Obtenir un devis

Mon site WordPress a été piraté : que faire étape par étape ?

site wordpress piraté
Sommaire
Partager

Votre site WordPress est piraté : agissez vite

Un matin, vous ouvrez votre navigateur et là… votre site affiche du contenu en chinois, redirige vers une pharmacie en ligne douteuse, ou pire : une page blanche avec le message « This site has been hacked ». Panique, colère, sentiment d’impuissance. On est passé par là, et on sait à quel point cette situation est déstabilisante.

La mauvaise nouvelle : WordPress est la cible numéro un des pirates sur le web. Selon les données de Wordfence et Sucuri, environ 94 % des attaques sur les CMS en 2024 visaient WordPress. Logique : WordPress propulse plus de 43 % des sites mondiaux, ce qui en fait une proie idéale pour des scripts automatisés cherchant des failles à grande échelle.

La bonne nouvelle : un site WordPress piraté, c’est presque toujours réparable. Les pirates suppriment rarement vos données, ils ajoutent du code malveillant. Votre contenu est encore là, quelque part. Ce guide vous accompagne étape par étape pour nettoyer, sécuriser et relancer votre site en limitant au maximum les dégâts SEO et commerciaux.

Comment reconnaître un piratage WordPress ?

Avant de paniquer, encore faut-il être certain d’avoir affaire à un piratage et pas à un bug classique. Voici les signes qui ne trompent pas :

  • Votre site affiche du contenu que vous n’avez pas publié : textes en langue étrangère, liens vers des sites de jeux, de pharmacie ou de contenus illicites.
  • Vous recevez une alerte de Google Search Console indiquant que votre site contient des logiciels malveillants ou trompe les utilisateurs.
  • Votre hébergeur a suspendu votre compte après avoir détecté une activité suspecte.
  • Votre site redirige les visiteurs vers d’autres domaines, parfois uniquement depuis Google (redirection conditionnelle).
  • Vous ne pouvez plus accéder à votre tableau de bord WordPress avec vos identifiants habituels.
  • Vous recevez des notifications de mails rejetés pour des emails que vous n’avez jamais envoyés.
  • Des comptes administrateurs inconnus ont été créés dans votre WordPress.
  • Google Chrome ou votre antivirus bloque l’accès à votre site avec un avertissement rouge.

Si vous cochez l’une de ces cases, il est temps de passer à l’action. Et vite : chaque heure perdue aggrave l’impact sur votre référencement naturel.

Les erreurs à ne surtout pas commettre

Le réflexe naturel face à un piratage est de vouloir changer son mot de passe WordPress en urgence. C’est une erreur. Tant que le code malveillant est encore présent dans vos fichiers, le pirate peut se reconnecter quand il le souhaite via une porte dérobée (backdoor) qu’il a installée. Réinitialiser son mot de passe avant le nettoyage complet ne sert à rien.

Autre erreur fréquente : supprimer des fichiers à la va-vite sans sauvegarde. En voulant « tout effacer », on risque de supprimer des données importantes ou de casser le site de façon irrémédiable. La méthode compte autant que la rapidité.

Enfin, ne remettez pas en ligne une sauvegarde ancienne sans avoir identifié la faille initiale. Vous reviendrez au point de départ dans les 48 heures.

Étape 1 : Mettez votre site en maintenance immédiatement

La première priorité, c’est de couper l’accès aux visiteurs. Un site piraté peut infecter vos utilisateurs, afficher du phishing, ou voir Google le blacklister définitivement si trop de personnes tombent dessus dans cet état.

Si vous avez encore accès à votre tableau de bord WordPress, activez le mode maintenance via un plugin (WP Maintenance Mode, LightStart, etc.). Si vous n’y avez plus accès, contactez votre hébergeur pour qu’il restreigne temporairement l’accès au site via son panneau de contrôle.

Sur nos interventions de dépannage WordPress, c’est systématiquement la première chose que nous faisons. Pendant la période de nettoyage, personne ne doit naviguer sur le site.

Étape 2 : Identifiez l’étendue du piratage

Avant de nettoyer, il faut comprendre ce qui s’est passé. Deux outils gratuits permettent de faire un premier diagnostic depuis l’extérieur :

  • Sucuri SiteCheck (sitecheck.sucuri.net) : scannez votre URL, il détecte les malwares visibles, les redirections malveillantes et vérifie si votre domaine est blacklisté.
  • Google Transparence (transparencyreport.google.com/safe-browsing/search) : vérifiez si Google a déjà blacklisté votre domaine.

Si vous avez encore accès à votre back-office, installez l’extension Wordfence Security et lancez un scan complet. C’est le plugin de sécurité WordPress le plus utilisé au monde avec plus de 5 millions d’installations actives. Sa version gratuite est déjà très efficace pour identifier les fichiers infectés, les backdoors et les modifications suspectes.

Notez bien tous les fichiers signalés : ils serviront de point de départ pour le nettoyage.

Étape 3 : Faites une sauvegarde de l’état actuel (oui, même infecté)

Cela peut sembler contre-intuitif, mais sauvegarder votre site piraté avant toute intervention est indispensable. Pourquoi ? Pour conserver une référence si quelque chose tourne mal pendant le nettoyage, et pour pouvoir comparer les fichiers suspects avec la version propre.

Téléchargez l’intégralité de votre site via FTP (FileZilla par exemple) et exportez votre base de données depuis phpMyAdmin ou depuis le panneau de contrôle de votre hébergeur. Stockez cette sauvegarde en dehors de votre hébergeur, sur votre poste local ou un service cloud.

Étape 4 : Changez tous vos mots de passe (dans le bon ordre)

Une fois la sauvegarde effectuée, il est temps de changer tous les accès dans l’ordre suivant :

  1. Mot de passe FTP / SFTP
  2. Mot de passe de la base de données MySQL
  3. Mot de passe de votre panneau d’hébergement (cPanel, Plesk, etc.)
  4. Mots de passe WordPress de tous les comptes, à commencer par l’administrateur principal
  5. Mot de passe de l’adresse email associée à votre compte WordPress

N’oubliez pas de mettre à jour le mot de passe de la base de données dans le fichier wp-config.php : il doit correspondre au nouveau mot de passe que vous venez de définir, sinon votre site ne pourra plus se connecter à sa base de données.

Étape 5 : Supprimez les utilisateurs administrateurs inconnus

L’une des techniques les plus courantes des pirates consiste à créer des comptes administrateurs cachés pour maintenir un accès permanent au site. Rendez-vous dans Utilisateurs > Tous les utilisateurs et supprimez immédiatement tout compte que vous ne reconnaissez pas, surtout s’il dispose du rôle « Administrateur ».

Si vous n’avez plus accès au back-office, ces comptes peuvent être supprimés directement depuis phpMyAdmin dans la table wp_users.

Étape 6 : Nettoyez ou réinstallez WordPress proprement

Deux approches existent, selon la gravité du piratage.

Option A : Restaurer une sauvegarde saine

Si vous disposez d’une sauvegarde datant d’avant le piratage (et que vous êtes certain de sa date), c’est la solution la plus rapide. Restaurez-la, puis passez immédiatement à l’étape de sécurisation pour éviter que la même faille soit à nouveau exploitée. Attention : une restauration sans correction de la faille initiale est inutile.

Option B : Réinstallation complète

C’est la méthode que nous recommandons chez French Horizon pour les cas sérieux. Elle est plus longue mais garantit de repartir sur une base 100 % propre :

  1. Exportez votre contenu (articles, pages, médias) via Outils > Exporter depuis votre WordPress piraté.
  2. Supprimez via FTP tous les fichiers WordPress à la racine et dans les dossiers principaux, sauf le dossier wp-content/uploads (vos médias) que vous passerez à l’antivirus d’abord.
  3. Téléchargez une version fraîche de WordPress depuis wordpress.org et réinstallez-la.
  4. Réinstallez chaque plugin depuis le répertoire officiel WordPress (version à jour), sans récupérer les anciens dossiers.
  5. Faites de même pour votre thème.
  6. Réimportez votre contenu via Outils > Importer.

Cette méthode élimine toute trace de code malveillant dans les fichiers core, les themes et les plugins. Seule la base de données doit encore être vérifiée.

Étape 7 : Vérifiez et nettoyez la base de données

La base de données peut également contenir des injections malveillantes : faux liens, redirections cachées, scripts insérés dans les contenus. Un scan avec Wordfence détecte les anomalies les plus courantes. Pour les cas avancés, une inspection manuelle via phpMyAdmin est nécessaire, en cherchant notamment des chaînes suspectes comme eval(base64_decode ou des URLs injectées dans les articles et les options WordPress.

La table wp_options est souvent ciblée, notamment les champs siteurl, home et active_plugins.

Étape 8 : Informez votre hébergeur et demandez une levée de suspension

Si votre hébergeur a suspendu votre compte, contactez son support en lui indiquant les mesures prises. La plupart des hébergeurs peuvent effectuer un scan anti-malware de leur côté pour confirmer que le site est propre. Une fois validé, ils rétabliront l’accès.

Si Google a blacklisté votre site, connectez-vous à Google Search Console, rendez-vous dans la section « Problèmes de sécurité » et soumettez une demande de révision une fois le nettoyage terminé. Le délai de traitement est généralement de quelques jours.

Votre obligation RGPD en cas de fuite de données

C’est un point que beaucoup oublient dans l’urgence d’un piratage. En France, le RGPD impose une obligation de notification si des données personnelles ont pu être compromises lors de l’attaque. Si votre site collectait des emails, des informations clients ou des données de paiement, vous avez 72 heures pour notifier la CNIL à partir du moment où vous avez connaissance de la violation.

Même si vous n’êtes pas certain qu’il y ait eu fuite, le doute suffit à déclencher cette obligation. Une déclaration vaut toujours mieux qu’une amende pour non-notification. Ce volet légal est souvent négligé mais peut avoir des conséquences financières et réputationnelles significatives.

Après le nettoyage : 7 mesures pour ne plus jamais se faire pirater

Un site nettoyé mais non sécurisé sera repiraté. Voici les mesures essentielles à mettre en place immédiatement après votre remise en ligne.

Mettez tout à jour sans exception

Les extensions obsolètes représentent à elles seules plus de 50 % des vulnérabilités WordPress selon les statistiques de Sucuri et wp-securite.fr. WordPress core, thèmes, plugins : tout doit être à jour. Si une extension n’est plus maintenue par son développeur, supprimez-la et trouvez une alternative active.

Activez l’authentification à deux facteurs (2FA)

Le 2FA ajoute une couche de vérification supplémentaire à la connexion. Même si un pirate obtient votre mot de passe, il ne peut pas accéder à votre tableau de bord sans le code temporaire généré sur votre téléphone. Wordfence ou le plugin WP 2FA permettent de l’activer en quelques minutes.

Changez l’URL de connexion WordPress

Par défaut, la page de connexion de tout site WordPress est accessible à l’adresse /wp-admin ou /wp-login.php. Les scripts automatisés des pirates connaissent cette URL par coeur et la bombardent d’attaques par force brute. Le plugin WPS Hide Login permet de la personnaliser facilement.

Limitez les tentatives de connexion

Bloquez automatiquement les adresses IP qui échouent plusieurs fois à la connexion. Cette mesure simple décourage très efficacement les attaques par force brute, qui représentent encore une part significative des compromissions WordPress.

Installez un plugin de sécurité actif

Wordfence en version gratuite offre déjà un pare-feu applicatif, un scanner de malwares et une surveillance des tentatives de connexion. Pour les sites e-commerce ou à fort trafic, la version Premium avec les mises à jour de signatures en temps réel est fortement conseillée.

Configurez des sauvegardes automatiques hors site

Une sauvegarde stockée uniquement chez votre hébergeur est inutile si ce dernier suspend votre compte. Les plugins UpdraftPlus ou BackWPup permettent d’envoyer automatiquement vos sauvegardes vers Google Drive, Dropbox ou un serveur distant. Testez régulièrement leur restauration : une sauvegarde non testée n’existe pas vraiment.

Supprimez tout ce qui est inutile

Chaque plugin et thème inutilisé mais présent sur votre serveur est une porte d’entrée potentielle. Supprimez (pas seulement désactivez) tous les thèmes que vous n’utilisez pas, et pareil pour les plugins dormants. Moins il y a de code, moins il y a de surface d’attaque.

Quand faire appel à un expert WordPress ?

Nettoyer un site WordPress piraté demande des compétences techniques : accès FTP, gestion de base de données, lecture de logs serveur, identification de backdoors dissimulées dans des fichiers légitimes… Ce n’est pas à la portée de tous, et c’est normal. Vouloir faire soi-même sans ces compétences peut aggraver la situation : supprimer un mauvais fichier, corrompre la base de données, ou laisser passer un backdoor discret qui garantit une reinfection dans la semaine.

Chez French Horizon, nous intervenons régulièrement sur des dépannages WordPress suite à des piratages : diagnostic complet, nettoyage des fichiers infectés, sécurisation post-intervention, et vérification RGPD si des données ont pu être exposées. Si vous n’êtes pas sûr d’avoir tout nettoyé, ou si vous manquez de temps, n’attendez pas que votre site soit blacklisté définitivement par Google.

Un site piraté non traité rapidement peut perdre l’ensemble de ses positions SEO en quelques jours. Sur des projets qui mettent des mois à se positionner, c’est un risque que personne ne devrait prendre seul.

Nos autres articles de blog

woocommerce ou shopify
  • Site internet

WooCommerce vs Shopify : quelle plateforme e-commerce choisir en 2026 ?

Vous hésitez entre WooCommerce et Shopify pour lancer ou refondre votre boutique en ligne ?...
geo wordpress 1
  • SEO, WordPress

GEO : comment apparaître dans les réponses de ChatGPT, Gemini et Perplexity

Vos clients ne cherchent plus sur Google. Ils posent leurs questions à ChatGPT, Gemini ou...
meilleures agences wordpress france 1
  • Site internet, WordPress

Top 10 des meilleures agences WordPress en France en 2026

Vous cherchez la meilleure agence WordPress pour votre projet ? Nous avons analysé le marché...
Nous contacter

Contactez-nous facilement par le moyen qui vous convient le mieux.

Formulaire de devis WhatsApp Formulaire de contact