Votre site WordPress est piraté. Pas de panique. Nous savons à quel point c'est stressant, surtout quand on découvre ça un lundi matin en ouvrant son site et qu'on tombe sur une page de pharmacie en ligne ou une redirection vers un casino. C'est malheureusement un cas que nous rencontrons régulièrement. La bonne nouvelle, c'est qu'on peut en sortir. Voici un plan d'action concret, étape par étape.
Parfois c'est évident : votre page d'accueil a été remplacée par un message en anglais, ou vos visiteurs sont redirigés vers un site louche. Mais souvent, le piratage est plus discret que ça.
Votre site peut être piraté sans que vous le voyiez directement. Les hackers n'ont pas toujours intérêt à se montrer. Un site compromis qui continue de fonctionner normalement en apparence, c'est un site qu'ils peuvent exploiter plus longtemps pour envoyer du spam ou héberger du phishing.
Voici ce qui doit vous alerter : des pages que vous n'avez pas créées apparaissent dans Google (tapez site:votresite.com pour vérifier), Google Search Console vous envoie des alertes de sécurité, votre hébergeur vous contacte pour une activité anormale, des fichiers PHP que vous ne reconnaissez pas traînent dans vos dossiers, ou encore votre site est soudainement très lent sans raison. Si vous êtes blacklisté par Google, un message d'avertissement rouge s'affiche avant d'accéder à votre site. C'est le signe le plus visible pour vos visiteurs, et le plus dommageable pour votre activité.
D'expérience, la première chose que nous faisons quand nous intervenons sur un site piraté, c'est de stabiliser la situation avant de commencer le nettoyage.
Changez immédiatement tous les mots de passe d'accès : le panneau d'administration WordPress, le FTP, la base de données et le panneau de votre hébergeur. Faites-le depuis un ordinateur dont vous êtes sûr qu'il n'est pas lui-même compromis.
Mettez votre site en maintenance. Un simple plugin comme WP Maintenance Mode fait l'affaire, ou si vous n'avez plus accès à l'admin, créez un fichier .maintenance à la racine. L'idée c'est d'éviter que vos visiteurs tombent sur du contenu malveillant pendant que vous nettoyez.
Prévenez votre hébergeur. Il a peut-être déjà repéré l'activité suspecte et peut vous donner des informations utiles (logs d'accès, fichiers modifiés récemment).
Et surtout : faites une sauvegarde de l'état actuel, même infecté. Oui, ça semble contre-intuitif, mais cette copie servira à analyser la faille après coup. Sans elle, vous nettoyez à l'aveugle et vous risquez de passer à côté de la porte d'entrée du pirate.
C'est le gros du travail. L'approche que nous recommandons est radicale mais sans danger : remplacer tout ce qu'on peut remplacer par des fichiers propres.
Les dossiers wp-includes/ et wp-admin/ ne contiennent aucun fichier personnalisé. Zéro. Vous pouvez les supprimer entièrement et les remplacer par ceux téléchargés depuis wordpress.org. Faites de même pour les fichiers à la racine (sauf wp-config.php et .htaccess qu'on traitera à part). C'est la méthode la plus fiable pour s'assurer que le core est propre.
Ouvrez ce fichier et inspectez-le ligne par ligne. Vérifiez que les identifiants de base de données sont corrects et n'ont pas été modifiés. Cherchez du code suspect, notamment des eval(), des base64_decode(), ou des include vers des fichiers que vous ne reconnaissez pas. Régénérez les clés de sécurité (les fameuses salt keys) en allant sur api.wordpress.org/secret-key et en collant les nouvelles valeurs dans votre fichier.
C'est là que ça se complique, parce que wp-content/ contient vos thèmes, vos plugins et vos médias. On ne peut pas tout remplacer aussi facilement.
Pour les plugins : supprimez-les tous via FTP et réinstallez-les un par un depuis le répertoire officiel WordPress. C'est fastidieux, oui, mais c'est le seul moyen d'être sûr. Profitez-en pour ne réinstaller que ceux que vous utilisez vraiment. Les plugins inactifs qui traînent depuis des mois sont des vecteurs d'attaque classiques.
Pour le thème : si vous utilisez un thème du répertoire officiel, remplacez-le par une copie fraîche. Si c'est un thème custom, il faudra inspecter chaque fichier. Portez une attention particulière au fichier functions.php, c'est là que le code malveillant aime se cacher.
Pour le dossier uploads : c'est normalement un dossier qui ne contient que des images, des PDF et des médias. Si vous y trouvez des fichiers .php, c'est quasi systématiquement du code malveillant. Supprimez-les. Vous pouvez chercher tous les fichiers PHP dans uploads avec un simple find wp-content/uploads -name "*.php" en ligne de commande.
Le piratage ne se limite pas toujours aux fichiers. La base de données peut aussi être compromise.
Commencez par vérifier la table wp_users. Des comptes administrateurs que vous n'avez pas créés ? Supprimez-les immédiatement. Regardez ensuite la table wp_options : vérifiez que les valeurs de siteurl et home correspondent bien à votre domaine. Un pirate peut les modifier pour rediriger tout votre trafic.
La partie la plus vicieuse, ce sont les contenus injectés. Cherchez dans wp_options des entrées contenant eval( ou base64_decode(. Vous pouvez exécuter cette requête SQL :
SELECT option_name, option_value FROM wp_options WHERE option_value LIKE '%eval(%' OR option_value LIKE '%base64_decode(%';Vérifiez aussi wp_posts et wp_postmeta pour des contenus injectés, des liens spam cachés dans vos articles. Franchement, si vous n'êtes pas à l'aise avec phpMyAdmin ou les requêtes SQL, c'est le moment de demander de l'aide. Une mauvaise manipulation en base de données peut faire plus de dégâts que le piratage lui-même.
Plusieurs outils peuvent vous aider à identifier les fichiers compromis.
Wordfence est probablement le plus connu. Son scanner gratuit compare vos fichiers avec ceux du répertoire WordPress officiel et signale toute différence. C'est redoutablement efficace pour repérer du code injecté dans le core ou les plugins. Sucuri SiteCheck fait un scan externe de votre site, utile pour voir ce que les visiteurs et Google voient réellement.
Pour les plus techniques, WP-CLI offre une commande très pratique :
wp core verify-checksumsCette commande compare chaque fichier du core WordPress avec les checksums officiels. Si un fichier a été modifié, vous le saurez immédiatement. Il existe aussi des outils en ligne de commande comme php-malware-finder qui scannent vos fichiers PHP à la recherche de patterns malveillants connus (obfuscation, shells, backdoors).
On peut aussi utiliser un agent IA comme Claude Code pour passer en revue les fichiers suspects un par un. Ca ne remplace pas un vrai audit de sécurité, mais ca peut aider à repérer des patterns dans du code obfusqué, surtout quand on a des dizaines de fichiers à vérifier et qu'on ne sait plus trop où donner de la tête.
Nettoyer c'est bien, mais si vous ne sécurisez pas derrière, le pirate (ou un autre) reviendra. C'est une certitude.
Changez TOUS les mots de passe. Oui, encore. Même ceux que vous avez changés au début. Cette fois, utilisez des mots de passe forts, uniques, générés par un gestionnaire de mots de passe. Et quand on dit tous, on parle des accès WordPress admin, FTP/SFTP, base de données, panneau hébergeur et comptes email associés.
Régénérez les clés de sécurité dans wp-config.php si vous ne l'avez pas déjà fait. Ca invalide toutes les sessions existantes et force la déconnexion de tous les utilisateurs, y compris un éventuel pirate qui serait encore connecté.
Mettez à jour WordPress, tous vos thèmes et tous vos plugins. Un site piraté l'est souvent par une faille connue dans une version obsolète d'un plugin. Supprimez les comptes admin suspects et les comptes que personne n'utilise plus. Activez l'authentification à deux facteurs (2FA) sur tous les comptes administrateurs, c'est le geste qui a le meilleur rapport effort/sécurité.
Installez un firewall applicatif. Wordfence, Sucuri ou Cloudflare, au choix. Ca bloque une grande partie des attaques automatisées avant même qu'elles n'atteignent votre site.
Enfin, mettez en place des sauvegardes régulières et automatiques. C'est le filet de sécurité qui vous évitera de repartir de zéro si jamais ca se reproduit. Vous pouvez aussi dupliquer votre site WordPress sur un environnement de staging pour tester les mises à jour avant de les appliquer en production.
Si votre site a été blacklisté par Google (message d'avertissement rouge quand on essaie d'y accéder), il faut demander un réexamen.
Connectez-vous à Google Search Console. Dans la section "Problèmes de sécurité", vous verrez les alertes que Google a détectées. Une fois le nettoyage terminé, cliquez sur "Demander un examen" et décrivez les actions que vous avez entreprises. Google réévalue généralement sous quelques jours.
Vérifiez aussi l'indexation de votre site avec site:votresite.com dans Google. Si des pages spam sont encore indexées, demandez leur suppression via l'outil de suppression d'URLs de Search Console. Soumettez un nouveau sitemap pour aider Google à recrawler votre site propre.
C'est dur à dire sans voir le site, mais en général, il faut compter entre quelques jours et deux semaines pour que Google retire complètement les avertissements et que votre SEO revienne à la normale. Parfois plus, si le piratage a duré longtemps.
Tout ce qu'on a décrit plus haut, ca fonctionne dans la majorité des cas. Mais parfois ca ne suffit pas.
Si le piratage revient après nettoyage, c'est que la porte d'entrée n'a pas été identifiée. Il y a peut-être une backdoor planquée quelque part, dans un fichier anodin ou même dans la base de données. C'est un cas où il faut quelqu'un qui a l'habitude de traquer ce genre de choses.
Si des données clients ont fuité, vous avez des obligations légales au titre du RGPD. Notification à la CNIL sous 72 heures, information des personnes concernées... Ce n'est pas le moment d'improviser.
Si vous ne trouvez tout simplement pas comment le pirate est entré, faire appel à un professionnel vous fera gagner un temps considérable. Un audit de sécurité complet permettra d'identifier la faille et de la corriger durablement.
Votre site est piraté et vous ne vous en sortez pas ? Contactez-nous pour une intervention rapide. On voit ça avec vous.
Un piratage c'est toujours le symptome d'un problème sous-jacent : un plugin pas mis à jour, un mot de passe trop faible, un hébergement bas de gamme, ou tout simplement l'absence de maintenance régulière.
La première chose, c'est d'accepter que la maintenance est indispensable. Un site WordPress qui n'est pas maintenu, c'est un site qui sera piraté un jour. C'est juste une question de temps. Les mises à jour régulières comblent les failles de sécurité connues. Sans elles, votre site est une cible facile pour les scripts automatisés qui scannent le web à longueur de journée.
Le choix de l'hébergement joue aussi un rôle. Un bon hébergeur isole les comptes, détecte les activités suspectes et propose des outils de sécurité intégrés. Ca vaut le coup de choisir un bon hébergement dès le départ plutôt que d'économiser quelques euros par mois et de payer le prix fort en cas de piratage.
Et si vous voulez aller plus loin dans la sécurité, il existe des architectures qui réduisent considérablement la surface d'attaque. Un WordPress headless par exemple, dissocie l'interface publique du back-office. Le WordPress qui gère vos contenus n'est plus directement exposé sur internet. Dans la même veine, la JAMstack génère des pages statiques qui ne dépendent pas d'une base de données accessible en temps réel. Moins de composants exposés, moins de risques.
Franchement, si votre site utilise encore un mot de passe admin type "admin123", on ne va pas se mentir : c'est une invitation. Prenez une heure, changez vos mots de passe, activez le 2FA, vérifiez vos mises à jour. C'est le minimum.
Vous préférez ne plus avoir à gérer ça ? Découvrez notre offre de maintenance WordPress pour dormir tranquille.
Que vous ayez besoin d'un nouveau site, d'une reprise de l'existant ou d'une maintenance experte, nous aidons vos équipes marketing et communication à s'appuyer sur un WordPress fiable, performant et simple à administrer.
Discutons de votre projet →Découvrez nos autres conseils WordPress
Le Site Editor (anciennement Full Site Editing) permet de modifier visuellement l'intégralité d'un site WordPress : header, footer, templates, styles globaux. Voici ce que ça change concrètement, les concepts clés, et si vous devriez y passer.
Gutenberg est l'éditeur par défaut de WordPress depuis 2018, mais des millions de sites utilisent encore Classic Editor. Comparatif, inconvénients, et guide de migration étape par étape.
Découvrez les meilleures méthodes pour dupliquer votre site WordPress : plugins Duplicator, All-in-One WP Migration, UpdraftPlus, Migrate Guru, ou méthode manuelle. Guide étape par étape pour cloner votre site en toute sécurité.
