Récupérer un site WordPress hacké : méthode pro

1Étape 1 — Évaluer l'ampleur de l'attaque

Avant toute action, prenez 15 minutes pour cartographier précisément l'incident. C'est ce qui distingue une récupération réussie d'un nettoyage approximatif.

Questions à se poser

• Quand l'attaque a commencé ? Comparer les dates de modification des fichiers avec la dernière intervention légitime.
• Quel est le vecteur d'entrée probable ? Plugin obsolète ? Compte admin compromis ? Faille XSS ? Mot de passe FTP volé ?
• Quels fichiers sont modifiés ? Liste complète via SSH : find . -mtime -30 -type f -name "*.php"
• Quelles données sont concernées ? Comptes utilisateurs, commandes WooCommerce, emails clients ? → impact RGPD potentiel.
• Quel est le statut Google ? Vérifiez Search Console : avertissement de sécurité, désindexation, baisse de trafic ?

Sauvegarder l'état actuel (oui, même infecté !)

Cette étape paraît contre-intuitive mais elle est essentielle. Téléchargez intégralement le site infecté (fichiers + base SQL) avant toute manipulation. Cette copie servira à :

• Analyser le mode opératoire de l'attaquant à froid
• Comparer avec une version saine pour identifier les modifications
• Récupérer des contenus légitimes que vous auriez oublié de sauvegarder ailleurs
• Constituer une preuve si dépôt de plainte (cybercriminalité, CNIL)

2Étape 2 — Isoler le site pour stopper la propagation

Tant que le site infecté est en ligne, il continue potentiellement à :

• Diffuser du malware aux visiteurs (responsabilité civile possible)
• Servir de relais pour spammer d'autres sites
• Donner accès permanent à l'attaquant via une porte dérobée

Mettre le site en mode maintenance

Ne supprimez pas le site, créez juste un fichier .maintenance à la racine ou modifiez le .htaccess pour rediriger tout le trafic vers une page d'attente :

RewriteEngine On
RewriteCond %{{REQUEST_URI}} !maintenance\.html$
RewriteRule ^(.*)$ /maintenance.html [R=503,L]

Ajoutez aussi le header Retry-After: 86400 pour signaler à Google qu'il s'agit d'une indisponibilité temporaire (préserve le SEO).

Changer les credentials critiques

Dans cet ordre exact (le plus critique d'abord) :

1. Mot de passe du compte hébergeur (cPanel, OVH Manager, etc.)
2. Mot de passe SFTP / SSH
3. Mot de passe base de données MySQL (à reporter dans wp-config.php)
4. Mot de passe email lié au site (souvent vecteur de reconquête par l'attaquant)
5. Mots de passe des administrateurs WordPress (forcer la réinitialisation pour tous)

Activez la 2FA partout où c'est possible.

3Étape 3 — Nettoyer en profondeur

C'est l'étape la plus longue et la plus délicate. L'objectif : éliminer 100 % du code malveillant et toutes les portes dérobées.

3.1 Remplacer le core WordPress intégralement

Téléchargez WordPress depuis fr.wordpress.org. Via FTP, supprimez puis ré-uploadez :

• Le dossier /wp-admin/ complet
• Le dossier /wp-includes/ complet
• Tous les fichiers à la racine SAUF wp-config.php et .htaccess

3.2 Auditer wp-config.php manuellement

Cherchez et supprimez toute ligne contenant :

• eval(), base64_decode(), gzinflate(), str_rot13()
• Des include ou require pointant vers des fichiers suspects
• Des constantes inhabituelles définies en haut du fichier

Un wp-config propre contient uniquement des define() de constantes WordPress standard et la ligne require_once ABSPATH . 'wp-settings.php'; à la fin.

3.3 Nettoyer wp-content/ plugin par plugin

Pour chaque plugin actif sur le site :

1. Notez sa version dans la base (table wp_options, option active_plugins)
2. Supprimez complètement le dossier du plugin
3. Téléchargez la version officielle depuis wordpress.org ou le compte éditeur
4. Réinstallez

Pour le thème actif : même procédure. Pour les thèmes inactifs : supprimez-les tous (ils ne servent à rien et peuvent être exploités).

3.4 Scanner wp-content/uploads/

Aucun fichier PHP ne doit s'y trouver. C'est la cachette favorite des backdoors :

find wp-content/uploads -name "*.php" -delete

3.5 Nettoyer la base de données

Via phpMyAdmin ou SSH MySQL :

• Table wp_users : supprimer les comptes admin inconnus
• Table wp_options : rechercher iframe, <script, eval( dans la colonne option_value
• Table wp_posts : rechercher <script dans post_content + vérifier les posts publiés à des dates incohérentes
• Table wp_postmeta : idem, certaines backdoors se cachent dans les meta

4Étape 4 — Restaurer (avec ou sans sauvegarde propre)

Cas A — Vous avez une sauvegarde antérieure à l'attaque

C'est le scénario idéal. Procédure :

1. Identifiez précisément la date du début d'attaque (via les logs serveur ou les dates de modification de fichiers)
2. Choisissez une sauvegarde clairement antérieure (typiquement J-7 ou J-15)
3. Restaurez en environnement de staging d'abord (pas en production directement)
4. Vérifiez l'absence d'infection (scan Wordfence + Sucuri en mode complet)
5. Une fois propre, basculez la sauvegarde sur la production
6. Demandez à votre hébergeur de purger les sauvegardes infectées

Cas B — Aucune sauvegarde propre disponible

Plus complexe mais possible. Méthode :

1. Repartez d'une installation WordPress vierge
2. Réinstallez les plugins et thèmes un par un, version officielle
3. Importez UNIQUEMENT les tables wp_posts, wp_postmeta, wp_terms*, wp_users (les utilisateurs légitimes) — après nettoyage manuel des entrées malveillantes
4. Ne pas importer wp_options qui peut contenir des configurations infectées
5. Reconfigurer manuellement permaliens, options, et widgets via l'admin

Cette méthode prend plus de temps mais garantit un site 100 % propre.

5Étape 5 — Sécuriser pour empêcher la récidive

Statistique : 60 % des sites WordPress nettoyés sans renforcement sont repiratés dans les 90 jours. La sécurisation post-incident est non-négociable.

Mesures essentielles (à appliquer dans les 24h)

• Mettre WordPress, tous plugins et thème à la dernière version
• Supprimer tous les plugins/thèmes inutilisés
• Forcer la réinitialisation des mots de passe de TOUS les utilisateurs
• Activer la 2FA pour les administrateurs (plugin WP 2FA, Two Factor)
• Installer Wordfence ou Sucuri (mode firewall + scan continu)
• Limiter les tentatives de login (Limit Login Attempts Reloaded)
• Désactiver l'édition de fichiers depuis l'admin :

  define('DISALLOW_FILE_EDIT', true);

• Bloquer l'exécution de PHP dans wp-content/uploads/ via .htaccess

Mesures avancées (sous 7 jours)

• Activer un WAF Cloudflare (gratuit) devant le site
• Renforcer les permissions fichiers : 755 dossiers, 644 fichiers, 640 wp-config.php
• Désactiver XML-RPC si inutilisé
• Renommer la table préfixe SQL de wp_ vers quelque chose d'unique
• Mettre en place des sauvegardes automatiques quotidiennes hors-site
• Surveiller les modifications de fichiers (WP Activity Log)

6Étape 6 — Vérifier et restaurer le SEO

Après récupération technique, il reste à restaurer la visibilité Google de votre site.

Vérifications sur Google Search Console

• Section Sécurité : s'il y a un avertissement "Le site contient des contenus malveillants", demandez une révision (Google réanalyse sous 72h).
• Section Couverture : vérifiez le nombre de pages indexées. Si chute brutale → soumettez le sitemap à nouveau.
• Section Inspection d'URL : testez vos pages les plus stratégiques pour vous assurer qu'elles sont reconnues comme valides.
• Section Liens : repérez les éventuels liens "Pharma Hack" ou "Japanese SEO spam" pointant vers votre site et désavouez-les (outil "Désavouer des liens").

Demander une réindexation

Dans Search Console → Inspection d'URL → entrez votre page d'accueil → "Demander une indexation". Répétez pour les 5-10 pages les plus importantes. Google les re-crawle sous 24-48h.

Vérifier l'absence de pages parasites résiduelles

Tapez dans Google site:votredomaine.fr. Si des pages en japonais, en cyrillique ou avec des mots-clés bizarres apparaissent encore, soumettez-les à la suppression d'URL dans Search Console.