Comment savoir si votre WordPress est piraté : 10 signes

Vous avez un doute, mais rien de flagrant : le site s’affiche, vous pouvez vous connecter, et pourtant quelque chose cloche. Savoir si votre WordPress est piraté n’est pas une question d’intuition. Il existe des signes précis, vérifiables en quelques minutes, qui distinguent une infection réelle d’une simple fausse alerte. Voici les 10 plus fiables, avec pour chacun la manière de le contrôler vous-même.

1. Google affiche un avertissement sur votre site

Si vous voyez « Ce site risque d’endommager votre ordinateur » ou « Site trompeur » dans les résultats Google, ou un écran rouge plein écran quand vous visitez votre page, c’est l’un des signaux les plus nets. Google a détecté du code malveillant.

Comment vérifier : rendez-vous sur le test de navigation sécurisée de Google et entrez votre URL. Si votre site y est listé comme dangereux, l’infection est confirmée côté Google.

2. site:votre-domaine.fr renvoie des pages que vous n’avez jamais créées

C’est le test le plus rapide et le plus parlant. Tapez dans Google site:votre-domaine.fr (en remplaçant par votre vrai nom de domaine). Vous voyez normalement vos pages réelles.

Comment vérifier : parcourez les résultats. Si des titres évoquent du casino, des paris en ligne, des médicaments (viagra, cialis), du contenu en russe, chinois ou japonais, ou des produits que vous ne vendez pas, votre site héberge des pages spam injectées. Cliquez sur quelques-unes pour confirmer qu’elles s’affichent vraiment.

3. Votre site redirige vers un autre site

Vous tapez votre adresse et vous atterrissez sur un site de paris, une boutique douteuse ou une page d’arnaque. Souvent, la redirection ne se déclenche que dans certaines conditions : depuis un résultat Google, sur mobile, ou pour les visiteurs qui ne sont pas connectés à l’admin. C’est ce qu’on appelle le cloaking, et c’est ce qui rend le problème difficile à reproduire.

Comment vérifier : ouvrez votre site en navigation privée, depuis votre téléphone, et en cliquant depuis un résultat Google plutôt qu’en tapant l’URL directement. Si la redirection apparaît dans l’un de ces cas, lisez le cas de la redirection vers un casino pour comprendre le mécanisme exact.

4. Un compte administrateur que vous ne connaissez pas

Les attaquants créent souvent un compte admin pour garder un accès, même après que vous changez votre mot de passe.

Comment vérifier : connectez-vous à /wp-admin, allez dans Utilisateurs, filtrez sur le rôle « Administrateur ». Repérez tout compte que vous n’avez pas créé, surtout avec un nom aléatoire, une adresse e-mail inconnue ou une date d’inscription récente. Un seul admin suspect suffit à confirmer la compromission.

5. Des fichiers modifiés alors que vous n’avez touché à rien

WordPress et ses extensions ne se réécrivent pas tout seuls entre deux mises à jour. Des fichiers .php modifiés récemment sans raison sont un drapeau rouge.

Comment vérifier : connectez-vous en FTP (avec FileZilla par exemple) ou via le gestionnaire de fichiers de votre hébergeur. Triez les fichiers par date de modification. Regardez surtout wp-config.php, index.php, .htaccess, et les fichiers à la racine. Une date qui ne correspond à aucune action de votre part mérite une inspection. Ces fichiers cachent souvent une porte dérobée, voir trouver et supprimer une backdoor.

6. Des fichiers .php dans wp-content/uploads

Le dossier wp-content/uploads contient vos images et documents. Il n’a aucune raison d’héberger du code exécutable.

Comment vérifier : en FTP, ouvrez wp-content/uploads et ses sous-dossiers (rangés par année et par mois). Cherchez des fichiers en .php, .phtml ou avec des noms étranges comme wp-cache-helper.php ou une suite de caractères aléatoires. Un seul fichier .php dans ce dossier est anormal et signe presque toujours une backdoor.

7. La Search Console signale une chute de trafic ou des mots-clés étrangers

Google Search Console est un excellent détecteur. Une infection laisse des traces dans les statistiques bien avant que vous remarquiez autre chose.

Comment vérifier : dans Search Console, regardez le rapport Performances. Deux signaux d’alerte : une chute brutale du trafic sur les dernières semaines, ou au contraire un pic d’impressions sur des requêtes que vous n’avez jamais ciblées (noms de marques de paris, termes pharmaceutiques, mots en langue étrangère). Vérifiez aussi l’onglet Sécurité et actions manuelles : un problème de sécurité y est explicitement signalé.

8. Le navigateur ou l’antivirus bloque l’accès

Si Chrome, Firefox ou l’antivirus d’un visiteur empêche l’ouverture de votre site, ou si un client vous écrit qu’il « n’arrive plus à accéder au site à cause d’une alerte de sécurité », ce n’est pas un faux positif à prendre à la légère.

Comment vérifier : testez votre site depuis plusieurs navigateurs et, si possible, depuis une machine équipée d’un antivirus différent du vôtre. Croisez avec le test de navigation sécurisée du point 1. Un blocage cohérent sur plusieurs outils confirme la présence de code malveillant détecté.

9. Votre hébergeur suspend le site ou signale du spam sortant

Les hébergeurs surveillent l’activité de leurs serveurs. Recevoir un e-mail du type « activité suspecte », « envoi de spam détecté » ou « site suspendu pour des raisons de sécurité » est un signe direct.

Comment vérifier : consultez votre boîte mail (et les spams) pour tout message de votre hébergeur. Dans certains cas, votre domaine se retrouve sur une liste noire d’envoi d’e-mails. Testez votre domaine sur un outil comme MXToolbox Blacklist Check. Si votre IP ou votre domaine y est listé, votre serveur envoie probablement du spam à votre insu.

10. Des e-mails partent de votre domaine sans votre action

Vos contacts reçoivent des e-mails étranges « de votre part », ou vos propres envois finissent systématiquement en spam. Un site piraté est souvent transformé en relais d’envoi massif.

Comment vérifier : demandez à quelques contacts s’ils ont reçu des messages inhabituels signés de votre domaine. Croisez avec le test de liste noire du point 9. Si votre domaine envoie ce que vous n’avez pas écrit, le serveur est compromis.

Bonus : un site anormalement lent

Une lenteur soudaine, sans changement de votre côté, peut traduire des scripts malveillants qui tournent en arrière-plan (minage, envoi de spam, attaques vers d’autres sites). Ce n’est pas un signe à lui seul, mais combiné aux autres, il pèse. Vérifiez dans le tableau de bord de votre hébergeur si la charge serveur ou la consommation CPU a grimpé sans explication.

FAQ

Un seul de ces signes suffit-il pour conclure que je suis piraté ? Certains oui. Un compte admin inconnu, des pages casino dans site:votre-domaine.fr, un fichier .php dans wp-content/uploads ou un avertissement Google sont chacun une preuve suffisante. D’autres, comme la lenteur seule, demandent confirmation par un second signe.

Mon site fonctionne normalement pour moi, est-ce que ça veut dire qu’il est sain ? Pas forcément. Le cloaking masque l’infection à l’administrateur et aux visiteurs directs, tout en l’affichant à Google et aux visiteurs mobiles. C’est pour ça qu’il faut tester en navigation privée et depuis un mobile.

Combien de temps une infection peut-elle passer inaperçue ? Des semaines, parfois des mois. Plus elle dure, plus Google déréférence vos pages et plus la réputation de votre domaine se dégrade. C’est pourquoi un doute mérite une vérification immédiate, pas une attente.

J’ai un ou plusieurs de ces signes, et maintenant ?

Si vous avez coché une ou plusieurs cases, ne tentez pas de supprimer des fichiers au hasard : vous risquez de casser le site sans éliminer la porte d’entrée, et l’infection revient. Suivez plutôt une méthode complète, du diagnostic au durcissement. Le guide que faire quand votre WordPress est piraté détaille chaque étape dans l’ordre.

Si vous préférez ne pas y toucher, WP-Detox s’en charge. Un scan gratuit vérifie en quelques secondes la présence des signes décrits ci-dessus. En cas d’infection confirmée, le nettoyage prend environ 30 minutes : suppression du spam et des backdoors, fermeture des accès, vérification que le site est sorti des listes noires. Tarif unique de 149 €, tout compris, remboursé si le nettoyage échoue.