wordpress piraté
Réagir vite : contenir l’incident avant de nettoyer
Quand vous soupçonnez une compromission, l’objectif n’est pas d’abord de supprimer des fichiers au hasard, mais de limiter les dégâts : empêcher l’attaquant de rester connecté, réduire la propagation (spam, redirections, malware) et préserver des preuves minimales pour comprendre la faille. Commencez par basculer le site en mode maintenance (ou, à défaut, restreindre l’accès via un mot de passe serveur/HTTP Auth) afin d’éviter que les visiteurs ne soient exposés à des contenus malveillants et que Google ne détecte des pages infectées.
Ensuite, changez immédiatement les mots de passe critiques : comptes administrateurs WordPress, FTP/SFTP, base de données, hébergeur, e-mails liés au domaine. Faites-le depuis un poste sain (pas l’ordinateur potentiellement infecté) et privilégiez des mots de passe uniques et longs. Si vous utilisez des clés d’API (services d’e-mailing, passerelle de paiement, CDN), régénérez-les également : un site compromis peut exfiltrer des jetons et s’en servir plus tard, même après un nettoyage.
Avant toute modification lourde, réalisez une sauvegarde complète à froid : fichiers + base de données, telle qu’elle est au moment de l’incident. Elle peut être utile pour analyser l’attaque, retrouver le point d’entrée, ou prouver ce qui a été modifié. Conservez cette archive hors du serveur (stockage local chiffré ou espace cloud sécurisé).
Diagnostiquer : repérer les symptômes et délimiter l’attaque
Un site compromis ne se manifeste pas toujours par une page d’accueil defacée. Les symptômes courants sont plus discrets : redirections vers des sites douteux, pop-ups, pages de spam injectées, créations d’utilisateurs administrateurs inconnus, augmentation brutale des ressources serveur, envoi d’e-mails en masse, ou encore avertissements dans Google Search Console. Dans le back-office, contrôlez la liste des comptes (administrateurs en particulier), les plugins/thèmes installés récemment, et les modifications de réglages (URL du site, e-mail admin, clés de paiement).
Sur le serveur, inspectez les dates de modification des fichiers, la présence de fichiers PHP anormaux dans uploads (où il ne devrait pas y avoir de code exécutable), et les tâches planifiées suspectes. Sur WordPress, surveillez les événements récurrents (WP-Cron) qui relancent l’infection après suppression : certains malwares se réinstallent via une tâche planifiée, une porte dérobée, ou un plugin nulled .
Si vous cherchez une check-list détaillée orientée réparation, vous pouvez comparer vos observations avec ce guide externe : réparer un site hacké : étapes et bonnes pratiques. L’idée est de confirmer l’étendue : uniquement WordPress, ou bien l’hébergement entier (autres sites sur le même compte), voire la messagerie du domaine.
Mettre en sécurité l’accès : comptes, sessions et permissions
Avant de supprimer quoi que ce soit, verrouillez l’accès. Déconnectez toutes les sessions actives en réinitialisant les mots de passe des comptes admin et en changeant les clés de sécurité WordPress (AUTH_KEY, SECURE_AUTH_KEY, etc.) dans wp-config.php. Cela invalide les cookies et force la reconnexion.
Ensuite, appliquez le principe du moindre privilège : supprimez les comptes inconnus, rétrogradez les comptes admin inutiles, et limitez les accès FTP/SFTP aux seules personnes qui en ont besoin. Sur le plan des permissions, évitez les droits trop permissifs (par ex. 777). En général, 644 pour les fichiers et 755 pour les dossiers suffisent ; wp-config.php mérite souvent un traitement plus strict selon l’hébergement.
Découvrez nos offres pour la maintenance de sites WordPress
Pour réduire le risque d’attaque par force brute dès la phase de reprise, appliquez une limitation des connexions et des tentatives. Un tutoriel interne peut vous guider pas à pas sans dépendre d’un plugin miracle : mettre en place une limitation des tentatives de connexion.
Nettoyage des fichiers : repartir d’un cœur WordPress sain
La méthode la plus fiable consiste à repartir des sources officielles plutôt que de tenter d’identifier chaque fichier malveillant à la main. Téléchargez une copie propre de WordPress (même version ou dernière version stable), puis remplacez intégralement les dossiers wp-admin et wp-includes. Ne conservez que wp-content (à auditer) et votre wp-config.php (à vérifier). Cela élimine une grande partie des injections dans le cœur.
Dans wp-content, la prudence est maximale : c’est là que résident thèmes, plugins et uploads, et c’est souvent là que les portes dérobées se cachent. Supprimez tous les plugins que vous n’utilisez pas. Pour ceux qui restent, réinstallez-les depuis une source officielle (répertoire WordPress ou éditeur reconnu) en écrasant les fichiers existants. Idem pour le thème actif : si vous utilisez un thème premium, retéléchargez l’archive originale depuis votre compte éditeur.
Inspectez particulièrement :
– Le dossier uploads : présence de .php, .phtml, .phar, ou de fichiers avec des noms aléatoires.
– Les fichiers récemment modifiés : functions.php, header.php, wp-config.php, .htaccess (ou la config Nginx).
– Les chaînes obfusquées : base64_decode, eval, gzinflate, str_rot13, preg_replace avec /e, longues lignes illisibles.
Si vous voulez croiser votre procédure avec une autre approche de désinfection (axée hébergement + WordPress), ce guide externe peut servir de point de comparaison : nettoyer et sécuriser un site infecté.
Nettoyage de la base de données : supprimer le spam, les injections et les portes dérobées
Un nettoyage incomplet échoue souvent à cause de la base de données. Les pirates y injectent des liens dans les contenus, des scripts dans les widgets, ou des charges utiles dans les options. Commencez par vérifier la table des utilisateurs : comptes inconnus, e-mails bizarres, rôles admin suspects. Ensuite, inspectez :
– wp_options : valeurs contenant du JavaScript, des iframes, des liens de spam, ou des données sérialisées anormales.
– Widgets (options theme_mods / widget_*) : certains malwares s’y cachent.
– Articles/pages : injections de liens cachés (display:none) ou redirections conditionnelles.
Évitez les remplacements globaux sans sauvegarde : une mauvaise requête peut casser la sérialisation. Utilisez un outil compatible WordPress (WP-CLI search-replace avec précaution) ou exportez pour analyser. Si votre site a des erreurs de connexion pendant l’intervention (ce qui arrive quand on change les identifiants DB), référez-vous à ce guide interne pour corriger proprement la configuration : corriger l’erreur de connexion à la base de données.
Vérifier les points d’entrée : plugin vulnérable, thème compromis, identifiants fuités
Nettoyer sans corriger la faille d’origine revient à éponger sans fermer le robinet. Après une compromission, cherchez le point d’entrée le plus probable :
– Plugin obsolète ou abandonné (vulnérabilité connue, absence de mises à jour).
– Thème téléchargé depuis une source non fiable, ou nulled (souvent truffé de backdoors).
– Identifiants FTP/SFTP compromis (réutilisation de mot de passe, poste infecté).
– Accès admin WordPress exposé (mot de passe faible, absence de 2FA, brute force).
– Mauvaise configuration serveur (permissions trop larges, exécution PHP dans uploads, etc.).
La question du thème est critique : certains thèmes premium piratés contiennent des injections invisibles. Pour faire un choix durable (et comprendre les risques), vous pouvez consulter ce comparatif interne : choisir entre thème sur-mesure et thème premium.
Durcir WordPress : mises à jour, 2FA, règles serveur, et hygiène de sécurité
Une fois le site stabilisé et propre, durcissez. Mettez à jour WordPress, les thèmes et les plugins, puis supprimez définitivement ce qui n’est pas indispensable. Activez l’authentification à deux facteurs (2FA) pour tous les comptes admin et éditeurs. Limitez l’accès à /wp-admin (whitelist IP si possible, ou au minimum protection par HTTP Auth).
Côté serveur, renforcez les règles :
– Désactiver l’exécution PHP dans wp-content/uploads (règle .htaccess ou équivalent Nginx).
– Forcer HTTPS, HSTS si pertinent.
– Ajouter des en-têtes de sécurité (Content-Security-Policy selon le contexte, X-Frame-Options, etc.).
– Mettre en place un WAF (pare-feu applicatif) si votre trafic le justifie.
Pensez aussi à couper les surfaces inutiles : XML-RPC si non utilisé, comptes inactifs, endpoints exposés. Enfin, activez la journalisation (logs) et surveillez : l’absence de visibilité est un avantage pour l’attaquant.
Contrôler la réinfection : scans, logs, et monitoring
Après nettoyage, vérifiez que le site ne se réinfecte pas. Les signes de réinfection incluent : retour des fichiers supprimés, apparition de nouveaux admins, tâches cron suspectes, ou redirections qui réapparaissent. Faites des scans côté serveur et côté application, mais gardez en tête qu’un scan ne remplace pas une revue manuelle : certains malwares sont conçus pour échapper aux signatures.
Découvrez nos offres pour la maintenance de sites WordPress
Analysez les logs d’accès (HTTP) et les logs d’erreur : recherchez des requêtes vers des fichiers récemment créés, des appels POST anormaux, ou des scans d’URL typiques d’exploit. Identifiez l’IP, le user-agent, la date/heure, et faites le lien avec les fichiers modifiés. Cette phase vous aide à comprendre comment et à fermer la porte.
Pour une autre approche structurée (incluant vérifications et durcissement), ce guide externe est utile : guide de nettoyage et sécurisation après intrusion.
Restaurer la confiance : Search Console, blacklist, et communication
Si Google ou un antivirus navigateur a signalé votre site, vous devez traiter l’aspect réputation. Une fois le nettoyage terminé, demandez un réexamen dans Google Search Console si une action de sécurité a été appliquée. Vérifiez aussi que les pages de spam ont été supprimées et qu’elles renvoient des codes HTTP appropriés (410 si suppression définitive, 301 si remplacement légitime). Contrôlez le sitemap, les URL indexées, et l’absence de redirections cachées.
Si votre site collecte des données (formulaires, comptes, paiements), évaluez l’impact RGPD : selon le cas, une notification peut être nécessaire. Informez vos utilisateurs de manière factuelle : ce qui s’est passé, ce qui a été fait, et ce qu’ils doivent faire (changement de mot de passe, vigilance sur les e-mails, etc.).
Dans certains cas, l’infection inclut un virus côté navigateur ou des scripts qui s’injectent conditionnellement. Pour comprendre les scénarios fréquents de désinfection et de remise en ligne, vous pouvez lire ce retour d’expérience externe : nettoyage et désinfection après infection.
Prévenir plutôt que subir : maintenance, tests et discipline de mise en production
La majorité des compromissions WordPress exploitent des failles connues sur des composants non maintenus. La prévention repose sur une routine : mises à jour maîtrisées, sauvegardes vérifiées, surveillance, et contrôle qualité avant déploiement. Le point clé est d’éviter les mises à jour à l’aveugle en production : testez d’abord sur un environnement de staging, validez les compatibilités, puis déployez.
Pour fiabiliser votre processus, ce guide interne explique comment éviter qu’un nouveau plugin devienne un risque : tester un plugin avant installation en production.
Enfin, n’oubliez pas l’impact SEO : un site instable, infecté, lent ou redirigé perd rapidement en visibilité, parfois durablement. Cette ressource interne détaille les conséquences concrètes : les effets d’un manque de maintenance sur le référencement.
Quand faire appel à un professionnel : gagner du temps et éviter l’oubli d’une backdoor
Certaines infections sont simples, d’autres non : malware polymorphe, accès serveur compromis, réinfection quotidienne, ou fuite de données. Si vous manquez de temps, si le site est critique (e-commerce, génération de leads, réservation), ou si vous n’êtes pas sûr de la cause racine, une intervention spécialisée peut éviter des jours de tâtonnements. Un prestataire compétent doit proposer : identification du point d’entrée, suppression des backdoors, durcissement, et recommandations concrètes pour éviter la récidive.
À titre d’exemple, voici une page externe décrivant une intervention rapide de désinfection : intervention de nettoyage en urgence. Quel que soit le prestataire, exigez une liste claire des actions réalisées et des mesures préventives mises en place.
Plan d’action récapitulatif (check-list opérationnelle)
1) Mettre le site en maintenance et sauvegarder l’état actuel (fichiers + DB) hors serveur.
2) Changer tous les mots de passe (WP, FTP/SFTP, DB, hébergeur, e-mails) et régénérer les clés/jetons.
3) Remplacer le cœur WordPress par une version propre, réinstaller plugins/thèmes depuis des sources fiables.
4) Auditer wp-content (uploads, mu-plugins, cache), supprimer tout fichier exécutable suspect.
5) Nettoyer la base de données (users, options, contenus), supprimer injections et comptes inconnus.
6) Identifier et corriger la faille d’origine (vulnérabilité, identifiants, config serveur).
7) Durcir : 2FA, limitation des tentatives, restrictions d’accès, règles anti-exécution dans uploads, WAF si utile.
8) Contrôler la réinfection via scans + logs, puis traiter réputation (Search Console, indexation).
9) Mettre en place une routine de maintenance : mises à jour testées, sauvegardes vérifiées, monitoring.
Mettre en place une maintenance continue pour éviter la récidive
Après un incident, la meilleure sécurité est la régularité : mises à jour planifiées, surveillance, sauvegardes testées, et vérifications d’intégrité. Si vous voulez externaliser cette charge et stabiliser votre site sur le long terme, vous pouvez consulter nos offres de maintenance.
