· 8 min de lecture

Mon site WordPress a été piraté : que faire en urgence ?

Vous venez de découvrir que votre site WordPress a été piraté. Votre site affiche un message bizarre, redirige vers une page inconnue, ou votre hébergeur vient de vous alerter d’une activité suspecte; Chaque minute compte. Dans cet article, on vous explique exactement quoi faire, dans quel ordre, pour limiter les dégâts et reprendre le contrôle de votre site.

Pourquoi votre site WordPress a-t-il été ciblé ?

Avant d’agir, il est utile de comprendre pourquoi vous êtes dans cette situation. WordPress propulse aujourd’hui plus de 43 % de l’ensemble des sites web dans le monde. Cette popularité massive en fait la cible n°1 des hackers.

En 2024, 7 966 nouvelles vulnérabilités ont été recensées dans l’écosystème WordPress — soit en moyenne 22 failles découvertes chaque jour. Parmi elles, 97 % provenaient de plugins ou thèmes tiers. Vous avez simplement un site sur la plateforme la plus attaquée au monde.

Pas de panique ! Un site piraté se récupère. Voici comment.

Étape 1 — Vérifier et confirmer le piratage

Avant tout, assurez-vous que votre site est bien compromis et pas simplement victime d’un bug technique.

Signes caractéristiques d’un piratage WordPress :

  • Le site affiche un message en langue étrangère ou un contenu que vous n’avez pas publié
  • Vos visiteurs sont redirigés vers un site inconnu (pharma, jeux en ligne, contenu adulte)
  • Google affiche un avertissement “Ce site peut nuire à votre ordinateur”
  • Votre hébergeur a suspendu votre site pour activité malveillante
  • Vous ne pouvez plus accéder à votre interface d’administration /wp-admin
  • Des comptes administrateurs inconnus apparaissent dans WordPress
  • Vos e-mails de contact partent en spam ou votre domaine est blacklisté

Si vous cochez au moins un de ces éléments, passez immédiatement à l’étape suivante.

Étape 2 — Passer votre site en mode maintenance immédiatement

La première chose à faire est de couper l’accès public à votre site pour protéger vos visiteurs. Un site compromis peut distribuer des malwares à quiconque le visite, ce qui expose votre entreprise à des poursuites et détruit votre référencement.

Depuis votre hébergeur, vous pouvez généralement :

  • Activer une page de maintenance via le tableau de bord (comme pour Hostinger)
  • Suspendre le site temporairement
  • Bloquer l’accès via le fichier .htaccess

Ne cherchez pas à “nettoyer à la volée” pendant que le site est ouvert. Vous risqueriez d’alerter l’attaquant et de perdre des traces utiles pour comprendre la faille.

Étape 3 — Changer tous vos mots de passe sans exception

Même si vous ne savez pas encore comment votre site a été compromis, partez du principe que tous vos accès sont potentiellement connus de l’attaquant.

Changez immédiatement :

  1. Le mot de passe administrateur WordPress (via phpMyAdmin si vous n’avez plus accès au tableau de bord)
  2. Le mot de passe FTP / SFTP depuis votre hébergeur
  3. Le mot de passe de la base de données MySQL
  4. Le mot de passe de votre compte hébergeur
  5. Le mot de passe de l’adresse e-mail associée au site

Utilisez des mots de passe longs, aléatoires et uniques pour chacun. Un gestionnaire de mots de passe comme Bitwarden ou 1Password vous facilitera la tâche.

Étape 4 — Effectuer une sauvegarde de l’état actuel (même infecté)

Avant de nettoyer quoi que ce soit, sauvegardez votre site dans son état compromis.

Cette sauvegarde vous permettra :

  • D’analyser les fichiers malveillants en toute sécurité
  • De comparer avec une version saine pour identifier les modifications
  • D’avoir une preuve en cas de besoin légal ou assurantiel

Téléchargez l’ensemble des fichiers via FTP et exportez votre base de données depuis phpMyAdmin. Stockez cette sauvegarde sur un support isolé (pas sur votre serveur).

Étape 5 — Identifier la source de la compromission

C’est l’étape la plus technique. Si vous ne trouvez pas comment votre site a été piraté, vous serez repiraté dans les semaines suivantes.

Les vecteurs d’attaque les plus fréquents sur WordPress :

  • Plugin ou thème vulnérable : la cause dans ~97 % des cas. Vérifiez si un de vos plugins n’a pas reçu de mise à jour de sécurité critique récemment
  • Mot de passe compromis : attaque par force brute ou credential stuffing depuis une fuite de données
  • Fichier malveillant uploadé : via un formulaire de contact ou une fonctionnalité d’upload mal sécurisée
  • Hébergement mutualisé compromis : si un autre site sur le même serveur est infecté, le vôtre peut l’être par contamination

Pour identifier les fichiers modifiés, comparez les dates de modification de vos fichiers PHP avec la date à laquelle vous avez installé votre thème ou vos plugins. Tout fichier modifié récemment sans raison légitime est suspect.

Étape 6 — Nettoyer les fichiers infectés

Si vous avez les compétences techniques, vous pouvez nettoyer manuellement :

  • Réinstallez WordPress en version propre (sans écraser wp-config.php et /wp-content/)
  • Supprimez et réinstallez chaque plugin et thème depuis leurs sources officielles
  • Inspectez manuellement les fichiers functions.php, .htaccess, index.php à la recherche de code obfusqué (souvent encodé en base64)
  • Vérifiez la table wp_users pour supprimer les comptes administrateurs inconnus
  • Cherchez dans la base de données les injections de liens ou de scripts malveillants

Attention aux backdoors. Un attaquant expérimenté place presque toujours plusieurs portes dérobées dans différents fichiers. Supprimer un seul fichier malveillant ne suffit pas : l’intrus peut revenir.

Si vous n’êtes pas développeur ou si vous manquez de temps, c’est à cette étape qu’il vaut mieux faire appel à un professionnel. Le risque d’un nettoyage incomplet est très élevé.

Étape 7 — Restaurer une sauvegarde saine (si disponible)

Si vous disposez d’une sauvegarde datant d’avant l’attaque, c’est souvent la méthode la plus sûre et la plus rapide. Restaurez-la intégralement et vérifiez que la faille exploitée a bien été corrigée depuis (mise à jour du plugin incriminé, changement de mot de passe, etc.).

Sans sauvegarde propre, la restauration complète est plus complexe et risquée. C’est l’une des raisons pour lesquelles des sauvegardes automatiques quotidiennes sont indispensables, avant qu’un incident survienne.

Étape 8 — Demander une révision à Google (si blacklisté)

Si Google a placé votre site sur liste noire, vous devrez soumettre une demande de révision depuis Google Search Console une fois le site nettoyé.

La procédure :

  1. Connectez-vous à Google Search Console
  2. Rendez-vous dans Sécurité et actions manuelles → Problèmes de sécurité
  3. Vérifiez les URLs signalées par Google
  4. Une fois le nettoyage effectué, cliquez sur Demander un examen

Google peut prendre entre 24 heures et plusieurs jours pour lever l’avertissement. Durant cette période, votre trafic peut chuter de 90 %. Raison de plus pour agir vite.

Étape 9 — Sécuriser et durcir votre site post-incident

Un piratage est une opportunité douloureuse de prendre enfin la sécurité au sérieux. Une fois votre site rétabli, appliquez ces mesures fondamentales :

Protection des accès

  • Activez l’authentification à deux facteurs (2FA) sur tous les comptes admin
  • Limitez le nombre de tentatives de connexion (anti-brute force)
  • Changez l’URL de connexion /wp-admin pour une URL personnalisée
  • Supprimez tous les comptes utilisateurs inutiles ou inactifs

Protection du code

  • Mettez à jour WordPress, tous vos plugins et thèmes sans exception
  • Supprimez les plugins et thèmes désactivés (même désactivés, ils restent une surface d’attaque)
  • Installez un plugin de sécurité pour une protection de base

Infrastructure

  • Installez un pare-feu applicatif (WAF)
  • Activez les sauvegardes automatiques quotidiennes externalisées
  • Mettez en place un monitoring des fichiers et des logs d’accès

Combien coûte un piratage WordPress pour une PME ?

Les chiffres parlent d’eux-mêmes. Un incident de sécurité non anticipé engendre typiquement :

  • Intervention d’urgence d’un développeur ou d’une agence : entre 500 € et 3 000 €
  • Perte de revenus pendant la période d’indisponibilité (quelques heures à plusieurs jours)
  • Perte de trafic SEO suite au blacklistage Google : souvent plusieurs semaines pour récupérer ses positions
  • Perte de confiance clients si des données personnelles ont été exposées (RGPD)
  • Sanctions CNIL en cas de violation de données non déclarée dans les 72 heures

À titre de comparaison, un service de protection préventif coûte une fraction de ces montants et évite l’ensemble du scénario.

En résumé : les 9 étapes en cas de piratage WordPress

  1. Confirmer le piratage (signes visibles, alertes hébergeur, Google)
  2. Passer le site en maintenance pour protéger les visiteurs
  3. Changer tous les mots de passe sans exception
  4. Sauvegarder l’état infecté pour analyse
  5. Identifier la source de la compromission
  6. Nettoyer les fichiers et la base de données
  7. Restaurer une sauvegarde saine si disponible
  8. Demander une révision à Google si blacklisté
  9. Sécuriser et durcir le site pour éviter la récidive

Vous n’avez pas le temps de gérer ça seul ?

Un piratage WordPress, ça ne pardonne pas la précipitation. Un nettoyage mal effectué laisse des backdoors en place et expose votre site à une nouvelle compromission dans les semaines suivantes.

Chez CyberPress, nous intervenons en urgence sur les sites WordPress compromis : diagnostic complet, nettoyage des malwares, suppression des backdoors, restauration et sécurisation durable.

Cet article a été rédigé par l’équipe CyberPress, agence spécialisée dans la sécurisation des sites WordPress pour PME et e-commerce. Toutes les statistiques mentionnées sont issues de rapports Patchstack, Wordfence et Sucuri (2024–2025).