Si votre WordPress est piraté, agissez dans cet ordre : 1) passez le site en maintenance et changez tous les mots de passe, 2) identifiez le malware avec Wordfence ou Sucuri, 3) nettoyez en restaurant un backup propre ou en supprimant manuellement les fichiers infectés, 4) durcissez la sécurité pour empêcher la réinfection. Ne supprimez pas le site — dans 95% des cas, un nettoyage complet est possible.
Pas le temps ? Faites-le analyser par l'IA
Votre site affiche des redirections bizarres. Google signale un contenu malveillant. Votre hébergeur a suspendu votre compte. Pas de panique — un WordPress piraté se répare. Mais il faut agir vite et dans le bon ordre.
J’ai nettoyé des dizaines de WordPress piratés depuis 2012. Des blogs personnels comme des boutiques WooCommerce avec 10 000 commandes par mois. La procédure est toujours la même, et elle fonctionne.
Comment savoir si votre WordPress a été piraté
Certains signes sont évidents. D’autres sont invisibles pendant des semaines — le hacker a intérêt à rester discret pour exploiter votre serveur le plus longtemps possible.
Signes visibles
Redirections vers des sites inconnus. Vous tapez votre URL et vous atterrissez sur un casino en ligne ou une pharmacie chinoise. C’est le signe le plus courant d’un piratage WordPress. Le code malveillant est généralement injecté dans le fichier .htaccess ou dans le functions.php du thème.
Pages de spam dans Google. Tapez site:votresite.com dans Google. Si vous voyez des pages que vous n’avez jamais créées (pilules, contrefaçons, casinos), un hacker a injecté du contenu. Ce type d’attaque, appelé "SEO spam" ou "pharma hack", est invisible depuis votre back-office — les pages n’apparaissent que dans les moteurs de recherche.
Alerte Google Safe Browsing. Chrome affiche un écran rouge "Site dangereux". Google Search Console vous envoie un email "Problèmes de sécurité détectés". Votre site est blacklisté. C’est grave, mais réversible une fois le nettoyage effectué.
Back-office inaccessible. Le hacker a changé votre mot de passe ou créé un nouveau compte admin. Vous ne pouvez plus vous connecter.
Signes cachés
Envoi de spam. Votre hébergeur vous signale une surconsommation de ressources ou un envoi massif d’emails. Un script PHP caché dans /wp-content/uploads/ envoie des milliers de spams depuis votre serveur.
Fichiers inconnus. Connectez-vous en FTP et triez par date de modification. Des fichiers PHP avec des noms aléatoires (wp-load-config.php, class-wp-cache.php, db-config.php) à la racine ou dans /wp-content/ sont des webshells — des portes dérobées qui permettent au hacker de revenir.
Utilisateurs fantômes. Dans Utilisateurs > Tous les utilisateurs, vérifiez qu’il n’y a pas de compte administrateur que vous n’avez pas créé. Les hackers créent souvent un compte caché pour garder l’accès même si vous changez votre mot de passe.
Pour une liste complète des indicateurs, consultez notre article : 16 indices qui laissent penser que votre WordPress court le risque d’être hacké.
Étape 1 — Contenir l’attaque
Avant de nettoyer quoi que ce soit, il faut stopper l’hémorragie. Trois actions immédiates.
Passer en mode maintenance
Si vous avez accès au back-office, activez un plugin de maintenance (WP Maintenance Mode). Si vous n’avez plus accès, créez un fichier .maintenance à la racine via FTP :
<?php
$upgrading = time();
?>WordPress affichera "Site en maintenance" à tous les visiteurs. Ça empêche les visiteurs de se faire infecter ou rediriger, et ça protège votre réputation.
Changer TOUS les mots de passe
Pas uniquement votre mot de passe WordPress. TOUS :
- Mot de passe WordPress de chaque utilisateur admin
- Mot de passe de la base de données MySQL (dans wp-config.php + panneau hébergeur)
- Mot de passe FTP/SFTP
- Mot de passe du panneau d’hébergement (cPanel, Plesk)
- Mot de passe de votre email si c’est le même (et changez cette habitude)
Important : Régénérez aussi les clés SALT dans wp-config.php (via api.wordpress.org/secret-key/1.1/salt/). Cela invalide toutes les sessions actives — y compris celle du hacker s’il est encore connecté.
Contacter votre hébergeur
Prévenez votre hébergeur. La plupart disposent d’équipes sécurité qui peuvent scanner votre compte, identifier les fichiers infectés et restaurer un backup si nécessaire. Chez O2switch, le support est réactif et peut isoler votre compte pour empêcher la propagation.
Si votre hébergeur a suspendu votre compte, ne paniquez pas — c’est une mesure de protection. Contactez-les, expliquez que vous êtes en train de nettoyer, et demandez une réactivation temporaire ou l’accès FTP pour le nettoyage.
Étape 2 — Identifier le malware
Maintenant il faut trouver exactement ce qui a été compromis. Deux approches selon votre niveau technique.
Scanner automatique avec Wordfence
Installez Wordfence (même la version gratuite) et lancez un scan complet. Wordfence compare chaque fichier de votre installation avec les originaux du dépôt WordPress.org et du dépôt du plugin/thème. Tout fichier modifié ou ajouté est signalé.
Les fichiers à surveiller en priorité :
.htaccess(redirections malveillantes injectées)wp-config.php(code ajouté en début ou fin de fichier)functions.phpdu thème actif (injections de code)- Fichiers dans
/wp-content/uploads/(les uploads ne devraient contenir que des images, jamais de .php) index.phpetwp-blog-header.phpà la racine
Recherche manuelle en FTP
Si Wordfence n’est pas installable (back-office inaccessible), connectez-vous en FTP/SFTP :
1. Triez par date. Les fichiers modifiés récemment (hors mise à jour que vous avez faite) sont suspects.
2. Cherchez les patterns. Les malwares PHP utilisent quasi systématiquement base64_decode, eval(, str_rot13, gzinflate ou preg_replace avec le flag /e. Un grep -r "base64_decode" wp-content/ dans le terminal SSH révèle les fichiers infectés.
3. Comparez avec une installation propre. Téléchargez WordPress depuis wordpress.org et comparez les fichiers du core. Tout fichier modifié dans /wp-admin/ ou /wp-includes/ est une infection — ces dossiers ne doivent jamais être modifiés manuellement.
Conseil : Avant de supprimer quoi que ce soit, faites une copie complète de l’installation infectée. Si le nettoyage échoue ou si vous supprimez le mauvais fichier, vous aurez une base pour recommencer. Et si vous portez plainte, cette copie est une preuve.
Vérifier la base de données
Les hackers les plus sophistiqués injectent aussi du code dans la base de données WordPress. Vérifiez dans phpMyAdmin :
- La table
wp_options: cherchez des options avec des noms suspects ou du code base64 dans la colonneoption_value - La table
wp_posts: cherchez du contenu HTML avec des iframes ou des scripts inconnus (spam SEO) - La table
wp_users: supprimez tout utilisateur administrateur que vous n’avez pas créé
Étape 3 — Nettoyer le site
Deux stratégies selon que vous avez un backup propre ou non.
Option A : Restaurer un backup (méthode recommandée)
Si vous avez un backup antérieur à l’infection, c’est la méthode la plus sûre. Restaurez la totalité : fichiers ET base de données. Puis appliquez immédiatement toutes les mises à jour WordPress, plugins et thèmes — l’ancienne faille est probablement ce qui a permis l’attaque en premier lieu.
Chez O2switch, JetBackup conserve 28 jours de snapshots. Un UpdraftPlus bien configuré vous donne un filet de sécurité supplémentaire.
Attention : Vérifiez la date de l’infection AVANT de restaurer. Si le backup date d’après l’infection, vous restaurez le malware. Comparez les dates des fichiers suspects avec vos backups disponibles pour trouver le dernier backup propre.
Option B : Nettoyage manuel
Pas de backup ? Procédez méthodiquement :
1. Réinstallez le core WordPress. Téléchargez la dernière version sur wordpress.org, supprimez /wp-admin/ et /wp-includes/ sur votre serveur, puis uploadez les versions propres. Ne touchez PAS à /wp-content/ ni à wp-config.php — votre contenu est dedans.
2. Nettoyez wp-config.php. Ouvrez le fichier et supprimez tout code suspect (lignes ajoutées au début ou à la fin). Comparez avec le fichier wp-config-sample.php fourni par WordPress pour identifier les ajouts illicites. Régénérez les clés SALT.
3. Réinstallez vos plugins. Supprimez tous les dossiers de plugins dans /wp-content/plugins/ et réinstallez chaque plugin depuis WordPress.org ou depuis l’éditeur. Ne gardez pas les anciens fichiers — ils peuvent contenir des portes dérobées.
4. Vérifiez votre thème. Si c’est un thème du dépôt WordPress.org, supprimez-le et réinstallez-le. Si c’est un thème premium, retéléchargez-le depuis le site de l’éditeur. Vérifiez surtout functions.php et les fichiers header.php / footer.php.
5. Scannez /wp-content/uploads/. Ce dossier ne devrait contenir que des images, PDF et documents. Tout fichier .php est un webshell à supprimer. Commande SSH :
find wp-content/uploads/ -name "*.php" -type f6. Nettoyez .htaccess. Supprimez le fichier et laissez WordPress le régénérer en allant dans Réglages > Permaliens > Enregistrer.
7. Nettoyez la base de données. Supprimez les utilisateurs inconnus, les options suspectes dans wp_options, et le contenu spam injecté dans wp_posts.
Étape 4 — Sécuriser pour empêcher la réinfection
Un site nettoyé sans durcissement sera piraté à nouveau dans les jours qui suivent. Le hacker connaît votre site, il reviendra.
Mesures immédiates
- Mettez à jour WordPress, TOUS les plugins et le thème
- Supprimez les plugins et thèmes inutilisés (même désactivés)
- Installez WPS Hide Login pour masquer la page de connexion
- Installez WPS Limit Login pour bloquer les attaques force brute
- Activez la double authentification avec le plugin Two Factor
- Configurez Wordfence en mode scan automatique
Pour un guide complet de toutes les mesures de sécurité WordPress, consultez notre pilier : Sécuriser WordPress : le guide complet.
Demander la révision Google
Si Google a blacklisté votre site (écran rouge "Site dangereux"), allez dans la Search Console > Problèmes de sécurité, cochez les problèmes résolus et cliquez "Demander un examen". Google rescanne votre site sous 24 à 72 heures et retire l’avertissement si tout est propre.
Faut-il faire appel à un professionnel ?
Si vous n’êtes pas à l’aise avec FTP, phpMyAdmin et le terminal SSH, ne tentez pas le nettoyage seul. Une mauvaise manipulation peut aggraver la situation — supprimer le mauvais fichier, corrompre la base de données ou perdre du contenu.
Je propose des interventions d’urgence WordPress : diagnostic, nettoyage, durcissement et rapport d’incident. En 15+ ans de WordPress et des dizaines de sites nettoyés, je n’en ai jamais perdu un seul.
Le coût d’une intervention professionnelle (quelques heures) est toujours inférieur au coût d’un site down pendant des jours, de clients perdus et d’une réputation Google endommagée.
Combien de temps faut-il pour nettoyer un WordPress piraté ?
Un nettoyage standard (restauration backup + durcissement) prend 2 à 4 heures. Un nettoyage manuel sans backup (scan, identification, suppression fichier par fichier, vérification base de données) prend 4 à 8 heures selon la complexité de l’infection. La demande de révision Google prend ensuite 24 à 72 heures supplémentaires pour retirer l’avertissement "Site dangereux".
Mon hébergeur a suspendu mon site, que faire ?
Contactez le support de votre hébergeur en expliquant que vous allez nettoyer le site. Demandez soit une réactivation temporaire (avec accès FTP), soit les logs d’accès et la liste des fichiers infectés identifiés par leur scanner. Chez O2switch et la plupart des hébergeurs, le support coopère activement dans ces situations. Si l’hébergeur refuse toute aide, envisagez une migration vers un hébergeur plus réactif après nettoyage.
Faut-il tout réinstaller ou peut-on juste supprimer les fichiers infectés ?
La méthode la plus sûre est la restauration d’un backup propre. Si ce n’est pas possible, la réinstallation du core WordPress (wp-admin + wp-includes) + la réinstallation de tous les plugins depuis les sources officielles élimine 95% des infections. Un simple "supprimer les fichiers suspects" laisse souvent des portes dérobées cachées — le hacker revient dans les jours qui suivent.
Comment le hacker est-il entré sur mon site ?
Dans 93% des cas, par un plugin ou thème vulnérable non mis à jour. Les autres vecteurs : mot de passe faible deviné par force brute, accès FTP/cPanel compromis (via un PC infecté ou un mot de passe réutilisé), ou faille dans un autre site hébergé sur le même serveur mutualisé. Wordfence ou votre hébergeur peuvent souvent identifier le point d’entrée dans les logs d’accès.
Mon site piraté peut-il infecter mes visiteurs ?
Oui. Les redirections malveillantes et les scripts injectés peuvent tenter d’installer des malwares sur les machines de vos visiteurs, voler leurs données de formulaire ou les rediriger vers des sites de phishing. C’est pour ça que la mise en maintenance est la première action — elle protège vos visiteurs pendant que vous nettoyez. Google Safe Browsing bloque aussi l’accès, ce qui protège les visiteurs mais nuit à votre réputation.
Comment éviter de se refaire pirater ?
Appliquez les cinq piliers de la sécurité WordPress : accès verrouillés (mots de passe forts + 2FA + URL de connexion masquée), fichiers protégés (wp-config en 440, clés SALT régénérées), mises à jour systématiques (core + plugins + thèmes + PHP), firewall actif (Wordfence ou Sucuri) et sauvegardes automatiques testées. Consultez notre guide complet : Sécuriser WordPress.
Ces 7 templates, je les donne en formation payante. Ici, ils sont gratuits.
Sécurité, SEO, performance, contenu, maintenance — les outils que j'utilise en formation et en audit, avec les prompts IA pour aller 10x plus vite.
- 01Workflow contenu anti-IA
- 02Framework SEO Title/Meta/H1
- 03Audit Express 30 points
- 04Blindage sécurité 10 étapes
- 05PageSpeed 90+ sans plugin
- 06Calendrier maintenance IA
- 07Plan d'action 90 jours
1 email / 2 jours pendant 14 jours. Désabonnement en 1 clic.
Analyser avec l'IA
Partager
