Lyode / Blog / Mon site WordPress a été piraté : que faire ?

Site WordPress piraté : diagnostic, nettoyage et protection

Q: Mon site WordPress a été piraté, est-ce récupérable ?

Dans la grande majorité des cas, oui. Avec une sauvegarde propre ou un nettoyage manuel complet, votre site peut être restauré à son état d’origine. L’essentiel est d’agir vite.

Q: Combien de temps prend le nettoyage d’un site WordPress piraté ?

Entre 2 et 8 heures selon la gravité du piratage et l’accès à une sauvegarde propre. Un professionnel peut souvent intervenir en moins d’une journée.

Q: Mon site est piraté mais je n’ai pas de sauvegarde, que faire ?

Il faut procéder à un nettoyage manuel fichier par fichier. C’est long et technique : il est fortement recommandé de faire appel à un professionnel pour éviter de laisser des backdoors actives.

Q: Pourquoi mon site a-t-il été piraté malgré un plugin de sécurité ?

Les plugins de sécurité réduisent les risques mais ne garantissent pas une protection à 100 %. Un plugin non mis à jour, un mot de passe faible ou un hébergement mal configuré peuvent suffire à contourner les protections.

Q: Est-ce que Google pénalise un site WordPress piraté ?

Oui. Google peut blacklister votre site, afficher un avertissement aux visiteurs et faire chuter drastiquement votre référencement. C’est pourquoi il faut agir rapidement et demander une révision après nettoyage.

Q: Comment savoir si mon site WordPress est piraté sans y avoir accès ?

Utilisez Sucuri SiteCheck ou Google Safe Browsing en entrant simplement l’URL de votre site. Ces outils scannent votre site de l’extérieur sans nécessiter d’accès administrateur.

Un matin, vous ouvrez votre site et ce n’est plus le vôtre. Une page étrangère s’affiche, vos visiteurs voient des publicités douteuses, ou pire : Google affiche un avertissement de sécurité à la place de votre contenu.

Votre site WordPress a été piraté !

C’est une situation stressante, mais elle est récupérable. À condition d’agir vite et dans le bon ordre.
Voici comment identifier un piratage WordPress, nettoyer votre site étape par étape, et mettre en place les protections pour éviter que ça ne se reproduise.

Comment savoir si mon site WordPress a été piraté ?

Avant toute chose, il faut confirmer le piratage. Voici les signes les plus fréquents :

Signes visibles

Votre site affiche une page inconnue, souvent en arabe, russe ou chinois
Des publicités ou liens bizarres apparaissent sur vos pages
Votre site redirige automatiquement vers un autre site
Un message « Ce site a été piraté » s’affiche dans Google

Signes techniques

Votre hébergeur vous a suspendu le compte pour activité malveillante
Google Search Console affiche une alerte de sécurité
Vous ne pouvez plus accéder à votre back-office WordPress /wp-admin
Des fichiers inconnus apparaissent dans votre FTP
Des nouveaux comptes administrateurs ont été créés sans votre accord

Comment vérifier rapidement

Tapez votre nom de domaine dans Google Safe Browsing pour savoir si Google a signalé votre site comme dangereux.

Vous pouvez aussi utiliser Sucuri SiteCheck, un scanner gratuit qui détecte les malwares connus sur votre site en quelques secondes.

Pourquoi les sites WordPress sont-ils ciblés ?

WordPress alimente plus de 40 % des sites web dans le monde. Cette popularité en fait une cible de choix pour les hackers, qui automatisent leurs attaques à grande échelle.

Les causes les plus fréquentes d’un piratage WordPress :

Plugins ou thèmes non mis à jour : les failles de sécurité connues sont exploitées en quelques heures après leur publication
Mot de passe trop faible : les attaques brute force testent des millions de combinaisons automatiquement
Hébergement de mauvaise qualité : un serveur mal configuré peut compromettre tous les sites hébergés dessus
Plugins nulled (piratés) : les versions « gratuites » de plugins payants contiennent souvent des backdoors
Absence de double authentification sur le compte administrateur

💡 La grande majorité des piratages WordPress ne sont pas ciblés. Ce sont des robots qui scannent en permanence le web à la recherche de sites vulnérables.

Que faire immédiatement après un piratage WordPress ?

Étape 1 : Mettez votre site en mode maintenance

Avant tout, évitez que vos visiteurs continuent d’accéder à un site compromis. Activez le mode maintenance depuis votre hébergeur ou via votre fichier .htaccess.

Étape 2 : Changez tous vos mots de passe

Changez immédiatement et dans cet ordre :

Le mot de passe de votre compte WordPress administrateur
Le mot de passe FTP
Le mot de passe de votre base de données (dans wp-config.php)
Le mot de passe de votre compte hébergeur

Utilisez des mots de passe forts et uniques (minimum 16 caractères, lettres + chiffres + symboles).

Étape 3 : Contactez votre hébergeur

Votre hébergeur peut souvent :

Identifier la source de l’attaque dans les logs serveur
Restaurer une sauvegarde propre si elle existe
Isoler votre site pour éviter la propagation

Contactez leur support en urgence et précisez que votre site a été compromis.

Étape 4 : Sauvegardez l’état actuel (même infecté)

Avant de nettoyer quoi que ce soit, faites une copie complète de votre site infecté. Cela permettra d’analyser les fichiers malveillants si nécessaire et d’avoir une trace.

Comment nettoyer un site WordPress piraté ?

Option 1 : Restaurer une sauvegarde propre

Si vous avez une sauvegarde récente datant d’avant le piratage, c’est la solution la plus rapide et la plus sûre. Restaurez-la via votre hébergeur ou votre plugin de sauvegarde (UpdraftPlus, BackWPup, Jetpack).

Attention : après la restauration, vous devrez quand même identifier et corriger la faille qui a permis le piratage. Sinon, le site sera piraté à nouveau.

Option 2 : Nettoyage manuel des fichiers infectés

Si vous n’avez pas de sauvegarde, il faudra nettoyer manuellement :

Scannez votre site avec Wordfence ou Sucuri pour identifier les fichiers infectés
Supprimez les fichiers suspects dans /wp-content/uploads, les thèmes et plugins inutilisés
Réinstallez WordPress en version fraîche (sans écraser wp-content et wp-config.php)
Réinstallez tous vos plugins et thèmes depuis les sources officielles
Vérifiez la base de données pour des injections de code malveillant
Supprimez les comptes administrateurs que vous ne reconnaissez pas

Option 3 : Faire appel à un professionnel

Le nettoyage manuel est technique et risqué si vous n’êtes pas à l’aise avec le FTP et la base de données. Une erreur peut rendre votre site inaccessible ou laisser une backdoor active.

Faire appel à un freelance WordPress spécialisé vous garantit un nettoyage complet, une analyse de la faille d’origine, et la mise en place des protections pour éviter une récidive.

Je propose un service de maintenance et sécurité WordPress à Lyon : intervention rapide, diagnostic inclus.

Comment protéger son site WordPress après un piratage ?

Une fois votre site nettoyé, voici les actions indispensables pour éviter une nouvelle attaque :

Mettez tout à jour systématiquement

WordPress core
Tous les plugins
Tous les thèmes (même ceux inactifs)

Activez la double authentification (2FA)

Installez un plugin comme WP 2FA ou Google Authenticator pour sécuriser votre accès /wp-admin.

Changez l’URL de connexion

L’URL /wp-admin est connue de tous les robots. Changez-la avec un plugin comme WPS Hide Login.

Installez un plugin de sécurité

Wordfence : pare-feu + scanner de malwares
Sucuri Security : surveillance en temps réel
iThemes Security : durcissement général de WordPress

Mettez en place des sauvegardes automatiques

Une sauvegarde quotidienne stockée hors-site (Google Drive, Dropbox) est votre meilleure assurance. UpdraftPlus en version gratuite suffit pour la plupart des sites.

Vérifiez les permissions des fichiers

Les fichiers WordPress doivent avoir les permissions 644 et les dossiers 755. Des permissions trop ouvertes (777) sont une porte d’entrée pour les hackers.

Demandez la révision à Google après nettoyage

Si Google a signalé votre site comme dangereux, il faut lui demander de revalider votre site une fois le nettoyage effectué.

Connectez-vous à Google Search Console
Allez dans Sécurité et actions manuelles > Problèmes de sécurité
Cliquez sur Demander un examen

Google réévalue généralement un site sous 1 à 3 jours.

Vous n’avez pas le temps de gérer ça vous-même ?

Le piratage d’un site WordPress est une urgence. Chaque heure passée avec un site compromis, c’est :

Des visiteurs qui voient un site dangereux
Un référencement qui se dégrade
Une image de marque abîmée

En tant que freelance WordPress basé à Lyon, j’interviens rapidement pour nettoyer, sécuriser et remettre en ligne votre site. Je propose également un contrat de maintenance mensuel pour que cette situation ne se reproduise plus.