WordPress piraté : que faire en urgence ?

110 signes que votre WordPress est piraté

Le plus difficile avec un piratage WordPress est qu'il n'est pas toujours visible immédiatement. Les hackers savants laissent souvent une porte dérobée invisible pour mieux exploiter votre site sur la durée. Voici les 10 signaux les plus fréquents qui doivent vous alerter :

1. Redirections automatiques vers des sites de paris, de médicaments ou de phishing — souvent uniquement sur mobile ou depuis les SERP Google.
2. Pages parasites indexées par Google (japanese SEO spam, pharma hack) que vous n'avez jamais créées.
3. Pop-ups publicitaires qui apparaissent sur le site visiteur, en frontend, sans qu'aucun plugin de pub ne soit installé.
4. Comptes administrateur inconnus dans Utilisateurs → Tous les utilisateurs.
5. Fichiers .php suspects à la racine (radio.php, wp-config-backup.php, ihre.php, etc.) que vous n'avez pas créés.
6. Modification de date d'un grand nombre de fichiers alors que vous n'avez touché à rien (visible via FTP).
7. Avertissement Google Search Console "Le site contient des contenus malveillants" ou "Ce site peut être piraté".
8. Hébergeur qui suspend votre compte pour activité anormale, spam, ou consommation CPU excessive.
9. Chute brutale du trafic SEO ou désindexation soudaine de plusieurs pages.
10. Envoi automatique de spams depuis votre nom de domaine (signalements en cascade).

2Les premiers réflexes en cas de piratage confirmé

Avant de toucher à quoi que ce soit, prenez 10 minutes pour limiter la propagation et préserver les preuves. La panique pousse souvent à supprimer des fichiers utiles à l'analyse forensique.

1. Mettez le site en maintenance, pas hors ligne

Ne supprimez surtout pas le site. Si vous arrêtez complètement l'hébergement, vous perdez les logs et les fichiers qui permettront d'identifier la faille. Activez plutôt une page de maintenance via votre hébergeur ou en renommant l'index.

2. Changez TOUS les mots de passe — dans cet ordre

1. Compte hébergeur (cPanel / Plesk / OVH Manager) — c'est la racine de tout
2. Accès FTP / SFTP
3. Base de données MySQL (dans wp-config.php aussi)
4. Email associé au site et au compte admin WordPress
5. Mot de passe admin WordPress (en mode dégradé via base de données si l'accès est bloqué)

3. Faites une sauvegarde complète AVANT toute manipulation

Téléchargez via FTP l'intégralité du dossier public_html/ (ou équivalent) et faites un export SQL de la base. Marquez clairement cette sauvegarde comme "infectée" — elle servira d'analyse, jamais de restauration.

4. Activez la double authentification partout où c'est possible

Sur votre compte hébergeur, sur votre email, sur Google Search Console. Si l'attaque venait d'une compromission email, c'est urgent.

3Les 5 types d'attaques WordPress les plus courantes en 2026

Connaître le type d'attaque oriente directement la stratégie de nettoyage. Voici la répartition observée par les principaux acteurs de sécurité WordPress sur les 12 derniers mois.

1. Pharma Hack / Japanese SEO spam (≈ 35 % des cas)

Le hacker injecte des centaines de pages parasites sur votre site (en japonais, en russe, ou liées à la vente de Viagra). Objectif : utiliser votre autorité SEO pour ranker leurs propres pages. Visible via site:votredomaine.com sur Google.

2. Redirections malveillantes (≈ 25 %)

Un code JavaScript ou un fichier .htaccess modifié redirige les visiteurs vers un site frauduleux. Souvent uniquement sur mobile ou depuis les résultats Google pour passer inaperçu de l'administrateur.

3. Backdoor PHP (≈ 20 %)

Un fichier PHP malveillant déguisé (souvent dans wp-content/uploads/, wp-includes/, ou à la racine) qui permet au hacker d'exécuter du code arbitraire à distance. C'est la base de toute attaque persistante.

4. Cryptominer (≈ 12 %)

Un script utilise les ressources de votre serveur pour miner de la cryptomonnaie. Symptôme : consommation CPU à 100 %, hébergeur qui menace de suspendre, lenteur extrême du site.

5. Vol de données / phishing (≈ 8 %)

Le pirate cible spécifiquement la base de données pour récupérer emails, mots de passe hashés, données de cartes (si WooCommerce). Souvent suivi d'une rançon ou d'une revente.

4Nettoyer un WordPress piraté en 6 étapes (méthode pro)

Voici la méthode que nous appliquons systématiquement chez iLLico Presto. Elle prend en moyenne 3 à 6 heures pour un site standard, jusqu'à 2 jours pour un e-commerce volumineux.

Étape 1 — Analyser les fichiers récemment modifiés

Via SSH ou le gestionnaire de fichiers de l'hébergeur, listez les fichiers PHP modifiés dans les 30 derniers jours :

find . -name "*.php" -mtime -30 -ls

Tout fichier modifié à une date qui ne correspond à aucune action de votre part est suspect.

Étape 2 — Remplacer le core WordPress

Téléchargez la version officielle de WordPress depuis fr.wordpress.org et écrasez tous les fichiers du core SAUF wp-config.php et le dossier wp-content/. Cela élimine les modifications dans wp-admin/ et wp-includes/.

Étape 3 — Vérifier wp-config.php ligne par ligne

Cherchez tout eval(), base64_decode, include ou require suspect en haut de fichier. Un wp-config propre commence par <?php et contient uniquement des define de constantes.

Étape 4 — Nettoyer wp-content/

Pour chaque plugin et thème actif, supprimez-le complètement et réinstallez la dernière version officielle. Pour les thèmes premium, téléchargez-les depuis le compte éditeur, pas depuis une source aléatoire.

Pour wp-content/uploads/ : scannez à la recherche de .php. Aucun fichier PHP ne doit s'y trouver — ce sont des uploads d'images normalement.

find wp-content/uploads -name "*.php"

Étape 5 — Inspecter la base de données

Cherchez dans wp_options les entrées contenant <script>, iframe ou eval(. Vérifiez aussi wp_posts pour des articles cachés avec post_status = 'publish' mais non visibles dans l'admin.

Supprimez les utilisateurs admin créés à des dates suspectes — vérifiez chaque ID utilisateur dans wp_users.

Étape 6 — Forcer la régénération des permaliens

Réglages → Permaliens → Enregistrer. Cela régénère un .htaccess propre (vérifiez que des règles malveillantes n'ont pas été ajoutées).

5Comment éviter un nouveau piratage (sécurisation durable)

Nettoyer ne suffit pas : sans renforcement, votre site sera repiraté en moyenne sous 6 semaines selon Wordfence. Voici les mesures à appliquer immédiatement.

Mesures essentielles (à faire dans les 24h post-nettoyage)

• Mettre à jour WordPress, tous les plugins et le thème actif. Les versions obsolètes sont la cause n°1 des piratages.
• Désactiver et supprimer tous les plugins inutilisés. Un plugin désactivé reste exploitable s'il est encore présent sur le serveur.
• Forcer des mots de passe forts pour tous les administrateurs (16 caractères minimum, gestionnaire type Bitwarden / 1Password).
• Activer la 2FA via le plugin WP 2FA ou Wordfence Login Security pour tous les comptes admin.
• Limiter les tentatives de login avec Limit Login Attempts Reloaded (banni après 5 essais).
• Installer un firewall au niveau serveur (Cloudflare WAF gratuit) ou applicatif (Wordfence Premium).

Mesures avancées (sous 7 jours)

• Désactiver l'édition de fichiers depuis l'admin WordPress en ajoutant define('DISALLOW_FILE_EDIT', true); dans wp-config.php.
• Bloquer l'exécution de PHP dans wp-content/uploads/ via une règle .htaccess :

<FilesMatch "\.(php|phtml|phar)$">
  Require all denied
</FilesMatch>

• Mettre en place des sauvegardes automatiques quotidiennes stockées HORS du serveur (UpdraftPlus + Google Drive, ou via votre hébergeur).
• Surveiller les modifications de fichiers avec WP Activity Log ou Wordfence (alerte par email à chaque changement).
• Désactiver XML-RPC si vous ne l'utilisez pas (vecteur d'attaque par bruteforce).

6Dans quels cas faire appel à un expert

Le nettoyage maison est tentant pour économiser, mais certaines situations exigent une expertise technique sans laquelle vous risquez de perdre des données ou de laisser une porte dérobée invisible.

Faites appel à un expert si :

• Votre site est un e-commerce avec données clients (RGPD impose une diligence accrue en cas d'incident).
• L'attaque est persistante : malgré vos premiers nettoyages, le site est repiraté en quelques jours.
• Vous avez reçu un avertissement Google (le site est blacklisté dans Chrome / Firefox).
• Vous n'avez aucune sauvegarde propre antérieure à l'attaque.
• Le site représente plus de 30 % de votre CA et chaque heure d'indisponibilité a un coût direct.
• Vous avez identifié des fuites de données personnelles (déclaration CNIL obligatoire sous 72h).

Chez iLLico Presto, une intervention complète comprend : audit forensique pour identifier la faille initiale, nettoyage complet avec scan ligne par ligne, restauration d'une version saine, durcissement de sécurité, et garantie 30 jours contre la réapparition du même type d'attaque.