Tous les articles
VulnérabilitésWordPressSécurité webPME

Site WordPress piraté en 2026 : comment le détecter, le nettoyer et éviter la récidive

HJ
Hugo Joucla
· 3 juillet 2026· 6 min

Votre site WordPress redirige vers un site douteux, Google affiche « Ce site peut être piraté », ou votre hébergeur vient de suspendre votre compte. Pas de panique, mais pas de temps à perdre non plus. WordPress motorise environ 4 sites sur 10 dans le monde : c'est précisément ce succès qui en fait la cible favorite des attaques automatisées. La bonne nouvelle, c'est qu'un site compromis se récupère presque toujours, à condition d'agir dans le bon ordre. Voici la méthode que nous appliquons sur le terrain, sans jargon inutile.

Comment savoir si votre site WordPress est vraiment piraté

Beaucoup de dirigeants découvrent le problème trop tard, parce que le pirate cherche justement à rester discret. Un site infecté fonctionne souvent normalement pour vous, mais pas pour vos visiteurs ou pour Google. Le premier réflexe : consultez votre site depuis un navigateur en navigation privée et depuis votre téléphone en 4G, sans être connecté à l'admin.

Les signaux d'alerte les plus courants

Redirections inattendues vers des sites de paris, de médicaments ou de fausses promotions, surtout depuis un smartphone. Avertissement de Google dans les résultats (« Ce site peut être piraté » ou page rouge de Safe Browsing). Ralentissement soudain ou pics de trafic anormaux dans vos statistiques. Nouveaux comptes administrateurs que vous n'avez pas créés. Fichiers récents aux noms bizarres à la racine du site. Et le classique : votre hébergeur qui suspend votre site pour cause d'envoi massif de spam.

Vérifier sans se faire piéger

Utilisez les outils gratuits de la Google Search Console (section « Problèmes de sécurité ») pour savoir ce que Google a détecté. Un scanner en ligne comme Sucuri SiteCheck donne un premier avis externe. Attention : ces outils repèrent une infection, mais ne prouvent pas l'absence d'infection. Un site peut être compromis sans qu'aucun scanner public ne le voie encore.

Les 6 étapes pour nettoyer un site compromis

L'ordre compte énormément. Nettoyer sans sécuriser, c'est se faire réinfecter en quelques heures. Voici la séquence à respecter.

1. Isoler et sauvegarder l'état actuel

Avant tout, faites une sauvegarde complète du site infecté (fichiers + base de données). Cela peut sembler contre-intuitif, mais cette copie servira de preuve et permettra d'analyser l'attaque. Si possible, passez le site en mode maintenance pour ne plus exposer vos visiteurs.

2. Changer tous les mots de passe et clés

Réinitialisez les mots de passe de l'admin WordPress, du FTP/SFTP, de la base de données et du panneau de votre hébergeur. Régénérez aussi les clés de sécurité (les « salts ») dans le fichier wp-config.php. Supprimez immédiatement tout compte administrateur inconnu.

3. Identifier et supprimer le code malveillant

Le malware se cache le plus souvent dans les fichiers modifiés récemment, dans les extensions piratées ou « nulled », et dans des fichiers PHP injectés. La méthode la plus fiable consiste à réinstaller le cœur de WordPress et les extensions à partir de sources officielles, puis à inspecter uniquement vos fichiers personnalisés et la base de données. Nettoyer ligne par ligne un site inconnu est un travail d'expert : une seule porte dérobée oubliée suffit à tout relancer.

4. Mettre à jour l'intégralité de l'écosystème

La très grande majorité des piratages WordPress exploitent une extension ou un thème non mis à jour, pas WordPress lui-même. Mettez tout à niveau : cœur, thème, plugins. Supprimez purement et simplement les extensions inutilisées ou abandonnées par leur éditeur.

5. Demander la levée des alertes

Une fois le site propre, demandez un nouvel examen dans la Google Search Console pour faire retirer l'avertissement. Contactez votre hébergeur pour lever la suspension. Cette étape est souvent oubliée, et c'est elle qui restaure votre réputation auprès des visiteurs.

6. Surveiller les jours suivants

Une réinfection survient presque toujours dans la première semaine si une porte dérobée a été manquée. Surveillez les fichiers modifiés, les nouveaux comptes et le trafic sortant pendant au moins deux semaines.

Comment éviter que ça recommence

Le nettoyage n'est que la moitié du travail. Un site remis en ligne sans durcissement sera de nouveau attaqué, car les robots repassent en boucle.

Les mesures qui ont le plus d'impact

Mises à jour automatiques activées pour le cœur et les extensions de confiance. Authentification à deux facteurs (2FA) sur tous les comptes administrateurs. Sauvegardes automatiques et externalisées, testées régulièrement (une sauvegarde jamais restaurée ne vaut rien). Un pare-feu applicatif web (WAF) qui bloque les attaques avant qu'elles n'atteignent votre site. Enfin, le principe du moindre privilège : chaque personne n'a que les droits dont elle a réellement besoin.

Le vrai coût d'un site piraté

Au-delà du nettoyage, un piratage coûte cher indirectement : perte de référencement Google, e-mails qui atterrissent en spam, clients qui fuient une page « ce site peut être piraté », et parfois fuite de données personnelles avec obligation de déclaration à la CNIL sous 72 heures. Prévenir coûte toujours moins cher que guérir, surtout quand votre site est aussi votre principal canal commercial.

Votre site montre des signes suspects, ou vous voulez simplement vérifier qu'il est sain et bien protégé ? Demandez votre diagnostic gratuit à JOUCLA CYBERDÉFENSE : nous analysons votre site, identifions les failles et vous remettons un plan d'action clair, sans engagement.

Diagnostic gratuit
WordPressSécurité webPMEMalwareNettoyage site

Vous voulez aller plus loin ?

Découvrez Sérénité Cyber PME, notre offre packagée qui couvre l'ensemble des risques décrits dans cet article — pour un prix mensuel unique.

Newsletter cyber

Recevez nos analyses cyber chaque mois

Alertes CVE critiques, retours d'expérience terrain, conseils concrets pour PME. Pas de spam, désabonnement en un clic.

En vous abonnant, vous acceptez de recevoir nos emails. Vos données ne sont jamais partagées.

Appeler