Vous venez de le découvrir. Votre site affiche un contenu bizarre. Ou votre hébergeur vous a coupé l'accès. Ou un client vous a appelé en vous disant qu'il a été redirigé vers un site douteux en essayant de vous contacter. Vous êtes dans la pire situation possible pour un propriétaire de site : vous avez été piraté, et vous ne savez pas par où commencer.
La première chose à savoir : ne touchez rien à l'aveugle. Chaque action précipitée peut effacer des traces utiles, aggraver les dégâts ou empêcher une restauration propre. Ce guide vous donne les étapes dans le bon ordre, pour les 24 premières heures.
TL;DR – Ce qu'il faut retenir en 30 secondes
Ne paniquez pas et n'agissez pas dans le désordre. La priorité absolue : mettre le site en maintenance, changer tous vos mots de passe, et identifier si vous avez une sauvegarde récente et exploitable. Si ce n'est pas le cas ou si vous ne savez pas faire, c'est le moment de contacter un expert. Chaque heure qui passe aggrave les dégâts SEO et de réputation.
Table des matières
- 1 · Confirmer que votre site est bien compromis
- 2 · Couper l'accès immédiatement
- 3 · Changer tous vos mots de passe sans exception
- 4 · Évaluer si vous avez une sauvegarde utilisable
- 5 · Identifier le type de piratage
- 6 · Nettoyer ou restaurer : les deux options
- 7 · Renforcer avant de remettre en ligne
- 8 · Réparer le SEO et la réputation
- 9 · Faire intervenir un expert
- FAQ
1 · Confirmer que votre site est bien compromis
Avant tout, vérifiez que vous êtes bien face à un piratage et pas à un bug technique. Les signes qui ne trompent pas :
Votre site redirige les visiteurs vers un autre site, souvent de la publicité douteuse, des pharmacies en ligne ou des pages en langue étrangère. Ce type de piratage est souvent invisible si vous êtes connecté en administrateur : le script malveillant ne redirige que les visiteurs non connectés.
Google Search Console vous a envoyé une alerte « contenu malveillant » ou « site trompeur ». Si vous ne consultez pas la console régulièrement, tapez site:votredomaine.fr dans Google ; s'il affiche des pages que vous n'avez pas créées, vous êtes compromis.
Votre hébergeur a suspendu votre compte. C'est souvent le premier signe d'un piratage massif : l'hébergeur détecte un envoi anormal d'emails ou une consommation de ressources suspecte.
Votre back-office affiche des utilisateurs administrateurs que vous n'avez pas créés, des articles publiés à votre insu, ou des fichiers modifiés récemment sans raison apparente.
2 · Couper l'accès immédiatement
Une fois le piratage confirmé, la priorité est d'empêcher les dégâts de s'étendre pendant que vous intervenez.
Passez votre site en mode maintenance. Si vous pouvez encore accéder à votre back-office WordPress, activez un plugin de maintenance pour afficher une page neutre à vos visiteurs plutôt que du contenu malveillant. Si vous ne pouvez pas accéder au back-office, contactez votre hébergeur pour qu'il suspende temporairement l'affichage du site.
Ne supprimez rien pour l'instant. L'instinct est de vouloir effacer les fichiers suspects immédiatement. C'est une erreur. Ces fichiers sont des preuves qui permettent d'identifier comment les pirates sont entrés. Si vous les supprimez sans avoir analysé la situation, vous risquez de ne pas fermer la bonne porte et d'être repiraté dans les jours suivants.
Faites une capture de l'état actuel. Un screenshot de ce que votre site affiche, une note de l'heure et de la date de découverte. Ces informations peuvent être utiles si vous devez contacter votre hébergeur ou un expert.
3 · Changer tous vos mots de passe sans exception
Cette étape est non négociable et doit être faite avant toute tentative de nettoyage.
Le mot de passe administrateur WordPress. Tous les comptes administrateurs, pas seulement le vôtre. Si des comptes inconnus ont été créés, supprimez-les après avoir changé vos propres accès.
Le mot de passe de base de données. Accessible depuis votre panneau d'hébergement (cPanel, Plesk ou interface propriétaire). Mettez à jour le fichier wp-config.php en conséquence (ou demandez à votre hébergeur de le faire).
Les accès FTP. Si un pirate a eu accès à vos fichiers via FTP, changer les mots de passe WordPress ne sert à rien s'il peut encore se connecter au serveur.
L'accès à votre hébergeur. L'email et le mot de passe du compte chez votre hébergeur : c'est la clé maîtresse de tout le reste.
L'adresse email associée à WordPress. Si le pirate contrôle votre adresse email, il peut demander une réinitialisation de mot de passe WordPress et reprendre accès à tout.
4 · Évaluer si vous avez une sauvegarde utilisable
4 · Évaluer si vous avez une sauvegarde utilisable
C'est ici que la situation se divise en deux scénarios très différents.
Vous avez une sauvegarde récente et externalisée. C'est la meilleure situation possible. Une sauvegarde propre d'avant le piratage vous permet de restaurer votre site à son état sain, puis de renforcer la sécurité pour éviter que ça ne se reproduise. La restauration ne prend pas plus de 30 minutes dans la plupart des cas.
Votre sauvegarde est absente, ancienne ou stockée sur le même serveur que votre site. C'est le scénario le plus courant, et le plus difficile. Une sauvegarde stockée sur l'hébergement compromis peut elle-même être infectée. Une sauvegarde de 6 mois signifie 6 mois de contenu et de travail perdus. Dans ce cas, le nettoyage manuel est la seule option et c'est un travail long et technique.
Si vous ne savez pas si vous avez une sauvegarde ou où elle est stockée, vérifiez d'abord dans votre hébergement (section « Sauvegardes » ou « Backup ») et dans les plugins installés (UpdraftPlus, BackWPup, WP Umbrella...).
5 · Identifier le type de piratage
Comprendre ce qui s'est passé conditionne la façon dont vous allez intervenir. Les piratages WordPress se répartissent en quelques catégories distinctes.
L'injection de fichiers malveillants. Des fichiers PHP ont été déposés dans votre installation. Ils servent généralement à envoyer du spam, à héberger du contenu illégal ou à contrôler votre serveur à distance. C'est le type de piratage le plus fréquent et le plus difficile à nettoyer manuellement, parce que les fichiers peuvent être disséminés dans des dizaines de dossiers.
La modification de fichiers existants. Du code malveillant a été injecté dans des fichiers légitimes : functions.php, wp-config.php, .htaccess, ou des plugins. Ce type de piratage est souvent invisible à l'œil nu.
La création de comptes administrateurs fantômes. Les pirates créent des accès qui leur permettent de revenir même après un nettoyage partiel. Si vous ne supprimez pas tous ces comptes, la porte reste ouverte.
Le blacklistage Google. Si Google a détecté le piratage avant vous, votre site affiche un avertissement rouge pour vos visiteurs (« Ce site risque d'endommager votre ordinateur »). Cela nécessite une demande de révision dans Google Search Console une fois le site nettoyé.
6 · Nettoyer ou restaurer : les deux options
Option 1 — Restaurer depuis une sauvegarde saine. Si vous avez une sauvegarde propre d'avant le piratage, c'est l'option la plus rapide et la plus fiable. Attention : une restauration ne ferme pas la faille qui a permis le piratage. Après restauration, il faut identifier et corriger la vulnérabilité, sinon vous serez repiraté.
Option 2 — Nettoyer manuellement. Si vous n'avez pas de sauvegarde utilisable, le nettoyage se fait en plusieurs étapes : scanner le site avec un outil comme Wordfence ou MalCare pour identifier les fichiers infectés, supprimer ou réparer chaque fichier compromis, vérifier la base de données à la recherche de contenu injecté, et auditer les accès utilisateurs.
Ce travail demande une connaissance technique de WordPress, de PHP et de la structure des fichiers serveur. Si vous n'avez pas ces compétences, tenter un nettoyage partiel peut donner une fausse impression de sécurité alors que des fichiers malveillants subsistent.
7 · Renforcer avant de remettre en ligne
Remettre votre site en ligne sans renforcer la sécurité, c'est ouvrir la même porte que les pirates ont utilisée la première fois.
Mettez à jour absolument tout. WordPress lui-même, chaque plugin, le thème. La faille exploitée vient dans 90 % des cas d'une extension non mise à jour. Si vous voulez comprendre comment les pirates sont entrés, j'ai détaillé les vraies causes d'un piratage WordPress dans un article dédié.
Supprimez les plugins inactifs. Un plugin désactivé mais présent reste vulnérable. S'il ne sert à rien, supprimez-le.
Vérifiez la version PHP. Une version obsolète (7.x ou début de 8.x sans support actif) est une invitation permanente aux robots malveillants. Vérifiez dans votre panneau hébergeur et mettez à jour si nécessaire.
Activez un pare-feu applicatif. SecuPress ou Wordfence configurés correctement filtrent les requêtes suspectes avant même qu'elles atteignent votre site.
Limitez les tentatives de connexion. Si ce n'est pas déjà fait, bloquez les tentatives de connexion répétées et déplacez l'URL de connexion WordPress de sa valeur par défaut (/wp-admin).
8 · Réparer le SEO et la réputation
Un piratage peut avoir des conséquences durables sur votre référencement si vous ne les traitez pas activement.
Soumettez une demande de révision dans Google Search Console. Si Google vous a mis sur liste noire, votre site affiche un avertissement pour tous vos visiteurs. Une fois le site nettoyé, soumettez une demande de révision dans la Search Console (section Sécurité et actions manuelles). La révision prend généralement 24 à 72h.
Demandez à votre hébergeur de vérifier si votre domaine est blacklisté. Plusieurs bases de données de domaines blacklistés existent (Spamhaus, Google Safe Browsing...). Un outil comme MXToolbox permet de vérifier votre statut.
Surveillez vos positions dans les semaines suivantes. Un piratage qui a duré plusieurs jours peut laisser une trace dans l'index Google. Consultez la Search Console régulièrement pour vous assurer que les pages malveillantes ont bien disparu de l'index.
9 · Faire intervenir un expert
Si à n'importe quelle étape de ce guide vous vous trouvez bloqué, si vous n'avez pas les accès nécessaires, si le nettoyage vous semble au-dessus de vos compétences ou si vous ne voulez tout simplement pas prendre le risque d'aggraver la situation : c'est le moment d'appeler quelqu'un.
Un expert peut identifier la faille exacte, nettoyer l'intégralité des fichiers compromis, restaurer votre site et le renforcer de façon à éviter une récidive. Il peut aussi gérer les démarches auprès de votre hébergeur et de Google Search Console à votre place.
Mon intervention d'urgence couvre l'ensemble de cette séquence pour un tarif fixe de 199 €, avec une remise en ligne garantie sous 24h ouvrées. Si je ne résous pas le problème, je vous rembourse.
FAQ
Mon hébergeur m'a suspendu, que faire en premier ?
Contactez le support de votre hébergeur pour comprendre la raison exacte de la suspension et obtenir accès à vos fichiers via FTP ou un gestionnaire de fichiers. La plupart des hébergeurs maintiennent l'accès technique même en cas de suspension du site public.
Puis-je nettoyer mon site moi-même ?
Oui, si vous avez des compétences techniques sur WordPress, PHP et la structure des fichiers serveur. Un scan avec Wordfence ou MalCare peut identifier les fichiers infectés. Mais un nettoyage partiel est souvent pire qu'une absence de nettoyage : il donne une fausse impression de sécurité tout en laissant des accès actifs aux pirates.
Combien de temps faut-il pour nettoyer un site piraté ?
Entre 2h et une journée selon l'étendue du piratage et la disponibilité d'une sauvegarde saine. Un site avec une sauvegarde récente externalisée peut être remis en ligne en moins d'une heure. Un site sans sauvegarde avec une infection étendue peut nécessiter plusieurs heures de travail.
Google va-t-il me pénaliser durablement ?
Si le piratage est détecté et traité rapidement, les conséquences SEO sont généralement limitées et réversibles. La priorité est de soumettre une demande de révision dans Google Search Console dès que le site est propre. Les pénalités les plus durables arrivent quand le piratage n'est pas traité pendant plusieurs semaines.
Mes clients ont-ils des données compromises ?
Si votre site ne stocke pas de données personnelles (formulaires de contact simples, pas de compte client, pas de paiement en ligne), le risque pour vos clients est limité. Si vous exploitez un WooCommerce ou un formulaire avec des données sensibles, une analyse de la base de données est indispensable pour évaluer ce qui a pu être exposé.
Comment éviter que ça se reproduise ?
Mises à jour régulières, suppression des plugins inactifs, mots de passe solides et authentification double facteur sont les quatre gestes qui préviennent 90 % des piratages. Un forfait de maintenance délègue tout cela à un expert et inclut une garantie piratage : si une faille survient sous surveillance, l'intervention est couverte sans surcoût.
Le piratage WordPress a une caractéristique cruelle : il arrive toujours au pire moment. Un dimanche soir, la veille d'un rendez-vous commercial, ou quand vous êtes en déplacement. Et la panique qui suit pousse souvent à des actions précipitées qui aggravent la situation.
Ce que j'ai appris en intervenant sur plusieurs sites compromis, c'est que le calme et la méthode font toute la différence. Un piratage proprement traité en quelques heures laisse peu de traces. Le même piratage mal géré peut coûter des semaines de référencement perdu et une réputation durablement entamée.
La vraie question, après la remise en ligne, c'est de comprendre comment ça s'est passé. Pas pour vous culpabiliser, mais parce que sans réponse à cette question, la porte reste entrouverte.
Votre site est piraté et vous ne savez pas par où commencer ?
Je prends en charge l'intégralité de l'intervention : diagnostic, nettoyage, remise en ligne et renforcement. Tarif fixe, sans surprise, remboursé si je ne résous pas le problème.
