Voir son site WordPress piraté est une expérience stressante : pages qui disparaissent, redirections vers des sites douteux, pop‑ups intempestives, ou même impossibilité d’accéder à votre back‑end (tableau de bord). Cela peut arriver même aux sites les mieux intentionnés, généralement à cause d’une faille exploitée dans un plugin ou un thème obsolète.
En tant que consultant WordPress depuis 2016, j’interviens régulièrement pour nettoyer des sites piratés, supprimer les malwares, et remettre les choses en ordre avec une sécurité renforcée. Dans cet article, je vous guide pas à pas sur :
✔️ les signes d’un site piraté
✔️ comment nettoyer votre WordPress
✔️ comment sécuriser votre site
✔️ comment prévenir une nouvelle attaque
Comment savoir si votre WordPress a été piraté ?
Un site piraté ne passe pas toujours inaperçu. Voici les symptômes les plus courants :
Vous n’accédez plus au back‑end
Si vous ne pouvez plus vous connecter à votre tableau de bord WordPress, ou si votre mot de passe ne fonctionne plus, un pirate a peut‑être pris le contrôle d’un compte.
Votre site redirige vers des sites suspects
Les redirections non voulues vers des pages inconnues sont souvent le signe d’un script malveillant inséré dans vos fichiers ou votre base de données.
Pop‑ups intempestives et contenus étrangers
Des fenêtres ou des messages étranges apparaissent sur votre site ? C’est un excellent indicateur d’un malware actif.
Présence de caractères étranges ou chinois
L’apparition de caractères spéciaux ou chinois dans vos pages ou votre contenu peut provenir d’une injection malveillante.
Fichiers suspects dans votre installation
Lorsqu’un pirate a exploité une faille, il peut avoir ajouté ou modifié des fichiers sur votre serveur. Parfois, des milliers de pages fantômes sont créées à votre insu.
Que faire immédiatement quand votre WordPress est piraté ?
Face à une compromission, il est essentiel d’agir rapidement et méthodiquement :
1. Isoler votre site
S’il est toujours accessible, pensez à mettre le site en maintenance ou hors ligne temporairement pour éviter d’affecter vos visiteurs ou d’autres services.
2. Scanner votre site
Utilisez des outils de scan (anti‑malware, scanners en ligne ou plugins de sécurité) pour identifier les fichiers infectés, les scripts suspects ou les zones compromises.
3. Sauvegarder l’état actuel
Même si votre site est compromis, faites une copie de sauvegarde de l’état actuel (fichiers + base de données). Cela servira de référence pour l’analyse de l’attaque.
4. Changer tous les mots de passe
👉 Changez immédiatement :
✔️ les mots de passe WordPress de tous les comptes
✔️ le mot de passe FTP / SFTP
✔️ le mot de passe de la base de données
✔️ les clés de sécurité (salts) dans le fichier wp‑config.php
👉 Assurez‑vous que chaque mot de passe est unique, complexe, et généré si possible par un gestionnaire de mots de passe. Évitez les mots simples ou évidents.
5. Vérifier les comptes utilisateurs
Un pirate peut avoir créé un compte administrateur caché. Vérifiez tous les utilisateurs dans Comptes > Tous les comptes et supprimez les comptes suspects.
👉 Pensez aussi à vérifier et réduire les rôles : attribuez uniquement ce qui est nécessaire (par exemple, “Éditeur” pour quelqu’un qui ne publie pas, “Auteur” si seule la création d’articles est requise).
Nettoyage : remettre en place les éléments d’origine
Une fois les accès sécurisés, l’objectif est de retirer le code malveillant et restaurer les fichiers propres.
1. Remplacer les fichiers core de WordPress
Téléchargez la dernière version de WordPress depuis wordpress.org et remplacez :
✔️ les dossiers wp‑admin
✔️ les dossiers wp‑includes
✔️ tous les fichiers du cœur (sauf wp‑config.php)
Cela garantit que les fichiers principaux ne contiennent pas de code injecté.
2. Réinstaller thèmes et extensions
Pour chaque thème et extension installés :
✔️ supprimez les versions compromises
✔️ réinstallez les versions propres à partir de sources officielles
Ne réactivez que les extensions nécessaires pour éviter les failles inutiles.
3. Nettoyer la base de données
Les scripts malveillants peuvent être insérés dans des options ou des contenus. Recherchez et supprimez les contenus suspects :
✔️ contenus inconnus
✔️ entrées dans les tables qui n’ont rien à y faire
✔️ redirections ou iframes cachés
Sécuriser votre WordPress pour l’avenir
Une fois le site nettoyé, il faut renforcer sa sécurité pour prévenir une nouvelle attaque.
Activer une surveillance renforcée
Installez et configurez un plugin de sécurité pour :
✔️ surveiller les tentatives de connexion
✔️ bloquer les IP suspectes
✔️ envoyer des alertes en cas d’anomalies
👉 Activez l’authentification à deux facteurs (2FA) pour tous les comptes à haut privilège.
👉 Configurez des alertes par mail ou Slack en cas de modifications suspects (nouveau compte admin, modification de fichier critique, trop d’échecs de connexion).
Garder vos extensions et thèmes à jour
Un malware exploite souvent une faille dans une extension ou un thème obsolète.
Mettre à jour régulièrement vos composants est la première ligne de défense.
Configurer des sauvegardes automatisées
Si vous n’avez pas encore de solution de sauvegarde, mettez‑en une en place : quotidienne ou hebdomadaire selon l’activité de votre site.
Prévenir le piratage : sécuriser votre WordPress
Maintenant que votre site est propre et restauré, il est essentiel de mettre en place une stratégie de sécurité durable pour empêcher qu’une nouvelle attaque ne se reproduise. La sécurisation ne se limite pas à nettoyer un site après un piratage : elle consiste à verrouiller les portes d’entrée potentielles et à surveiller en continu l’activité.
Sécuriser les accès : mots de passe et comptes
✔️ Utiliser des mots de passe forts
Utilisez toujours des mots de passe complexes pour tous les comptes (WordPress, FTP, base de données). Combinez lettres, chiffres et symboles.
✔️ Revoir les comptes administrateur
Un pirate peut avoir créé ou conservé un compte avec trop de privilèges.
→ Supprimez les comptes inutiles.
→ Assurez‑vous que le rôle par défaut des nouveaux comptes n’est pas « administrateur » si ce n’est pas nécessaire.
✔️ Limiter les tentatives de connexion
Une protection contre les attaques par force brute limite le nombre de tentatives de connexion avant de bloquer une IP.
Mettre à jour régulièrement : la base de la sécurité
Un grand nombre de piratages exploitent des failles connues dans des extensions ou thèmes obsolètes.
✔️ Faites systématiquement les mises à jour de WordPress, extensions et thèmes.
✔️ Préférez les extensions maintenues activement par leurs auteurs.
Activer HTTPS
Utiliser le protocole HTTPS (certificat SSL) :
✔️ chiffre les échanges entre le navigateur et votre site
✔️ est désormais un critère de sécurité standard
✔️ améliore aussi votre référencement
La plupart des hébergeurs proposent un certificat SSL gratuit (Let’s Encrypt).
Cacher les informations sensibles
✔️ Masquer la version de WordPress
Un pirate ne doit pas savoir sur quelle version vous êtes. Cela empêche d’indiquer quelles failles pourraient être exploitables.
✔️ Désactivez l’affichage des erreurs PHP en production.
Anti‑spam et protection des formulaires
✔️ Installez un système anti‑spam pour bloquer les bots (reCAPTCHA, Honeypot…).
✔️ Évitez les formulaires publics sans protection.
Sauvegardes régulières et hors du site
✔️ Faites des sauvegardes fréquentes (journalier/hebdomadaire selon l’activité).
✔️ Stockez‑les hors du serveur principal : cloud, stockage externe, CDN, etc.
Ainsi, si votre serveur est compromis, vos sauvegardes restent intactes.
Cas particulier : si les données de vos clients ont été compromises
Si votre site traite des données personnelles (comptes utilisateurs, formulaires, e‑commerce), et que vous soupçonnez une fuite :
✔️ Prévenez vos clients
✔️ Déclarez l’incident à la CNIL si nécessaire
✔️ Suivez les bonnes pratiques RGPD pour rapporter l’incident
Un site WordPress piraté peut être récupéré si l’on suit une méthode claire :
✔️ identifier l’attaque
✔️ sécuriser les accès
✔️ nettoyer les fichiers et la base
✔️ renforcer la sécurité
Et si vous êtes bloqué ou que votre site est gravement compromis, je peux intervenir pour un nettoyage et une sécurisation rapide, avec un audit complet des failles.
Service de sécurisation WordPress
Si vous souhaitez aller plus loin que les étapes décrites ci‑dessus, je propose un service complet de sécurisation WordPress :
✔️ audit de sécurité approfondi
✔️ correction des vulnérabilités (thèmes, plugins, base, fichiers)
✔️ configuration d’une protection active
✔️ mise en place de sauvegardes automatisées hors serveur
✔️ surveillance renforcée 24/7
Mon objectif est de verrouiller votre site comme une forteresse pour éviter toute reprise de contrôle par un pirate.
👉 Prenez rendez‑vous pour un diagnostic gratuit
FAQ – Mon site WordPress a été piraté
Comment savoir si mon WordPress a été piraté ?
Les signes courants incluent des redirections vers des sites inconnus, des pop‑ups suspectes, des fichiers parasites, une impossibilité d’accéder au backend, ou encore des contenus étranges apparus sur le site.
Que faire immédiatement si mon site est infecté ?
Commencez par isoler le site, changer tous les mots de passe, scanner les fichiers pour identifier les malwares, puis restaurer les fichiers originaux et nettoyer la base de données.
Puis‑je récupérer mon contenu sans tout perdre ?
Dans la plupart des cas, oui : un nettoyage bien fait permet de conserver vos contenus, mais il est essentiel d’avoir une sauvegarde récente avant l’attaque.
Comment éviter qu’un piratage ne se reproduise ?
Maintenez vos extensions à jour, utilisez un plugin de sécurité, activez une surveillance renforcée et faites des sauvegardes régulières avec restauration automatique.
Dois‑je prévenir mes clients si des données ont été compromises ?
Oui. Si des informations personnelles ont été exposées, il est important de prévenir vos clients et de faire une déclaration à la CNIL si nécessaire.
Comment puis‑je rendre mon WordPress plus sécurisé ?
En mettant en place des mots de passe forts, en limitant les rôles, en activant une surveillance renforcée, en mettant à jour vos composants, et en utilisant HTTPS et un plugin de sécurité.
Qu’est‑ce qu’un plugin de sécurité WordPress ?
C’est un outil qui surveille votre site, bloque les attaques, détecte les malwares et limite les tentatives de connexion. Il vous donne aussi des rapports sur les risques potentiels.
Dois‑je vraiment cacher la version de WordPress ?
Oui. Masquer votre version empêche des pirates d’identifier facilement les failles connues qui pourraient être exploitées.
Où dois‑je stocker mes sauvegardes ?
Hors de votre serveur : par exemple dans un cloud externe, sur un stockage distant ou via un service de sauvegarde automatisé sécurisé.
