Sites webImmobilier & notairesAutomatisation & IAGuidesContactDémarrer un projet
Tous les guides
Sécurité & piratage

Cryptominer caché dans WordPress : quand votre site mine de la crypto à votre insu

Votre site WordPress est devenu anormalement lent, votre hébergeur vous alerte sur une consommation excessive, ou les visiteurs se plaignent que leur ordinateur chauffe en visitant vos pages ? Vous hébergez peut-être un cryptominer à votre insu. Voici comment le repérer et l'éliminer.

8 juin 20266 min de lecture

1Qu'est-ce qu'un cryptominer sur WordPress ?

Un cryptominer est un code malveillant qui détourne de la puissance de calcul pour miner de la cryptomonnaie au profit de l'attaquant. Sur un site WordPress piraté, il en existe deux variantes :

  • Le mineur côté serveur : il s'exécute sur votre hébergement et consomme les ressources du serveur, ralentissant tout le site.
  • Le mineur côté visiteur (JavaScript) : injecté dans vos pages, il fait travailler le processeur de chaque internaute qui visite votre site.

2Les symptômes révélateurs

  • Site brusquement lent, voire qui sature, sans pic de trafic réel.
  • Alerte de l'hébergeur sur une utilisation CPU anormale ou un dépassement de quota.
  • Visiteurs signalant que leur ordinateur chauffe ou ralentit sur votre site.
  • Processus inconnus côté serveur, ou scripts JavaScript appelant des domaines de minage.
  • Factures d'hébergement en hausse sur une formule à l'usage.

3Comment le détecter précisément

Le cryptominer se cache souvent derrière du code obfusqué, illisible au premier regard. Pour le débusquer :

  • Analyser les fichiers récemment modifiés et les scripts injectés dans le thème ou la base.
  • Décoder les charges obfusquées (base64, gzinflate) pour révéler le code de minage et les domaines contactés.
  • Repérer les appels à des bibliothèques de minage connues ou à des pools de minage.
  • Vérifier les tâches planifiées (cron) qui relancent le mineur après chaque arrêt.

4Supprimer le cryptominer et sécuriser

Une fois le mineur localisé, le nettoyage suit la logique habituelle d'un site compromis :

  • Supprimer les fichiers et scripts de minage, y compris le code injecté dans les fichiers légitimes.
  • Nettoyer la base de données et les tâches planifiées qui réinstallent le mineur.
  • Identifier et supprimer la porte dérobée qui a servi à déposer le code.
  • Corriger la faille d'entrée (plugin vulnérable, accès compromis) et changer tous les mots de passe.
  • Surveiller la consommation de ressources après nettoyage pour confirmer la disparition.

5Ne pas sous-estimer un cryptominer

Un cryptominer peut sembler « moins grave » qu'une redirection ou un défacement, mais sa présence prouve qu'une porte dérobée est ouverte sur votre site. Aujourd'hui c'est du minage ; demain, l'attaquant peut vendre l'accès, voler des données ou injecter un malware plus agressif. Une porte dérobée se traite toujours en urgence.

Notre service Ts-Rescue décode les charges obfusquées pour démasquer le mineur, traite toutes les couches de persistance et sécurise le site. Le scan gratuit aide à confirmer la présence de scripts suspects côté visiteur.

Questions fréquentes

Un cryptominer peut-il endommager mon serveur ?

Il n'endommage pas le matériel, mais il monopolise les ressources, ce qui ralentit fortement votre site et peut faire dépasser vos quotas d'hébergement, voire entraîner une suspension par l'hébergeur. Et surtout, il révèle une porte dérobée à traiter d'urgence.

Pourquoi mon site est lent alors que je n'ai pas plus de visiteurs ?

C'est un signe classique de cryptominer côté serveur : la lenteur ne vient pas du trafic mais du code de minage qui consomme le processeur en arrière-plan. Un audit des ressources et des fichiers récemment modifiés permet de le confirmer.

Comment éviter qu'un cryptominer revienne ?

En supprimant la porte dérobée et en corrigeant la faille d'entrée, pas seulement le mineur. Ensuite, mises à jour rigoureuses, suppression des extensions inutiles et surveillance des ressources. Un monitoring régulier détecte une éventuelle réinfection avant qu'elle ne pèse.

Ts-Rescue · Site piratéFaites nettoyer votre site par un expert — scan gratuit, diagnostic dès 75 €

Sur le même thème

Sécurité & piratageSite WordPress piraté : que faire ? Le guide d'urgence étape par étapeLire Sécurité & piratagewp-vcd : le malware WordPress le plus répandu (et comment s'en débarrasser)Lire Sécurité & piratageBalada Injector : reconnaître et nettoyer cette infection WordPress tenaceLire

Votre site WordPress est piraté ?

Ts-Rescue le nettoie vraiment : détection honnête, nettoyage humain, rapport clair.

Scan gratuit & devis