Comment nettoyer un site WordPress piraté : tutoriel 2026
Votre site WordPress affiche des publicités douteuses, redirige vers des pages suspectes ou Google vous a blacklisté ? Pas de panique. Ce genre de situation arrive plus souvent qu'on ne le pense, et la bonne nouvelle, c'est qu'un site piraté peut presque toujours être récupéré.
Dans ce tutoriel complet, vous allez apprendre comment nettoyer un site WordPress piraté étape par étape, avec la même méthodologie que nous utilisons en intervention professionnelle. Nous allons couvrir le diagnostic, le nettoyage manuel, l'éradication des backdoors et la sécurisation post-incident. L'objectif n'est pas seulement de vous donner une recette à suivre aveuglément, mais de vous faire comprendre ce qui se passe réellement dans les coulisses d'un piratage WordPress.
À la fin de cet article, vous saurez exactement ce que représente un nettoyage complet et vous pourrez décider en connaissance de cause si le DIY est fait pour vous, ou si votre situation nécessite l'intervention d'un spécialiste.
Les signes qui confirment que votre WordPress est infecté par un malware
Le symptôme le plus évident d'une infection WordPress reste les redirections non désirées. Si vos visiteurs - ou vous-même - êtes redirigés vers des sites de casino en ligne, des pharmacies douteuses ou du contenu pour adultes, vous avez la confirmation d'une injection de code malveillant. Ces redirections peuvent être intermittentes et ne se déclencher que pour certains visiteurs, ce qui les rend particulièrement sournoises.
Google Search Console est souvent le premier à vous alerter. Les messages "Ce site peut être piraté" ou "Logiciel malveillant détecté" apparaissent dans votre tableau de bord et peuvent s'accompagner d'un avertissement rouge dans les résultats de recherche. Cette alerte fait fuir les visiteurs et détruit votre référencement en quelques jours. Ne l'ignorez jamais.
Côté serveur, les signes sont plus techniques mais tout aussi révélateurs. Cherchez des fichiers PHP inconnus dans wp-content/uploads - un dossier normalement réservé aux images et documents. Les backdoors adorent s'y cacher car peu de propriétaires de sites pensent à vérifier cet emplacement. Vérifiez également la liste de vos utilisateurs dans Utilisateurs > Tous les utilisateurs : un compte administrateur que vous n'avez pas créé est un signal d'alarme majeur. Enfin, si votre site est devenu anormalement lent, des scripts de cryptomining pourraient exploiter les ressources de votre serveur pour miner de la cryptomonnaie au profit des attaquants.
Diagnostic complet : scanner les fichiers infectés et la base de données compromise
Avant de nettoyer quoi que ce soit, vous devez comprendre l'étendue de l'infection. Installez Wordfence depuis le répertoire officiel WordPress et lancez un scan complet. La version gratuite suffit pour le diagnostic. Dans les résultats, concentrez-vous d'abord sur les alertes "Critical" qui signalent des fichiers malveillants confirmés. Les "Warning" concernent souvent des fichiers modifiés ou des vulnérabilités potentielles - importants, mais moins urgents.
Pour une vérification plus approfondie des fichiers core, connectez-vous en SSH à votre serveur et exécutez la commande `wp core verify-checksums --allow-root`. Cette commande compare vos fichiers WordPress avec les originaux et liste toutes les différences. Un fichier modifié dans wp-includes ou wp-admin est quasi systématiquement le signe d'une compromission.
La base de données mérite une attention particulière car c'est là que se cachent les malwares les plus persistants. Recherchez dans les tables wp_posts et wp_options les chaînes suspectes comme `eval(`, `base64_decode(` ou des liens vers des domaines inconnus. Ces injections permettent aux attaquants d'exécuter du code arbitraire même après le nettoyage des fichiers. Complétez votre diagnostic avec Sucuri SiteCheck, un scanner externe gratuit qui analyse votre site depuis l'extérieur et détecte les problèmes visibles par Google.
Une erreur courante consiste à se fier uniquement aux scanners automatiques. Ces outils ratent environ 30% des backdoors sophistiquées, notamment celles qui utilisent de l'obfuscation avancée ou qui se déclenchent uniquement sous certaines conditions. Le scan automatique est un point de départ, pas une conclusion définitive.
Sauvegarder avant de nettoyer : la règle d'or que beaucoup ignorent
Cela peut sembler contre-intuitif, mais vous devez sauvegarder votre site infecté avant de commencer le nettoyage. Connectez-vous via FTP et téléchargez l'intégralité de votre installation WordPress sur votre ordinateur. Cette copie vous permettra de récupérer du contenu ou des personnalisations si quelque chose tourne mal pendant le nettoyage.
Pour la base de données, utilisez phpMyAdmin directement depuis votre hébergeur plutôt qu'un plugin WordPress. Un plugin compromis pourrait corrompre l'export ou omettre des tables importantes. Exportez en format SQL avec la structure et les données complètes.
Documentez l'état actuel de votre site : prenez des captures d'écran des fichiers suspects identifiés, notez leurs dates de modification et leurs permissions. Ces informations seront précieuses pour comprendre comment l'attaque s'est produite et éviter qu'elle ne se reproduise.
Un réflexe naturel serait de restaurer une sauvegarde antérieure au piratage. Résistez à cette tentation. Dans la majorité des cas, la backdoor était déjà présente dans vos anciennes sauvegardes - simplement dormante. Restaurer une ancienne version ne ferait que retarder le problème de quelques jours ou semaines.
Supprimer le malware WordPress : la méthode manuelle étape par étape
La méthode la plus fiable pour nettoyer le core WordPress consiste à le remplacer entièrement. Supprimez les dossiers wp-admin et wp-includes via FTP, puis exécutez `wp core download --force` en SSH. Cette commande télécharge une copie fraîche de WordPress et remplace tous les fichiers système. Vos contenus dans wp-content restent intacts.
Pour les plugins, l'approche radicale est la seule vraiment sûre. Supprimez tous les dossiers dans wp-content/plugins, puis réinstallez uniquement les plugins dont vous avez réellement besoin depuis le répertoire officiel wordpress.org. N'utilisez jamais de plugins "nulled" ou téléchargés depuis des sources tierces - ils contiennent fréquemment des malwares préinstallés.
Le thème représente un piège classique. Même si vous avez un thème premium, supprimez-le complètement et réinstallez une version fraîche depuis le site de l'éditeur. Attention : si vous avez fait des modifications directement dans les fichiers du thème plutôt que dans un thème enfant, ces personnalisations seront perdues. C'est le prix à payer pour un nettoyage complet.
Traquez ensuite les fichiers backdoor cachés dans le dossier uploads. Exécutez `find /wp-content/uploads -name '*.php'` pour lister tous les fichiers PHP dans ce répertoire. En temps normal, uploads ne devrait contenir que des images et des documents - tout fichier PHP y est suspect. Supprimez-les après vérification.
Pour la base de données, vous devrez exécuter des requêtes SQL ciblées. Recherchez dans wp_posts les contenus contenant des balises script suspectes ou des iframes vers des domaines externes. La table wp_options cache souvent des widgets ou des options injectées par les malwares. Procédez avec prudence : une mauvaise requête peut casser votre site.
Éradiquer les backdoors cachées : ce que les tutoriels basiques ne disent pas
Les backdoors sont la raison pour laquelle de nombreux sites se font réinfecter quelques jours après un nettoyage apparemment réussi. Ces portes dérobées permettent aux attaquants de reprendre le contrôle de votre site même après la suppression du malware visible.
Les emplacements favoris des backdoors incluent les fichiers wp-includes dont le nom ressemble aux fichiers légitimes comme class-wp-cache.php ou class-wp-session.php. Le dossier mu-plugins est particulièrement dangereux car son contenu se charge automatiquement sans apparaître dans la liste des plugins. Les thèmes inactifs sont souvent négligés lors du nettoyage alors qu'ils peuvent contenir du code malveillant. Vérifiez également la présence de fichiers .htaccess multiples dans différents sous-dossiers - ils peuvent contenir des règles de redirection malveillantes.
Pour identifier les fichiers modifiés récemment, utilisez la commande `find . -type f -name '*.php' -mtime -30` qui liste tous les fichiers PHP modifiés dans les 30 derniers jours. Cette liste vous donnera une piste des fichiers potentiellement compromis.
Lors de l'analyse du contenu suspect, recherchez des patterns caractéristiques comme `preg_replace` avec le modificateur /e (obsolète et dangereux), `assert(`, `create_function` ou des variables assemblées lettre par lettre pour échapper à la détection. Le fichier wp-config.php mérite une attention particulière : vérifiez qu'aucun code n'a été ajouté avant la balise PHP d'ouverture ou après la fermeture.
L'erreur fatale que nous voyons régulièrement en intervention professionnelle : nettoyer tous les fichiers mais oublier les tâches cron malveillantes. Exécutez `wp cron event list` pour voir toutes les tâches planifiées. Un événement avec un nom inhabituel ou une fonction inconnue peut être programmé pour retélécharger la backdoor à intervalles réguliers.
Sécuriser WordPress après le nettoyage pour éviter la réinfection
Une fois le nettoyage terminé, la sécurisation doit être immédiate et complète. Changez tous vos mots de passe dans cet ordre précis : d'abord les comptes administrateurs WordPress, puis les accès FTP, ensuite le mot de passe de la base de données et enfin votre compte hébergeur. Si un attaquant a encore accès à l'un de ces points d'entrée, il peut recomprometre votre site en quelques minutes.
Régénérez les clés de sécurité dans wp-config.php. Ces clés servent à sécuriser les cookies et les sessions. Rendez-vous sur le générateur officiel WordPress pour obtenir de nouvelles clés et remplacez les anciennes dans votre fichier de configuration. Cette action déconnecte automatiquement tous les utilisateurs, y compris d'éventuels attaquants encore connectés.
Configurez Wordfence correctement pour la protection continue. Activez le firewall en mode "Extended Protection" qui offre une protection plus complète. Configurez la limitation des tentatives de connexion à 3 essais avant blocage. Activez l'authentification à deux facteurs pour tous les comptes administrateurs.
Mettez à jour immédiatement WordPress, tous vos plugins et votre thème. Les failles de sécurité connues sont exploitées massivement par des scripts automatisés qui scannent des millions de sites. Un plugin obsolète est une invitation ouverte aux attaquants. Vérifiez enfin les permissions de vos fichiers : 644 pour les fichiers, 755 pour les dossiers, et 600 pour wp-config.php qui contient vos informations sensibles.
Demander la révision Google et restaurer votre réputation en ligne
Si Google a blacklisté votre site, le nettoyage technique ne suffit pas - vous devez demander une révision manuelle. Dans Google Search Console, accédez à Sécurité et actions manuelles, puis soumettez une demande de réexamen. Décrivez précisément les actions correctives que vous avez entreprises : fichiers nettoyés, backdoors supprimées, mots de passe changés, mises à jour effectuées.
Le délai de révision varie selon le type de problème. Pour les malwares, comptez généralement 24 à 72 heures. Pour les problèmes de spam ou de contenu piraté, la révision peut prendre jusqu'à deux semaines. Pendant cette attente, votre site reste accessible mais l'avertissement continue de s'afficher.
Google n'est pas le seul service à maintenir des listes noires. Vérifiez votre statut sur McAfee SiteAdvisor, Norton Safe Web et PhishTank. Chaque service a sa propre procédure de demande de retrait. Tant que votre site apparaît sur ces listes, certains antivirus bloqueront l'accès pour leurs utilisateurs.
Si votre site a une audience régulière, envisagez de communiquer sur l'incident. Un email sobre expliquant que vous avez détecté et résolu un problème de sécurité rassure davantage que le silence. Évitez les détails techniques excessifs et concentrez-vous sur les mesures prises pour protéger les données des utilisateurs.
DIY ou professionnel : comment évaluer la complexité de votre piratage
Certains piratages peuvent être gérés en autonomie avec ce tutoriel. Si vous avez identifié une seule redirection provenant d'un unique fichier infecté, si aucun compte administrateur n'a été créé à votre insu et si le scan Wordfence ne montre que quelques alertes concentrées au même endroit, le nettoyage DIY est réaliste.
En revanche, d'autres situations nécessitent une expertise professionnelle. C'est le cas si vous découvrez des backdoors dans plusieurs emplacements, si la base de données contient des injections complexes, ou si votre site se fait réinfecter après une première tentative de nettoyage. Une infection qui revient signifie qu'une backdoor a été manquée - et la trouver demande une expérience que ce tutoriel ne peut pas remplacer.
Le coût caché du DIY est le temps. Un propriétaire de site non-expert passe en moyenne 8 à 15 heures sur un nettoyage complet, incluant les recherches, les essais-erreurs et la vérification. Un professionnel réalise le même travail en 2 à 4 heures parce qu'il sait exactement où chercher. Multipliez vos heures par votre taux horaire pour évaluer le coût réel du DIY.
Posez-vous ces cinq questions : Ai-je accès en SSH à mon serveur ? Suis-je capable d'exécuter des commandes en ligne de commande ? Puis-je lire du code PHP et identifier ce qui est suspect ? Ai-je le temps de surveiller le site pendant plusieurs jours après le nettoyage ? Mon activité peut-elle supporter plusieurs jours de site hors service si le nettoyage échoue ? Si vous répondez non à plus de deux questions, le DIY présente des risques significatifs.
La règle simple : après deux tentatives de nettoyage sans succès, arrêtez. La réinfection répétée indique un niveau de sophistication qui dépasse les méthodes standard. Continuer seul à ce stade ne fait que retarder la résolution et potentiellement aggraver les dégâts.
Conclusion
Nettoyer un site WordPress piraté demande méthode, patience et une bonne compréhension des techniques utilisées par les attaquants. Vous avez maintenant une vision complète du processus : diagnostic avec les bons outils, sauvegarde préventive, nettoyage systématique des fichiers et de la base de données, éradication des backdoors cachées, sécurisation post-incident et restauration de votre réputation auprès de Google.
Si après avoir lu ce tutoriel vous réalisez que le processus dépasse vos compétences techniques ou votre temps disponible, c'est parfaitement normal. Même les développeurs expérimentés font parfois appel à des spécialistes pour les infections complexes. La différence entre un amateur et un professionnel n'est pas l'intelligence - c'est le nombre d'heures passées à traiter exactement ce type de problème.
Processus trop complexe ou temps limité ? Notre service professionnel de nettoyage WordPress à CHF 290.- garantit un site propre et sécurisé en 48h, avec rapport détaillé des failles corrigées et des mesures de protection mises en place.
Et pour éviter de revivre cette situation stressante, découvrez notre maintenance préventive WordPress qui surveille et protège votre site 24/7. La prévention coûte toujours moins cher que la réparation.
FAQ
Combien de temps faut-il pour nettoyer un site WordPress piraté ?
Le temps varie selon la complexité de l'infection. Un piratage simple avec une seule backdoor peut être nettoyé en 2 à 4 heures par quelqu'un qui sait ce qu'il fait. Une infection profonde avec malware dans la base de données et multiples backdoors nécessite 8 à 15 heures de travail minutieux, parfois réparties sur plusieurs jours pour vérifier l'absence de réinfection. Le facteur déterminant n'est pas la taille du site mais la sophistication de l'attaque.
Mon site piraté peut-il infecter les visiteurs ?
Oui, certains malwares WordPress distribuent activement des virus aux visiteurs. Les techniques incluent les téléchargements automatiques de fichiers malveillants, les redirections vers des sites de phishing et l'injection de formulaires frauduleux. C'est précisément pour protéger les internautes que Google blackliste rapidement les sites infectés. Vous devez agir immédiatement - mettez votre site en mode maintenance le temps du nettoyage pour protéger vos visiteurs et limiter les dégâts sur votre réputation.
Faut-il tout reconstruire ou peut-on sauver le site existant ?
Dans 90% des cas, le site peut être nettoyé sans reconstruction complète. La réinstallation depuis zéro n'est recommandée que si l'infection est exceptionnellement profonde ou si le site était déjà techniquement obsolète et méritait une refonte. Le nettoyage ciblé préserve votre contenu, vos réglages SEO, vos personnalisations et votre référencement acquis au fil des années. Reconstruire signifie repartir de zéro sur tous ces aspects.
Comment savoir si mon site WordPress a été réinfecté après nettoyage ?
Configurez des scans automatiques hebdomadaires avec Wordfence et activez les alertes par email pour toute modification de fichier critique. Surveillez Google Search Console quotidiennement pendant les deux semaines suivant le nettoyage pour détecter toute nouvelle alerte de sécurité. Vérifiez régulièrement vos statistiques de trafic - une chute soudaine peut indiquer un nouveau blacklisting. Si votre site est réinfecté dans les jours suivant le nettoyage, une backdoor a été manquée et une expertise professionnelle devient nécessaire.
Wordfence ou Sucuri : quel scanner de sécurité choisir pour WordPress ?
Les deux outils excellent dans des domaines différents et sont complémentaires. Wordfence propose un scanner de fichiers local très performant et un firewall applicatif intégré - c'est l'outil idéal pour le diagnostic et le nettoyage DIY. Sucuri offre un firewall cloud et un CDN qui interceptent les attaques avant qu'elles n'atteignent votre serveur, plus efficace pour la protection continue. Pour un nettoyage, utilisez Wordfence gratuit. Pour une protection à long terme sur un site à fort trafic, envisagez d'utiliser les deux.