Sites webImmobilier & notairesAutomatisation & IAGuidesContactDémarrer un projet
Tous les guides
Sécurité & piratage

wp-vcd : le malware WordPress le plus répandu (et comment s'en débarrasser)

Si votre site WordPress affiche des publicités ou des liens cachés, crée des administrateurs fantômes et réinfecte vos fichiers dès que vous les nettoyez, vous avez probablement affaire à wp-vcd — l'une des familles de malware WordPress les plus répandues au monde. Voici comment elle fonctionne et comment l'éradiquer pour de bon.

10 juin 20267 min de lecture

1Qu'est-ce que wp-vcd ?

wp-vcd est un malware qui se propage massivement via les thèmes et plugins « nulled » — c'est-à-dire piratés et distribués gratuitement sur des sites douteux. En installant un thème premium « gratuit », on installe surtout la porte dérobée qui va avec.

Son but : injecter des liens et du contenu invisibles pour manipuler le référencement (spam SEO), afficher des publicités malveillantes, et maintenir un accès permanent au site.

2Comment reconnaître une infection wp-vcd

Plusieurs signes caractéristiques trahissent wp-vcd :

  • Des fichiers nommés wp-vcd.php et wp-tmp.php apparaissent à la racine ou dans wp-includes.
  • Du code malveillant s'ajoute en tête de chaque fichier functions.php de vos thèmes.
  • Des administrateurs inconnus sont créés discrètement.
  • Des liens ou contenus cachés (souvent invisibles pour le visiteur) sont injectés dans vos pages.
  • Dès que vous nettoyez un fichier, l'infection réapparaît : c'est sa signature.

3Pourquoi wp-vcd revient toujours

wp-vcd est conçu pour la persistance. Il se réplique entre les thèmes installés (même inactifs), s'accroche à des fichiers chargés à chaque visite, et se réinstalle automatiquement. Nettoyer un seul fichier ne sert à rien : tant qu'une copie subsiste quelque part, elle régénère toutes les autres.

C'est la raison pour laquelle tant de propriétaires « nettoient » leur site dix fois sans succès. Il faut couper toutes les têtes de l'hydre en même temps, pas une par une.

4Comment l'éradiquer correctement

Un nettoyage efficace de wp-vcd suit une méthode stricte :

  • Identifier et supprimer tous les fichiers d'amorce (wp-vcd.php, wp-tmp.php) et le code injecté dans chaque functions.php.
  • Supprimer impérativement les thèmes et plugins piratés — la source de l'infection — et les remplacer par des versions officielles légitimes.
  • Réinstaller le cœur de WordPress et les extensions depuis les sources officielles pour garantir des fichiers sains.
  • Nettoyer la base : supprimer les faux administrateurs et les options piégées.
  • Changer tous les mots de passe et vérifier qu'aucune tâche planifiée malveillante ne subsiste.

5La règle d'or : jamais de thème ou plugin piraté

wp-vcd se nourrit presque exclusivement des extensions « nulled ». Le thème premium à 60 € qu'on télécharge « gratuitement » coûte en réalité un nettoyage à plusieurs centaines d'euros, sans compter la perte de référencement. Achetez vos thèmes et plugins auprès des éditeurs officiels : c'est la meilleure prévention possible.

Si votre site est déjà infecté, notre service Ts-Rescue détecte wp-vcd par son comportement (et pas seulement par signature), décode les charges injectées et traite toutes les couches de persistance d'un coup. Le scan externe est gratuit pour confirmer rapidement l'infection.

Questions fréquentes

wp-vcd est-il dangereux pour mes visiteurs ?

Oui. Au-delà du spam SEO qui plombe votre référencement, wp-vcd peut afficher des publicités malveillantes et rediriger vos visiteurs. Google peut alors signaler votre site comme dangereux, ce qui fait fuir le trafic et abîme votre réputation.

Puis-je supprimer wp-vcd avec un plugin de sécurité ?

Un plugin peut détecter une partie des fichiers, mais wp-vcd se réinstalle depuis des couches qu'un scan automatique rate souvent (thèmes inactifs, fichiers d'amorce, base). Sans suppression des thèmes piratés à l'origine et un nettoyage complet, l'infection revient.

Mon site était sur un thème piraté, faut-il tout refaire ?

Pas forcément. On peut généralement nettoyer le site et remplacer le thème piraté par une version officielle légitime équivalente, en conservant votre contenu. C'est l'occasion idéale de repartir sur une base saine et à jour.

Ts-Rescue · Site piratéFaites nettoyer votre site par un expert — scan gratuit, diagnostic dès 75 €

Sur le même thème

Sécurité & piratageSite WordPress piraté : que faire ? Le guide d'urgence étape par étapeLire Sécurité & piratageBalada Injector : reconnaître et nettoyer cette infection WordPress tenaceLire Sécurité & piratageSpam SEO japonais sur WordPress : pourquoi Google affiche des pages en japonaisLire

Votre site WordPress est piraté ?

Ts-Rescue le nettoie vraiment : détection honnête, nettoyage humain, rapport clair.

Scan gratuit & devis