Votre site WordPress se comporte de manière étrange, vous êtes alerté par votre hébergeur ou vous avez simplement un mauvais pressentiment ? Un site WordPress hacké, ça se détecte vite si l'on sait quoi chercher — et ça se traite efficacement si l'on agit dans les bonnes fenêtres de temps. Ce guide vous donne les clés pour diagnostiquer le problème et reprendre le contrôle, même sans être développeur.
🚨 Le piratage de sites web : une menace concrète et croissante
Selon Forbes, 30 000 nouveaux sites sont piratés chaque jour dans le monde. En France, la CNIL a reçu 5 629 notifications de violations de données en 2024, soit une hausse de +20 % par rapport à 2023 (Source : ANSSI / CNIL 2024). Plus alarmant encore : 60 % des entreprises victimes d'une cyberattaque ferment dans les 18 mois (Source : Infolegale, 2024).
WordPress, qui représente 43,6 % des sites web mondiaux en 2025, est une cible privilégiée. Mais, la bonne nouvelle est là : 96 % des piratages exploitent des vulnérabilités évitables — plugins non mis à jour, mots de passe faibles, configurations par défaut — et non des failles dans le cœur de WordPress lui-même.
| Indicateur | Valeur | Source |
|---|---|---|
| Sites piratés quotidiennement (monde) | 30 000 / jour | Forbes |
| Piratages dus à des vulnérabilités évitables | 96 % | WPFormation |
| Délai moyen de détection d'une brèche | 207 jours | IBM 2024 |
| PME victimes fermant en 18 mois | 60 % | Infolegale 2024 |
| Tentatives d'attaque sur un site WP / jour | 172 / jour | Digidop 2025 |
🔎 Comment savoir si votre site WordPress a été hacké ?
La difficulté avec un site WordPress hacké, c'est que les pirates préfèrent rester invisibles le plus longtemps possible. Ils ne vont pas forcément défigurer votre page d'accueil — ils préfèrent utiliser discrètement votre serveur, votre SEO ou vos données. Voici les symptômes qui doivent immédiatement vous alerter.
Signes visibles depuis le front-office
- Redirections automatiques vers des sites de spam, de rencontre ou de vente illicite – souvent invisibles pour vous si vous êtes connecté en admin.
- Contenu en japonais ou en chinois (Japanese Keyword Hack) apparu sur vos pages sans que vous l'ayez écrit.
- Page d'accueil remplacée ou affichant un message de revendication de hacker.
- Publicités inconnues ou pop-ups que vous n'avez jamais installés.
- Liens de spam dans le pied de page ou dans le contenu, parfois invisibles à l'œil nu mais présents dans le code source.
Signes techniques et dans les outils Google
- Impossible d'accéder à votre tableau de bord WordPress : mot de passe refusé ou compte supprimé.
- Avertissement dans votre navigateur ("Ce site peut nuire à votre ordinateur") ou alerte Google Safe Browsing.
- Chute brutale de trafic dans Google Analytics – Google blackliste environ 20 000 sites contre les malwares et 50 000 contre le phishing chaque semaine.
- Action manuelle dans la Google Search Console (notification de contenu piraté).
- Fichiers modifiés récemment dans votre installation :
wp-config.php,.htaccess, ou des fichiers dans/wp-includes/. - Envoi massif d'e-mails depuis votre domaine : votre hébergeur vous signale une activité SMTP anormale.
- Comptes administrateurs inconnus dans votre liste d'utilisateurs WordPress.
💡 Astuce pro : beaucoupp de redirections et d'injections ne sont pas visibles si vous êtes connecté en tant qu'administrateur. Testez toujours votre site en navigation privée ou depuis un autre navigateur non connecté. Vous pouvez aussi utiliser l'outil "Explorer comme Google" dans la Search Console pour voir ce que les robots voient.
⚡ Les 6 réflexes à adopter dans la première heure
Une fois le piratage confirmé, chaque minute compte. Plus vous attendez, plus les dommages s'accumulent : SEO dégradé, données clients compromises, blacklistage par Google. Voici le protocole d'urgence recommandé.
1 Isoler le site immédiatement
Activez le mode maintenance de votre site pour stopper l'exposition de vos visiteurs au malware. Si vous ne pouvez plus accéder au backoffice, votre hébergeur peut suspendre le site temporairement. Ne supprimez rien et n'éteignez pas le serveur : vous effaceriez les preuves forensiques.
2 Changer tous les mots de passe
Modifiez immédiatement et dans cet ordre : mot de passe WordPress admin, mot de passe FTP, mot de passe de la base de données MySQL, et mot de passe du panneau d'hébergement (cPanel, Plesk…). Utilisez des mots de passe longs (16+ caractères) avec caractères spéciaux. Régénérez aussi les clés SALT dans wp-config.php.
3 Scanner les fichiers et la base de données
Installez et lancez Wordfence Security (version gratuite suffisante pour un premier diagnostic) ou utilisez Sucuri SiteCheck (scan externe gratuit, sans installation). Ces outils comparent vos fichiers avec les versions officielles WordPress et détectent les injections de code, backdoors et malwares.
4 Identifier et restaurer une sauvegarde propre
Si vous disposez d'une sauvegarde récente antérieure au piratage, c'est votre meilleure option pour un rétablissement rapide. Attention : restaurer une sauvegarde sans corriger la faille d'origine mène à un re-piratage quasi-certain dans les heures qui suivent.
5 Prévenir votre hébergeur
Veuillez contacter le support de votre hébergeur dès que possible. Il peut vous fournir les logs d'accès serveur (essentiels pour identifier le vecteur d'entrée), vous aider à isoler le compte compromis, et dans certains cas effectuer un nettoyage partiel. Sur un hébergement mutualisé, un site voisin piraté peut aussi être la source — votre hébergeur a la visibilité sur ce point.
6 Faire appel à un expert si nécessaire
Si la situation dépasse vos compétences techniques, ou si votre activité en ligne ne peut se permettre une interruption prolongée, SiteBug.fr propose un service de nettoyage et sécurisation WordPress en urgence. Une intervention professionnelle coûte en moyenne 100 à 1 000 fois moins cher qu'une interruption d'activité de 15 jours (Source : Avanista, 2023).
🚨 Intervention d'urgence
Votre site WordPress est piraté ?
Notre équipe intervient en urgence pour nettoyer, sécuriser et remettre en ligne votre site. Diagnostic gratuit. Résultats rapides.
🛡️ Demander une intervention urgente →🔍 Comparatif des outils pour détecter et nettoyer un site WordPress hacké
| Outil | Note | Prix | Points forts | Limites |
|---|---|---|---|---|
| Wordfence Security | ⭐⭐⭐⭐⭐ | Gratuit / Premium | Scan fichiers, firewall WAF, blocage IP, détection backdoor | Lourd sur serveurs mutualisés |
| Sucuri SiteCheck | ⭐⭐⭐⭐ | Gratuit / dès 19 $/mois | Scan externe (sans plugin), vérif. listes noires Google | Nettoyage payant, scan superficiel |
| MalCare | ⭐⭐⭐⭐ | Dès 99 $/an | Nettoyage auto en 1 clic, protection login, sauvegarde incluse | Payant uniquement |
| Is It Hacked? | ⭐⭐⭐ | 100 % gratuit | Rapide, sans compte, monitoring gratuit | Scan externe uniquement, superficiel |
| iThemes Security | ⭐⭐⭐⭐ | Gratuit / 99 $/an | Hardening WordPress, 2FA, gestion des permissions | Moins efficace en post-hack |
📋 Étude de cas : site e-commerce WordPress piraté – chronologie et résolution
La situation initiale
Un gérant de boutique en ligne (WooCommerce, ~200 commandes/mois) nous contacte un lundi matin : son compte Google Ads a été suspendu pour contenu malveillant, et plusieurs clients lui signalent être redirigés vers un site pharmaceutique douteux quand ils cliquent sur ses annonces Google.
Diagnostic (J+0, 2 heures)
- Scan Wordfence : 47 fichiers infectés, dont un faux plugin "Hello Dolly 2" contenant une backdoor PHP codée en base64.
- Fichier
.htaccessmodifié pour rediriger les visiteurs provenant des moteurs de recherche. - Un plugin WooCommerce de paiement non mis à jour depuis 14 mois : vecteur d'entrée identifié.
- Aucune sauvegarde disponible chez l'hébergeur (hébergement mutualisé low-cost).
Résolution et remise en ligne (J+0 → J+2)
| Phase | Actions | Durée |
|---|---|---|
| 1. Isolement | Mode maintenance, révocation accès, changement MDP | 30 min |
| 2. Nettoyage | Suppression backdoors, fichiers infectés, SALT régénérés | 4 h |
| 3. Hardening | MAJ WordPress + tous plugins, 2FA activé, WAF configuré | 2 h |
| 4. Désindexation | Demande de révision Search Console, rapport Google Ads | 48 h (délai Google) |
| 5. Suivi | Mise en place sauvegarde quotidienne + monitoring mensuel | Continu |
Résultat : site remis en ligne en 6 heures, compte Google Ads rétabli sous 48 h. Perte estimée : 2 jours de chiffre d'affaires et ~350 € d'intervention. Sans action rapide, le coût aurait pu atteindre plusieurs milliers d'euros (blacklistage durable, perte de clientèle, référencement dégradé).
🛡️ Après le nettoyage : sécuriser WordPress pour éviter un nouveau piratage
Nettoyer un site WordPress hacké sans en corriger les causes, c'est repeindre une porte vermoulue. Voici les mesures de sécurité indispensables à mettre en place après chaque incident.
✅ Checklist post-piratage WordPress
🔄 Mises à jour
WordPress core, tous les plugins, tous les thèmes — sans exception.
🔑 Mots de passe forts
16+ caractères, uniques, avec gestionnaire de mots de passe (Bitwarden, 1Password).
🔐 Double authentification
2FA obligatoire pour tous les comptes admin (plugin : WP 2FA).
💾 Sauvegardes quotidiennes
Hors-site (Dropbox, S3) avec UpdraftPlus ou BackWPup.
🛡️ Firewall WAF actif
Wordfence ou Cloudflare pour filtrer les requêtes malveillantes.
📋 Maintenance préventive
Surveillance, mises à jour et audits réguliers par un professionnel.
Supprimer les plugins inutiles ou abandonnés
Chaque plugin installé est une surface d'attaque potentielle. Supprimez tout plugin que vous n'utilisez plus, en particulier ceux qui n'ont pas été mis à jour depuis plus d'un an. Préférez des plugins populaires avec une base d'utilisateurs active et un historique de mises à jour régulières.
Hardening WordPress : les réglages qui changent tout
- Changer l'URL de connexion (plugin : Change WP Admin Login ou WPS Hide Login).
- Désactiver l'éditeur de fichiers dans le backoffice : ajouter
define('DISALLOW_FILE_EDIT', true);danswp-config.php. - Limiter les tentatives de connexion (plugin : Limit Login Attempts Reloaded).
- Passer en HTTPS avec un certificat SSL valide (gratuit avec Let's Encrypt).
- Configurer les permissions de fichiers : 644 pour les fichiers, 755 pour les dossiers, 600 pour wp-config.php.
🛡️ Maintenance & Sécurité WordPress
Évitez le prochain piratage avant qu'il arrive
Mises à jour, sauvegardes quotidiennes, monitoring actif et audits de sécurité : la maintenance préventive SiteBug.fr coûte 100 fois moins qu'une intervention post-piratage.
✅ Découvrir nos plans de maintenance →🎯 Conclusion : ne laissez pas un site WordPress hacké paralyser votre activité
Un site WordPress hacké n'est pas une fatalité, mais c'est une urgence que le temps aggrave. En moins d'une heure d'action coordonnée — isoler, changer les mots de passe, scanner, restaurer et prévenir — vous pouvez limiter les dégâts à quelques heures d'interruption plutôt qu'à des semaines de récupération.
La vraie leçon de chaque piratage que nous traitons chez SiteBug.fr est toujours la même : la prévention coûte infiniment moins cher que la guérison. Un plan de maintenance WordPress préventive, des sauvegardes quotidiennes et un firewall actif suffisent à éliminer 96 % des vecteurs d'attaque connus.
Si vous lisez cet article en situation d'urgence, contactez notre équipe immédiatement. Et si vous êtes en bonne santé numérique pour l'instant, c'est le meilleur moment pour sécuriser votre site — avant que les pirates ne s'en chargent à votre place.
Commentaires 0
Aucun commentaire pour le moment. Soyez le premier à réagir !
Laisser un commentaire