Tu ouvres ton site et là… écran rouge, pop-ups étranges, alertes de ton hébergeur ou de Google. Respire. Un WordPress hacké n’est pas une fatalité si tu agis vite et méthodiquement. Dans les prochaines lignes, tu vas suivre un plan d’intervention en 7 étapes pour réagir en moins d’une heure, préserver tes données et ressortir avec un site plus solide qu’avant. On va parler de malware WordPress, de nettoyage site, de backdoor, de scan sécurité, d’actions pour réinitialiser mots de passe et de durcissement afin d’éviter la récidive. L’objectif : reprendre le contrôle, comprendre l’origine, corriger proprement et sécuriser durablement.

Ce guide a été conçu pour les indépendants, TPE/PME et agences qui gèrent un site en production. Tu n’as pas besoin d’être développeur pour t’en sortir, mais tu dois suivre un ordre précis et ne rien improviser. Chaque minute compte : arrêter l’hémorragie, capturer une photo de l’état actuel, identifier ce qui a été touché, supprimer l’intrus sans casser le reste, puis verrouiller les accès. Même si tu comptes déléguer, connaître la feuille de route te permet de briefer efficacement et de décider avec sérénité. Et si tu veux qu’on s’en charge, l’équipe WP Builders peut intervenir très rapidement, tout en documentant chaque action pour que tu gardes la main par la suite.

Avant de plonger dans la technique, une règle d’or : ne jamais sacrifier l’intégrité des données. On ne nettoie pas un site sans sauvegarde complète, on ne remet pas en ligne un site sans tests, on ne réactive pas les accès sans réinitialisation générale. Prêt ? Voici le plan minute par minute.

Plan d’intervention en 7 étapes pour un WordPress hacké

Le déroulé ci-dessous couvre l’isolement, la sauvegarde, le scan, le nettoyage, la réinitialisation des accès, le durcissement et le post-mortem. Tu peux l’appliquer seul ou l’utiliser comme check-list de pilotage si tu fais appel à des spécialistes.

Étape 1 — Isoler immédiatement le site et l’hébergement (10–15 min)

But: stopper la propagation du malware, éviter l’exécution de backdoors et limiter l’impact utilisateur/SEO. Tant que l’attaque est active, chaque page chargée peut aggraver la situation.

• Basculer le front en maintenance ou restreindre l’accès par IP (htaccess) le temps du diagnostic.
• Si tu utilises un CDN/WAF (Cloudflare, etc.), active un mode de blocage temporaire et observe le trafic.
• Désactiver les plugins rapidement en renommant leur dossier via SFTP/SSH.

# SFTP/SSH (dans wp-content)mv plugins plugins.off# Via WP-CLI (si l’accès est encore possible)wp maintenance-mode activatewp plugin deactivate --all

Si l’attaque implique de l’envoi de spam ou des redirections massives, coupe aussi la cron WordPress (désactive wp-cron via wp-config et programme un cron système sain plus tard). Sur un multisite, isole chaque instance si possible. Note toutes tes actions pour le post-mortem.

Étape 2 — Sauvegarder l’existant avant toute modification (10–15 min)

But: préserver une copie exploitable pour nettoyer, comparer, restaurer si nécessaire. Sans sauvegarde, tu avances à l’aveugle.

• Fichiers: archive l’intégralité du répertoire du site (y compris wp-config.php et .htaccess).
• Base de données: export complet avec encodage correct et compression.
• Stocke ta sauvegarde hors serveur (cloud/objet storage) et calcule un checksum.

# Exemple en SSHcd /var/www/tonsitezip -r backup-files.zip .mysqldump -uUSER -pPASSWORD --single-transaction --routines --events DBNAME | gzip > backup-db.sql.gzsha256sum backup-files.zip backup-db.sql.gz > checksums.txt

Idéalement, crée un environnement de staging pour travailler hors production. Si ton hébergeur propose des snapshots instantanés, prends-en un également.

Étape 3 — Scanner méthodiquement le cœur, les thèmes et les plugins (10–15 min)

But: détecter les fichiers injectés, altérés et les tâches programmées malicieuses. Combine outils automatiques, signatures connues et vérifications manuelles.

• Vérifier les checksums du core pour repérer des fichiers modifiés.

wp core verify-checksums# Si des fichiers ne correspondent pas, on les remplacera par des originaux.

• Rechercher des patterns de malware dans wp-content, uploads, mu-plugins, et dans les thèmes enfants.

grep -R --line-number -E 'base64_decode|gzinflate|shell_exec|passthru|system\(|preg_replace\(/e|assert\(|eval\(' wp-contentfind wp-content -type f -name '*.php' -mtime -7 -print

• Inspecter les jobs cron et les tables suspectes (options, posts, users).

wp cron event listwp option get active_plugins --format=jsonwp user list --role=administrator

Complète avec un scan via une extension de sécurité réputée (Wordfence, iThemes Security, NinjaScanner, MalCare) sur l’environnement de staging si possible. Retiens les chemins exacts, fonctions utilisées et l’horodatage des fichiers pour la suite.

Étape 4 — Nettoyer, réinstaller et supprimer les backdoors (10–15 min)

But: supprimer tout code malicieux, remettre des sources saines, s’assurer qu’aucune porte dérobée ne persiste.

• Core: remplace les fichiers du cœur par des sources officielles.

wp core download --force --skip-content

• Thèmes et plugins: réinstalle depuis les dépôts officiels. Supprime toute extension inutile ou abandonnée.
• Uploads: ne devraient contenir que des médias. Tout .php dans uploads est suspect.

find wp-content/uploads -type f -name '*.php' -print -delete

• Fichiers inconnus (par ex. dans wp-includes, wp-admin): supprime-les. Compare avec la sauvegarde pour comprendre le vecteur.
• Base de données: cherche des iframes/JS injectés dans posts/meta/options. Nettoie ou restaure les enregistrements ciblés.

# Exemple de détection d'options suspecteswp db query "SELECT option_name FROM wp_options WHERE option_value LIKE '%<script%';"

Après nettoyage, refais un scan complet. S’il réapparaît des fichiers infectés, c’est qu’une backdoor subsiste (souvent dans mu-plugins, uploads, un thème enfant, un dropper dans /tmp, ou une tâche cron système). Traque aussi les auto_prepend_file dans .htaccess/php.ini.

À ce stade, ton site est propre au niveau des fichiers. Avant de rouvrir, il reste à couper l’accès aux intrus et verrouiller tout ce qui compte.

Besoin d’un nettoyage express ?

Nos spécialistes sécurisent et récupèrent ton site en moins de 2 heures, sans perte de données.

Voir les tarifs de récupération

Étape 5 — Réinitialiser tous les accès et sessions (5–10 min)

But: empêcher l’attaquant de revenir avec d’anciens identifiants, cookies de session ou clés compromises.

• Changer tous les mots de passe: administrateurs, éditeurs, comptes clients (si e-commerce), SFTP/SSH/FTP, base de données, panneau d’hébergement, CDN/WAF, compte e-mail d’admin.
• Régénérer les clés et SALT dans wp-config.php.

# Regénérer les clés SALT : https://api.wordpress.org/secret-key/1.1/salt/# Recopie et remplace les constantes AUTH_KEY, SECURE_AUTH_KEY, etc.

• Forcer la déconnexion de tout le monde et révoquer les sessions.

wp user session destroy --all

• Contrôler la liste des administrateurs, supprimer les comptes inconnus et imposer la 2FA.

wp user list --role=administrator# Supprime un compte inconnuwp user delete 123 --reassign=1

N’oublie pas les clés API (paiement, SMTP, services tiers). S’il y a eu fuite, régénère-les immédiatement et note les intégrations à reconfigurer.

Étape 6 — Durcir la configuration et mettre en place des protections (10–15 min)

But: réduire drastiquement la surface d’attaque et détecter plus tôt. Ici, on transforme l’incident en opportunité d’élever le niveau de sécurité.

• Mises à jour: active les mises à jour automatiques de sécurité et mets à jour les thèmes/plugins fiables.
• Permissions: règle des permissions strictes (fichiers 640/644, dossiers 750/755), propriété utilisateur unique.
• Désactive l’éditeur de fichiers dans l’admin, bloque l’exécution PHP dans uploads, restreins wp-admin par IP si possible.

# wp-config.phpdefine('DISALLOW_FILE_EDIT', true);# .htaccess dans uploads<FilesMatch '\\.php$'> Deny from all </FilesMatch>

• WAF/pare-feu: protège en amont (rate limiting, blocage pays/sources, règles spécifiques XML-RPC, bruteforce).
• Journaux et surveillance: active les logs, configure un monitoring d’intégrité (checksums) et des alertes e-mail/Slack.
• Politique de mots de passe et 2FA: impose la complexité et l’authentification multifacteur pour les rôles sensibles.

Pour aller plus loin, consulte le guide officiel Hardening WordPress et garde à l’esprit les bonnes pratiques de l’OWASP Top 10. Ce sont d’excellentes bases pour compléter ton plan de durcissement.

Étape 7 — Post‑mortem: comprendre, documenter, prévenir (10 min)

But: identifier l’origine, estimer l’impact, améliorer le temps de détection/réponse. Le post‑mortem t’épargne des récidives coûteuses.

• Reconstitue la chronologie: premiers signaux (alertes, logs), fichiers modifiés, création de comptes, erreurs serveur.
• Analyse les logs: accès web, PHP, authentifications, SFTP/SSH, cron. Cherche des IP récurrentes et de l’activité hors horaires.
• Vecteur d’entrée probable: plugin vulnérable, thème obsolète, mot de passe réutilisé, clé API exposée, formulaire sans anti‑bot.
• Impact: données exfiltrées, SPAM, blacklists, SEO négatif, réputation e‑mail.
• Améliorations: automatiser les sauvegardes, déployer un WAF, tester les mises à jour en staging, revue régulière de sécurité.

Documente tout: versions, actions, temps passés, décisions. Convertis ce récap en runbook d’incident pour l’équipe. Chez WP Builders, on livre systématiquement un rapport avec recommandations concrètes pour éviter les mêmes scénarios.

Check‑list 60 minutes (récap minute par minute)

• 0–10 min: isolement (maintenance, désactivation plugins, blocage IP/CDN), prise de snapshot.
• 10–25 min: sauvegardes fichiers + base, staging prêt.
• 25–40 min: scans checksums, patterns malwares, inventaire des anomalies.
• 40–55 min: nettoyage fichiers, réinstallation core/plugins, purge uploads PHP, nettoyage base.
• 55–60 min: réinitialisation des accès, SALT, révocation sessions, bascules de protections.

Tests finaux avant remise en ligne

• Parcours critique: pages clés, panier/checkout, formulaires, back‑office.
• Scan sur liste noire et sécurité (hébergeur, extensions de sécurité, antivirus local).
• Audit performances et erreurs PHP dans les logs.
• Vérification des règles WAF et de la compatibilité avec le cache/CDN.

Ne remets pas en ligne tant que les scans ne sont pas propres et que les accès ne sont pas tous régénérés. Une fois en production, maintiens une surveillance rapprochée pendant 48 à 72 heures.

Cas particuliers et conseils pro

E‑commerce (WooCommerce)

• Priorité à l’intégrité des commandes et des comptes clients: vérifie la base, les webhooks, les clés API.
• Purges de cache synchronisées pour éviter de servir de vieilles pages injectées.
• Communication transparente si des comptes ont pu être exposés (obligations légales selon le pays).

Multisite / Agences

• Segmente les accès par site, évite les super‑admins multiples, isole les fichiers de chaque instance.
• Industrialise: scripts WP‑CLI, monitoring centralisé, rapport standardisé post‑incident.

Hébergement mutualisé

• Vérifie les autres sites du même compte: une infection latérale est fréquente.
• Si possible, migre vers un hébergement avec isolation stricte (containers/chroot) et snapshots.

Maintenance continue après l’incident

• Sauvegardes automatisées quotidiennes avec rétention, test de restauration mensuel.
• Mises à jour régulières en staging, validation, puis déploiement en production.
• Monitoring 24/7: disponibilité, intégrité, sécurité, performances.
• Audit trimestriel: revue des rôles, nettoyage des extensions, renouvellement secrets/clé API.

Une maintenance solide, c’est l’assurance de détecter tôt et d’agir vite. C’est précisément l’approche que nous appliquons au quotidien pour nos clients: simplicité pour toi, rigueur côté technique.

Quand demander de l’aide immédiate

Si tu n’as pas d’accès, si l’attaque continue malgré l’isolement, si l’e‑commerce est en jeu ou si tu es déjà sur liste noire, ne perds pas de temps. Confie l’opération à des pros habitués à intervenir sous contrainte. Nous pouvons prendre le relais, documenter chaque étape et sécuriser la remise en ligne.

Ressources et normes utiles

Pour consolider ton plan d’action et former ton équipe: le Hardening WordPress (bonnes pratiques officielles) et l’OWASP Top 10 (principales failles web à connaître). Deux lectures essentielles à intégrer dans tes rituels de maintenance.