Découvrir que ton site WordPress a été piraté peut être une expérience terrifiante. Ton site ne s’affiche plus correctement, Google affiche une alerte rouge, ou pire : ton hébergeur l’a suspendu. Ce genre d’incident peut impacter ton référencement, ta crédibilité et même tes ventes en ligne.
Mais pas de panique — il existe une méthode claire pour reprendre le contrôle de ton site WordPress hacké.
Dans les premières minutes suivant une attaque, chaque action compte. Le but : identifier la faille, limiter les dégâts, et sécuriser durablement ton site. Chez WP Builders, nous traitons chaque semaine des sites piratés, souvent à cause de plugins vulnérables ou de thèmes obsolètes.
Cet article t’explique les étapes à suivre immédiatement, que tu sois débutant ou administrateur confirmé.
🛑 Étape 1 : Isoler ton site WordPress compromis
Identifier les signes de piratage
Avant d’agir, il faut confirmer le piratage. Voici quelques symptômes typiques :
- Redirections vers des sites douteux
- Apparition de publicités ou liens inconnus
- Création d’utilisateurs inconnus dans WordPress
- Alertes de sécurité de Google ou ton hébergeur
- Consommation anormale de ressources serveur
👉 Si tu observes l’un de ces signes, déconnecte-toi immédiatement et évite toute action hasardeuse.
Mettre le site en maintenance
La première chose à faire est de limiter les dégâts.
- Active le mode maintenance via ton hébergeur ou un simple fichier
.maintenance. - Si tu utilises Plesk ou cPanel, tu peux bloquer temporairement les connexions HTTP publiques.
Cela empêche les visiteurs (et les hackers) d’interagir pendant ton intervention.
Chez WP Builders, nous isolons systématiquement les fichiers infectés avant toute opération de nettoyage.
🔍 Étape 2 : Scanner ton site WordPress à la recherche de fichiers infectés
L’étape suivante consiste à détecter le code malveillant.
Tu peux utiliser des outils comme :
- Sucuri SiteCheck — scan gratuit en ligne
- Wordfence ou iThemes Security — extensions de sécurité WordPress
- Un antivirus serveur si ton hébergeur le propose
Mais attention : ces outils ne détectent pas toujours toutes les infections. Certains scripts malveillants sont discrets et se camouflent dans les fichiers functions.php, wp-config.php ou dans le dossier /uploads/.
💡 Astuce WP Builders : nous utilisons un outil de comparaison de fichiers serveur, permettant d’identifier toute modification suspecte dans les 48 dernières heures.
🧰 Étape 3 : Sauvegarder avant toute action
Avant de supprimer quoi que ce soit, effectue une sauvegarde complète :
- Fichiers WordPress
- Base de données MySQL
- Clés API ou fichiers de configuration importants
Pourquoi ? Parce qu’une suppression maladroite pourrait rendre ton site irréparable. Même une copie infectée peut être utile pour analyser la faille plus tard.
Si tu disposes d’un service de maintenance WP Builders, cette étape est déjà automatisée grâce à nos sauvegardes quotidiennes sécurisées.
🧹 Étape 4 : Nettoyer ton site WordPress infecté
Nettoyer manuellement
Pour les utilisateurs avancés, tu peux :
- Supprimer les fichiers WordPress système et les remplacer par une version saine.
- Conserver le dossier
/wp-content/uploads/après vérification. - Supprimer tout fichier suspect (notamment
.phpcaché dans/uploads/). - Nettoyer la base de données (table
wp_optionssouvent infectée).
Faire appel à un professionnel
Si tu n’as pas l’habitude de manipuler le code ou la base de données, mieux vaut faire appel à un service de dépannage WordPress.
👉 Chez WP Builders, nous intervenons sous 2 heures pour identifier, nettoyer et sécuriser les sites hackés.
Nos experts effectuent un audit complet, suppriment les fichiers malveillants, mettent à jour le site, et renforcent la sécurité serveur.
🧩 Étape 5 : Identifier la faille d’origine
Un site hacké est souvent le résultat :
- d’un plugin ou thème obsolète,
- d’un mot de passe faible,
- d’un hébergement mal sécurisé,
- ou d’un accès FTP compromis.
Utilise les journaux (error.log, access.log) pour retracer l’origine de l’attaque.
Regarde la date du piratage et compare-la aux dernières mises à jour effectuées.
Bon réflexe : Supprime immédiatement tout plugin ou thème non utilisé.
Moins tu as d’extensions, moins il y a de failles potentielles.
🔐 Étape 6 : Renforcer la sécurité WordPress après restauration
Une fois ton site nettoyé :
- Change tous les mots de passe : admin, FTP, base de données, hébergeur.
- Mets à jour WordPress, tous les plugins et ton thème.
- Installe un pare-feu (WAF) : Wordfence ou Patchstack sont de bonnes options.
- Configure des sauvegardes automatiques avec un stockage externe (FTP, Dropbox, Google Drive).
- Active une authentification à deux facteurs (2FA) pour les comptes administrateurs.
💡 Astuce WP Builders : tous nos plans de maintenance incluent un pare-feu d’application et une surveillance proactive 24/7 contre les nouvelles menaces.
🧾 Étape 7 : Vérifier et restaurer ton référencement Google
Un site piraté peut être déréférencé ou signalé comme dangereux par Google.
Connecte-toi à la Google Search Console :
- Regarde les alertes de sécurité (section “Problèmes de sécurité”)
- Demande un réexamen une fois le site nettoyé
- Soumets à nouveau ton sitemap.xml
Pendant cette période, publie une courte annonce de transparence sur tes réseaux (“incident de sécurité résolu”) pour rassurer ta communauté.
🚀 Étape 8 : Prévenir les futures attaques
Les pirates cherchent souvent des sites faciles à compromettre.
Pour te protéger durablement :
- Supprime les comptes administrateurs inactifs
- Désactive l’éditeur de fichiers dans le back-office (
DISALLOW_FILE_EDITdanswp-config.php) - Masque la version de WordPress dans le code source
- Utilise un plugin de sécurité reconnu
- Et surtout : mets à jour régulièrement
Les clients WP Builders bénéficient d’un plan de maintenance mensuel incluant :
- Mises à jour automatiques vérifiées
- Scan sécurité quotidien
- Sauvegardes hors site
- Support prioritaire
⚡ Votre site WordPress a été piraté ? Nous intervenons en urgence.
Nos experts nettoient et sécurisent votre site sous 2 heures. Service disponible 7j/7 avec rapport complet et suivi de sécurité inclus.
🧠 Étape 9 : Réfléchir à une stratégie de maintenance préventive
La meilleure défense reste la prévention.
Un contrat de maintenance WordPress professionnelle, comme ceux proposés par WP Builders, te garantit :
- Des mises à jour continues
- Un monitoring en temps réel
- Une réaction immédiate en cas d’incident
Au lieu de perdre du temps (et du trafic) lors d’un piratage, tu bénéficies d’un filet de sécurité complet.
🔗 Pour en savoir plus, consulte la documentation officielle de WordPress sur la sécurité et les recommandations OWASP pour les applications web.
❓ FAQ — Site WordPress hacké
Puis-je nettoyer moi-même un site WordPress infecté ?
Oui, mais c’est risqué. Si tu ne maîtrises pas la structure WordPress, tu pourrais aggraver la situation. Le mieux est de faire appel à un professionnel du dépannage WordPress.
Mon hébergeur a suspendu mon site, que faire ?
Contacte-le immédiatement pour récupérer une sauvegarde. Puis confie la restauration à un expert comme WP Builders, qui traitera la faille et garantira une remise en ligne sécurisée.
Combien de temps faut-il pour réparer un site hacké ?
En moyenne, entre 2 et 6 heures selon la gravité et le nombre de fichiers infectés. Les équipes WP Builders assurent souvent une remise en ligne le jour même.
Comment éviter d’être piraté à nouveau ?
Mets à jour WordPress et tes plugins, utilise un pare-feu, change tes mots de passe régulièrement, et confie la maintenance à un prestataire spécialisé.
Comment savoir si mon site WordPress a été piraté ?
Les signes les plus fréquents sont des redirections, des messages d’erreur, des fichiers inconnus, ou une baisse brutale de trafic. Un scan avec Sucuri ou Wordfence te confirmera l’infection.