Mon site WordPress est piraté : que faire ?

Comment savoir si votre WordPress est piraté ?

Les signes les plus courants d'un site WordPress compromis :

• Google affiche « Ce site est dangereux » ou « Site trompeur »
• Votre hébergeur a suspendu votre compte
• Des visiteurs sont redirigés vers des sites de spam ou de pharmacie
• Du contenu inconnu apparaît sur votre site (pub, liens, textes)
• De nouveaux comptes administrateurs ont été créés sans votre intervention
• Votre site est extrêmement lent ou affiche des erreurs inhabituelles

Étape 1 — Ne paniquez pas et documentez

Prenez des captures d'écran de tout ce que vous voyez d'anormal. Ces informations seront utiles pour identifier la faille. Notez l'heure à laquelle vous avez découvert le problème.

Étape 2 — Prévenez votre hébergeur

Contactez immédiatement le support de votre hébergeur. Il peut bloquer le site pour éviter la propagation, vous donner accès aux logs serveur pour identifier l'intrusion, et parfois restaurer une sauvegarde récente.

Étape 3 — Changez TOUS vos mots de passe

En urgence, changez :

• Le mot de passe administrateur WordPress (via phpMyAdmin si vous n'avez plus accès au back-office)
• Le mot de passe FTP/SFTP
• Le mot de passe de la base de données MySQL
• Le mot de passe de votre espace client hébergeur
• L'email associé au compte administrateur WordPress

Étape 4 — Faites une sauvegarde du site compromis

Même piraté, sauvegardez votre site. Cela permet de récupérer vos contenus légitimes (articles, pages, médias) et d'analyser les fichiers malveillants ultérieurement.

Étape 5 — Scanner votre site

Utilisez Wordfence pour un scan complet de votre WordPress. Si vous n'y avez plus accès, des outils en ligne comme Sucuri SiteCheck (sitecheck.sucuri.net) peuvent scanner votre site depuis l'extérieur.

Étape 6 — Nettoyer les fichiers infectés

C'est l'étape la plus technique. Il faut :

• Réinstaller WordPress core depuis wordpress.org (en écrasant les fichiers existants)
• Réinstaller chaque plugin et thème depuis les sources officielles
• Nettoyer manuellement la base de données des injections SQL
• Supprimer tous les backdoors (fichiers PHP cachés que les hackers utilisent pour maintenir l'accès)

Attention : si vous n'êtes pas à l'aise avec FTP et phpMyAdmin, ne tentez pas de nettoyer vous-même. Une mauvaise manipulation peut aggraver la situation ou vous faire perdre des données.

Étape 7 — Faire le hardening WordPress

Une fois nettoyé, sécurisez votre WordPress pour éviter toute récidive. Voici les actions prioritaires :

• Activez Wordfence avec le pare-feu
• Changez les clés secrètes WordPress (wp-config.php)
• Mettez à jour TOUS les plugins et thèmes
• Supprimez les plugins et thèmes inutilisés
• Activez l'authentification à deux facteurs
• Changez l'URL de connexion wp-admin

Étape 8 — Demandez la révision Google

Si Google a mis votre site sur liste noire, une fois le nettoyage effectué, demandez une révision dans Google Search Console → Sécurité et actions manuelles → Demander un examen. Google met généralement 24 à 72 h pour réexaminer le site.