Votre site vous semble normal. Il s'affiche, vos pages répondent, votre back-office est accessible. Et pourtant quelque chose ne va pas. Un client vous a signalé quelque chose d'étrange. Ou vous avez reçu un email de votre hébergeur. Ou vous avez simplement une intuition.
Un piratage WordPress ne ressemble pas toujours à ce qu'on imagine. On pense instinctivement à une page blanche ou à une erreur 500 qui mettrait immédiatement la puce à l'oreille. Ces situations existent, mais elles sont loin d'être les plus fréquentes. Les pirates les plus efficaces ne cherchent pas à détruire votre site : ils veulent s'en servir discrètement, sans que vous le remarquiez. Pour envoyer du spam, héberger du contenu illégal, ou rediriger vos visiteurs vers d'autres sites. Vous êtes la dernière personne qu'ils veulent alerter.
C'est précisément pour ça que le piratage peut durer des semaines, parfois des mois, sans que le propriétaire du site s'en doute. Voici comment savoir, avec certitude, si votre site a été compromis.
TL;DR – Ce qu'il faut retenir en 30 secondes
Un site piraté ne s'affiche pas toujours avec un message d'alerte. Les signes les plus fréquents sont : des redirections vers des sites inconnus visibles uniquement pour les visiteurs non connectés, des pages ou des utilisateurs créés à votre insu, une alerte de Google Search Console, ou une suspension de votre hébergeur. Plusieurs de ces signes sont invisibles depuis votre propre navigateur si vous êtes connecté en administrateur.
Table des matières
- 1 · Pourquoi un site piraté peut sembler normal à son administrateur
- 2 · Les signes visibles depuis l'extérieur
- 3 · Les signes visibles dans votre back-office WordPress
- 4 · Les signes détectables via votre hébergeur
- 5 · Comment vérifier avec des outils en ligne
- 6 · Que faire si vous confirmez un piratage
- FAQ
1 · Pourquoi un site piraté peut sembler normal à son administrateur
Les scripts malveillants les plus répandus sont conçus pour se comporter différemment selon le profil du visiteur. Quand ils détectent que vous êtes connecté en tant qu'administrateur, ou que vous venez de votre propre adresse IP, ils se cachent. Votre site s'affiche normalement. Vos pages s'ouvrent. Rien de suspect.
Mais pour un visiteur externe, c'est une autre histoire. Il peut être redirigé vers un site de pharmacie en ligne, de jeux d'argent ou de contenu douteux. Il peut voir des publicités que vous n'avez pas mises. Il peut recevoir une alerte de sécurité de son navigateur.
C'est pourquoi les vérifications que je vous décris ci-dessous ne se font pas depuis votre navigateur habituel, connecté à votre WordPress. Elles se font depuis l'extérieur, en simulant le comportement d'un visiteur anonyme.
2 · Les signes visibles depuis l'extérieur
Testez votre site depuis un navigateur en navigation privée, non connecté à WordPress. C'est la vérification la plus simple et la plus révélatrice. Ouvrez une fenêtre de navigation privée (ou un navigateur différent), tapez votre URL et observez ce qui se passe. Si votre site redirige vers un autre site, affiche du contenu que vous n'avez pas créé, ou déclenche une alerte de sécurité dans le navigateur, c'est un signal clair.
Faites une recherche Google sur votre domaine. Tapez site:votredomaine.fr dans Google. Regardez les résultats. Si des pages apparaissent que vous n'avez pas créées, en anglais, en russe, ou sur des sujets sans rapport avec votre activité, des pages ont été injectées dans votre site. C'est l'un des signes les plus fiables d'un piratage.
Vérifiez l'alerte Safe Browsing de Google. Rendez-vous sur transparencyreport.google.com/safe-browsing/search et entrez votre URL. Si Google a détecté du contenu dangereux sur votre site, la réponse s'affichera ici. Vos visiteurs verront un avertissement rouge avant d'accéder à votre site si c'est le cas.
Demandez à quelqu'un d'autre de visiter votre site. Un ami, un collègue, n'importe qui qui n'a jamais visité votre site depuis son appareil. Un script malveillant peut cibler les nouveaux visiteurs et se cacher pour les visiteurs réguliers dont le cookie est mémorisé.
3 · Les signes visibles dans votre back-office WordPress
Même connecté, certains signes peuvent indiquer une compromission.
Des comptes utilisateurs inconnus. Allez dans Utilisateurs et vérifiez la liste. Si vous voyez des comptes administrateurs que vous n'avez pas créés, avec des noms génériques ou des adresses email inconnues, votre site a été compromis. Les pirates créent ces comptes pour maintenir leur accès même après un nettoyage partiel.
Des articles ou des pages publiés à votre insu. Vérifiez la liste de vos articles et pages. Des contenus en langue étrangère, avec des liens vers des sites inconnus, ou publiés à des heures où vous n'étiez pas connecté sont des signaux d'alerte.
Des plugins ou des thèmes installés que vous ne reconnaissez pas. Vérifiez la liste des plugins et des thèmes installés. Un plugin inconnu, souvent avec un nom générique, peut être un outil laissé par les pirates pour garder l'accès à votre site.
Des modifications récentes de fichiers sans raison apparente. Certains plugins de sécurité comme SecuPress signalent les fichiers modifiés récemment. Si des fichiers PHP du cœur de WordPress ont été modifiés sans qu'une mise à jour ait eu lieu, c'est suspect.
Des emails qui partent en spam. Si vos clients signalent ne plus recevoir vos emails, ou si votre domaine est utilisé pour envoyer du spam, votre hébergement a probablement été compromis. Vérifiez dans votre panneau hébergeur les logs d'envoi d'emails.
4 · Les signes détectables via votre hébergeur
Un email de suspension ou d'alerte de votre hébergeur. C'est souvent le premier signe qu'on découvre. Les hébergeurs surveillent l'activité de leurs serveurs et envoient des alertes quand un compte génère une activité suspecte : envoi massif d'emails, consommation anormale de ressources, fichiers malveillants détectés. Si votre hébergeur vous a suspendu ou vous a envoyé une alerte, ne l'ignorez pas.
Des logs serveur inhabituels. Si vous avez accès aux logs d'accès de votre serveur (souvent dans cPanel ou Plesk sous « Logs »), recherchez des requêtes vers des fichiers PHP dans des dossiers inhabituels, des accès massifs depuis des adresses IP étrangères, ou des requêtes vers des fichiers que vous ne reconnaissez pas.
Une consommation anormale de ressources. Un pic soudain de consommation CPU ou de bande passante sans raison apparente peut indiquer que votre serveur est utilisé pour des activités malveillantes à votre insu.
5 · Comment vérifier avec des outils en ligne
Plusieurs outils gratuits permettent d'analyser votre site depuis l'extérieur.
Sucuri SiteCheck (sitecheck.sucuri.net). Entrez votre URL et l'outil analyse votre site à la recherche de malwares connus, de codes suspects, de liens vers des domaines blacklistés et de statut sur les listes noires des principaux antivirus web. C'est le premier outil à utiliser quand vous avez un doute.
Google Search Console, section « Problèmes de sécurité ». Si vous avez vérifié votre site dans la Search Console, allez dans la section « Sécurité et actions manuelles » / « Problèmes de sécurité ». Google y liste les problèmes détectés sur votre site. Si la section est vide et verte, Google n'a pas détecté de problème. Si elle contient des alertes, elles seront détaillées avec les URLs concernées.
VirusTotal (virustotal.com). Entrez votre URL pour la soumettre à l'analyse de plusieurs dizaines d'antivirus et de services de réputation web simultanément. Un bon score ne garantit pas l'absence de piratage, mais un mauvais score est un signal clair.
MXToolbox (mxtoolbox.com/blacklists.aspx). Vérifiez si votre domaine ou votre adresse IP sont sur des listes noires de spam ou de contenu malveillant. Un domaine blacklisté affecte directement la délivrabilité de vos emails et peut pénaliser votre référencement.
6 · Que faire si vous confirmez un piratage
Si l'une des vérifications précédentes confirme que votre site a été compromis, l'essentiel est d'agir vite et dans le bon ordre, sans paniquer et sans toucher quoi que ce soit à l'aveugle.
La première priorité est de mettre le site en maintenance pour protéger vos visiteurs, puis de changer tous vos mots de passe avant de commencer le nettoyage. Chaque heure qui passe aggrave les dégâts : SEO, réputation, et risque pour vos visiteurs.
Si vous n'avez pas les compétences techniques pour identifier et supprimer les fichiers malveillants, ou si vous n'avez pas de sauvegarde récente sur laquelle vous appuyer, c'est le moment de faire appel à un expert. Mon service de dépannage d'urgence prend en charge ce type d'intervention avec une remise en ligne garantie sous 24h ouvrées.
FAQ
Mon site affiche une page blanche. Est-ce forcément un piratage ?
Non. Une page blanche est le plus souvent un conflit entre extensions ou une erreur PHP, pas forcément un piratage. Vérifiez d'abord avec les outils décrits dans cet article avant de conclure à un piratage.
Mon antivirus ne détecte rien. Est-ce que mon site est propre pour autant ?
Pas nécessairement. Les antivirus de bureau analysent les fichiers que vous téléchargez, pas le code qui s'exécute sur votre serveur. Sucuri SiteCheck et VirusTotal analysent votre site en ligne, ce qui est beaucoup plus pertinent pour détecter un piratage web.
Mon hébergeur dit que tout va bien. Pourquoi est-ce que je vois quand même des signes suspects ?
Votre hébergeur surveille l'infrastructure serveur, pas le contenu de votre site WordPress. Il peut confirmer que le serveur fonctionne normalement sans avoir analysé le code de votre site. Un site piraté peut parfaitement tourner sur un serveur techniquement sain.
Un plugin de sécurité installé suffit-il à détecter un piratage ?
Il aide, mais il ne suffit pas. Les plugins de sécurité comme SecuPress ou Wordfence détectent les signatures de malwares connus. Un script malveillant récent ou personnalisé peut passer à travers ces filtres. La vérification depuis l'extérieur avec Sucuri ou VirusTotal reste indispensable.
Depuis combien de temps mon site peut-il être piraté sans que je le sache ?
Potentiellement depuis des semaines ou des mois. C'est l'une des raisons pour lesquelles un forfait de maintenance inclut une surveillance continue : le monitoring détecte les comportements anormaux en temps réel, avant que vous ayez besoin de chercher vous-même.
Ce qui rend le piratage WordPress particulièrement vicieux, c'est qu'il est conçu pour ne pas se voir. Pas de page blanche, pas d'erreur, pas de signal évident. Juste un script qui tourne tranquillement en arrière-plan pendant que vous continuez à administrer votre site normalement.
Le temps qui s'écoule entre le moment où le piratage a lieu et le moment où on le détecte est souvent beaucoup plus long qu'on ne l'imagine. Et pendant ce temps, des visiteurs sont redirigés, du spam est envoyé depuis votre serveur, et votre référencement s'effrite silencieusement.
Vérifier l'état de son site depuis l'extérieur prend cinq minutes. Un tour sur Sucuri SiteCheck, un coup d'œil dans Google Search Console, une navigation privée sur sa propre URL. Cinq minutes qui peuvent éviter des semaines de travail.
Vous avez un doute sur l'état de votre site et vous voulez une vérification par un expert ?
J'interviens sous 24h ouvrées pour diagnostiquer, confirmer ou infirmer un piratage, et remettre le site en ordre si nécessaire.
