Votre site WordPress a été piraté ? Cela peut être une expérience stressante, voire catastrophique pour votre activité. Entre perte de données, image de marque ternie et déclassement sur Google, les conséquences peuvent être lourdes. Heureusement, il est possible de réparer un site WordPress hacké efficacement, à condition d’agir vite et stratégiquement.
Dans cet article, nous allons vous guider étape par étape pour identifier la faille, nettoyer le site, renforcer sa sécurité et le remettre en ligne en toute confiance. Que vous soyez un entrepreneur, un freelance ou une collectivité, cet article est fait pour vous. 🛡️
Hack WordPress : Comment reconnaître un piratage WordPress ?
Un site peut être hacké de manières très diverses. Voici les principaux symptômes qui doivent vous alerter :
- Affichage de contenus inconnus (liens vers des sites douteux, textes japonais, pop-ups…)
- Redirection vers un autre site à l’ouverture de votre URL
- Erreur 500 ou page blanche (white screen of death)
- Notification de Google Search Console (ou déclassement SEO)
- Alertes des antivirus ou navigateurs (« ce site est dangereux »)
- Apparition de fichiers ou utilisateurs inconnus dans l’administration
Un site WordPress piraté peut fonctionner de manière quasi normale en surface, mais cacher du code malveillant en arrière-plan. Il est donc crucial de réagir au moindre doute.
Les types de piratage WordPress les plus courants ⚠️
Comprendre l’origine de l’attaque est essentiel pour agir efficacement. Voici les formes de hacks WordPress les plus fréquentes, avec leurs mécanismes et leurs conséquences détaillées.
Le Japanese SEO Hack 🇯🇵
Ce piratage redouté transforme vos pages WordPress en faux sites de e-commerce japonais, souvent truffés de caractères kanji et de liens vers des produits illégitimes. L’objectif n’est pas de nuire directement à votre site, mais de profiter de votre autorité SEO pour référencer un autre site. Résultat : votre site est utilisé comme hôte pour améliorer artificiellement le positionnement d’un site tiers sur Google Japon.
Souvent invisible en front-end pour les visiteurs français, il se repère dans Google Search Console (onglet « performances » ou « pages indexées ») ou en consultant le cache Google. Il modifie la base de données, ajoute des pages fantômes, et peut s’accompagner de cloaking (contenu différent selon l’origine du visiteur).
Le hack par redirection 🔄
Ce type de piratage injecte des scripts malveillants dans vos fichiers .htaccess, index.php, ou via du JavaScript. Dès qu’un utilisateur tente d’accéder à votre site, il est automatiquement redirigé vers un site externe, souvent douteux : vente illégale, sites pour adultes, phishing ou malware.
Ces attaques peuvent être conditionnelles (ne concernant que les visiteurs mobiles ou venant de Google) et sont particulièrement destructrices pour votre SEO. Elles peuvent aussi vous faire blacklister par Google ou les navigateurs.
Le backdoor PHP 🔐
Les pirates injectent des fichiers PHP dissimulés dans votre site, souvent avec des noms anodins comme functions2.php ou temp.php. Ces fichiers contiennent des fonctions telles que eval(), system(), base64_decode() ou exec(), permettant aux hackers de reprendre la main à distance, même après un nettoyage.
C’est ce qu’on appelle une porte dérobée : une fois le backdoor actif, le pirate peut réinjecter du code, créer des comptes admin, ou modifier vos fichiers en continu. Il est impératif de scanner tout le site, y compris les sous-dossiers de plugins et de thèmes.
Le piratage via plugin nulled 📦
Installer un plugin ou un thème piraté (aussi appelés « nulled ») revient à ouvrir grand la porte aux cybercriminels. Ces fichiers gratuits, souvent diffusés sur des sites douteux, sont volontairement modifiés pour inclure du code malveillant : backdoors, redirections, injections, etc.
Même si le plugin fonctionne en apparence, il peut héberger des scripts discrets mais destructeurs, qui s’activent à l’insu de l’administrateur. Utiliser des plugins ou thèmes nulled est une fausse économie qui peut coûter cher en nettoyage, perte de données, et SEO.
Le cryptojacking 💰
Le pirate utilise votre serveur pour miner de la cryptomonnaie en arrière-plan, souvent via des scripts injectés dans le JavaScript ou directement dans les fichiers PHP. Aucun contenu visible ne change, mais votre site devient lent, le serveur sature, et les ressources CPU s’envolent sans raison apparente.
C’est un piratage difficile à détecter si vous n’utilisez pas d’outils de surveillance serveur. Il n’a pas pour but de voler vos données, mais de profiter de votre hébergement à vos dépens.
Les injections SQL ou XSS 🧬
Ces attaques exploitent des failles de sécurité dans les plugins, les formulaires mal protégés ou les API. Le hacker injecte du code malveillant dans la base de données (SQL injection) ou dans le DOM (XSS : cross-site scripting).
Les effets sont variés : affichage de pop-ups, redirection, création d’admin, extraction de données, etc. Ces failles sont souvent présentes dans des extensions non mises à jour ou mal codées.
Le spam SEO (pharma hack) 💊
Très fréquent sur les sites WordPress, ce hack remplace ou duplique vos contenus avec des pages vantant des médicaments illicites ou des traitements miracles. Le but est d’exploiter votre autorité SEO pour pousser ces produits dans les résultats Google.
Parfois invisible à l’œil nu (affiché uniquement aux robots), ce hack peut passer inaperçu longtemps. Il s’identifie via la Search Console ou des services comme Ahrefs/Semrush qui signalent des mots-clés inhabituels.
Le piratage d’accès admin 👤
Les pirates lancent des attaques par force brute pour deviner vos identifiants WordPress (souvent admin / motdepasse). Une fois connectés, ils ont accès total au tableau de bord, peuvent installer des scripts, créer d’autres comptes, ou désactiver les mesures de sécurité.
Une protection via limite de tentatives, changement de l’URL de connexion, et double authentification est indispensable pour prévenir ce type d’intrusion.
Étape 1 : Mettre le site en quarantaine 🧯
Avant toute manipulation :
- Sauvegardez les fichiers et la base de données (même infectés)
- Si le site est en ligne, mettez-le hors ligne temporairement via votre hébergeur ou un fichier
.maintenance - Informez vos clients si nécessaire
Cela évite toute propagation, rassure les visiteurs, et vous permet de travailler sereinement.
Étape 2 : Identifier le vecteur d’infection 🔍
Un piratage WordPress est souvent causé par :
- Un plugin obsolète ou non maintenu
- Un thème piraté (nulled)
- Des identifiants faibles (admin / 123456…)
- Une faille dans WordPress non mis à jour
- Une mauvaise configuration de l’hébergement
Utilisez des outils comme :
- WPScan (analyse de vulnérabilités)
- Sucuri SiteCheck (scan externe)
- Votre console d’hébergement pour détecter les fichiers suspects
L’objectif est de déterminer l’origine de l’intrusion pour éviter que l’histoire ne se répète.
Étape 3 : Nettoyer les fichiers et la base de données 🧹
Nettoyage des fichiers
- Supprimez tous les plugins et thèmes non essentiels
- Réinstallez une version saine de WordPress (core)
- Comparez vos fichiers avec une version vierge pour repérer les ajouts malveillants (
eval,base64_decode,exec…)
Nettoyage de la base de données
- Recherchez les contenus suspects dans
wp_posts,wp_options, etc. - Supprimez les comptes utilisateurs inconnus
- Changez tous les mots de passe (admin, FTP, base SQL, etc.)
Des plugins comme Wordfence ou iThemes Security peuvent vous assister, mais un nettoyage manuel reste souvent nécessaire pour un WordPress piraté en profondeur.
Étape 4 : Reprendre le contrôle total ✉️
- Vérifiez les fichiers à la racine (index.php, .htaccess, wp-config.php…)
- Changez les clés de sécurité WordPress dans
wp-config.php - Videz les sessions, caches, et cookies
Reprenez la main sur tout ce qui pourrait être encore compromis. N’oubliez pas de changer vos accès hébergeur.
Étape 5 : Renforcer la sécurité WordPress 🔒
Un WordPress hacké est le signal d’une faille de sécurité. Voici les bonnes pratiques pour éviter que cela ne recommence :
- Mettez à jour WordPress, vos plugins et vos thèmes régulièrement
- Supprimez tout ce qui est inutilisé ou douteux
- Installez un plugin de sécurité (ex : Wordfence, Solid Security)
- Activez l’authentification à deux facteurs
- Masquez votre page de connexion (
wp-admin) - Changez le préfixe
wp_dans la base de données
Et surtout : faites des sauvegardes régulières !
Étape 6 : Rassurer Google et vos visiteurs ✅
Une fois votre site nettoyé :
- Reconnectez-vous à Google Search Console
- Demandez une réexamen si une alerte de sécurité a été émise
- Testez votre site avec Google Safe Browsing et d’autres outils comme VirusTotal
- Informez vos utilisateurs (via newsletter ou pop-up rassurant)
Votre réputation est en jeu, mais un site WordPress dépiraté proprement retrouvera vite son trafic et sa crédibilité.
Pourquoi faire appel à Progressio Web ?
Chez Progressio Web, nous savons qu’un site WordPress piraté est bien plus qu’un simple bug technique. C’est un stress pour votre activité, une perte de confiance, un risque SEO. C’est pourquoi nous proposons une intervention rapide, sûre et personnalisée.
Nous :
- Identifions la source de l’infection
- Nettoyons en profondeur le code et la base
- Rétablissons votre site dans son état d’origine
- Renforçons la sécurité pour empêcher tout retour
- Vous accompagnons pour regagner la confiance de vos visiteurs
Pas de formule magique, mais un vrai savoir-faire, fondé sur des dizaines de cas résolus. Faites-nous confiance à votre tour.
Tout savoir sur les sites WordPress piratés
Mon site WordPress a été piraté, que faire en premier ?
La première étape consiste à mettre le site en maintenance, puis à faire une sauvegarde complète (même si elle est infectée). Ensuite, procédez à l’identification de la faille et au nettoyage.
Est-ce que je dois supprimer tous mes fichiers ?
Non, il est préférable de remplacer uniquement les fichiers infectés, tout en conservant vos contenus. Un scan minutieux permettra de distinguer les fichiers sains des fichiers malveillants.
Faut-il supprimer la base de données ?
Pas nécessairement. Il est souvent suffisant de nettoyer les tables corrompues et de supprimer les entrées injectées. Un professionnel saura détecter les anomalies dans la base.
Puis-je nettoyer mon site WordPress moi-même ?
C’est possible si vous avez des connaissances techniques solides. Sinon, mieux vaut faire appel à une agence spécialisée, car un nettoyage mal fait peut laisser des portes ouvertes aux pirates.
Mon SEO sera-t-il impacté par un piratage ?
Oui. Google peut pénaliser un site piraté ou l’afficher comme dangereux. Il est crucial de demander un réexamen une fois le nettoyage terminé pour retrouver votre positionnement.
Combien de temps faut-il pour réparer un site piraté ?
Cela dépend de la gravité de l’infection. En moyenne, entre quelques heures et deux jours sont nécessaires pour un nettoyage complet et une sécurisation efficace.
Qu’est-ce qu’un backdoor et pourquoi est-ce dangereux ?
Un backdoor est un accès secret laissé par les hackers, souvent sous forme de fichier ou de code injecté. Même après nettoyage, il peut permettre une reprise de contrôle du site.
Est-ce que les plugins piratés (nulled) sont dangereux ?
Oui, ces plugins sont une porte ouverte aux infections. Ils contiennent souvent du code malveillant injecté délibérément.
Peut-on éviter un piratage WordPress ?
Oui, en mettant à jour WordPress, en utilisant des plugins fiables, en choisissant un bon hébergeur et en appliquant les bonnes pratiques de sécurité (mots de passe forts, double authentification, etc.).
Quel plugin de sécurité recommandez-vous ?
Wordfence, Solid Security (ex-iThemes), ou encore Sucuri sont des références fiables. Ils permettent un scan en profondeur, un pare-feu applicatif et des alertes en temps réel.
Comment savoir si le piratage vient d’un plugin ou d’un thème ?
En désactivant les extensions une à une et en inspectant les fichiers de thèmes personnalisés. Des outils comme WPScan aident aussi à identifier les failles connues.
Est-ce que changer tous les mots de passe suffit ?
Non. Il faut nettoyer les fichiers, les utilisateurs et la base, et ensuite changer tous les mots de passe. Cela ne suffit pas à lui seul.
Dois-je avertir mes visiteurs ou clients ?
Oui, en toute transparence. Une communication claire rassure et montre votre réactivité. Privilégiez une pop-up ou un email explicatif une fois le site réparé. A noter qu’en cas de fuite de données personnelles de vos clients il est de votre devoir d’avertir vos clients et de déclarer l’incident auprès des services adéquats.
Progressio Web peut-il intervenir même si mon site est très infecté ?
Oui ! Nous sommes spécialisés dans les WordPress fortement compromis. Nous intervenons rapidement, même pour les cas complexes, et vous aidons à repartir sur des bases saines. Nous garantissons dans 99% des cas un site stable, nettoyé et sécurisé dans les heures qui suivent la demande de réparation. Nous prenons ce genre de demande très au sérieux car nous savons que cela impact votre image de marque.
Agence Web dans l’Oise et les Hauts-de-France
Progressio Web intervient dans tout le département de l’Oise et au-delà : Beauvais, Compiègne, Amiens, Senlis, Rouen… Nous connaissons les besoins des entreprises locales. Notre expertise en WordPress, en sécurité web et en référencement SEO nous permet de vous accompagner sur le long terme.
Vous avez été victime d’un piratage WordPress ? Contactez-nous sans attendre pour remettre votre site sur pied en toute sérénité !
Comment savoir si mon site WordPress est réellement hacké ?
Des signes comme une redirection suspecte, des contenus étrangers, des utilisateurs inconnus ou une alerte Google sont des indicateurs fiables d’un piratage. Vous pouvez aussi utiliser un scanner comme Sucuri ou Wordfence.