Vous ouvrez votre site et quelque chose a changé. Des publicités que vous n’avez jamais mises. Une redirection vers un site inconnu. Un message d’alerte Google. Ou pire : une page blanche.
Votre site WordPress a été piraté. Et là, c’est la panique.
Respirez. C’est récupérable dans l’immense majorité des cas. Mais il faut agir vite et dans le bon ordre. Voici exactement quoi faire, étape par étape, même si vous n’êtes pas technicien.
Pourquoi les sites WordPress se font pirater
Avant d’agir, comprenez ce qui s’est passé. WordPress fait tourner plus de 40 % des sites web dans le monde. C’est une qualité, mais c’est aussi ce qui en fait une cible privilégiée pour les pirates.
Les trois causes principales de piratage sont toujours les mêmes.
Les extensions (plugins) obsolètes. Chaque plugin est un bout de code écrit par un développeur tiers. Quand une faille de sécurité est découverte, une mise à jour est publiée pour la corriger. Si vous ne faites pas cette mise à jour, la faille reste ouverte, et les pirates le savent. Ils scannent automatiquement des millions de sites à la recherche de ces failles connues.
Les mots de passe faibles. « admin / admin123 », ça fait sourire, mais c’est encore la réalité sur beaucoup de sites. Les attaques par force brute testent des milliers de combinaisons par minute. Sans protection, c’est une question de temps.
Un hébergement mal configuré. Permissions de fichiers trop ouvertes, PHP obsolète, pas de pare-feu, pas de supervision, votre hébergeur fournit un serveur, mais la sécurité dépend souvent de vous. Et si personne ne s’en occupe, personne ne détecte l’intrusion.
Les signes que votre site a été piraté
Certains piratages sont visibles, d’autres non. Voici les signaux les plus courants :
Votre site redirige vers un autre site. Vous tapez votre adresse et vous atterrissez sur une pharmacie en ligne, un casino ou un site pour adultes. C’est le signe le plus évident : un pirate a modifié le code de votre site pour rediriger vos visiteurs.
Du contenu inconnu apparaît sur vos pages. Des liens, des publicités, des textes en japonais ou en anglais que vous n’avez jamais écrits. C’est souvent ce qu’on appelle un « Japanese SEO hack » : le pirate utilise votre site pour positionner ses propres pages dans Google.
Google affiche un avertissement. Si vous voyez « Ce site peut endommager votre ordinateur » dans les résultats de recherche, Google a détecté du code malveillant sur votre site. Vos visiteurs verront cet avertissement et ne cliqueront pas. Votre référencement s’effondre.
Vous ne pouvez plus vous connecter à l’administration. Le pirate a changé votre mot de passe ou supprimé votre compte administrateur. Vous êtes enfermé dehors.
Votre hébergeur a suspendu votre site. Certains hébergeurs coupent automatiquement les sites compromis pour protéger le reste de leur infrastructure. Vous recevez un email vous informant que votre site a été désactivé.
Votre site est anormalement lent. Le pirate utilise peut-être votre serveur pour envoyer du spam ou miner de la cryptomonnaie. Résultat : vos ressources sont consommées et votre site rame.
Les 7 étapes pour reprendre le contrôle
Étape 1 : Ne touchez à rien, constatez
C’est contre-intuitif, mais ne commencez pas par supprimer des fichiers ou réinstaller WordPress. D’abord, documentez :
Prenez des captures d’écran de ce que vous voyez (pages modifiées, messages d’erreur, alertes Google). Notez la date et l’heure à laquelle vous avez constaté le problème. Si vous avez reçu un email de votre hébergeur, conservez-le.
Ces informations seront utiles pour comprendre ce qui s’est passé et, si nécessaire, pour déclarer l’incident (notamment si des données personnelles sont concernées, on y reviendra).
Étape 2 : Changez tous vos mots de passe
Tous. Pas seulement celui de WordPress.
Changez le mot de passe de votre administration WordPress, celui de votre accès FTP ou SFTP, celui de votre base de données MySQL, celui de votre espace hébergeur (cPanel, Plesk ou équivalent), et celui de votre adresse email associée au compte admin.
Utilisez des mots de passe d’au moins 16 caractères avec des lettres, des chiffres et des caractères spéciaux. Un gestionnaire de mots de passe (Bitwarden, 1Password) vous simplifiera la vie.
Si vous ne pouvez plus accéder à votre administration WordPress, passez directement à l’étape 3.
Étape 3 : Mettez votre site en maintenance
Tant que votre site est compromis, chaque visiteur est potentiellement exposé à du contenu malveillant. Et Google continue d’indexer les pages infectées, ce qui aggrave le problème SEO.
Contactez votre hébergeur pour lui demander de passer le site en mode maintenance ou de le désactiver temporairement. Si vous avez un accès FTP, vous pouvez renommer le fichier index.php en index.php.bak et créer un fichier index.html avec un simple message « Site en maintenance ».
Étape 4 : Restaurez une sauvegarde
C’est la solution la plus rapide et la plus fiable. Si vous disposez d’une sauvegarde récente et propre de votre site, restaurez-la.
Mais attention : vérifiez que la sauvegarde date d’avant le piratage. Si votre site a été compromis il y a deux semaines et que votre dernière sauvegarde date de la semaine dernière, cette sauvegarde est probablement infectée aussi.
C’est là que le problème se pose pour beaucoup de propriétaires de sites : soit ils n’ont pas de sauvegarde, soit ils ne savent pas où elle est, soit elle est trop ancienne pour être utile. Si c’est votre cas, passez à l’étape 5.
Étape 5 : Nettoyez manuellement (ou faites appel à un professionnel)
Si vous n’avez pas de sauvegarde exploitable, il faut nettoyer le site infecté. C’est l’étape la plus technique et la plus risquée.
Le principe : réinstaller les fichiers propres de WordPress (le « core »), réinstaller chaque extension depuis le répertoire officiel WordPress.org, réinstaller votre thème depuis sa source officielle, et inspecter le dossier wp-content/uploads qui contient vos images et médias, c’est souvent là que les fichiers malveillants se cachent.
Pour les données (articles, pages, produits), elles sont dans votre base de données et sont généralement intactes. Mais elles peuvent contenir du code injecté qu’il faudra identifier et supprimer.
Soyez honnête avec vous-même à cette étape. Si vous n’êtes pas à l’aise avec le FTP, phpMyAdmin et la structure de fichiers WordPress, faites appel à quelqu’un. Un nettoyage incomplet garantit un nouveau piratage dans les jours qui suivent, les pirates laissent systématiquement des portes dérobées (backdoors) dans des fichiers qui semblent légitimes.
Étape 6 : Sécurisez pour éviter la rechute
Une fois le site nettoyé ou restauré, sécurisez-le avant de le remettre en ligne :
Mettez tout à jour. WordPress, tous les plugins, tous les thèmes, sans exception. Supprimez les extensions et thèmes que vous n’utilisez pas : chaque plugin inactif est une surface d’attaque potentielle.
Forcez les mots de passe forts. Pour tous les utilisateurs ayant un accès à l’administration.
Activez l’authentification à deux facteurs (2FA) sur les comptes administrateurs.
Vérifiez la version de PHP utilisée par votre hébergement. Si vous êtes encore en PHP 7.x, passez en PHP 8.2 ou supérieur, les anciennes versions ne reçoivent plus de correctifs de sécurité.
Installez un plugin de sécurité (Wordfence, Sucuri, SecuPress) pour surveiller les modifications de fichiers et bloquer les tentatives d’intrusion.
Étape 7 : Vérifiez votre référencement et votre réputation
Le piratage a pu causer des dégâts invisibles :
Connectez-vous à Google Search Console. Si Google a signalé votre site comme dangereux, vous trouverez un avertissement dans l’onglet « Problèmes de sécurité ». Une fois le site nettoyé, demandez un réexamen. Google met généralement 24 à 72 heures pour lever l’alerte.
Vérifiez que des pages parasites n’ont pas été indexées en tapant site:votredomaine.fr dans Google. Si vous voyez des centaines de pages en japonais ou en anglais que vous n’avez pas créées, il faudra les supprimer et les signaler via Search Console.
Et vos données personnelles dans tout ça ?
C’est le point que la plupart des articles oublient, et c’est pourtant le plus important juridiquement.
Si votre site collecte des données personnelles (formulaire de contact, création de compte, commandes en ligne), un piratage peut constituer une violation de données au sens du RGPD. Et dans ce cas, vous avez des obligations légales :
Évaluer l’impact. Quelles données ont pu être exposées ? Noms, emails, adresses, données de paiement ? Les données étaient-elles chiffrées ?
Documenter l’incident. Le RGPD impose de documenter toute violation de données, même si vous décidez de ne pas la notifier.
Notifier la CNIL sous 72 heures si la violation présente un risque pour les droits et libertés des personnes concernées. Passé ce délai, vous devez justifier le retard.
Informer les personnes concernées si le risque est élevé (données sensibles, risque d’usurpation d’identité, données financières).
C’est là que le choix de votre hébergeur fait la différence. Un hébergeur qui supervise votre serveur 24/7 détectera l’intrusion rapidement. Un hébergeur qui dispose d’un registre des violations et d’une procédure de notification documentée vous aidera à respecter vos obligations. Un hébergeur sans supervision ? Vous découvrirez le piratage quand un client vous appellera pour vous dire que votre site affiche du contenu bizarre.
Comment éviter que ça se reproduise
Le nettoyage est fait, le site est en ligne, tout fonctionne. Mais si vous ne changez rien à la façon dont votre site est géré, le prochain piratage n’est qu’une question de temps.
Les trois piliers d’un WordPress qui ne se fait pas pirater :
Des mises à jour régulières. Pas une fois par an quand vous y pensez, chaque semaine. WordPress, les plugins, les thèmes, la version de PHP. Chaque mise à jour corrige des failles que les pirates exploitent activement.
Des sauvegardes fiables et testées. Une sauvegarde qui n’a jamais été testée n’est pas une sauvegarde, c’est un espoir. Sauvegardez quotidiennement, conservez plusieurs versions, et vérifiez régulièrement que la restauration fonctionne.
Une supervision active. Quelqu’un doit surveiller votre serveur : les tentatives de connexion suspectes, les modifications de fichiers anormales, les pics de charge inexpliqués. Sans supervision, vous êtes aveugle, et le pirate a tout le temps du monde.
Si vous ne pouvez pas ou ne voulez pas gérer tout ça vous-même, c’est normal. Ce n’est pas votre métier. Mais c’est le métier de quelqu’un, et ce quelqu’un devrait s’occuper de votre site.
En résumé
Votre site a été hacké ? Documentez, changez les mots de passe, mettez en maintenance, restaurez ou nettoyez, sécurisez, vérifiez le SEO et les obligations RGPD.
Mais surtout, posez-vous la question qui compte vraiment : qui s’occupe de la sécurité de votre site au quotidien ? Si la réponse est « personne », le prochain piratage est déjà en chemin.
Chez CTO Externe, chaque site hébergé bénéficie d’une supervision 24/7, d’un pare-feu applicatif, de sauvegardes quotidiennes chiffrées et testées, de mises à jour de sécurité proactives, et d’un cadre RGPD complet incluant un contrat de sous-traitance (DPA) et un registre des violations opérationnel. Un interlocuteur , senior, qui connaît votre site et s’en porte responsable.
