Découvrir que son site WordPress est piraté est une expérience stressante qui pousse beaucoup d’entrepreneurs à des réactions précipitées : suppression du site complet, paiement d’une rançon, restauration sauvage d’une vieille sauvegarde sans comprendre l’origine de l’intrusion. Ces réactions aggravent souvent la situation et n’évitent pas la deuxième compromission qui survient dans les semaines qui suivent. La méthode professionnelle de récupération suit une séquence en sept étapes ordonnées qui garantit un nettoyage complet, identifie la cause initiale et ferme la porte pour empêcher une nouvelle intrusion. Chez Propuls’Lead, nous avons accompagné une dizaine de récupérations de sites clients après piratage et nous appliquons ce protocole systématiquement, parce qu’il fait la différence entre une remise en route durable et une rechute à six semaines.
Étape 1 : confirmer le piratage et identifier les symptômes
La première erreur consiste à conclure trop vite à un piratage. Plusieurs symptômes peuvent être confondus avec une intrusion alors qu’ils ont une autre cause : un plugin mal configuré qui modifie le contenu, une mise à jour qui casse l’affichage, un problème DNS qui redirige le domaine. Avant toute action, il faut confirmer l’intrusion par des indicateurs objectifs.
Les signes typiques d’un piratage incluent l’apparition de pages ou de contenus que vous n’avez pas créés (souvent en chinois, russe ou anglais), des redirections automatiques vers d’autres sites lorsque les visiteurs cliquent sur des liens, l’apparition d’utilisateurs administrateurs inconnus dans la liste, des fichiers étranges dans le dossier wp-content/uploads avec des extensions PHP, des messages d’avertissement de Google dans les résultats de recherche (« Ce site peut endommager votre ordinateur »).
Pour confirmer objectivement, lancer un scan externe avec Sucuri SiteCheck (gratuit) qui inspecte les pages publiques sans accès au serveur. Si le scan détecte des malwares, des redirections suspectes ou un blacklisting par Google, le piratage est confirmé. Cette étape de diagnostic prend dix minutes et évite d’engager une procédure lourde sur un faux positif. Notre article sur sécuriser son site WordPress avec les 10 actions qui bloquent 99 % des attaques revient sur les mesures préventives qui auraient bloqué l’intrusion en amont.
Étape 2 : isoler le site et préserver les preuves
Avant tout nettoyage, isoler le site pour limiter la propagation et préserver les preuves utiles à l’enquête. Première action : passer le site en mode maintenance via un plugin (WP Maintenance Mode) ou via une page HTML statique placée à la racine, pour éviter que des visiteurs ne soient exposés au contenu compromis. Deuxième action : changer immédiatement les mots de passe FTP/SSH, le mot de passe d’accès à la base de données et les mots de passe de tous les comptes administrateurs.
Troisième action et la plus importante : créer une sauvegarde complète de l’état piraté avant tout nettoyage. Cette sauvegarde n’est pas destinée à être restaurée mais à servir de preuve pour l’analyse forensique : elle permet d’identifier quel fichier a été modifié, à quelle date, et par quelle requête. Sans cette sauvegarde, le diagnostic de la cause initiale devient impossible et la probabilité de rechute augmente.
Quatrième action : exporter les logs du serveur (access log et error log) sur la période suspecte, généralement les 30 jours précédant la détection. Ces logs contiennent la trace de l’intrusion initiale et permettent de remonter à la faille exploitée. Notre article sur WordPress et les sauvegardes automatiques revient sur la routine de sauvegarde qui aurait facilité cette étape.
Étape 3 : nettoyer les fichiers compromis et la base de données
Le nettoyage technique comporte deux volets parallèles. Premier volet : nettoyage des fichiers. Comparer chaque fichier du cœur WordPress avec la version officielle téléchargée depuis WordPress.org pour identifier les fichiers modifiés. Tout fichier modifié dans wp-admin, wp-includes ou un plugin officiel sans intervention légitime est suspect. Les fichiers PHP suspects présents dans wp-content/uploads doivent être supprimés (aucun fichier PHP ne doit s’y trouver normalement).
Deuxième volet : nettoyage de la base de données. Inspecter les tables wp_users (utilisateurs inconnus à supprimer), wp_options (options modifiées), wp_posts (articles ou pages suspects) et wp_postmeta (métadonnées d’injections). Un attaquant ajoute souvent du code JavaScript malveillant dans les options du site ou dans le contenu des articles populaires.
Pour les sites complexes, le service de nettoyage de Sucuri ou de Wordfence (entre 200 et 500 euros) prend en charge ces deux volets de manière professionnelle avec garantie de résultat. Cette option vaut la peine quand le site est critique ou quand l’équipe interne n’a pas l’expertise technique nécessaire. Notre article sur Wordfence vs Sucuri, quel plugin de sécurité WordPress choisir pour une PME revient sur le choix entre ces deux prestataires.
Étape 4 : identifier la faille exploitée et la fermer définitivement
L’erreur classique consiste à nettoyer le site sans identifier la faille qui a permis l’intrusion initiale. Résultat : le site est nettoyé, remis en ligne, puis repiraté dans les semaines qui suivent par la même faille restée ouverte. L’identification de la cause racine est l’étape qui rompt ce cercle.
Les logs serveur archivés à l’étape 2 contiennent généralement la trace de l’intrusion. Chercher les requêtes POST suspectes vers wp-login.php (signes de force brute réussie), les requêtes POST vers des plugins identifiés comme vulnérables, les téléversements de fichiers PHP via des formulaires de contact, ou les accès directs à wp-config.php. La date de la première requête suspecte donne la date de l’intrusion initiale et la requête elle-même révèle la faille exploitée.
Une fois la cause identifiée, fermer la faille : mettre à jour le plugin vulnérable, le remplacer s’il n’est plus maintenu, désactiver une fonctionnalité dangereuse, renforcer un mot de passe compromis. Sans cette fermeture, la prochaine intrusion n’est qu’une question de jours. Notre article sur WordPress et l’hébergement, passer du mutualisé au VPS revient sur les choix d’infrastructure qui facilitent l’analyse des logs.
Étape 5 : restaurer, durcir et industrialiser dans la méthodologie PROPULSE
Une fois le site nettoyé et la faille fermée, sortir du mode maintenance, vérifier que les fonctionnalités principales marchent (page d’accueil, formulaires, paiements si e-commerce) et demander à Google le retrait du blacklisting via la Search Console. Ce retrait prend généralement 24 à 72 heures après vérification automatique par les robots Google.
Dans le cadre de la méthodologie PROPULSE que nous appliquons chez Propuls’Lead, une récupération de site piraté inclut systématiquement un durcissement post-nettoyage : installation de Wordfence ou Sucuri en pare-feu, activation du 2FA sur tous les comptes administrateurs, configuration de sauvegardes 3-2-1, monitoring d’intégrité pour alerter en cas de modification suspecte de fichier, audit trimestriel pendant les six mois suivant l’incident.
Cette industrialisation post-incident a une logique simple : un site déjà piraté reste statistiquement une cible plus probable que la moyenne dans les mois qui suivent, parce que les attaquants partagent les listes de cibles validées. Le durcissement renforcé pendant six mois neutralise ce risque résiduel. Sur les dix récupérations que nous avons accompagnées, aucune rechute n’a été constatée dans les douze mois suivants.
Ce qu’il faut retenir pour récupérer un site WordPress piraté
La récupération d’un site WordPress piraté est un protocole technique qui suit une séquence ordonnée. Cinq points clés à retenir : confirmer le piratage par un scan externe avant d’engager une procédure lourde, isoler le site et préserver les preuves avant tout nettoyage, nettoyer parallèlement les fichiers compromis et la base de données contaminée, identifier la faille exploitée via les logs serveur et la fermer pour éviter la rechute, durcir le site avec pare-feu 2FA et sauvegardes 3-2-1 pendant les six mois suivant l’incident. Chez Propuls’Lead, ce protocole en sept étapes garantit une remise en route durable et un taux de rechute proche de zéro, parce qu’il traite la cause et pas seulement les symptômes.