Site WordPress piraté : que faire pour le nettoyer et le restaurer ?

Il est 9 h, vous ouvrez votre site comme tous les matins, et là : redirections vers une pharmacie en ligne russe, publicités pour du bitcoin sur la page d’accueil, un mail d’alerte de votre hébergeur dans la boîte. Votre site WordPress a été piraté.

On ne va pas vous mentir : la première heure fait rarement plaisir. Mais dans notre atelier WordPress strasbourgeois, on voit passer plusieurs sites piratés chaque mois, et le même constat revient à chaque fois : il y a une procédure, elle fonctionne, et dans l’immense majorité des cas, un site peut être sauvé sans repartir de zéro.

Ce guide vous donne la marche à suivre exacte, dans le bon ordre, que vous choisissiez de nettoyer le site vous-même ou de nous confier l’intervention. On y va.

Site actuellement piraté et besoin d’une intervention immédiate ? Notre équipe WordPress intervient sous 24 h pour nettoyer, restaurer et sécuriser votre site. Demander une intervention d’urgence :

Comment savoir si votre site WordPress est vraiment piraté ?

Avant de lancer une procédure d’urgence, confirmez le piratage. Voici les signes qui ne trompent pas.

Le phénomène est massif et documenté : dans ses rapports annuels sur les sites piratés , Sucuri analyse chaque année des dizaines de milliers de sites compromis, dont une très large majorité fonctionne sous WordPress en raison de la part de marché du CMS.

Les 10 symptômes visibles d’un site WordPress piraté

1. Redirections automatiques vers des sites douteux (pharmacie, casino, adulte, cryptomonnaies)
2. Publicités pop-ups ou bannières que vous n’avez jamais installées
3. Nouveau contenu : articles, pages, commentaires ou utilisateurs que vous n’avez pas créés
4. Disparition du site ou page blanche à l’ouverture
5. Messages d’erreur PHP inhabituels dans le front ou l’admin
6. Mails sortants indésirables envoyés depuis votre domaine (spam)
7. Ralentissement brutal du site ou pics de consommation CPU signalés par l’hébergeur
8. Fichiers inconnus dans votre dossier WordPress (.php avec des noms bizarres à la racine ou dans /wp-content/uploads/)
9. Impossible de se connecter à wp-admin avec vos identifiants habituels
10. Avertissement dans le navigateur (« Ce site peut endommager votre ordinateur ») ou dans les résultats Google

Si vous rencontrez au moins un de ces signes, il y a 95 % de chances que votre site soit compromis.

Vérifier via Google et Google Search Console

Deux vérifications rapides permettent de confirmer un piratage :

• Tapez dans Google : site:votredomaine.fr, si vous voyez apparaître des pages en langue étrangère, des mots-clés de pharmacie/casino ou des URL que vous ne reconnaissez pas, votre site est infecté.
• Ouvrez Google Search Console → section Sécurité et actions manuelles → Problèmes de sécurité. Google y liste explicitement les fichiers suspects, les injections de code et les types de logiciels malveillants détectés.

Scanner le site avec un outil gratuit

Plusieurs scanners en ligne permettent un premier diagnostic en quelques secondes, sans installation :

• Sucuri SiteCheck , le plus complet
• VirusTotal – croisement de 70+ antivirus
• Quttera , détection de malwares JavaScript
• IsItWP Security Scanner

Important : ces scanners détectent ce qui est visible côté front. Un malware caché dans la base de données ou dans un fichier PHP obfusqué peut passer inaperçu. Pour une vraie certitude, il faudra un scan serveur (voir plus bas).

Les 5 actions d’urgence à faire dans les 30 premières minutes

Si le piratage est confirmé, voici les actions prioritaires à réaliser dans cet ordre. Chaque minute compte : un site infecté peut voir son hébergement suspendu et son référencement sanctionné par Google en quelques heures.

1. Mettre le site hors ligne (mode maintenance)

La tentation de « laisser le site en ligne, le temps de comprendre » est normale. Ne le faites pas. Chaque minute où un site infecté reste accessible, ce sont des visiteurs exposés au malware et des pages spammy indexées par Google. Le mode maintenance est non-négociable.

• Via votre hébergeur : activez une page de maintenance ou un mot de passe htaccess sur la racine du site
• Via FTP : renommez temporairement index.php en index-old.php et uploadez une page HTML simple
• Option plus propre : utilisez un fichier .maintenance à la racine avec un message clair

2. Changer tous les mots de passe immédiatement

Partez du principe que tous vos identifiants sont compromis :

• Mot de passe de l’espace client de l’hébergeur
• Mot de passe FTP / SFTP / SSH
• Mot de passe de la base de données (dans wp-config.php)
• Mot de passe de tous les comptes WordPress (via phpMyAdmin si wp-admin est bloqué)
• Mot de passe de l’email associé au domaine
• Clés secrètes de wp-config.php (les SALT) — régénérez-les sur api.wordpress.org/secret-key/1.1/salt

Utilisez des mots de passe longs (20+ caractères), uniques, stockés dans un gestionnaire de mots de passe.

3. Effectuer une sauvegarde de l’état actuel (même infecté)

Contre-intuitif, mais essentiel : sauvegardez le site dans son état compromis avant de toucher à quoi que ce soit. Cette sauvegarde servira à :

• Analyser les fichiers infectés pour comprendre la faille
• Revenir en arrière si la procédure de nettoyage casse quelque chose
• Conserver une preuve en cas de déclaration d’incident

La sauvegarde doit contenir :

• Tous les fichiers WordPress (via FTP ou gestionnaire de fichiers de l’hébergeur)
• Un export complet de la base de données (via phpMyAdmin → Exporter → format SQL)

Stockez cette archive en dehors du serveur (local, cloud sécurisé).

4. Prévenir votre hébergeur

La majorité des hébergeurs français (OVH, o2switch, Infomaniak, Hostinger, Gandi…) disposent d’équipes sécurité et peuvent :

• Confirmer l’étendue de l’infection via leurs scans serveur
• Fournir les logs d’accès pour retrouver l’origine de l’intrusion
• Proposer une restauration à partir de leurs propres sauvegardes
• Dans certains cas, désinfecter le serveur gratuitement

Plus vous les prévenez tôt, plus ils seront coopératifs. Si vous ne les prévenez pas et qu’ils détectent le malware par eux-mêmes, votre compte peut être suspendu sans préavis.

À noter : si votre site collecte des données personnelles (e-commerce, formulaire de contact, espace client), un piratage peut constituer une violation de données au sens du RGPD. Consultez la page de la CNIL sur les violations de données personnelles pour connaître vos obligations déclaratives (72 heures dans certains cas).

5. Informer Google (si nécessaire)

Si Google a déjà signalé votre site comme dangereux dans les résultats ou dans Chrome, vous devrez :

• Attendre le nettoyage complet
• Demander une réévaluation dans Google Search Console → Sécurité et actions manuelles → Demander un examen

Ne faites cette demande qu’après nettoyage complet, sinon Google maintiendra l’avertissement plus longtemps. Google propose un guide officiel en français sur les sites piratés et la procédure de récupération, à consulter avant toute demande de réexamen.

Comment nettoyer un site WordPress piraté : la procédure complète

Le nettoyage suit toujours la même logique : identifier, supprimer, remplacer, vérifier. Comptez 2 à 6 heures pour un site simple, jusqu’à plusieurs jours pour un site e-commerce complexe.

Étape 1 : Installer un plugin de scan serveur

Depuis l’admin WordPress (ou en FTP si l’admin est bloqué), installez l’un de ces plugins reconnus :

• Wordfence (gratuit, scan approfondi, référence du marché)
• MalCare (scan côté serveur, très rapide, gratuit pour le scan)
• Sucuri Security (détection + pare-feu)
• Patchstack (orienté vulnérabilités connues)

Lancez un scan complet. Le plugin listera :

• Les fichiers cœur WordPress modifiés
• Les fichiers inconnus dans les dossiers sensibles
• Les plugins et thèmes contenant du code suspect
• Les portes dérobées (backdoors) détectées
• Les injections dans la base de données

Étape 2 : Remplacer le cœur WordPress par une version saine

Plutôt que de tenter de « réparer » les fichiers infectés du cœur, remplacez-les intégralement par les versions originales :

1. Téléchargez la dernière version de WordPress sur wordpress.org
2. Supprimez (via FTP) les dossiers /wp-admin/ et /wp-includes/ de votre site
3. Uploadez les versions fraîches depuis l’archive téléchargée
4. Ne touchez pas à /wp-content/ pour l’instant (c’est là que se trouvent vos contenus)
5. Ne touchez pas à wp-config.php ni à .htaccess à ce stade (ils doivent être inspectés manuellement)

Étape 3 : Inspecter wp-config.php, .htaccess et index.php

Ces trois fichiers sont les cibles prioritaires des hackers. Ouvrez-les dans un éditeur de texte et cherchez :

• Des lignes obfusquées type eval(base64_decode(…))
• Des inclusions de fichiers externes inattendues
• Des règles de redirection ajoutées en fin de .htaccess
• Du code avant <?php ou après ?>
• Des variables aux noms étranges ($GLOBALS[‘xyz’], $_POST[‘pass’]…)

En cas de doute, comparez avec un .htaccess et un index.php d’une installation WordPress propre.

Étape 4 : Nettoyer ou réinstaller les plugins et thèmes

Les plugins et thèmes sont la porte d’entrée n°1 des piratages WordPress. Selon le rapport annuel Patchstack sur la sécurité WordPress (https://patchstack.com/whitepaper/wordpress-security-whitepaper/), la grande majorité des vulnérabilités exploitées chaque année proviennent d’extensions tierces plutôt que du cœur WordPress lui-même.

• Supprimez tous les plugins depuis FTP (/wp-content/plugins/) puis réinstallez-les depuis wordpress.org ou depuis la source officielle
• Pour le thème actif : téléchargez une version propre depuis le fournisseur, remplacez intégralement le dossier
• Supprimez les thèmes inactifs, ils ne sont pas utilisés mais peuvent héberger des backdoors
• Supprimez tout plugin nulled (version piratée d’un plugin payant), c’est la cause #1 des infections récurrentes

Étape 5 : Nettoyer le dossier uploads

Le dossier /wp-content/uploads/ ne devrait contenir que des médias (images, PDF, vidéos). Recherchez et supprimez :

• Tous les fichiers .php, .phtml, .phar, .exe, .js suspects
• Les fichiers aux noms aléatoires (ex : xjdk28.php, wp-temps.php)
• Les fichiers récemment modifiés que vous ne reconnaissez pas

Sous Linux/SSH : find wp-content/uploads/ -name « *.php » -type f affiche tous les PHP cachés dans uploads (il ne devrait y en avoir aucun).

Étape 6 : Nettoyer la base de données

Les hackers injectent souvent du code directement dans la base de données, principalement dans :

• Les tables wp_options (lignes siteurl, home, active_plugins)
• Les tables wp_posts (contenu des articles, scripts injectés)
• Les tables wp_users (comptes administrateurs créés en douce)
• Les tables wp_usermeta

Via phpMyAdmin :

1. Recherchez les comptes utilisateurs inconnus et supprimez-les
2. Recherchez dans wp_posts les chaînes <script>, eval(, base64_decode( à nettoyer manuellement
3. Vérifiez que siteurl et home dans wp_options pointent bien vers votre domaine
4. Regardez la ligne active_plugins : aucune extension inconnue ne doit y figurer

Étape 7 : Lancer un deuxième scan pour confirmer

Une fois tout nettoyé, relancez un scan complet avec Wordfence ou MalCare + un scan externe avec Sucuri SiteCheck. Aucune alerte ne doit subsister. Si une alerte persiste, il reste au moins un fichier infecté à traiter.

Restaurer son site à partir d’une sauvegarde : quand et comment ?

Si vous disposez d’une sauvegarde saine antérieure au piratage, la restauration est souvent la solution la plus rapide et la plus sûre.

Quand privilégier la restauration plutôt que le nettoyage ?

• Vous avez une sauvegarde datée d’avant la date estimée de l’intrusion (vérifiable via les logs)
• Votre site n’a pas beaucoup évolué entre la sauvegarde et aujourd’hui (sinon vous perdrez du contenu)
• Le nettoyage manuel s’annonce long ou incertain
• Le malware est récurrent malgré les tentatives de nettoyage

Comment restaurer proprement

1. Vérifiez que la sauvegarde est saine (scanner les fichiers avant upload)
2. Videz totalement le serveur (fichiers + base de données)
3. Uploadez les fichiers depuis la sauvegarde
4. Importez la base de données via phpMyAdmin
5. Mettez à jour immédiatement WordPress, thème et tous les plugins
6. Régénérez les mots de passe et les SALT dans wp-config.php
7. Scannez une dernière fois

Attention : si vous ne corrigez pas la faille d’origine (plugin vulnérable, mot de passe faible, version WordPress obsolète), votre site sera repiraté dans les semaines qui suivent.

Combien coûte le nettoyage d’un site WordPress piraté ?

Le prix d’un nettoyage dépend de plusieurs facteurs : gravité de l’infection, taille du site, type de site (vitrine vs e-commerce), urgence, nécessité de remonter en référencement.

Les fourchettes de prix en 2026

Prestation	Fourchette de prix	Délai
Scan + diagnostic	150 – 400 €	1 – 2 h
Nettoyage d’un site vitrine simple	400 – 900 €	0,5 – 1 jour
Nettoyage d’un site e-commerce	800 – 2 500 €	1 – 3 jours
Nettoyage + restauration SEO (après blacklist Google)	1 500 – 4 000 €	3 – 7 jours
Sécurisation post-nettoyage	300 – 800 €	0,5 – 1 jour
Forfait maintenance sécurité (mensuel)	50 – 200 € / mois	en continu

Un plugin automatique de nettoyage (MalCare, Sucuri, Wordfence Premium) coûte entre 100 et 500 €/an — c’est une option valable pour des sites simples mais ne remplace pas l’intervention humaine sur des cas complexes (e-commerce, infections récurrentes, base de données compromise).

Pourquoi passer par une agence est souvent plus rentable

Payer 500 à 2 000 € peut sembler cher sur le coup, mais à mettre en regard de :

• Le chiffre d’affaires perdu par jour de site inaccessible (pour un e-commerce, une seule journée dépasse souvent le coût du nettoyage)
• La perte de positions SEO si Google blackliste le site , la reconstruction peut prendre plusieurs mois
• Le risque de re-piratage si la faille n’est pas identifiée et corrigée
• Le stress et le temps passé à essayer de comprendre un code PHP obfusqué

Faut-il nettoyer soi-même ou faire appel à une agence ?

Soyons honnêtes : la moitié des gens qui lisent cet article sont techniques et vont s’en sortir seuls, et l’autre moitié regardent les commandes SSH avec un mélange de curiosité et d’angoisse. Les deux réactions sont normales.

Notre règle de décision interne, quand un client nous appelle en panique : s’il s’agit d’un site e-commerce, d’un site blacklisté par Google, d’un site déjà piraté plusieurs fois ou d’un cas où le client n’a plus de sauvegarde, on intervient directement, le coût d’un nettoyage propre est toujours inférieur au coût d’un site qui reste cassé. Dans les autres cas, on prend parfois 15 minutes au téléphone pour guider le client lui-même : c’est gratuit, et ça suffit souvent.

Chez Webalia, notre équipe WordPress intervient en moyenne sous 24 h sur les sites piratés, avec un forfait de nettoyage + sécurisation qui inclut la remise en ligne, le durcissement du site et le suivi pendant 30 jours.

👉Demander un diagnostic gratuit

Après le nettoyage : comment éviter un nouveau piratage ?

Nettoyer ne suffit pas. Dans la majorité des cas que nous voyons, un site nettoyé sans sécurisation post-intervention est re-piraté dans les mois qui suivent. La vraie question n’est pas « comment nettoyer » mais « comment ne plus jamais y revenir ».

Les 10 règles de base à appliquer immédiatement après le nettoyage :

1. Mettre WordPress, thème et plugins à jour — et automatiser les mises à jour
2. Supprimer tous les plugins et thèmes inutilisés
3. Installer un plugin de sécurité (Wordfence, Solid Security ou Patchstack)
4. Activer l’authentification à deux facteurs sur tous les comptes admin
5. Limiter les tentatives de connexion (anti-bruteforce)
6. Changer l’URL de connexion (/wp-login.php → autre chose)
7. Mettre en place des sauvegardes automatiques externes (UpdraftPlus, BlogVault, solution hébergeur)
8. Désactiver l’édition de fichiers depuis l’admin (define(‘DISALLOW_FILE_EDIT’, true); dans wp-config.php)
9. Renforcer les permissions de fichiers (644 pour les fichiers, 755 pour les dossiers)
10. Mettre en place une surveillance continue (uptime + scan quotidien)

Pour aller plus loin, la documentation officielle de sécurisation WordPress (en anglais) liste l’ensemble des recommandations maintenues par le cœur du projet : https://wordpress.org/documentation/article/hardening-wordpress/

👉 Et pour la procédure complète de sécurisation, consultez notre guide dédié : Comment sécuriser un site WordPress en 2026 — le guide complet (https://webalia.fr/securiser-son-site-web-wordpress/)

Foire aux questions — WordPress piraté

Combien de temps prend le nettoyage d’un site WordPress piraté ?

Entre 2 heures pour un cas simple (une seule injection, sauvegarde disponible) et plusieurs jours pour un site e-commerce fortement compromis ou blacklisté par Google. En moyenne, notre équipe intervient en 4 à 8 heures pour un nettoyage complet d’un site vitrine.

Mon site va-t-il perdre son référencement Google après un piratage ?

Pas nécessairement, à condition d’agir vite. Si Google n’a pas eu le temps d’indexer les pages spammy ou de marquer le site comme dangereux, les positions sont généralement récupérées en quelques jours. Si le site a été blacklisté, comptez 2 à 8 semaines pour retrouver les positions initiales après la demande de réexamen.

Est-ce que je peux continuer à utiliser mon site pendant le nettoyage ?

Non. Pendant toute la durée du nettoyage, le site doit être en mode maintenance pour éviter d’exposer les visiteurs au malware et pour que Google ne réindexe pas les contenus infectés.

Pourquoi mon site WordPress se fait-il pirater en boucle ?

Trois causes classiques : un plugin nulled (version piratée) réinstallé à chaque nettoyage, une porte dérobée (backdoor) qui n’a pas été repérée, ou un mot de passe compromis réutilisé. Le bon réflexe est de refaire une sauvegarde propre, de tout réinstaller depuis zéro, et de changer tous les identifiants liés au site.

Un site WordPress à jour peut-il être piraté ?

Oui, même si c’est beaucoup plus rare. Les pirates exploitent des failles « zero day » (inconnues au moment de la mise à jour), des vulnérabilités dans des plugins peu maintenus, ou des attaques par mot de passe. Les mises à jour réduisent fortement le risque mais ne l’éliminent pas à 100 %.

Wordfence gratuit suffit-il pour nettoyer un site piraté ?

Pour un diagnostic et un nettoyage de base, oui. Wordfence gratuit détecte la plupart des malwares courants. En revanche, la version Premium (et son équivalent MalCare) est plus efficace sur les infections complexes et inclut la suppression automatisée, qui fait gagner beaucoup de temps.

Mon hébergeur peut-il nettoyer mon site à ma place ?

Certains hébergeurs (OVH Pro, o2switch, Infomaniak) proposent un service de nettoyage en option, parfois gratuit pour les cas simples. En pratique, ce service se limite souvent à restaurer une sauvegarde sans corriger la faille d’origine, ce qui mène fréquemment à un re-piratage. Une intervention humaine spécialisée reste préférable.

Combien coûte la prestation de nettoyage chez Webalia ?

Nos interventions débutent à 490 € HT pour un nettoyage de site vitrine simple avec sécurisation post-intervention, et varient selon la gravité de l’infection et le type de site. Un diagnostic préalable est gratuit.

Notre conseil final : passez de la guérison à la prévention

Un site piraté, ce n’est jamais un bon moment. Mais à chaque fois qu’on nettoie un site chez un client, on repart avec la même conclusion : la faille existait depuis des mois, parfois des années, et il a juste fallu une mauvaise nuit pour qu’un bot la trouve.

Le vrai enseignement d’une attaque, ce n’est pas « il faut nettoyer », c’est « il faut que ça n’arrive plus ». Un forfait maintenance à 50 ou 150 € par mois, des sauvegardes vraiment externes, un plugin de sécurité payant, et 99 % des piratages qu’on voit ne se seraient jamais produits.

Si vous êtes en pleine crise : appelez-nous, on décroche. Si vous voulez anticiper : on est aussi là pour ça.

Besoin d’une intervention ou d’un accompagnement maintenance ? Notre équipe WordPress à Strasbourg répond sous 24 h. 👉Contactez-nous