Un piratage de site WordPress crée une rupture immédiate avec vos visiteurs et vos clients, et il faut agir avec méthode pour limiter les dégâts. La rapidité et l’organisation restent les meilleurs alliés pour protéger vos données, votre référencement et votre réputation en ligne.
Avant toute réparation, il est nécessaire d’identifier précisément les signes d’intrusion et d’isoler l’environnement compromis, afin d’éviter une contamination plus large. Pour agir vite et protéger vos visiteurs, gardez à l’esprit les points concrets suivants
A retenir :
- Isolation du site en mode maintenance immédiat pour sécurité
- Analyse approfondie des fichiers et suppression des codes malveillants
- Mise à jour systématique du core, thèmes et extensions
- Changement des accès et vérification stricte des utilisateurs
Détection et isolement d’un site WordPress piraté
Après avoir pris conscience d’une compromission, la première étape consiste à isoler le site pour empêcher la propagation et préserver les preuves. Cette isolation passe souvent par l’activation immédiate d’un mode maintenance et par la notification du prestataire d’hébergement pour obtenir des logs.
Si votre hébergeur est OVH, Infomaniak, WPServeur ou &1 IONOS, signalez l’incident sans délai afin d’obtenir une assistance et des captures serveur. Selon Wordfence, l’analyse des logs d’accès permet souvent de repérer l’origine et la méthode d’attaque.
Vérifier l’accès au tableau de bord WordPress reste essentiel, car certaines attaques désactivent les comptes administrateurs et installent des backdoors. Pour clore cette phase, préparez la liste des éléments à analyser avant de lancer le nettoyage.
Indicateur
Signes observables
Outils recommandés
Apparence du site
Pages modifiées ou contenu ajouté
Wordfence, Sucuri
Trafic
Baisse soudaine ou redirections suspectes
Logs hébergeur, Google Search Console
Comptes utilisateurs
Présence de comptes inconnus
Audit WordPress
Alertes hébergeur
Message d’avertissement ou suspension
Contact support OVH, Kinsta, Infomaniak
Vérifications immédiates du site :
- Accès au back-office et comptes administrateurs
- Fichiers modifiés dans wp-content et thèmes
- Présence de redirections ou scripts inconnus
- Alertes de Google ou blacklisting
Repérage des signes visibles et des backdoors
Ce point détaille comment chercher les modifications visibles et les fichiers ajoutés qui servent de portes dérobées. Les backdoors se cachent souvent sous des noms proches des fichiers légitimes, comme des variantes de function.php.
Selon Sucuri, les répertoires de thèmes, plugins et uploads sont les zones les plus infectées, et il faut garder une vigilance accrue sur ces dossiers. La recherche manuelle doit être complétée par un scan automatisé.
« J’ai trouvé un fichier nommé function0.php qui redirigeait tout le trafic vers un site externe, et cela a ruiné notre SEO pendant des jours »
Alex D.
Isolation technique et premières actions
Après détection, l’étape suivante consiste à couper l’accès public tout en conservant les données pour analyse. Mettre le site en maintenance limite les risques d’exposition des visiteurs et réduit le périmètre d’attaque.
Contactez ensuite votre hébergeur pour demander les logs et un état des processus, surtout si votre site est hébergé chez Kinsta, WPServeur ou &1 IONOS. Cette coopération facilite la recherche de la cause.
Nettoyage technique et restauration des fichiers WordPress
Une fois le site isolé, le nettoyage des fichiers corrompus devient prioritaire pour supprimer le code malveillant et restaurer l’intégrité du site. Cette phase inclut l’usage d’outils spécialisés et la vérification des sauvegardes disponibles.
Les plugins comme Wordfence, Sucuri et iThemes Security offrent des scanners qui repèrent le code suspect, mais certains malwares bloquent ces outils. Selon Wordfence, l’association scan manuel et automatisé augmente nettement le taux de détection.
Action
But
Outils
Scan initial
Détecter fichiers infectés
Wordfence, Sucuri
Remplacement
Restaurer fichiers core propres
Download officiel WordPress
Nettoyage uploads
Supprimer médias compromis
Audit manuel
Vérification .htaccess
Supprimer redirections malveillantes
Éditeur fichier serveur
Outils de réparation immédiats :
- Scanners Wordfence et Sucuri pour repérage
- Remplacement des fichiers core depuis WordPress.org
- Suppression manuelle des fichiers suspects dans uploads
- Vérification et correction des permissions 644 et 755
Scans, détection et suppression des malwares
Les scanners automatisés indiquent les fichiers compromis et proposent souvent une réparation ou une suppression directe. Lorsque les outils sont neutralisés, l’examen manuel du code devient indispensable pour débusquer les intrusions.
Selon Sucuri, certains backdoors survivent aux mises à jour, et il faut vérifier aussi les cron jobs et les fichiers cachés en dehors de wp-content. Le nettoyage peut prendre plusieurs heures selon l’étendue.
« Après plusieurs heures de recherche, j’ai compris que le malware se réinstallait via un backdoor caché dans uploads »
Marc L.
Restaurations depuis sauvegardes et réinstallation
Si vous disposez d’une sauvegarde saine, la restauration reste souvent la solution la plus sûre pour retrouver un état non infecté. Vérifiez toujours l’intégrité de la sauvegarde avant la restauration pour éviter une réinfection instantanée.
Les plugins comme UpdraftPlus, Duplicator ou BackupBuddy facilitent la restauration, et selon Jetpack il est crucial d’automatiser ces sauvegardes pour limiter le temps de récupération. La réinstallation complète de WordPress peut être nécessaire si l’infection est profonde.
Renforcement et prévention pour éviter un nouveau piratage WordPress
Après nettoyage, la priorité devient la mise en place de protections durables pour bloquer les méthodes d’attaque connues et réduire le risque futur. Le renforcement inclut mises à jour, pare-feu applicatif et politiques d’accès strictes.
Activez un WAF, utilisez un certificat SSL et limitez les tentatives de connexion grâce à des outils comme SiteLock ou Wordfence. Selon Jetpack, le verrouillage des comptes et l’usage de mots de passe forts réduisent significativement le risque d’intrusion.
Sélectionnez un hébergeur qui propose des protections natives et des sauvegardes régulières, par exemple Kinsta, Infomaniak, OVH ou WPServeur selon vos besoins techniques et budgetaires. Ce choix influence directement votre résilience face aux attaques.
Pratiques recommandées de durcissement :
- Activation d’un WAF et surveillance en temps réel
- Mises à jour automatiques du core et extensions
- Utilisation d’authentification à deux facteurs
- Planification de sauvegardes quotidiennes et tests
Paramétrages essentiels et bonnes pratiques
Appliquez les permissions recommandées 644 pour fichiers et 755 pour dossiers afin de réduire l’accès non autorisé aux fichiers. Ensuite, remplacez les comptes partagés par des comptes individuels avec rôles limités pour chaque utilisateur.
Installez l’authentification forte et limitez les tentatives de connexion par IP lorsque possible, surtout pour des administrateurs distants. Ces mesures simples améliorent significativement la sécurité opérationnelle du site.
« Après l’incident, j’ai configuré 2FA et le traffic malveillant a chuté, la confiance client est revenue »
Elodie R.
Choisir un hébergeur et faire appel à des professionnels
Si le nettoyage dépasse vos compétences, faites appel à un expert spécialisé en sécurité WordPress pour une analyse approfondie et un traitement des backdoors persistants. Les tarifs peuvent varier, mais l’investissement protège votre activité.
Des services comme Sucuri proposent un nettoyage complet et une année de surveillance, tandis que des freelances expérimentés peuvent intervenir selon vos contraintes. Selon Sucuri, ces protections réduisent le risque de récidive et améliorent la détection.
« Faire appel à un spécialiste m’a évité des pertes de chiffre d’affaires, le suivi et le firewall ont été décisifs »
Paul N.