Démarrer mon projet
WordPress

Mon Site WordPress est Piraté : Ce Que Je Fais Concrètement

Publié le 20 Mars 2026 par Yohan Ziri · 8 min de lecture

Site WordPress piraté : diagnostic et nettoyage

L'essentiel

Un site WordPress piraté ne se voit pas toujours. Les hacks les plus courants sont invisibles : redirections vers des sites spam déclenchées uniquement pour les moteurs de recherche, injection de liens dans le code, backdoors dormants. Le propriétaire voit son site fonctionner normalement pendant que Google blackliste son domaine. La procédure : récupération des accès, audit complet (fichiers + base de données), nettoyage, remise en état sécurisée. Sans sauvegarde propre, la reconstruction est possible mais plus longue.

En deux mois, j'ai traité six sites WordPress compromis. Cinq étaient hackés depuis des semaines, parfois des mois. Les propriétaires ne le savaient pas.

Leur site s'affichait normalement. Les pages chargeaient. Rien ne clignotait en rouge. Pendant ce temps, Google crawlait du contenu spam injecté dans leur code, des redirections envoyaient les visiteurs venus des moteurs vers des sites douteux, et dans deux cas, des backdoors dormants attendaient d'être réactivés.

Les hacks WordPress modernes ne cherchent plus à détruire votre site. Ils cherchent à l'utiliser sans que vous le sachiez.

Pourquoi votre site peut être compromis sans que vous le voyiez

Les attaques visibles - page d'accueil défigurée, message de hacker, site hors ligne - sont devenues rares. Elles attirent l'attention et se corrigent vite. Ce n'est pas l'objectif aujourd'hui.

Ce que font les attaquants à la place :

  • Redirection conditionnelle : votre site redirige vers des pages spam, mais seulement si le visiteur vient d'un moteur de recherche. Vous tapez votre URL dans le navigateur, tout va bien. Un visiteur qui clique depuis Google atterrit sur une pharmacie en ligne polonaise.
  • Injection de liens : des centaines de liens vers des sites tiers sont insérés dans votre code source, invisibles à l'oeil nu, visibles pour les crawlers. Votre domaine devient un relais de netlinking spam.
  • Backdoor dormant : un fichier PHP est déposé dans un dossier d'upload ou un plugin désactivé. Il ne fait rien pendant des semaines, puis il est activé à distance quand l'attaquant en a besoin.
  • Compte administrateur fantôme : un utilisateur admin est créé discrètement dans votre WordPress. Il ne se connecte pas, il attend.

Votre site vous semble normal. Le hack se détecte dans les logs, le code source, la base de données - pas depuis le navigateur.

Les types de hacks que je rencontre le plus souvent

Le hack pharma

Le plus répandu. Le site est transformé en vitrine de vente de médicaments contrefaits - Viagra, Cialis, antibiotiques - sans que le propriétaire ne voit rien. Les pages spam sont injectées directement dans la base de données ou générées dynamiquement. Elles n'apparaissent que dans Google. Votre domaine commence à ressortir sur des requêtes pharmaceutiques, Google finit par le pénaliser, et vos vraies pages disparaissent progressivement des résultats.

Le signal à regarder dans GSC : des URLs comme votresite.fr/buy-viagra-online/ ou votresite.fr/cialis-pas-cher/ dans la couverture d'indexation, que vous n'avez jamais créées.

Le hack japonais / hack chinois

Même principe, mais les pages injectées sont en japonais ou en chinois - des centaines, parfois des milliers de pages en idéogrammes, ciblant des requêtes de vente de contrefaçons sur les marchés asiatiques. Le propriétaire voit son trafic chuter, ne comprend pas pourquoi, et ne pense jamais à regarder ce que son site indexe en japonais.

C'est souvent le plus long à nettoyer : les pages peuvent être générées depuis la base de données via des templates codés dans un plugin ou un fichier thème modifié.

Le hack redirection vers boutique

Votre site redirige les visiteurs vers des boutiques en ligne douteuses - fausses marques, produits contrefaits, arnaques à la livraison. La redirection ne se déclenche que pour les visiteurs venant de Google ou Bing, parfois uniquement sur mobile. Depuis votre ordinateur, tout semble normal. Un visiteur qui clique sur votre lien dans Google atterrit ailleurs.

Dans un des six cas que j'ai traités, le client avait perdu des prospects parce qu'ils recevaient un lien vers son site et se retrouvaient sur une boutique de fausses chaussures de luxe. Il ne savait pas depuis combien de temps c'était en place.

L'injection de spam dans les commentaires

Plus ancienne mais encore active sur les sites dont les commentaires ne sont pas modérés ou dont le filtre anti-spam est mal configuré. Des milliers de commentaires contenant des liens sont publiés automatiquement. Google les indexe, votre domaine accumule des liens sortants vers des sites de spam, et votre réputation SEO en prend un coup.

Activer la modération après coup ne suffit pas : les commentaires déjà indexés restent dans le cache Google un certain temps. Si les commentaires étaient ouverts sans modération depuis des mois, le volume peut être très important.

Les signaux à surveiller

Sans être développeur, certains signaux sont parlants :

  • Votre trafic organique Google chute brutalement sans que vous ayez rien changé
  • Google Search Console affiche des URLs que vous n'avez jamais créées
  • Votre hébergeur envoie une alerte de sécurité ou suspend l'hébergement
  • Un antivirus ou un navigateur affiche un avertissement sur votre site
  • Des emails de spam sont envoyés depuis votre domaine
  • Vous trouvez des fichiers PHP dans wp-content/uploads (il ne devrait y avoir que des images)

Si vous voyez un de ces signaux, le site est probablement compromis. Si vous n'en voyez aucun mais que votre WordPress n'est pas maintenu depuis plusieurs mois - plugins non mis à jour, thème abandonné - le risque est réel même sans signal visible.

Pour un audit complet de votre WordPress, la sécurité n'est qu'un des sept points à vérifier systématiquement.

Ce qui se passe quand je prends en charge un site piraté

1. Récupération des accès

Avant tout, il faut accéder au site. Ça semble évident, mais c'est souvent la première complication.

Dans deux des six cas traités, les accès avaient été perdus ou compromis. Le mot de passe admin ne fonctionnait plus - l'attaquant l'avait changé. Dans un cas, les accès FTP avaient été fournis à un prestataire précédent qui n'était plus joignable.

La récupération passe par l'hébergeur (réinitialisation base de données) ou par une intervention directe en FTP si le back-office WordPress n'est plus accessible. C'est faisable dans la plupart des cas, mais ça prend du temps. Quand c'est une part significative du travail, c'est facturé séparément.

2. Audit avant de toucher quoi que ce soit

On ne nettoie pas un site sans comprendre ce qui s'est passé. Nettoyer à l'aveugle, c'est risquer de rater des éléments et voir le hack revenir dans la semaine.

L'audit couvre :

  • Analyse des fichiers PHP modifiés récemment (les dates de modification sont souvent révélatrices)
  • Recherche de patterns malveillants : eval(base64_decode, gzinflate, fonctions d'obfuscation
  • Scan de la base de données : options WordPress modifiées, utilisateurs fantômes, contenu injecté dans les posts
  • Vérification des logs d'accès pour identifier l'origine et la méthode d'entrée
  • Inventaire des plugins et thèmes : lesquels sont vulnérables, lesquels sont abandonnés

Cet audit est offert. Il sert à établir le devis - je ne peux pas chiffrer un nettoyage sans savoir ce que j'ai en face.

3. Nettoyage

Une fois l'audit fait, le nettoyage suit toujours les mêmes étapes :

  1. Sauvegarde de l'état actuel (même compromis, pour référence)
  2. Suppression de tous les fichiers malveillants identifiés
  3. Remplacement des fichiers core WordPress par des versions officielles propres
  4. Nettoyage de la base de données : suppression des utilisateurs non autorisés, options modifiées, contenu injecté
  5. Suppression ou remplacement des plugins et thèmes vulnérables
  6. Changement de tous les mots de passe et clés de sécurité
  7. Vérification de l'absence de backdoors résiduels

4. Sans sauvegarde

Sur six sites traités, trois n'avaient pas de sauvegarde propre. Soit parce qu'elles n'avaient jamais été configurées, soit parce que les sauvegardes disponibles dataient d'après le hack et contenaient donc déjà le code malveillant.

Sans sauvegarde saine, on ne restaure pas. On reconstruit.

Ca passe par Wayback Machine pour le contenu archivé, la récupération des images depuis le serveur si elles ne sont pas compromises, et la réécriture de ce qui ne peut pas être récupéré. C'est faisable, c'est plus long, et la facture est plus élevée - logiquement, le travail est plus important.

Une sauvegarde hebdomadaire automatique coûte moins de 5 euros par mois chez la plupart des hébergeurs. C'est l'investissement le plus rentable qu'un propriétaire de site puisse faire.

5. Remise en état sécurisée

Un site nettoyé mais non sécurisé se fait rehacker. La remise en état inclut :

  • Mise à jour de tous les plugins et thèmes vers les dernières versions stables
  • Suppression des plugins non maintenus, remplacés par des alternatives actives si nécessaire
  • Configuration des headers de sécurité HTTP
  • Mise en place ou vérification des sauvegardes automatiques
  • Surveillance de base : alertes sur les fichiers modifiés

Pour aller plus loin, l'audit WordPress complet couvre sécurité, performance et dette technique.

Après le nettoyage

Un site nettoyé n'est pas à l'abri indéfiniment. WordPress est la cible la plus attaquée sur le web parce que c'est le CMS le plus utilisé. Les attaques sont automatisées : des bots scannent des millions de sites en permanence à la recherche de plugins vulnérables connus.

Ce qui réduit le risque sur la durée :

  • Les mises à jour régulières : la majorité des hacks exploitent des vulnérabilités connues, corrigées dans des versions récentes que le propriétaire n'a pas installées
  • Les sauvegardes automatiques hors-serveur : si le serveur est compromis, la sauvegarde sur ce même serveur l'est aussi
  • Moins de plugins : chaque plugin inactif ou abandonné est une surface d'attaque
  • Un hébergement adapté : certains hébergeurs mutualisés n'isolent pas les comptes entre eux. Un site voisin compromis peut contaminer le vôtre

C'est ce que couvre une maintenance mensuelle : mises à jour régulières, sauvegardes automatiques hors-serveur, surveillance des fichiers modifiés. Le coût d'une intervention d'urgence sur un site piraté dépasse toujours celui d'une année de maintenance préventive.

En résumé

  • La plupart des hacks WordPress sont invisibles : hack pharma, hack japonais, redirections conditionnelles, injection de commentaires
  • Une chute de trafic organique inexpliquée ou des URLs inconnues dans GSC sont souvent les premiers signaux
  • La procédure : récupération des accès, audit, nettoyage, remise en état sécurisée
  • Sans sauvegarde saine, on reconstruit - c'est faisable mais plus long et plus coûteux
  • Une maintenance mensuelle (mises à jour + sauvegardes + surveillance) coûte moins qu'une seule intervention d'urgence

Questions fréquentes

Comment savoir si mon site WordPress est piraté ?

Les signes visibles : redirections vers des sites inconnus, contenu spam dans vos pages, alertes hébergeur, avertissement Google. Mais les hacks les plus courants ne se voient pas : redirections déclenchées uniquement pour les crawlers, injection de liens dans le code, backdoors dormants. Une chute de trafic organique sans raison est souvent le premier signal. Le seul moyen d'en être certain est un audit complet des fichiers et de la base de données.

Peut-on nettoyer un WordPress piraté sans sauvegardes ?

Oui, mais c'est plus long et plus coûteux. Sans sauvegarde propre de référence, chaque fichier compromis doit être identifié et nettoyé manuellement, et le contenu perdu reconstruit depuis Wayback Machine ou d'autres sources. C'est faisable, c'est juste plus de travail - et c'est le coût direct de l'absence de sauvegardes.

Combien de temps prend le nettoyage d'un WordPress piraté ?

Avec des accès complets et une sauvegarde saine disponible : quelques heures à une journée. Sans sauvegarde, ou si les accès ont également été compromis, comptez 2 à 5 jours selon l'état du site. La récupération des accès peut allonger le délai selon ce que le prestataire d'origine a mis en place.

Yohan Ziri, expert WordPress et développement web

Yohan Ziri

Développeur senior et consultant technique avec 15 ans d'expérience WordPress. Yohan audite et nettoie des sites WordPress pour PME et associations, souvent en urgence.

Suivre sur LinkedIn →

Sources et références

  1. WPScan Vulnerability Database - WordPress Security Statistics

    90% des failles de sécurité WordPress proviennent de plugins non mis à jour

  2. Sucuri - Website Threat Research Report

    WordPress représente la majorité des CMS infectés traités par Sucuri chaque année

Votre site WordPress est piraté ou vous avez un doute ?

Audit rapide offert pour établir le diagnostic.
Premier échange gratuit, sans engagement.

Par téléphone

01 85 09 78 75

Réserver un créneau

Je vous rappelle sous 24h