Vos visiteurs arrivent sur votre site et se retrouvent éjectés vers une page de pub douteuse, un faux site bancaire ou une boutique de médicaments ? Votre WordPress a été piraté : un code malveillant a été injecté pour détourner votre trafic. La bonne nouvelle, c'est que ça se répare — vos données ne sont presque jamais effacées, seulement parasitées.
Ce guide vous montre exactement comment supprimer la redirection malveillante WordPress, où se cache le code, et surtout comment l'empêcher de revenir. C'est l'un des piratages les plus fréquents : selon Forbes, près de 30 000 sites sont compromis chaque jour dans le monde, et WordPress, qui propulse plus de 40 % du web, en concentre une large part (source : Forbes, rapportée par les acteurs sécurité du secteur). Agissons dans le bon ordre.
Site WordPress qui redirige vers un autre site : que se passe-t-il ?

Quand un site WordPress redirige vers un autre site, un pirate a glissé quelques lignes de code dans un fichier exécuté à chaque visite. Ce code intercepte le visiteur et le renvoie vers une destination qui rapporte de l'argent au pirate : publicité frauduleuse, phishing, arnaque ou faux produits. On appelle ça un « redirect hack ».
Les symptômes qui ne trompent pas
- Des visiteurs (ou vous-même, sur mobile) redirigés sans cliquer vers un site inconnu.
- Un écran rouge « Site trompeur » de Chrome ou Firefox avant votre page.
- Votre URL qui disparaît de Google ou affiche un avertissement de sécurité.
- Des e-mails partant de votre domaine à votre insu, votre IP qui finit en blacklist.
Vous reconnaissez ces signaux ? Notre guide détaillé site WordPress hacké : signes et réflexes d'urgence recense l'ensemble des indices, y compris les plus discrets.
Pourquoi le site redirige vos visiteurs… mais pas vous
C'est la variante la plus sournoise : la redirection conditionnelle. Le code ne se déclenche que pour certains profils — les internautes venant de Google, ceux sur mobile, ou les visiteurs non connectés en administrateur. Vous, qui tapez l'URL directement et êtes connecté à votre tableau de bord, ne voyez absolument rien. Résultat : le hack peut tourner pendant des semaines avant que vous ne le découvriez, souvent quand un client vous alerte.
Le bon réflexe : testez votre site comme un vrai visiteur. Ouvrez une fenêtre de navigation privée, depuis un mobile, en arrivant depuis une recherche Google plutôt qu'en tapant l'adresse. Si la redirection apparaît dans ces conditions, vous tenez votre preuve.
Avant de supprimer la redirection malveillante WordPress : 3 réflexes
On ne se précipite pas. Aller trop vite, c'est le meilleur moyen de voir le bug revenir par la fenêtre après l'avoir mis dehors par la porte. Trois précautions avant toute manipulation :
1. Sauvegardez l'état infecté
Oui, même infecté. Une copie complète (fichiers + base de données) vous protège d'une fausse manipulation et conserve les preuves nécessaires pour identifier le vecteur d'entrée. Ne supprimez jamais de fichiers avant analyse.
2. Changez tous les mots de passe
Hébergeur, FTP/SFTP, base de données et comptes WordPress. Si le pirate possède encore un accès, il réinjectera son code dès que vous l'aurez retiré. Profitez-en pour vérifier la liste des utilisateurs et supprimer tout administrateur que vous ne reconnaissez pas.
3. Mettez le site en maintenance (si possible)
Pour protéger vos visiteurs pendant le nettoyage et limiter les dégâts SEO le temps de l'intervention. Sur une boutique, chaque minute de redirection envoie vos clients chez le pirate — d'où l'urgence.
Où se cache le code de redirection ? La carte des planques

Avant de nettoyer, il faut savoir où chercher. Les pirates utilisent toujours les mêmes cachettes :
Le fichier .htaccess
Première zone à inspecter. Quelques lignes RewriteRule suffisent à détourner tout ou partie du trafic. Rapide à poser, donc fréquent.
Les fichiers du thème (header.php, functions.php)
Le code est glissé dans un fichier chargé à chaque page, souvent du PHP ou du JavaScript encodé en base64 pour échapper à l'œil. Cherchez les motifs suspects autour de eval( et base64_decode( — sans supprimer aveuglément, certains usages sont légitimes.
La base de données (la cause du « ça revient »)
C'est le piège classique. Le JavaScript malveillant est stocké directement dans vos articles, vos pages ou la table wp_options. Tant que la base n'est pas inspectée, vous nettoyez les fichiers… et la redirection ressurgit. La majorité des nettoyages ratés viennent de là.
Les faux comptes admin et plugins « nulled »
Un administrateur fantôme laissé en porte dérobée, ou un thème/plugin premium piraté téléchargé hors des sources officielles — ces « nulled » sont fréquemment piégés dès l'installation. À traquer impérativement.
Supprimer la redirection malveillante WordPress en 6 étapes

Voici la procédure exacte que nous appliquons sur le terrain. Suivez-la dans l'ordre.
- Sauvegardez l'état infecté (fichiers + base) avant toute action.
- Scannez le site avec un outil de sécurité réputé — Wordfence, Sucuri ou MalCare — puis complétez par une inspection manuelle. Aucun scanner n'attrape tout : c'est l'humain qui débusque les portes dérobées les mieux planquées.
- Nettoyez les fichiers : restaurez un
.htaccesspropre, retirez le code injecté dansheader.phpetfunctions.php. - Purgez la base de données : inspectez
wp_optionsetwp_posts, supprimez les scripts insérés et les faux comptes administrateurs. - Réinstallez le cœur de WordPress et vos extensions depuis les sources officielles. Téléchargez une version saine sur le site officiel WordPress.org et remplacez les dossiers
wp-adminetwp-includes. - Fermez la faille et demandez une révision : corrigez le point d'entrée (plugin vulnérable, mot de passe faible, permissions), puis soumettez votre site via Google Search Console pour lever l'avertissement Safe Browsing.
Point critique trop souvent oublié : restaurer une sauvegarde ou nettoyer les fichiers sans corriger la faille d'origine mène à une ré-infection quasi certaine dans les 48 h. La suppression du symptôme ne suffit jamais.
Votre site redirige toujours et chaque minute coûte des clients ?
Diagnostic gratuit, réponse sous 1 h. On localise le code, on nettoie tout, on ferme la faille.
Nettoyer mon site WordPress maintenant →Manuel, plugin ou expert : quelle méthode choisir ?

Toutes les situations ne se valent pas. Voici un comparatif honnête des trois approches, établi sur nos interventions réelles.
| Critère | Nettoyage manuel (DIY) | Plugin de sécurité | Expert WordPress |
|---|---|---|---|
| Temps moyen | 2 h à 1 jour | 30 min à 2 h | 3 h à 6 h, faille incluse |
| Fiabilité | Variable (risque d'oubli) | Bonne sur fichiers, faible sur base | Élevée |
| Risque de récidive | Élevé si la faille reste ouverte | Élevé (ne corrige pas la cause) | Faible (faille fermée) |
| Coût | Gratuit (mais chronophage) | Abonnement annuel | Prestation ponctuelle |
| Recommandé si… | Site vitrine simple, infection récente | Prévention + scan régulier | E-commerce, données clients, récidive |
Source : données SiteBug.fr (300+ interventions WordPress), recoupées avec les recommandations Sucuri & Wordfence relevées sur les principaux guides de sécurité (2024–2026).
La règle d'or : tant que le déclencheur est simple et identifié, le DIY fonctionne. Dès qu'il y a une base de données touchée, des données clients ou une récidive, l'expertise devient rentable. Nous détaillons ce calcul coût/risque/temps dans notre article réparer son site WordPress soi-même ou faire appel à un expert.
Étude de cas : une boutique e-commerce nettoyée en 5 h
Contexte — Une boutique WooCommerce sur un hébergement mutualisé, dont les visiteurs venant de Google étaient redirigés vers une page de faux médicaments. Le gérant, connecté en admin, ne voyait rien (redirection conditionnelle). Plugin de paiement non mis à jour depuis 14 mois : vecteur d'entrée probable.
Intervention — Sauvegarde de l'état infecté, scan complet, suppression du code dans .htaccess et le thème, nettoyage de la base (un script injecté dormait dans wp_options), suppression d'un faux compte admin, réinstallation du core et des plugins, mise à jour PHP 8.1, et pose d'un pare-feu applicatif.
Résultat — Site nettoyé et sécurisé en 5 heures, avertissement Google levé sous 48 h après demande de révision. Aucune récidive depuis.
Enseignement : un site non maintenu est une cible. La maintenance préventive coûte ~10× moins cher qu'une réparation post-piratage. (Source : données SiteBug.fr 2024–2026.)
Empêcher la redirection malveillante de revenir

Nettoyer ne suffit pas : il faut verrouiller. Cinq couches de protection neutralisent l'immense majorité des vecteurs d'attaque connus :
- Mises à jour systématiques du cœur, du thème et des plugins — la cause n°1 de piratage WordPress.
- Mots de passe forts + double authentification (2FA) sur les comptes admin.
- Pare-feu applicatif (Wordfence ou Cloudflare) pour filtrer les requêtes malveillantes en amont.
- Sauvegardes quotidiennes automatiques pour une restauration propre en minutes.
- Monitoring & audits pour détecter une intrusion avant que Google ne vous blackliste.
Pour aller plus loin sur la prévention et le diagnostic global, consultez notre guide complet du dépannage de site web, ou découvrez notre service de dépannage WordPress.
En résumé : agir vite, réparer bien
Une redirection malveillante WordPress n'est pas une fatalité, mais c'est une urgence que le temps aggrave : plus elle dure, plus vous perdez de visiteurs, de ventes et de positions Google. La méthode est claire — sauvegarder, scanner, nettoyer fichiers et base, réinstaller proprement, puis fermer la faille. Le piège, lui, est toujours le même : traiter le symptôme sans la cause.
Si votre site génère du chiffre d'affaires, héberge des données clients, ou si vos premières tentatives ont échoué, ne laissez pas la situation s'enliser. Un nettoyage complet et durable se règle en quelques heures par un expert — bien moins cher que des semaines de récupération SEO et de confiance perdue.
Reprenez le contrôle de votre site dès aujourd'hui
Nettoyage complet, suppression des portes dérobées, faille fermée et sécurisation incluse. Diagnostic gratuit, sans engagement.
Demander une intervention urgente →
Commentaires 0
Aucun commentaire pour le moment. Soyez le premier à réagir !
Laisser un commentaire