WordPress piraté : que faire ?
Votre site WordPress est piraté ? Voici la marche à suivre complète pour garder votre sang-froid, nettoyer l'infection sans rien casser, et fermer la faille pour de bon.
Vous venez de découvrir que votre site WordPress est piraté : des pages que vous n’avez jamais écrites, une redirection vers un casino, ou l’avertissement rouge de Google. Première chose à savoir : c’est presque toujours réparable, et votre vrai contenu n’est pas perdu. Ce guide vous donne la marche à suivre dans l’ordre, du premier réflexe jusqu’à la sécurisation finale.
Les premiers réflexes (et les erreurs à éviter)
Avant de toucher à quoi que ce soit, gardez votre calme et résistez à deux tentations.
Ne supprimez pas tout votre site. La panique pousse à vouloir « repartir de zéro ». Vous perdriez votre contenu légitime et votre référencement, alors que le nettoyage chirurgical est largement suffisant dans la majorité des cas.
Ne vous contentez pas de supprimer les pages spam visibles. Les faux articles casino ne sont que la partie émergée. Le vrai problème, c’est le code injecté et les portes dérobées (backdoors) qui permettent au pirate de tout réinjecter quelques heures plus tard. Si vous nettoyez la surface sans fermer la porte, l’infection revient.
Ce que vous pouvez faire tout de suite, en revanche :
- Changer le mot de passe de votre hébergement et de votre compte FTP/SFTP. C’est souvent par là que le pirate est entré ou se maintient.
- Mettre le site en maintenance si vous le pouvez, le temps d’intervenir, pour ne pas exposer vos visiteurs à des redirections malveillantes.
- Noter ce que vous observez (pages étranges, redirections, dates des fichiers modifiés). Ça aidera à comprendre l’ampleur de l’infection.
Identifier le type de piratage
Tous les piratages WordPress ne se ressemblent pas. Le symptôme que vous observez en dit long sur ce qui se passe sous le capot, et donc sur la façon de nettoyer.
| Ce que vous voyez | Type de piratage | Où creuser |
|---|---|---|
| Des articles ou pages casino / paris indexés sous votre nom | Spam SEO (injection de contenu) | Supprimer les articles spam casino |
| Depuis Google, votre site renvoie vers un casino | Redirection / cloaking | WordPress qui redirige vers un casino |
| « Ce site risque d’endommager votre ordinateur » dans Google | Blacklist Safe Browsing | Enlever l’avertissement Google |
| Un compte administrateur que vous n’avez pas créé | Accès maintenu par le pirate | Voir la section nettoyage des comptes ci-dessous |
Pas sûr d’être réellement piraté ? Commencez par reconnaître les 10 signes d’un WordPress piraté, ça vous évitera de nettoyer un site sain.
Sauvegarder avant de toucher à quoi que ce soit
Même un site infecté doit être sauvegardé avant nettoyage. Pour deux raisons : si une manipulation casse l’affichage, vous pourrez revenir en arrière ; et la copie infectée garde une trace du code malveillant, utile pour comprendre comment le pirate est entré.
Sauvegardez les fichiers (via FTP/SFTP ou le gestionnaire de fichiers de l’hébergeur) et la base de données (export SQL depuis phpMyAdmin). Rangez cette copie de côté, hors du serveur, et ne la remettez jamais en ligne telle quelle.
Nettoyer le site, étape par étape
Le nettoyage suit toujours le même ordre. L’objectif : remplacer tout ce qui peut l’être par des versions saines, puis traquer ce qui reste.
1. Réinstaller le cœur de WordPress
Les fichiers de wp-admin et wp-includes, ainsi que les fichiers de la racine (sauf wp-config.php et votre dossier wp-content), doivent être remplacés par une copie neuve, à la même version que la vôtre. En ligne de commande : wp core download --force. Sans accès SSH, supprimez ces dossiers en FTP et réuploadez-les depuis une archive officielle de wordpress.org.
2. Repartir des plugins et thèmes officiels
Supprimez le contenu de wp-content/plugins et réinstallez chaque extension dont vous avez besoin depuis le répertoire officiel. Même logique pour le thème actif. C’est radical, mais c’est ce qui élimine le code injecté dans les extensions, l’une des cachettes préférées des pirates. Profitez-en pour supprimer définitivement les plugins et thèmes inactifs : un thème par défaut désactivé mais infecté reste une porte d’entrée.
3. Nettoyer la base de données
Le spam et les redirections se logent souvent dans la base. Inspectez en particulier :
wp_usersetwp_usermeta: supprimez tout compte administrateur inconnu, et vérifiez qu’aucun abonné n’a été promu admin.wp_posts: repérez les articles et pages que vous n’avez pas écrits, ainsi que les<script>et<iframe>injectés.wp_options: c’est ici que se cachent souvent les scripts de redirection (champssiteurl,home, et des options aux noms aléatoires).
4. Inspecter .htaccess et le dossier uploads
Le fichier .htaccess à la racine est un grand classique pour les redirections : si vous y trouvez des règles RewriteRule qui renvoient vers un domaine inconnu, c’est là que ça se joue. Quant à wp-content/uploads, il ne devrait contenir que des médias. Un fichier .php qui s’y trouve est presque toujours une backdoor. Pour aller plus loin : trouver et supprimer une backdoor WordPress.
5. Régénérer les accès
Changez tous les mots de passe : administrateurs WordPress, base de données (dans wp-config.php), FTP/SFTP et hébergement. Régénérez aussi les clés de sécurité (salts) de wp-config.php pour déconnecter toutes les sessions encore ouvertes, y compris celles du pirate.
Vérifier que le site est vraiment propre
Un site « qui s’affiche normalement » n’est pas forcément un site propre. Beaucoup d’infections sont invisibles pour le visiteur et ne se montrent qu’à Google. Pour vérifier sérieusement :
- Tapez
site:votre-domaine.frdans Google et parcourez les résultats : des pages spam encore indexées trahissent une infection résiduelle. - Consultez le rapport Problèmes de sécurité dans la Google Search Console.
- Passez le site dans un scanner de malware en ligne et vérifiez les dates de modification des fichiers : un fichier
coremodifié récemment alors que vous n’avez rien touché doit vous alerter.
Enlever l’avertissement de Google
Si Google a affiché « Ce site risque d’endommager votre ordinateur » ou « Ce site a peut-être été piraté », le nettoyage technique ne suffit pas à le faire disparaître. Une fois le site assaini, vous devez demander un réexamen depuis la Search Console. Google lève généralement l’alerte sous 24 à 72 heures. La marche à suivre détaillée est ici : enlever l’avertissement de site piraté.
Sécuriser pour ne pas recommencer
Un site nettoyé mais pas durci se fait souvent repirater dans les semaines qui suivent, par la même faille. La sécurisation n’est pas une option, c’est la dernière étape du nettoyage : mises à jour, masquage de la page de connexion, limitation des tentatives, droits de fichiers corrects. La checklist complète : sécuriser WordPress après un piratage.
Le faire soi-même ou déléguer ?
Si vous êtes à l’aise avec le FTP, phpMyAdmin et la ligne de commande, ce guide vous permet de vous en sortir. Comptez deux à quatre heures pour un site de taille standard, et un peu de méthode pour ne pas laisser passer une backdoor.
Si vous n’êtes pas technique, ou si le site est important pour votre activité et que chaque heure d’indisponibilité compte, déléguer a du sens. C’est exactement ce que fait WP-Detox : on retire le piratage, on récupère votre contenu et on sécurise le site en une trentaine de minutes, pour 149 € tout compris, avec sauvegarde préalable et remboursement si on n’y arrive pas. Le scan, lui, est gratuit : il vous montre déjà ce qui est détecté.
Questions fréquentes
Vais-je perdre mon contenu ? Non, si le nettoyage est fait proprement. On retire uniquement ce qui est malveillant ; vos articles, pages et réglages légitimes restent en place.
Combien de temps pour réparer ? De deux à quatre heures en autonomie pour un site standard. Une intervention spécialisée tourne plutôt autour de 30 minutes une fois les accès reçus.
Mon site peut-il être repiraté juste après ? Oui, si la faille d’entrée n’est pas fermée. C’est pour ça que la sécurisation fait partie intégrante du nettoyage, pas d’une étape « plus tard ».