Un site WordPress piraté, c’est une urgence concrète : pages défigurées, redirections malveillantes, clients reçus sur une page de phishing, ou pire — un blacklist Google qui coupe le trafic organique du jour au lendemain. En 2026, les attaques automatisées sur WordPress progressent de 40 % selon le Wordfence Threat Intelligence Report 2025 (analyse de 30 000 sites compromis), et la majorité des sites compromis l’ont été via un plugin ou thème obsolète. Ce tutoriel vous guide étape par étape à travers le nettoyage complet d’un site WordPress piraté et sa sécurisation durable. Mis à jour avril 2026.
Que vous soyez développeur, responsable d’un site d’entreprise ou indépendant, la procédure ci-dessous s’applique à tous les hébergements mutualisés et VPS. Elle couvre la détection des fichiers infectés, la suppression du malware, la restauration propre et les 8 mesures de durcissement à appliquer immédiatement après.
Points clés à retenir :
- Un site WordPress piraté se nettoie en 6 étapes : isolation, sauvegarde forensique, scan, suppression, restauration, durcissement
- Priorité absolue : désactiver le site ou passer en mode maintenance avant toute intervention
- Les vecteurs d’infection les plus fréquents en 2026 : plugins nulled, mots de passe faibles, permissions de fichiers incorrectes
- Après nettoyage, demander la révision Google Search Console pour sortir du blacklist en moins de 72 h
- Sans durcissement post-nettoyage, 60 % des sites repiratés dans les 30 jours (source : Sucuri Hacked Website Report 2024)
Comment savoir si votre site WordPress est piraté ?
Les signes d’un piratage WordPress ne sont pas toujours visibles depuis le front. Certains malwares restent dormants des semaines avant de s’activer. Voici les indicateurs concrets à vérifier :
- Redirection suspecte : le site redirige vers un site de phishing, de pharmacie ou de jeux en ligne — visible uniquement depuis Google (pas quand vous êtes connecté admin)
- Avertissement Google : « Ce site risque d’endommager votre ordinateur » dans les SERP ou une page d’alerte rouge dans Chrome
- Fichiers inconnus en racine ou dans
/wp-content/uploads/(fichiers PHP dans le dossier uploads = signal fort) - Nouveaux utilisateurs admin non créés par vous dans wp-admin → Utilisateurs
- Score Google Search Console : baisse brutale de trafic + messages dans l’onglet Sécurité et actions manuelles
- Alerte hébergeur : suspension de compte pour activité malveillante ou envoi de spam
Outil de vérification rapide : Sucuri SiteCheck scanne votre URL publiquement et remonte les malwares connus, blacklists et anomalies de réputation. Gratuit, résultat en 30 secondes.
Étape 1 — Isoler et sauvegarder avant d’intervenir
Avant tout nettoyage, isolez le site pour éviter la propagation et conservez une copie forensique de l’infection. Cette étape semble contre-intuitive, mais elle est indispensable : supprimer le malware sans sauvegarde préalable empêche d’analyser le vecteur d’entrée.
Passer en mode maintenance ou désactiver temporairement
Via votre hébergeur (cPanel, Plesk, interface propriétaire), désactivez temporairement le site ou redirigez tout le trafic vers une page 503 statique. Si votre hébergeur ne le permet pas, ajoutez dans .htaccess :
# Mode maintenance — bloquer tout sauf votre IP
Order Deny,Allow
Deny from all
Allow from XX.XX.XX.XXSauvegarde complète (fichiers + base de données)
Téléchargez via FTP ou SSH une copie complète du répertoire WordPress et exportez la base de données (phpMyAdmin ou mysqldump). Cette sauvegarde « sale » servira à identifier les fichiers modifiés par comparaison avec une installation propre.
Étape 2 — Scanner et identifier les fichiers infectés
Un scan professionnel distingue les malwares connus des modifications légitimes. Deux approches complémentaires :
Scanner via plugin WordPress (si accès admin intact)
Installez Wordfence Security (version gratuite suffisante) et lancez un « Full Scan ». Wordfence compare chaque fichier WordPress core, plugin et thème avec les versions officielles du dépôt. Il liste les fichiers modifiés, les fichiers inconnus et les malwares identifiés dans sa base de signatures (30 millions de sites surveillés en 2026).
Scanner via ligne de commande (accès SSH)
Si l’accès admin est compromis ou si vous préférez une analyse serveur :
# Trouver les fichiers PHP modifiés dans les 7 derniers jours
find /var/www/html -name "*.php" -mtime -7 -ls
# Rechercher les patterns de malware classiques
grep -rl "eval(base64_decode" /var/www/html --include="*.php"
grep -rl "exec(" /var/www/html/wp-content/uploads --include="*.php"Tout fichier PHP dans /wp-content/uploads/ est anormal — ce dossier ne doit contenir que des médias.
Comment nettoyer complètement un site WordPress piraté ?
Le nettoyage d’un site WordPress piraté suit une séquence précise : ne pas la respecter garantit une reinfection rapide.
Réinstaller WordPress core, les plugins et les thèmes
Ne modifiez jamais les fichiers infectés à la main — remplacez-les intégralement par des versions propres :
- WordPress core : téléchargez la dernière version sur wordpress.org et écrasez tous les fichiers sauf
wp-config.phpetwp-content/ - Plugins : supprimez et réinstallez chaque plugin depuis le dépôt officiel. Supprimez définitivement tout plugin « nulled » ou provenant d’une source non officielle
- Thèmes : même procédure. Supprimez les thèmes inactifs — ils restent des vecteurs d’attaque même désactivés
Nettoyer la base de données
Les malwares injectent fréquemment du code dans les options WordPress ou les contenus. Vérifiez via phpMyAdmin :
-- Chercher du contenu suspect dans les options
SELECT option_name, option_value FROM wp_options
WHERE option_value LIKE '%eval(%'
OR option_value LIKE '%base64_decode%'
OR option_value LIKE '%<script%';
-- Chercher dans les posts
SELECT ID, post_title FROM wp_posts
WHERE post_content LIKE '%<script%'
OR post_content LIKE '%eval(%';Changer tous les secrets et credentials
Après suppression du malware, changez immédiatement : mot de passe WordPress admin, mot de passe base de données, clés secrètes dans wp-config.php (utilisez le générateur officiel sur api.wordpress.org), et mot de passe FTP/SFTP.
Étape 4 — Durcir WordPress après le nettoyage
Sans durcissement, le risque de repiratage est élevé. Selon une étude de Sucuri (Hacked Website Report 2024), 60 % des sites nettoyés sans mesures de durcissement sont recompromis dans les 30 jours suivants. La norme ISO 27001 recommande par ailleurs un cycle de révision des accès après tout incident de sécurité. Voici les 8 mesures essentielles, classées par impact :
| Mesure | Impact | Complexité |
|---|---|---|
| Mettre à jour WordPress, plugins, thèmes | Critique | Simple |
| Activer l’authentification à 2 facteurs (2FA) | Élevé | Simple |
| Corriger les permissions fichiers (644/755) | Élevé | Simple |
| Désactiver l’exécution PHP dans /uploads/ | Élevé | Simple |
| Limiter les tentatives de connexion | Moyen | Simple |
| Installer un pare-feu applicatif (WAF) | Élevé | Moyen |
| Supprimer les utilisateurs admins non reconnus | Critique | Simple |
| Configurer des sauvegardes automatiques hors-site | Élevé | Moyen |
Pour désactiver l’exécution PHP dans le dossier uploads, créez un fichier .htaccess dans /wp-content/uploads/ :
<Files *.php>
deny from all
</Files>Pour la sécurisation complète de votre site WordPress, consultez notre guide dédié avec les configurations avancées de pare-feu et de monitoring.
Étape 5 — Sortir du blacklist Google et récupérer le trafic
Un site piraté blacklisté par Google perd en moyenne 95 % de son trafic organique. La procédure de levée du blacklist est documentée par Google et prend entre 24 h et 72 h si le nettoyage est complet.
Demander la révision dans Google Search Console
Dans Google Search Console → Sécurité et actions manuelles → Problèmes de sécurité : vérifiez que tous les problèmes sont résolus, puis cliquez sur « Demander un examen ». Décrivez précisément les actions effectuées (suppression malware, réinstallation, durcissement). Une description vague ralentit le traitement.
Monitorer la récupération
Après levée du blacklist, le trafic organique met 2 à 4 semaines à se reconstituer progressivement selon la durée de l’infection. Si votre site était piraté depuis plus de 30 jours, certaines pages peuvent avoir été supprimées de l’index : soumettez-les manuellement via le rapport de couverture GSC.
Pour les sites avec contrat de maintenance WordPress, ce type d’intervention est couvert — monitoring proactif inclus pour détecter les compromissions avant qu’elles n’impactent le trafic.
FAQ — Nettoyage WordPress piraté
Combien de temps prend le nettoyage d’un site WordPress piraté ?
Pour un site de taille standard (moins de 50 plugins, hébergement mutualisé), le nettoyage complet prend entre 2 h et 4 h pour un technicien expérimenté. Cette durée inclut le scan, la suppression du malware, la réinstallation et le durcissement de base. Pour un site e-commerce complexe ou une infection ancienne, comptez 6 h à 8 h. Si vous faites appel à un prestataire, demandez systématiquement un rapport détaillant les fichiers nettoyés et les vecteurs identifiés.
Peut-on nettoyer soi-même un site WordPress piraté sans connaissances techniques ?
Partiellement. Wordfence Security (plugin gratuit) permet de détecter et supprimer les malwares connus sans accès FTP ni ligne de commande. Cependant, les infections par backdoor PHP ou injection de base de données nécessitent une intervention manuelle. En cas de doute sur l’exhaustivité du nettoyage, une intervention par un spécialiste WordPress est recommandée pour éviter une reinfection dans les semaines suivantes.
Pourquoi mon site WordPress a-t-il été piraté malgré un mot de passe fort ?
Un mot de passe fort protège uniquement l’accès wp-admin par brute force. Les vecteurs d’attaque les plus courants en 2026 contournent complètement l’authentification : vulnérabilités connues dans des plugins non mis à jour (CVE publiées puis exploitées massivement sous 48 h), thèmes ou plugins nulled contenant des backdoors, et mauvaises permissions de fichiers permettant l’upload et l’exécution de scripts PHP.
Faut-il prévenir ses clients après un piratage WordPress ?
Si le site collecte des données personnelles (formulaire de contact, compte client, WooCommerce), la réponse est oui — et c’est une obligation légale sous le RGPD (Règlement UE 2016/679, art. 33-34). En cas de violation de données personnelles, vous avez 72 h pour notifier la CNIL (France) ou le Commissariat à la protection de la vie privée (Canada). L’absence de notification peut entraîner des sanctions allant jusqu’à 4 % du chiffre d’affaires mondial annuel.
Le nettoyage WordPress efface-t-il les données du site ?
Non, si la procédure est correctement suivie. Le nettoyage cible les fichiers système (WordPress core, plugins, thèmes) et supprime les fichiers malveillants sans toucher à wp-content/uploads/ ni à la base de données, sauf pour les entrées contaminées identifiées lors du scan. La base de données reste intacte. Une sauvegarde préalable reste indispensable comme filet de sécurité.
Besoin d’une intervention d’urgence sur un site WordPress piraté ? Notre équipe intervient sous 4 h pour les cas critiques. Demandez un devis rapide — diagnostic gratuit inclus.
