Mon site WordPress a été piraté ? Le guide en 5 étapes

Découvrir que son site WordPress a été piraté est une expérience stressante, voire paralysante. Les symptômes peuvent être discrets ou brutaux, mais dans tous les cas, chaque minute compte quand vous réalisez que « mon site WordPress a été piraté ». Avant de paniquer, sachez qu’il existe un protocole clair pour reprendre le contrôle, nettoyer les fichiers infectés et sécuriser votre installation. Ce guide vous accompagne pas à pas, de la détection à la remise en ligne, avec les bons outils et les bons réflexes.

Mon site WordPress a été piraté : Le plan d’action d’urgence en 5 étapes pour le nettoyer et le sécuriser

Temps de lecture : ~8 min

  1. Sommaire
  2. Comment savoir si votre site WordPress a vraiment été compromis
  3. Étape 1 : mettre le site en maintenance immédiatement
  4. Étape 2 : changer tous vos mots de passe sans exception
  5. Étape 3 : scanner et nettoyer les fichiers infectés
  6. Étape 4 : restaurer depuis une sauvegarde saine si possible
  7. Étape 5 : sécuriser votre site pour éviter une nouvelle attaque
  8. À faire / À ne pas faire
  9. FAQ
mon site wordpress a été piraté - introduction

Comment savoir si votre site WordPress a vraiment été compromis

Les principaux signes d’un piratage WordPress

Tous les comportements anormaux ne signifient pas forcément un piratage, mais certains signaux doivent vous alerter immédiatement. Parmi les plus fréquents : l’apparition de nouveaux articles rédigés dans des langues inconnues, des redirections vers des sites tiers douteux, l’envoi d’e-mails non autorisés depuis votre domaine, ou encore l’impossibilité de vous connecter à votre tableau de bord WordPress alors que vos identifiants sont corrects.

D’autres signes sont plus discrets : du code suspect en base64 glissé dans vos fichiers, des contenus modifiés sans que vous en soyez l’auteur, ou des logs d’accès serveur qui révèlent des injections malveillantes. Si vous observez l’un de ces symptômes, ne perdez pas de temps. Passez à l’étape suivante.

Étape 1 : mettre le site en maintenance immédiatement

Isoler immédiatement le site compromis

La première chose à faire lorsque votre site WordPress a subi une attaque, c’est de couper l’accès au public. Cela permet d’éviter que vos visiteurs soient exposés au contenu malveillant et que l’attaquant continue d’exploiter la faille en temps réel.

Vous pouvez activer le mode maintenance directement depuis l’interface de votre hébergeur (certains comme Infomaniak ou LWS proposent cette option en quelques clics), via un plugin dédié (WP Maintenance Mode, LightStart), ou manuellement en déposant un fichier index.html avec un message « Site en maintenance » à la racine de votre serveur via FTP. L’essentiel est de bloquer l’accès public rapidement, quelle que soit la méthode choisie.

Étape 2 : changer tous vos mots de passe sans exception

Une fois le site isolé, changez immédiatement l’ensemble de vos accès. Cela inclut le mot de passe administrateur WordPress, les accès FTP et SSH, les identifiants de la base de données MySQL, et les accès à votre compte hébergeur. Ne négligez aucun de ces points : les pirates exploitent souvent plusieurs vecteurs d’entrée simultanément.

Profitez-en également pour régénérer les clés de salage WordPress directement dans le fichier wp-config.php, en utilisant le générateur officiel disponible sur wordpress.org. Ensuite, rendez-vous dans la section « Utilisateurs » de votre tableau de bord et supprimez tous les comptes que vous ne reconnaissez pas. Les attaquants créent fréquemment des comptes administrateurs fantômes pour conserver un accès même après un premier nettoyage. Utilisez un gestionnaire de mots de passe (comme Bitwarden) pour générer des identifiants uniques et complexes.

mon site wordpress a été piraté - guide

Étape 3 : scanner et nettoyer les fichiers infectés

Analyser et désinfecter les fichiers infectés

C’est l’étape la plus technique, mais elle est incontournable. Commencez par lancer un scan antivirus depuis votre hébergeur si cette option est disponible (LWS propose un scan via le WP Manager, Infomaniak intègre une analyse antivirus dans son tableau de bord). En parallèle, installez un plugin de sécurité reconnu comme Wordfence, Sucuri ou SecuPress Pro directement depuis la console WordPress.

Ces outils vont analyser l’ensemble de vos fichiers, comparer le core WordPress à la version officielle, et identifier les fichiers modifiés ou ajoutés de manière suspecte. Portez une attention particulière au fichier wp-config.php, au dossier wp-content (thèmes, plugins, uploads), et aux tables de votre base de données, notamment wp_posts et wp_options, qui sont des cibles fréquentes pour l’injection de contenus parasites.

Si des fichiers du core WordPress ont été altérés, la méthode la plus fiable consiste à télécharger une version propre de WordPress depuis wordpress.org, à supprimer tous les fichiers core de votre serveur (en conservant uniquement le dossier wp-content et le fichier wp-config.php), puis à les remplacer par les fichiers officiels via FTP. Faites de même pour vos plugins et thèmes en les réinstallant depuis des sources officielles. Notez que les plugins annulés ou obtenus en dehors du répertoire officiel sont une porte d’entrée classique pour les malwares.

Étape 4 : restaurer depuis une sauvegarde saine si possible

Si vous disposez d’une sauvegarde récente réalisée avant l’attaque, c’est souvent la solution la plus rapide et la plus fiable. La plupart des hébergeurs proposent des sauvegardes automatiques accessibles directement depuis leur interface. Vérifiez la date de la sauvegarde et assurez-vous qu’elle est antérieure à la compromission avant de la restaurer.

Si vous n’avez pas de sauvegarde disponible, le nettoyage manuel décrit à l’étape précédente reste votre seule option. C’est d’ailleurs l’une des raisons pour lesquelles mettre en place une stratégie de sauvegarde régulière fait partie des fondamentaux de tout site WordPress sérieux. Pour en savoir plus sur les bonnes pratiques de maintenance, consultez le guide de maintenance de site WordPress.

mon site wordpress a été piraté - conclusion

Étape 5 : sécuriser votre site pour éviter une nouvelle attaque

Une fois le site nettoyé et remis en ligne, le travail ne s’arrête pas là. Un site WordPress piraté et nettoyé sans renforcement de sa sécurité sera de nouveau vulnérable dans les semaines qui suivent. Voici les mesures à appliquer sans délai.

Mettez à jour WordPress core, tous vos thèmes et tous vos plugins vers leurs dernières versions. Les failles de sécurité non corrigées sont la première cause de piratage sur WordPress. Modifiez l’URL d’accès à l’administration (le classique /wp-admin est la cible numéro un des attaques par force brute). Vérifiez les permissions (CHMOD) de vos fichiers et dossiers serveur, et configurez un plugin de sécurité actif avec un pare-feu applicatif. Enfin, si votre site a été blacklisté par Google suite au piratage, vous devrez soumettre une demande de réexamen via Google Search Console et désavouer les liens frauduleux générés par l’attaque.

À faire / À ne pas faire

CatégorieRecommandations
À faireAgir vite dès les premiers signes suspects, changer tous les mots de passe sans exception, scanner les fichiers avec un outil reconnu, mettre à jour l’ensemble des composants après nettoyage, et activer une solution de sauvegarde automatique.
À ne pas faireIgnorer les signaux d’alerte en espérant que le problème se règle seul, réinstaller uniquement WordPress sans vérifier les plugins et thèmes, réutiliser les anciens mots de passe après nettoyage, ou remettre le site en ligne sans avoir appliqué les mesures de sécurisation.

FAQ

Combien de temps faut-il pour nettoyer un site WordPress piraté ?

Cela dépend de l’étendue de l’infection et de vos compétences techniques. Un professionnel peut intervenir et désinfecter un site en moins de quatre heures dans les cas standards. En autonomie, comptez une demi-journée à une journée complète si vous devez procéder à un nettoyage manuel approfondi et à une réinstallation du core.

Mon hébergeur peut-il m’aider si mon site WordPress a été hacké ?

Oui, la plupart des hébergeurs francophones proposent des outils intégrés pour scanner et nettoyer les fichiers infectés. Certains offrent également un support technique dédié en cas de compromission. N’hésitez pas à les contacter dès les premières heures : ils ont souvent accès à des logs serveur qui vous aideront à identifier l’origine de l’attaque.

Dois-je prévenir mes visiteurs si mon site a été piraté ?

Si des données personnelles de vos utilisateurs ont pu être compromises (formulaires, comptes, données de paiement), vous avez l’obligation légale en France de notifier la CNIL dans les 72 heures suivant la découverte de la violation, conformément au RGPD. Dans les autres cas, informer vos visiteurs via un message de maintenance est une bonne pratique qui préserve votre crédibilité.

Subir un piratage WordPress est une alerte sérieuse, mais c’est aussi une opportunité de renforcer durablement la sécurité de votre site. En appliquant ce plan d’action en cinq étapes, vous reprenez le contrôle rapidement et limitez les dégâts. La vraie question qui se pose ensuite est de savoir comment éviter que cela ne se reproduise. La réponse passe par une maintenance régulière, des mises à jour systématiques et une surveillance active : exactement ce que propose un service de maintenance WordPress professionnel. Confier cette vigilance à un expert, c’est se concentrer sur son activité l’esprit tranquille, sans attendre la prochaine alerte pour agir.