Aller au contenu
aymeric filliot

Guide d'urgence

Site WordPress piraté : les 3 gestes à faire tout de suite, puis on nettoie

Vous venez de découvrir que votre site ne vous appartient plus vraiment. Peut-être qu'il redirige vers une page douteuse, que Google affiche un écran rouge à la place de votre accueil, que des clients vous signalent des spams envoyés en votre nom, ou que votre trafic s'est mis à faire des pics venus de l'autre bout du monde. C'est stressant, et c'est légitime. Respirez : un site WordPress piraté se récupère presque toujours. Ce qui compte, c'est de faire les bons gestes dans le bon ordre, et de ne pas aggraver les choses par précipitation.

Je vais d'abord vous donner ce que vous pouvez faire maintenant, seul, gratuitement. Ensuite je vous explique comment un nettoyage sérieux se déroule, et pourquoi c'est le genre d'intervention qu'il vaut mieux confier à quelqu'un.

Réserver un audit gratuit constat gratuit, sans accès, réponse le jour même

Tout de suite

Les 3 gestes à faire tout de suite

  1. Mettez le site hors ligne, ou en maintenance

    Tant que le site est piraté et accessible, il continue de nuire : il envoie du spam, il infecte les visiteurs, il alimente la liste noire de Google. Coupez cette exposition. Le plus simple est de basculer le site en mode maintenance, ou de le mettre carrément hors ligne le temps de l'intervention. Vous pouvez le faire depuis votre hébergeur (page de maintenance, coupure temporaire) ou via un accès FTP. Un site à l'arrêt pendant quelques heures fait moins de dégâts qu'un site infecté laissé en vitrine.

  2. Changez tous les mots de passe

    L'attaquant est entré par une porte : tant que vous ne changez pas les serrures, il peut revenir même après un nettoyage. Trois mots de passe sont à changer tout de suite, sans aucun risque pour votre site : celui de votre compte administrateur WordPress, celui de votre hébergement, celui de vos accès FTP/SFTP. Le quatrième, celui de la base de données, est à part : il est aussi inscrit dans un fichier du site, wp-config.php. Le changer chez votre hébergeur sans corriger ce fichier dans la foulée affiche « Erreur de connexion à la base de données » sur toutes vos pages. Si vous n'êtes pas à l'aise avec ce fichier, laissez celui-là de côté : il se change proprement au moment du nettoyage. Regardez enfin la liste des comptes utilisateurs de WordPress : un compte administrateur que vous ne reconnaissez pas est un signe classique de compromission. Ne le supprimez pas à l'aveugle pour l'instant, notez-le, il fait partie des indices.

  3. Ne payez aucune rançon, et ne supprimez rien au hasard

    Si une demande de rançon s'affiche, ne payez pas. Payer ne garantit rien et vous désigne comme cible facile pour la suite. À l'inverse, ne vous lancez pas dans une suppression sauvage de fichiers pour « faire le ménage » : vous risquez de casser le site sans retirer le vrai problème, et d'effacer les traces qui permettent de comprendre par où l'attaque est passée. Avant toute chose, assurez-vous d'avoir une sauvegarde de l'état actuel, même infecté. Elle sert de point de comparaison et de filet de sécurité.

Ces trois gestes stoppent l'hémorragie. Ils ne réparent pas le site, mais ils empêchent la situation d'empirer pendant que vous décidez de la suite.

Le nettoyage

Comment se nettoie vraiment un site WordPress infecté

Désinfecter un site n'est pas « passer un antivirus et cliquer sur réparer ». Un plugin de sécurité détecte une partie des fichiers modifiés, mais il ne comprend ni comment l'attaquant est entré, ni ce qu'il a laissé derrière lui. Voici comment je procède concrètement.

  1. Diagnostic

    J'établis d'abord l'état des lieux : nature de l'infection, fichiers touchés, contenu injecté dans la base de données, présence de code malveillant caché. C'est cette étape qui permet ensuite de chiffrer l'intervention, parce qu'elle mesure l'ampleur réelle du problème.

  2. Identification de la porte d'entrée

    Un thème piraté, une extension obsolète, un mot de passe faible, une faille non corrigée : je cherche par où l'attaque est passée. Sans cette étape, on nettoie la conséquence en laissant la cause, et le site se refait pirater dans la foulée.

  3. Nettoyage des fichiers et de la base

    Je retire le code malveillant, les fichiers injectés et les fausses images qui cachent du script, aussi bien dans les fichiers WordPress que dans la base de données, où le malware aime se dissimuler dans les articles, les options ou les comptes utilisateurs.

  4. Suppression des portes dérobées

    Un piratage laisse presque toujours une backdoor, un accès caché qui permet de revenir même après le nettoyage. C'est le point le plus délicat, et le plus souvent oublié par un nettoyage rapide. Je les traque et je les supprime.

  5. Remise en ligne et vérification

    Je remets le site en service, je contrôle qu'il fonctionne et qu'il ne redirige plus, puis je m'occupe de la liste noire : je dépose auprès de Google une demande de réexamen documentée, avec le détail de ce qui a été nettoyé. La levée de l'avertissement rouge appartient ensuite à Google et prend en général quelques jours. Personne ne peut en fixer la date à sa place. Mon travail est de déposer un dossier qui ne laisse aucun motif de refus.

  6. Durcissement

    Enfin, je corrige la faille d'origine et je renforce le site pour que l'incident ne se reproduise pas : mises à jour, droits d'accès, protection des points sensibles. Un site nettoyé mais laissé aussi vulnérable qu'avant reste une cible.

Le bon réflexe

Pourquoi le faire faire plutôt que bricoler

C'est l'argument que je veux vraiment que vous reteniez. Le danger d'un nettoyage fait à moitié n'est pas de rater un bout de code : c'est de laisser une porte dérobée. Vous croyez le site sain, vous le remettez en ligne, et quelques jours plus tard il est de nouveau infecté, parfois pire qu'avant. Beaucoup de gens qui m'appellent en ont déjà fait l'expérience : ils ont nettoyé eux-mêmes, le site a rechuté, et ils ont perdu une semaine en plus du problème de départ.

Un nettoyage sérieux ne consiste pas à retirer ce qui se voit. Il consiste à comprendre l'attaque, à couper toutes les entrées, puis à vérifier que rien ne subsiste. C'est un travail méthodique, et c'est exactement ce qui fait la différence entre un site débarrassé du problème et un site qui rechute.

Le tarif

Combien coûte un nettoyage

Le coût d'un nettoyage dépend de l'ampleur de l'infection : un site touché en surface ne demande pas le même travail qu'un site dont la base de données est massivement compromise ou qui héberge des dizaines de fichiers injectés. Personne ne peut chiffrer cela sérieusement sans avoir ouvert les fichiers et la base. C'est le rôle du diagnostic complet : 80 €, plusieurs heures d'examen, qui mesurent l'étendue réelle, identifient la porte d'entrée et débouchent sur un montant ferme pour le nettoyage. Si vous me confiez ce nettoyage, ces 80 € en sont déduits : vous ne payez jamais deux fois. Et si vous voulez d'abord une idée du budget, le constat gratuit vous donne une fourchette avant tout engagement.

Après l'incident

Éviter que ça recommence

Une fois le site nettoyé, la vraie question devient : comment éviter que ça recommence. Un incident empêché coûte toujours moins cher qu'un incident subi.

C'est pourquoi je propose de sécuriser et sauvegarder votre site durablement,

et pourquoi un contrat de maintenance prévient ce genre d'incident en gardant votre WordPress à jour et surveillé, mois après mois.

Questions fréquentes

Questions fréquentes

Comment savoir si mon site WordPress est piraté ?

Plusieurs signes doivent alerter : le site redirige vers des pages douteuses, Google affiche un écran rouge à la place de votre accueil, des clients reçoivent des spams envoyés en votre nom, ou votre trafic fait des pics inexpliqués venus de l'étranger. L'apparition d'un compte administrateur que vous ne reconnaissez pas, ou une alerte de votre plugin de sécurité, sont d'autres indices classiques.

Que faire en premier si mon site est piraté ?

Trois gestes, dans l'ordre : mettez le site hors ligne ou en maintenance pour couper l'exposition, changez vos mots de passe (admin WordPress, hébergement, FTP ; celui de la base de données oblige à corriger wp-config.php en même temps, laissez-le de côté si vous n'êtes pas à l'aise), et ne payez aucune rançon ni ne supprimez de fichiers au hasard. Avant tout, sauvegardez l'état actuel, même infecté : il sert de point de comparaison pour le nettoyage.

Faut-il payer une rançon pour récupérer mon site ?

Non. Payer ne garantit rien et vous désigne comme cible facile pour la suite. Un site WordPress piraté se récupère presque toujours par un nettoyage méthodique : diagnostic, identification de la porte d'entrée, suppression du code malveillant et des portes dérobées, remise en ligne. La rançon ne fait pas partie de la solution.

Comment éviter que mon site se refasse pirater ?

En traitant la cause, pas seulement le symptôme. Un nettoyage sérieux identifie la porte d'entrée, supprime les portes dérobées et corrige la faille d'origine, puis durcit le site (mises à jour, droits d'accès, points sensibles protégés). Ensuite, la sécurité et les sauvegardes doivent être tenues dans la durée : c'est le rôle d'un suivi régulier.

Combien de temps prend le nettoyage d'un site infecté ?

Cela dépend de l'ampleur de l'infection : un site touché en surface se traite bien plus vite qu'un site dont la base de données est massivement compromise ou qui héberge des dizaines de fichiers injectés. Le diagnostic complet (80 €, déduits du nettoyage) mesure l'étendue du problème et permet d'annoncer un délai et un montant fermes avant de commencer, sans mauvaise surprise.

Intervention

Reprenons la main sur votre site

Si votre site est piraté en ce moment, ne restez pas seul face à l'écran. Commencez par le constat gratuit : sans accès à votre site, je vous confirme ce qui se passe et comment cela se voit publiquement, je vérifie si Google vous a mis sur liste noire, et je vous donne une fourchette de prix. Si vous décidez d'aller plus loin, je prends le problème en charge de bout en bout : diagnostic, nettoyage, remise en ligne et sécurisation, avec un interlocuteur unique qui vous tient au courant à chaque étape.

constat gratuit, sans accès, réponse le jour même