WebSentinel.
Tutoriels

Site WordPress piraté : que faire en urgence en 2026

· Nicolas Pivaut

Votre site WordPress affiche du contenu que vous n’avez pas mis, redirige vers des sites inconnus, ou Google vous avertit que votre site contient des logiciels malveillants. Votre site a été piraté.

C’est une situation stressante — mais gérable. La priorité absolue : agir vite. Un site piraté qui reste en ligne propage le malware, nuit à votre référencement et peut engager votre responsabilité si des données clients sont compromises.

Étape 0 : ne pas paniquer, documenter

Avant toute action, prenez des captures d’écran de ce que vous voyez : le contenu injecté, les redirections, les messages d’alerte Google. Ces informations vous aideront à comprendre le type d’attaque et à l’expliquer à votre hébergeur si nécessaire.

Étape 1 : passer le site en mode maintenance

Mettez votre site hors ligne immédiatement pour éviter que vos visiteurs soient exposés au malware et que Google continue d’indexer le contenu malveillant.

Via votre hébergeur : la plupart des panneaux de contrôle (cPanel, Plesk) permettent de désactiver temporairement le site.

Via FTP : renommez le fichier index.php en index.php.bak. Le site affichera une erreur 403 plutôt que le contenu compromis.

Via wp-config.php : ajoutez en haut du fichier :

define('WP_MAINTENANCE_MODE', true);

Étape 2 : changer tous les mots de passe

Immédiatement, changez :

  • Le mot de passe du compte admin WordPress (tous les comptes administrateur)
  • Le mot de passe FTP/SFTP
  • Le mot de passe de la base de données (dans wp-config.php et dans votre panneau hébergeur)
  • Le mot de passe de votre panneau d’hébergement (cPanel, Plesk…)
  • Le mot de passe email associé au domaine

Utilisez des mots de passe longs (minimum 16 caractères), uniques pour chaque service, générés aléatoirement.

Étape 3 : identifier la compromission

Scanner les fichiers

Des outils gratuits permettent de scanner votre installation WordPress à la recherche de malwares connus :

  • Wordfence (plugin WordPress) : scan complet des fichiers et de la base de données
  • MalCare : détecte les malwares obfusqués que d’autres outils ratent
  • Sucuri SiteCheck : scan en ligne gratuit depuis l’URL du site

Le scan vous indiquera quels fichiers ont été modifiés et quels types de malwares ont été détectés.

Chercher les fichiers suspects via FTP

Connectez-vous en FTP et cherchez :

  • Des fichiers PHP dans wp-content/uploads/ (les images ne devraient pas être des .php)
  • Des fichiers nommés de façon bizarre (wp-feed.php, wp-tmp.php, wp-vcd.php)
  • Des fichiers modifiés récemment que vous n’avez pas touché (triez par date de modification)

Vérifier les comptes utilisateurs WordPress

Allez dans Utilisateurs > Tous les utilisateurs. Y a-t-il des comptes administrateur que vous n’avez pas créés ? Supprimez-les immédiatement.

Étape 4 : nettoyer le site

Option 1 : restaurer depuis une sauvegarde saine

Si vous avez une sauvegarde récente datant d’avant la compromission, c’est la solution la plus propre et la plus rapide. Restaurez la sauvegarde complète (fichiers + base de données) et passez directement à l’étape 5.

Attention : la sauvegarde doit dater d’avant le piratage. Si le malware était déjà présent lors de la sauvegarde, vous restaurerez un site déjà compromis.

Option 2 : nettoyage manuel

Si vous n’avez pas de sauvegarde saine, le nettoyage manuel est plus long mais possible :

Réinstaller WordPress : téléchargez la dernière version depuis wordpress.org. Via FTP, remplacez les dossiers wp-admin/ et wp-includes/ (sans toucher à wp-content/ ni wp-config.php). Cela écrase les fichiers core potentiellement modifiés.

Nettoyer les thèmes et plugins : réinstallez chaque plugin et thème depuis leur source officielle (wordpress.org ou site du développeur). Ne réinstallez que les plugins dont vous avez besoin — profitez-en pour supprimer ceux qui sont inutilisés.

Nettoyer la base de données : les malwares injectent souvent du code dans les tables wp_options et wp_posts. Vérifiez les champs siteurl, home et les entrées récentes de wp_options. Cherchez les injections JavaScript ou des URLs suspectes dans le contenu des posts.

Nettoyer les fichiers .htaccess : vérifiez votre fichier .htaccess à la racine et dans les sous-dossiers. Les malwares y ajoutent souvent des règles de redirection. Régénérez un fichier propre depuis WordPress (Réglages > Permaliens > Enregistrer).

Étape 5 : sécuriser après nettoyage

Une fois le site nettoyé, colmatez les failles qui ont permis l’intrusion :

Mettez tout à jour : WordPress, tous les thèmes, tous les plugins. La grande majorité des piratages exploitent des vulnérabilités connues dans des versions obsolètes.

Supprimez les plugins et thèmes inutilisés : un plugin désactivé mais présent peut quand même être exploité.

Activez l’authentification à deux facteurs pour les comptes admin (plugin WP 2FA ou similaire).

Installez un plugin de sécurité : Wordfence ou Sucuri pour le pare-feu applicatif et la surveillance continue.

Vérifiez les permissions de fichiers :

find /var/www/html -type f -exec chmod 644 {} \;
find /var/www/html -type d -exec chmod 755 {} \;
chmod 440 wp-config.php

Étape 6 : informer Google

Si Google a signalé votre site comme dangereux, soumettez une demande de révision dans Google Search Console une fois le nettoyage terminé :

  1. Connectez-vous à Search Console
  2. Allez dans Sécurité et actions manuelles > Problèmes de sécurité
  3. Cochez « J’ai résolu ces problèmes »
  4. Cliquez sur « Demander une révision »

Google prend généralement 1 à 3 jours ouvrables pour réexaminer le site.

Comment savoir comment le site a été piraté

Les vecteurs d’attaque les plus fréquents :

  • Plugin ou thème vulnérable : vérifiez le changelog des plugins récemment mis à jour et cherchez les CVE associés
  • Mot de passe faible : les attaques par force brute sur /wp-login.php sont très courantes
  • Hébergement partagé compromis : si votre voisin de serveur est compromis sur un hébergement mutualisé mal configuré
  • Identifiants FTP volés : souvent via un malware sur votre ordinateur

Quand faire appel à un expert

Le nettoyage d’un WordPress compromis demande du temps, des outils et des connaissances techniques. Si vous n’avez pas de sauvegarde saine, si le malware est persistant (revient après nettoyage), ou si des données clients ont potentiellement été exposées, notre service de dépannage WordPress en urgence intervient pour nettoyer et sécuriser votre site.

Nos forfaits de maintenance WordPress incluent la surveillance continue, les mises à jour régulières et les sauvegardes qui vous permettent de restaurer rapidement en cas d’incident.

Ressources complémentaires

Articles similaires

Conformité légale

Bouton de rétractation conforme

Module sur-mesure + installation + support 12 mois. WooCommerce, PrestaShop, Shopify. 149 €.

En savoir plus