Aides Wordpress

5 actions essentielles pour désinfecter un site WordPress infecté

juillet 11th, 2025

Tu viens de découvrir que ton site WordPress est piraté ? Redirections étranges, pages disparues, pubs qui sortent de nulle part… Pas de doute : tu as été hacké. Pas de panique, ça arrive même aux meilleurs. Mais il faut agir vite.

Dans cet article, je vais te guider pas à pas pour désinfecter ton site WordPress efficacement. On va voir ensemble comment identifier le piratage, sauvegarder ce qui peut l’être, nettoyer les fichiers et la base de données, réparer les éléments infectés et surtout, sécuriser ton site pour éviter que ça recommence.

Sommaire

1. Identifier les signes d’un site WordPress piraté

Avant de foncer tête baissée dans le nettoyage, prends un moment pour bien cerner le problème. Un site WordPress piraté, ça peut prendre plusieurs formes. Et certains symptômes sont plus discrets qu’on ne le croit.

Voici les signes les plus fréquents d’un problème WordPress:

  • Ton site redirige vers des sites douteux (souvent casinos, porno ou arnaques)
  • Des pubs s’affichent sans raison
  • Ton tableau de bord WordPress est inaccessible
  • Google affiche un avertissement “Ce site peut être piraté”
  • Tu remarques une baisse soudaine de ton trafic

Ces signaux sont des indicateurs que ton site a potentiellement été hacké.

désinfecter site wordpress

Mais pour être sûr, utilise des outils de scan. Voici deux options faciles à utiliser :

  • Google Search Console : si tu l’as configurée, regarde les alertes de sécurité
  • Sucuri SiteCheck : gratuit, il scanne ton site depuis l’extérieur

⚠️ Attention : certains piratages sont invisibles pour l’utilisateur, mais très visibles pour Google. C’est ce qu’on appelle le cloaking : le pirate montre du contenu propre aux visiteurs, et du spam aux moteurs de recherche.

Pense à vérifier aussi tes fichiers via FTP ou cPanel, parfois le malware est visible sous forme de fichiers récemment modifiés comme index.php, functions.php ou wp-config.php.

2. Sauvegarder et isoler le site avant intervention

C’est peut-être contre-intuitif, mais avant de désinfecter ton site WordPress, tu dois absolument faire une sauvegarde. Même s’il est infecté. Pourquoi ? Parce que tu pourrais aggraver la situation sans le vouloir, et une copie permet de revenir en arrière en cas de fausse manip.

Comment sauvegarder un site WordPress piraté ?

Tu peux faire une sauvegarde :

  • Via FTP : récupère tous les fichiers de ton site manuellement (notamment wp-content, wp-config.php, .htaccess)
  • Via phpMyAdmin : exporte la base de données complète
  • Ou via un plugin de sauvegarde, si ton admin WordPress est encore accessible (UpdraftPlus, Duplicator, etc.)

💡 Si tu ne sais pas par où commencer, suis ce guide détaillé : sauvegarder son site WordPress

Isole ton site pour éviter la propagation

Une fois la sauvegarde faite, passe ton site en mode maintenance (avec un plugin si possible) ou bloque l’accès temporairement depuis ton .htaccess. Cela limite les dégâts et évite que Google continue d’analyser un site infecté.

Selon Sucuri, 60% des propriétaires de sites WordPress piratés n’avaient aucune sauvegarde à jour au moment de l’attaque.

3. Nettoyer WordPress : fichiers et base de données

Maintenant que ton site est sauvegardé et isolé, il est temps de passer au nettoyage. Cette étape est cruciale : c’est ici qu’on désinfecte vraiment le site WordPress.

Supprimer les fichiers infectés

Connecte-toi à ton site via FTP ou cPanel et vérifie les fichiers suivants :

  • index.php, wp-config.php, .htaccess : souvent modifiés par les pirates
  • Le dossier wp-content/uploads : parfois des fichiers malveillants sont déguisés en images
  • Tous les fichiers récents ou suspects que tu ne reconnais pas

Compare-les avec une installation WordPress saine pour voir ce qui a été modifié. Tu peux même remplacer entièrement les dossiers wp-admin et wp-includes par des versions propres téléchargées depuis wordpress.org.

Vérifier et nettoyer la base de données

La base de données peut aussi contenir du code malveillant :

  • Inspecte les tables wp_options, wp_posts et wp_users
  • Supprime les entrées inconnues, suspectes ou surchargées de scripts

Tu peux faire une recherche de termes comme <script>, base64_decode, eval() dans tes contenus ou options.

Supprimer les utilisateurs frauduleux

Va dans “Utilisateurs” dans ton admin WordPress (si encore accessible). Supprime toute entrée bizarre, notamment les comptes admin que tu n’as jamais créés.

Installe le plugin WP Security Audit Log pour traquer les activités inhabituelles et repérer les intrusions passées. Ça peut t’éclairer sur la porte d’entrée utilisée.

4. Réinstaller proprement les éléments corrompus

Même après un bon nettoyage, certaines parties de ton site peuvent être irrécupérables ou compromises en profondeur. Pour vraiment réparer ton site WordPress, mieux vaut repartir sur des bases saines.

Réinstaller WordPress manuellement

Télécharge la dernière version de WordPress depuis le site officiel. Supprime les dossiers wp-admin et wp-includes actuels, puis remplace-les par ceux de l’archive propre.

Ne touche pas à wp-content, c’est là que se trouvent tes thèmes, plugins et médias. Mais on va les gérer juste après.

Réinstaller thèmes et plugins

  • Supprime tous les thèmes et plugins que tu n’utilises pas
  • Pour ceux que tu gardes, supprime-les complètement puis réinstalle-les depuis les sources officielles
  • Mets-les tous à jour avant de les activer

Fais particulièrement attention aux plugins premium téléchargés sur des sites douteux : ils sont souvent une porte d’entrée pour les hackers.

💡 Tu peux en profiter pour faire un petit ménage : n’installe que ce dont tu as vraiment besoin. Moins il y a de composants, moins il y a de failles potentielles.

👉 Besoin de remettre ton site en ligne après un gros nettoyage ? Voici un guide utile : migration site WordPress

Selon WordFence, 70% des infections de sites WordPress sont dues à des plugins ou thèmes non mis à jour.

5. Sécuriser son site WordPress après le nettoyage

Maintenant que ton site est propre, il faut éviter que ça recommence. Désinfecter un site WordPress, c’est bien. Mais le sécuriser durablement, c’est encore mieux 💪

Change tous tes mots de passe

Commence par changer tous les accès :

  • Mot de passe WordPress (pour tous les utilisateurs)
  • FTP / SFTP
  • Accès base de données (et mettre à jour dans wp-config.php)
  • Panel d’hébergement (OVH, o2switch…)

Installe un plugin de sécurité

Quelques incontournables :

  • Wordfence : analyse en temps réel, pare-feu, blocage IP
  • SecuPress : très bon plugin français, complet et facile à configurer
  • iThemes Security : bon compromis entre simplicité et efficacité

Active les fonctions comme :

  • Blocage des tentatives de connexion
  • Notifications d’activités suspectes
  • Scan automatique

Gère proprement les redirections

Si Google a indexé des pages infectées, il faut les rediriger proprement vers des pages saines. Pour ça, utilise un plugin comme Redirection. Ça tombe bien, j’ai un tuto ici :
👉 plugin redirection 301 WordPress

Vérifie les cookies et injections malveillantes

Parfois les pirates glissent du code dans les cookies pour maintenir leur accès. Assure-toi que tout est clean en suivant ce guide :
👉 cookies WordPress

Programme un scan de sécurité hebdomadaire, c’est facile à faire avec Wordfence ou SecuPress. Et pense à activer les alertes mails !

FAQ – Désinfecter un site WordPress

Comment savoir si mon site WordPress a été piraté ? +
Les signes d’un site WordPress piraté incluent des redirections étranges, une baisse de trafic, des publicités qui apparaissent ou des comptes utilisateurs inconnus. Utilise des outils comme Google Search Console ou Sucuri SiteCheck pour vérifier.
Est-ce que je peux désinfecter un site WordPress sans l’aide d’un développeur ? +
Oui, c’est possible si tu suis une méthode claire comme celle de cet article. Il te suffit de bien sauvegarder, scanner, nettoyer les fichiers et la base de données, puis sécuriser ton site. Tu peux aussi suivre ce guide de sauvegarde WordPress pour éviter les erreurs.
Quels sont les meilleurs plugins pour sécuriser WordPress après un piratage ? +
Les plus recommandés sont Wordfence, SecuPress et iThemes Security. Ils permettent d’analyser ton site, bloquer les attaques et recevoir des alertes de sécurité. Tu peux aussi utiliser Redirection pour gérer les pages affectées.
Mon site est piraté, est-ce que je dois alerter Google ? +
Oui, une fois que ton site est nettoyé, tu dois demander une révision via Google Search Console. Cela évite que ton site reste marqué comme dangereux et améliore ton référencement.
Comment éviter qu’un piratage WordPress se reproduise ? +
Mets à jour régulièrement WordPress, tes thèmes et plugins. Change tes mots de passe, limite les accès, fais des sauvegardes fréquentes, et installe un plugin de sécurité. Tu peux suivre aussi ce guide : migration WordPress sécurisée.
Stanislas Weyant

Stanislas Weyant

Growth hacker depuis plus de 5 ans, j’accompagne les startups et les petites entreprises dans l’accélération de leur acquisition grâce au SEO et à des campagnes publicitaires ciblées et optimisées.

LinkedIn TikTok

Articles similaires

cookies wordpress Aides Wordpress Cookies WordPress : Pourquoi et comment les mettre en place

Cookies WordPress : Pourquoi et comment les mettre en place

Tu as un site WordPress ? Alors tu utilises sûrement des cookies, même sans le savoir. Et avec le RGPD,…
Stanislas Weyant
Stanislas Weyant27 septembre 2024
slug wordpress Aides WordpressSEO Slug WordPress : c’est quoi et comment bien l’optimiser pour le SEO ?

Slug WordPress : c’est quoi et comment bien l’optimiser pour le SEO ?

Tu t’es déjà demandé pourquoi certaines URL WordPress sont hyper claires… alors que d’autres ressemblent à une soupe de mots…
Stanislas Weyant
Stanislas Weyant5 juin 2024
/wp-content/uploads/ SEOAides Wordpress Comment optimiser le SEO en désindexant /wp-content/uploads/ dans WordPress

Comment optimiser le SEO en désindexant /wp-content/uploads/ dans WordPress

Lorsque vous gérez un site WordPress, il est essentiel d'optimiser le SEO pour améliorer la visibilité dans les moteurs de…
Stanislas Weyant
Stanislas Weyant8 juillet 2024
Share