Votre site WordPress est piraté ? Que faire, dans l'ordre : mettez le site en maintenance, changez tous les mots de passe, faites une sauvegarde de l'état infecté, lancez un scan (Wordfence ou MalCare), remplacez le cœur de WordPress et les extensions par des versions saines, supprimez les backdoors, nettoyez la base de données, puis demandez à Google de réexaminer le site. Ci-dessous, la méthode complète, les outils, les délais réels et les coûts — et le moment où il vaut mieux confier l'intervention à un expert.
Site WordPress piraté : que faire dans la première heure ?
Les 60 premières minutes sont décisives : chaque heure de site compromis aggrave l'impact SEO et expose vos visiteurs. Voici les cinq réflexes à appliquer immédiatement, avant tout nettoyage.
1. Mettre le site en maintenance
Activez le mode maintenance (ou une page « hors ligne ») pour empêcher vos visiteurs et Googlebot d'accéder au contenu infecté. Cela limite la propagation, protège votre réputation et évite que Google indexe des pages vérolées.
2. Changer tous les mots de passe
Réinitialisez les accès administrateur WordPress, FTP/SFTP, base de données et hébergement. Tant que le pirate possède un identifiant valide, il revient. Profitez-en pour vérifier la liste des comptes administrateurs et supprimer tout utilisateur inconnu.
3. Sauvegarder l'état actuel (même infecté) et prévenir l'hébergeur
Faites une copie complète (fichiers + base) avant de toucher à quoi que ce soit : elle servira d'analyse et de filet de sécurité. Prévenez votre hébergeur, qui peut aider à isoler le compte et fournir des logs précieux.
Comment reconnaître un site WordPress réellement piraté ?
Avant de tout nettoyer, confirmez qu'il s'agit bien d'un piratage et non d'un simple bug. Voici les 7 signes qui ne trompent pas :
- Redirections suspectes : votre site renvoie vers une page douteuse (pharmacie, paris, contenu pour adulte).
- Alerte Google « Ce site peut endommager votre ordinateur » ou message dans la Search Console.
- Spam SEO : des centaines de pages inconnues en japonais ou en pharma apparaissent dans Google.
- Fichiers inconnus ou modifiés récemment (souvent dans wp-content/uploads).
- Comptes administrateurs que vous n'avez pas créés.
- Lenteur soudaine ou pics de trafic anormaux (votre serveur envoie du spam).
- Avertissement de l'hébergeur signalant une activité malveillante.
Pour aller plus loin sur le diagnostic, consultez notre guide dédié : comment savoir si un site WordPress est piraté, et les bons réflexes dans la première heure.
Pourquoi les sites WordPress se font pirater (ce que disent les chiffres)
Comprendre l'origine d'un piratage, c'est éviter le suivant. Les données 2025 sont sans appel : le maillon faible n'est presque jamais le cœur de WordPress, mais ce qu'on y ajoute.
| Origine de la vulnérabilité (2025) | Part des failles | Ce que ça implique |
|---|---|---|
| Extensions (plugins) | 91 % | Premier vecteur d'attaque, surtout les plugins obsolètes ou abandonnés. |
| Thèmes | 9 % | Thèmes nulled/piratés et thèmes non maintenus. |
| Cœur de WordPress | ~0 % | 6 vulnérabilités seulement sur l'année : le core est très sûr s'il est à jour. |
Sources : Colorlib, WordPress Hacking Statistics 2026 ; SécuritéWP, Bilan failles 2025 ; ALM Corp (11 334 failles en 2025, exploit en 5 h).
Autrement dit : 9 piratages sur 10 passent par une extension. C'est souvent un plugin non mis à jour, parfois exploité moins de 5 heures après la publication de la faille. Beaucoup de pannes que nous traitons commencent ainsi — voir aussi notre article sur les conflits de plugins WordPress.
Nettoyer un site WordPress piraté : la méthode étape par étape
Une fois l'urgence gérée, place au nettoyage. La logique est toujours la même : identifier, supprimer, remplacer, vérifier. Suivez l'ordre.
Étape 1 — Scanner pour cartographier l'infection
Lancez un scan avec Wordfence ou MalCare pour repérer les fichiers modifiés et les signatures malveillantes. Le scan ne nettoie pas tout, mais il vous donne la carte du champ de bataille.
Étape 2 — Remplacer le cœur de WordPress
La méthode la plus fiable : supprimer les dossiers wp-admin et wp-includes puis réinstaller une copie fraîche depuis wordpress.org (ou wp core download --force en SSH). Ne touchez jamais à wp-content à ce stade.
Étape 3 — Réinstaller proprement plugins et thème
Supprimez tout le contenu de wp-content/plugins et réinstallez uniquement les extensions nécessaires, depuis le dépôt officiel. Supprimez définitivement les plugins/thèmes nulled : ils sont une cause de réinfection.
Étape 4 — Traquer les backdoors
C'est l'étape la plus délicate. Les backdoors sont des fichiers PHP cachés (souvent dans uploads) qui redonnent l'accès au pirate. Un nettoyage qui les oublie échoue toujours : le site se réinfecte en quelques jours.
Étape 5 — Nettoyer la base de données
Inspectez la base (tables wp_options, wp_posts, wp_users) à la recherche de scripts injectés, d'utilisateurs frauduleux et de contenu spam.
Étape 6 — Vérifier les fichiers sensibles
Comparez index.php, wp-config.php et .htaccess avec une installation saine : ce sont les cibles favorites des redirections malveillantes. Un .htaccess corrompu peut aussi provoquer une erreur 500.
Étape 7 — Demander un réexamen à Google
Si votre site était signalé, faites une demande d'examen dans la Search Console pour lever l'alerte « site piraté » et restaurer votre réputation dans les résultats de recherche.
Quel outil de scan choisir : Wordfence, MalCare ou Sucuri ?
Les trois références du marché ne fonctionnent pas de la même façon. Voici un comparatif synthétique pour choisir selon votre situation.
| Critère | Wordfence | MalCare | Sucuri |
|---|---|---|---|
| Type de scan | Sur le serveur (plugin) | Hors-serveur (n'alourdit pas le site) | Cloud / pare-feu en amont |
| Détection | ~70-80 %, très bon sur le core | Réputé plus précis, nettoyage auto | Variable selon les tests |
| Nettoyage inclus | Payant (jusqu'à ~490 $/cas complexe) | Illimité dans l'abonnement | Illimité dans l'abonnement |
| Idéal pour | Scan gratuit + pare-feu | Site lent / nettoyage simple | Protection en amont (CDN/WAF) |
Sources : MalCare, Sucuri vs Wordfence ; WPBeginner, Best Security Plugins 2026 ; FatLab, Wordfence vs Sucuri 2026.
Faire soi-même ou appeler un expert ? Temps, coût et risques
Un piratage simple se nettoie en 2 à 4 heures ; une infection profonde (e-commerce, backdoors multiples) demande 8 à 15 heures. Le vrai risque du « faire soi-même », ce n'est pas le temps : c'est la réinfection si une backdoor est oubliée.
| Critère | Faire soi-même | Expert SiteBug.fr |
|---|---|---|
| Temps | 2 h à 15 h selon gravité + courbe d'apprentissage | Intervention rapide, souvent < 4 h |
| Risque de réinfection | Élevé (backdoors oubliées) | Faible (traque complète) |
| Déblacklistage Google | À votre charge | Inclus dans l'intervention |
| Bilan & prévention | Limité | Compte-rendu + durcissement |
Durées de référence : Pub-n-Drive ; SécuritéWP.
Étude de cas : une boutique WooCommerce nettoyée et déblacklistée
Contexte : une boutique WooCommerce (≈ 600 produits) redirigeait ses visiteurs mobiles vers un site de paris, et Google affichait l'alerte « site piraté ». Origine : un plugin de galerie non mis à jour depuis 14 mois.
Intervention : sauvegarde de l'état infecté, scan, remplacement du core et des extensions, suppression de 3 backdoors cachées dans uploads, nettoyage de 280 entrées de spam SEO en base, correction du .htaccess, puis demande de réexamen Search Console.
Résultat : site propre et de nouveau en ligne le jour même, alerte Google levée sous 48 h, aucune réinfection à 6 mois grâce au durcissement (mises à jour, mots de passe forts, double authentification). Données anonymisées — intervention SiteBug.fr.
Comment éviter un nouveau piratage WordPress
Un site nettoyé mais non sécurisé sera repiraté. Mettez en place ces protections :
- Mises à jour régulières du core, des plugins et des thèmes (le vecteur n°1).
- Mots de passe forts + double authentification (2FA) sur les comptes admin.
- Sauvegardes automatiques stockées hors serveur et testées.
- Pare-feu / scan planifié (Wordfence, MalCare) et limitation des tentatives de connexion.
- Suppression des plugins/thèmes inutilisés et de tout composant « nulled ».
Pour déléguer ce suivi, découvrez notre maintenance WordPress préventive et nos interventions de sécurité. Voir aussi : pourquoi un site WordPress se fait pirater et les 10 bugs WordPress les plus fréquents.
En résumé : agissez vite, proprement et durablement
Face à un site WordPress piraté, la bonne réponse tient en trois mots : isoler, nettoyer, sécuriser. La méthode ci-dessus permet de reprendre la main — mais une backdoor oubliée, et tout recommence. Si l'enjeu est commercial (boutique en ligne, site qui génère des contacts), chaque heure compte et le risque d'erreur est réel.
Commentaires 0
Aucun commentaire pour le moment. Soyez le premier à réagir !
Laisser un commentaire