1Comment fonctionne une redirection malveillante
Une redirection malveillante détourne vos visiteurs vers un site contrôlé par l'attaquant, généralement à des fins publicitaires ou frauduleuses. Le code responsable peut se cacher à plusieurs endroits :
- Dans des fichiers JavaScript injectés (souvent appelant un domaine externe).
- Dans le fichier .htaccess, qui peut réécrire les requêtes vers un autre site.
- Dans les fichiers du thème (header.php, footer.php, functions.php).
- Dans la base de données : options siteurl/home détournées, scripts insérés dans le contenu.
2Pourquoi la redirection est parfois invisible pour vous
Les redirections modernes sont conditionnelles : elles ne se déclenchent que pour certains visiteurs. Typiquement, l'attaquant épargne les administrateurs connectés et les visites directes, et ne redirige que les internautes venant de Google ou sur mobile.
Résultat : vous pouvez jurer que votre site fonctionne parfaitement, pendant que vos clients, eux, sont systématiquement détournés. Pour tester, ouvrez votre site en navigation privée, depuis un mobile, et via un résultat de recherche.
3Localiser et supprimer la redirection
Le nettoyage demande de remonter à toutes les sources possibles :
- Vérifier les options siteurl et home dans la base de données (une valeur modifiée trahit le détournement).
- Inspecter le .htaccess et le restaurer s'il a été altéré.
- Traquer les scripts JavaScript injectés dans les fichiers et la base, en décodant les charges obfusquées.
- Comparer les fichiers du thème et du cœur à leurs versions officielles pour repérer le code greffé.
- Supprimer la porte dérobée qui a permis l'injection — sinon la redirection revient.
4Le piège : nettoyer le symptôme sans la cause
Beaucoup de propriétaires suppriment le script de redirection… et le voient réapparaître le lendemain. C'est normal : tant que la porte dérobée et la faille d'entrée subsistent, l'attaquant ré-injecte la redirection. Supprimer le symptôme sans traiter la persistance, c'est écoper un bateau percé.
Un nettoyage durable identifie la porte dérobée, traite les cinq couches de persistance, et corrige la faille d'origine. C'est exactement la méthode de notre service Ts-Rescue, qui décode les scripts obfusqués, démasque les domaines de redirection et sécurise le site. Le scan gratuit confirme en quelques secondes la présence d'une redirection.
Questions fréquentes
Pourquoi la redirection ne se déclenche pas quand je teste mon site ?
Parce qu'elle est conditionnelle : l'attaquant épargne souvent les administrateurs connectés et les visites directes, et ne redirige que les visiteurs venant de Google ou sur mobile. Testez en navigation privée, sur mobile et via un résultat de recherche pour la reproduire.
Changer mes mots de passe suffit-il à arrêter la redirection ?
Non, mais c'est une étape indispensable. Changer les mots de passe coupe un accès, mais si une porte dérobée est déjà installée dans les fichiers ou la base, elle continue d'injecter la redirection. Il faut nettoyer l'ensemble et corriger la faille d'entrée.
La redirection peut-elle nuire à mon référencement ?
Oui, fortement. Google peut détecter la redirection malveillante et signaler votre site comme dangereux, voire le déréférencer. Plus on agit vite, moins l'impact sur le positionnement est durable.
Sur le même thème
Votre site WordPress est piraté ?
Ts-Rescue le nettoie vraiment : détection honnête, nettoyage humain, rapport clair.
Scan gratuit & devis