Site WordPress piraté : que faire ? Le guide d'urgence étape par étape

Un site WordPress piraté laisse presque toujours des traces visibles. Les symptômes les plus fréquents :

• Redirection automatique : vos visiteurs sont renvoyés vers un site tiers (pharmacie, casino, arnaque), parfois seulement depuis Google ou seulement sur mobile.
• Spam SEO : des centaines de pages que vous n'avez jamais créées apparaissent dans Google sous votre domaine (médicaments, contrefaçons, caractères japonais).
• Avertissement Google : un écran rouge « Site trompeur » ou « Ce site risque d'endommager votre ordinateur » s'affiche avant vos pages.
• Défacement : votre page d'accueil est remplacée par un message de hacker.
• E-mails en masse : votre serveur envoie du spam à votre insu, et votre domaine finit blacklisté.
• Comptes administrateurs inconnus, fichiers récents que vous n'avez pas créés, ou un site qui devient anormalement lent.

Avant de toucher à quoi que ce soit, sachez ce qu'il ne faut surtout pas faire — ce sont les réflexes qui transforment un incident gérable en catastrophe :

• Supprimer des fichiers à l'aveugle : on casse le site sans éliminer la source, et l'infection revient en quelques heures.
• Restaurer une vieille sauvegarde sans rien d'autre : si la faille d'entrée est toujours là (plugin obsolète, mot de passe volé), le site est réinfecté aussitôt.
• Se fier au seul compteur d'un plugin : « 293 menaces ! » est souvent gonflé de faux positifs, et fait paniquer sans rien régler.

Dans l'ordre, et calmement :

• Faites une sauvegarde complète de l'état actuel (fichiers + base de données), même infecté : c'est votre filet de sécurité et la preuve forensique.
• Changez tous les mots de passe : administrateurs WordPress, hébergement, FTP/SFTP, base de données.
• Mettez le site en maintenance si possible, pour protéger vos visiteurs et votre réputation pendant l'intervention.
• Ne payez jamais une « rançon » et ne suivez aucune instruction laissée par l'attaquant.
• Identifiez le périmètre : un seul site ou tout un hébergement mutualisé contaminé ?

La raison n°1 pour laquelle un site « nettoyé » se réinfecte, c'est la persistance. Un malware WordPress sérieux ne se cache pas qu'à un seul endroit : il se réinstalle depuis plusieurs couches.

Un nettoyage qui ne traite qu'une de ces couches échoue. Il faut inspecter et nettoyer les cinq :

• Les fichiers (thèmes, plugins, cœur de WordPress, fichiers PHP étrangers).
• Les mu-plugins (extensions « must-use » chargées automatiquement, idéales pour se cacher).
• La base de données (options piégées, faux administrateurs, scripts injectés dans le contenu).
• Les tâches planifiées (cron) qui réinstallent la charge à intervalle régulier.
• Les déclencheurs SQL (triggers) qui réécrivent des données à chaque requête.

Si vous êtes à l'aise techniquement, un petit site peut se nettoyer à la main : comparer chaque fichier à la version officielle, traquer le code injecté, nettoyer la base dans une transaction réversible, puis corriger la faille d'entrée. C'est long, minutieux, et une seule couche oubliée annule tout le travail.

Pour la plupart des propriétaires (TPE, artisans, agences), déléguer est plus rapide et plus sûr. C'est exactement le rôle de notre service Ts-Rescue : un scan gratuit pour confirmer les symptômes, un diagnostic profond qui trie les vraies menaces des faux positifs, puis un nettoyage humain qui traite les cinq couches et sécurise le site, avec un rapport clair et une sauvegarde systématique.

Un site propre ne le reste que si l'on corrige le vecteur d'entrée et qu'on surveille. Mettez à jour le cœur, le thème et les extensions, supprimez les plugins inutiles, activez la double authentification sur les comptes admin, et mettez en place des sauvegardes vérifiées. Une maintenance ou un monitoring régulier (scans automatiques, alertes) reste la meilleure assurance contre une nouvelle infection.

Soyons honnêtes : aucun prestataire sérieux ne peut garantir une absence totale de réinfection sans corriger la faille. C'est une obligation de moyens, pas de résultat — et c'est précisément pour ça que la surveillance continue compte.