mieux qu’une réinfection.

Restaurez cette sauvegarde sur un site déjà nettoyé, ou restaurez-la puis renettoyez à fond. Et profitez-en pour réinstaller proprement le cœur de WordPress avec des fichiers d’origine, ça élimine tout code modifié dans le core.

option 2 : sans sauvegarde, retrouver le texte ailleurs

Pas de backup exploitable ? La situation n’est pas désespérée. Votre contenu a été publié, donc il a été vu, indexé et archivé par d’autres. Vous allez le récupérer texte par texte. C’est plus long, mais ça fonctionne.

le cache de Google

Quand Google explore une page, il en garde une copie. Tapez dans la barre de recherche :

cache:votre-site.fr/le-titre-de-larticle

ou cherchez le titre exact de l’article et cliquez sur la version en cache si elle est proposée. Vous récupérez le texte tel qu’il était lors du dernier passage du robot. Copiez-le, recréez la page dans WordPress.

Le cache de Google se vide assez vite après une modification du site, donc agissez sans attendre. Plus vous tardez, plus Google remplace ses copies par les versions piratées.

la Wayback Machine (archive.org)

C’est l’outil le plus fiable pour ça. Le site web.archive.org archive des copies datées de millions de pages. Entrez l’adresse de votre site, vous obtenez un calendrier : chaque point correspond à une capture.

Cliquez sur une date d’avant le piratage et vous voyez votre site tel qu’il était ce jour-là. Naviguez de page en page, récupérez les textes, les titres, parfois même les images. Pour un site avec beaucoup d’articles, repérez d’abord votre ancien plan du site ou votre page “tous les articles” dans une capture ancienne pour avoir la liste complète à reconstruire.

les services de monitoring

Si vous utilisiez un outil de surveillance comme WP Umbrella ou ManageWP, il a probablement gardé un historique de sauvegardes ou de versions. Vérifiez votre tableau de bord, vous y trouverez peut-être une copie propre que vous aviez oubliée.

ce qui infecte une restauration, et comment l’éviter

Le piège classique mérite d’être répété : une sauvegarde prise après la compromission contient presque toujours ce qui a permis l’attaque. Faille non corrigée, fichier déposé par le pirate, accès secret. Restaurer cette copie, c’est rouvrir la porte.

Deux réflexes pour s’en protéger :

• Garder plusieurs sauvegardes datées, pas seulement la dernière. Une rotation sur 7, 15 ou 30 jours vous laisse le choix d’une copie d’avant l’incident. Une seule sauvegarde écrasée chaque nuit ne sert à rien le jour où vous découvrez un piratage vieux d’une semaine.
• Ne jamais restaurer une base de données complète sans l’inspecter quand vous suspectez une compromission. Les faux comptes admin, le code injecté dans les options ou les widgets, les scripts cachés dans les articles vivent dans la base, pas seulement dans les fichiers.

Dans le doute, recopiez le contenu (les textes des articles et des pages) plutôt que de réimporter un dump de base brut. C’est plus fastidieux, mais vous repartez sur une base réellement saine.

après la restauration : vérifier et réindexer

Une fois le contenu remis, le travail n’est pas fini.

Relisez vos pages. Vérifiez que les liens internes fonctionnent, que les images s’affichent, qu’aucun script étranger ne traîne dans le contenu collé depuis le cache. Comparez avec ce dont vous vous souvenez : un article tronqué vaut mieux que rien, mais autant le compléter tant que vous y êtes.

Côté Google, vos pages piratées ont peut-être été désindexées ou marquées dangereuses. Une fois le site propre et le contenu restauré :

• Demandez une réindexation des pages importantes via la Search Console (inspection de l’URL, puis “demander une indexation”).
• Si une alerte Safe Browsing était active, demandez un examen depuis la Search Console pour faire lever la mise en garde.
• Renvoyez votre plan du site (sitemap.xml) pour aider Google à retrouver toute la structure.

L’indexation reprend progressivement, comptez quelques jours à quelques semaines selon la taille du site.

FAQ

Puis-je restaurer ma sauvegarde directement par-dessus le site piraté ? Si la sauvegarde date d’avant l’infection, oui, mais nettoyez quand même ensuite par sécurité. Si vous ne connaissez pas sa date, non : vous risquez de réinstaller la faille. Nettoyez d’abord, restaurez le contenu après.

J’ai perdu des articles et je n’ai aucune sauvegarde. C’est mort ? Non. La Wayback Machine et le cache de Google permettent presque toujours de retrouver le texte des articles publiés. C’est manuel, mais récupérable.

Combien de temps reste le contenu dans le cache de Google ? Quelques jours en général, parfois moins après une grosse modification du site. C’est pour ça qu’il faut agir vite : la Wayback Machine, elle, garde les archives bien plus longtemps.

---

Chez WP-Detox, on commence par un scan gratuit, puis le nettoyage prend environ 30 minutes pour 149 € tout compris. On sauvegarde toujours l’état du site avant d’intervenir, et la récupération de votre contenu légitime fait partie du nettoyage, pas une option en plus. Si on n’arrive pas à nettoyer votre site, vous êtes remboursé. Pour le contexte général, voyez le guide complet quand WordPress est piraté.