Demeillat Web

À quoi sert un site WordPress piraté (et comment il est exploité)

Un site WordPress piraté ne sert pas seulement à casser votre site. Il peut héberger une arnaque, rediriger vos visiteurs, envoyer du spam ou servir en arrière-plan sans que vous le voyiez.

Dans cet article, on aborde :
hack wordpressmaintenance WordPressmalware wordpresspage bancaire frauduleusephishingredirection piratesecurite WordPresssite compromissite WordPress pirateWordPress pirate

Temps de lecture :

9–13 minutes
Accueil » Blog » Maintenance & Sécurité » À quoi sert un site WordPress piraté (et comment il est exploité)

Quand on pense à un site piraté, on imagine souvent un site cassé.

Page blanche. Message d’erreur. Accueil remplacé par une page douteuse. Logo disparu. Bref, un piratage visible, bruyant, impossible à rater.

Le problème, c’est que ce n’est pas toujours comme ça que ça se passe.

Un site WordPress compromis peut continuer à sembler normal. Il charge. Le menu fonctionne. Les pages sont là. Le propriétaire se connecte, jette un œil rapide, et se dit que tout va bien.

Pendant ce temps, le site peut déjà servir à autre chose.

Et c’est justement là que beaucoup de gens se trompent : un site piraté n’est pas forcément saboté pour être inutilisable. Très souvent, il est exploité parce qu’il fonctionne encore.

Un site en ligne, indexé, déjà installé, avec un vrai nom de domaine et parfois une certaine ancienneté, c’est une ressource utile pour un attaquant. Pas seulement pour casser. Pour héberger, rediriger, tromper, diffuser ou se cacher.

1. Un site piraté est presque toujours exploité

Un piratage ne se résume pas à un acte gratuit.

Dans la plupart des cas, il y a un usage derrière. Le pirate ne prend pas le contrôle d’un site WordPress juste pour laisser une trace décorative. Il cherche un intérêt.

Au début du web, on voyait plus souvent des piratages visibles, presque signés : page noire, message du type “this site was hacked by…”, interface remplacée, provocation plus ou moins puérile. Ce genre de marquage existe encore, mais ce n’est plus ce qu’on rencontre le plus souvent aujourd’hui.

Un site compromis vaut souvent plus quand il continue à fonctionner, sans bruit, pendant qu’il sert à autre chose.

Cet intérêt peut être :

  • financier ;
  • publicitaire ;
  • frauduleux ;
  • technique ;
  • ou parfois purement opportuniste.

En clair, un site compromis devient un support.

Parfois, ce support est utilisé pour piéger des visiteurs. Parfois, pour héberger des contenus parasites. Parfois, pour détourner du trafic. Et parfois, pour lancer d’autres actions depuis votre serveur sans attirer l’attention.

Autrement dit, le vrai problème n’est pas seulement “le site est piraté”.

Le vrai problème, c’est :

“à quoi sert-il maintenant, et depuis combien de temps ?”

2. Une fausse page de connexion peut rester cachée

C’est l’un des cas les plus parlants, mais ce n’est qu’un cas parmi d’autres.

Un attaquant peut utiliser un site WordPress compromis pour héberger une page frauduleuse, par exemple :

  • fausse page bancaire ;
  • faux espace client ;
  • faux formulaire de connexion ;
  • faux paiement ;
  • ou imitation d’une marque connue.

L’intérêt, pour le pirate, est simple : escroquer des internautes tant que le domaine ou l’URL ne sont pas encore signalés comme suspects.

La page peut être placée à une adresse qui n’apparaît ni dans le menu, ni dans la navigation normale du site. Les victimes n’y arrivent pas en cliquant dans le site comme un visiteur classique, mais par un lien direct envoyé ailleurs, par exemple dans un email, un SMS ou un faux message d’alerte.

Un vrai site dans son parcours normal, et une fausse page de connexion accessible seulement par lien direct.

Le sujet mérite d’ailleurs un article à part, parce qu’à partir de là on ne parle plus seulement de piratage, mais d’un site qui sert directement de support à une arnaque.

3. Des visiteurs peuvent être redirigés sans que vous le voyiez

Autre usage très fréquent : la redirection.

Le site n’héberge pas forcément lui-même le contenu frauduleux. Il sert de passerelle.

Concrètement, l’attaquant injecte un code qui envoie certains visiteurs vers une autre destination :

  • site d’arnaque ;
  • faux produit ;
  • casino ;
  • contenu adulte ;
  • malware ;
  • ou page de récupération de données.

La redirection peut être conditionnelle. Elle peut ne viser :

  • que les visiteurs venant de Google ;
  • que les mobiles ;
  • que certaines zones géographiques ;
  • que les visiteurs non connectés ;
  • ou seulement une fois sur plusieurs.

Résultat : le propriétaire peut tester son site sans rien voir, pendant que certains internautes sont déjà envoyés ailleurs.

4. Le hack peut rester invisible pour l’administrateur

C’est l’un des ressorts les plus trompeurs du hack caché.

Beaucoup d’attaques ne cherchent pas seulement à injecter du contenu ou une redirection. Elles cherchent aussi à ne pas se montrer aux mauvaises personnes, c’est-à-dire à vous.

Concrètement, le code peut être prévu pour ne rien afficher :

  • si l’utilisateur est connecté à WordPress ;
  • si son rôle est administrateur ;
  • si l’IP correspond à celle du propriétaire ou du prestataire ;
  • ou si la visite ressemble à un contrôle manuel classique.

Dit autrement, plus vous venez voir le site comme administrateur, plus vous risquez de tomber sur une version propre.

Et pendant ce temps :

  • un visiteur classique voit autre chose ;
  • un mobile peut être redirigé ;
  • un internaute venant de Google peut tomber sur une page différente ;
  • ou un robot peut recevoir un contenu prévu uniquement pour lui.

C’est précisément pour ça qu’un “je viens de tester, je n’ai rien vu” ne vaut pas diagnostic.

5. Le SEO peut être détourné sans presque rien montrer à l’écran

Un site compromis peut aussi être utilisé comme support de pollution SEO discrète.

L’idée n’est pas toujours de voler directement un visiteur. Parfois, le but est surtout de détourner la réputation du domaine pour pousser d’autres pages, d’autres sites ou d’autres destinations.

On voit par exemple :

  • des liens cachés injectés dans le HTML ;
  • des blocs déplacés hors écran plutôt que simplement masqués ;
  • des contenus visibles surtout pour les robots ;
  • des variations selon le user-agent ;
  • ou des redirections pensées pour récupérer du jus SEO.

Le détail est important. Les attaquants n’utilisent pas toujours un simple display:none, trop grossier ou trop visible dans certains contrôles. Ils peuvent préférer des liens placés très loin hors de l’écran, dans des zones que le visiteur normal ne verra jamais, mais que le code source et certains crawlers liront très bien.

Autre cas classique : le cloaking selon le user-agent.

Le site peut servir :

  • une version propre pour l’administrateur ;
  • une version parasite pour certains robots ;
  • ou une redirection permanente 301 uniquement pour des user-agents de crawlers afin de détourner la valeur SEO du domaine.

Le point important, c’est qu’une 301 n’est pas une redirection anodine. C’est un signal technique fort qui dit en gros au moteur : « cette page ou ce site a changé d’adresse ». Si ce signal est détourné, une partie de la valeur SEO peut être déplacée ailleurs, ce qui pénalise le site d’origine.

Vu côté propriétaire, rien ne saute forcément aux yeux. Vu côté moteur ou outil de crawl, le site raconte déjà une autre histoire.

Le site parait normal au proprietaire, mais raconte autre chose a Google et aux robots de crawl.

J’ai aussi vu un cas très parlant : le texte parasite n’apparaissait ni à l’écran, ni dans le code source consulté normalement. En revanche, il remontait dans le snippet Google (le résumé affiché dans les résultats Google sous le lien du site) sur des requêtes liées au vrai site. Le contenu détourné n’était servi qu’aux robots de Google (user-agent de Googlebot), ceux qui explorent et indexent le site, pas à l’affichage normal du site. Sans cet affichage dans les snippets, le problème aurait été beaucoup plus difficile à repérer.

6. Le serveur peut aussi être utilisé en arrière-plan

Tous les piratages ne sont pas visibles dans les pages du site.

Parfois, le site sert surtout côté serveur.

Il peut être utilisé pour :

  • envoyer des emails de spam ;
  • héberger des scripts malveillants ;
  • stocker des fichiers ;
  • lancer des requêtes vers d’autres cibles ;
  • ou participer à une chaîne d’attaque plus large.

Dans ce cas, le site WordPress n’est plus seulement un site web. Il devient un point d’appui.

Et c’est souvent ce qui surprend les propriétaires :

“mais je ne vois rien de bizarre sur mes pages”

Justement. Parce que le but n’est pas forcément de modifier vos pages visibles. Le but peut être d’utiliser l’infrastructure que vous payez déjà :

  • votre hébergement ;
  • votre domaine ;
  • votre réputation ;
  • votre serveur mail ;
  • ou simplement vos fichiers comme point d’entrée.

Une détection parfois salvatrice

Quelquefois, le hack est d’ailleurs révélé par un blocage dans le navigateur ou par une alerte de sécurité. Ce blocage sert d’abord à protéger les internautes, mais il protège aussi indirectement le gestionnaire du site, qui découvre parfois le problème seulement par ce biais.

Ces alertes ne reposent pas sur une note publique visible du type “site dangereux : 72 sur 100”. Il faut plutôt imaginer un système de drapeaux rouges. Un domaine, une URL ou un fichier accumule des signaux négatifs : signalements d’utilisateurs, comportement suspect détecté automatiquement, page de phishing, téléchargement dangereux, redirections douteuses, historique déjà mauvais. À partir d’un certain niveau de suspicion, un avertissement peut apparaître.

L’information peut donc remonter de plusieurs façons : par détection automatique, par signalement utilisateur, ou par des systèmes de réputation qui recoupent plusieurs sources. Chrome et une partie des protections Firefox gravitent autour de Google Safe Browsing. Edge s’appuie plutôt sur Microsoft Defender SmartScreen. Les antivirus peuvent ajouter leurs propres listes. En pratique, ce n’est donc pas une base unique partagée partout, mais un ensemble de mécanismes qui se recoupent partiellement.

Pour le propriétaire du site, le point important est simple : quand une alerte navigateur apparaît, le problème a déjà dépassé le site lui-même. Il est entré dans des systèmes externes de signalement ou de blocage.

Et après désinfection, il ne suffit pas de remettre le site en ligne. Il faut aussi demander une vérification. Côté Google, cela passe généralement par la Search Console et une demande d’examen après nettoyage. Côté Microsoft, il est aussi possible de signaler qu’un site bloqué a été traité. Sans cette étape, le site peut rester signalé alors même que le code malveillant a déjà été retiré.

7. Les conséquences sont concrètes pour le propriétaire du site

Le risque ne se limite pas à “avoir un bug”.

Quand un site WordPress est exploité par un tiers, les conséquences peuvent être très concrètes :

  • une atteinte à l’image ;
  • une perte de confiance ;
  • des visiteurs redirigés ;
  • un domaine signalé dans des systèmes de blocage ou d’alerte ;
  • des emails qui n’arrivent plus ;
  • des alertes de sécurité dans les navigateurs ou certains outils ;
  • une indexation polluée ;
  • ou des traces malveillantes disséminées dans les fichiers et la base.

Et plus le problème dure, plus le nettoyage devient difficile.

Parce qu’au bout d’un moment, il ne s’agit plus seulement d’enlever un fichier visible. Il faut reprendre le site plus sérieusement :

  • réinstaller proprement WordPress et les extensions en dernière version ;
  • contrôler le thème, la base et le dossier uploads ;
  • changer les mots de passe WordPress, FTP et base de données ;
  • supprimer les accès ou comptes douteux ;
  • ajouter une vraie couche de sécurité et de surveillance ;
  • puis faire lever les éventuels signalements.

Sinon, on retire le symptôme le plus visible, mais pas le problème de fond.

C’est aussi pour cela qu’un correctif rapide ne suffit pas. La désinfection traite l’infection du moment. La maintenance, elle, réduit les chances de retomber dans le même piège. Un hack caché profite rarement d’un environnement bien suivi par hasard. Il s’installe plus facilement sur un site peu surveillé, mal mis à jour, ou avec des accès oubliés.

8. Le problème ne se limite pas à une fausse page bancaire cachée

Le point important, c’est de ne pas réduire un site piraté à une seule image.

Oui, il peut héberger une arnaque. Mais il peut aussi :

  • envoyer du spam ;
  • détourner du SEO ;
  • servir de relais technique ;
  • cacher des liens ;
  • ou rester exploité sans signe évident.

Autrement dit, une fausse page de connexion ou une page bancaire frauduleuse (phishing) n’est qu’une forme d’exploitation parmi d’autres. Le vrai sujet de fond, c’est l’usage détourné du site compromis.

Ce qu’il faut retenir sur un site WordPress piraté qui continue à servir

Un site WordPress piraté ne sert pas seulement à “faire planter”.

Comme nous l’avons vu, un site piraté peut héberger une arnaque, rediriger des visiteurs, envoyer du spam ou exploiter discrètement le serveur sans se montrer ouvertement.

Un site qui semble encore normal ne doit donc pas rassurer trop vite. Il peut continuer à s’afficher correctement tout en servant déjà à autre chose en arrière-plan : redirections, liens parasites, spam, scripts ou pages frauduleuses.

Et la réponse, elle, reste simple :

désinfection sérieuse, puis maintenance.

Besoin de savoir si votre site a été compromis ?

Quand un site WordPress semble encore fonctionner, il est tentant de penser qu’il n’y a pas d’urgence. En pratique, c’est souvent dans ces moments-là que l’exploitation discrète dure le plus longtemps. Vérifier rapidement l’état réel du site permet de savoir si l’on est face à un simple bug, à un piratage visible, ou à une exploitation plus cachée.

Vérifier si votre site WordPress a été piraté

Pour explorer le domaine de la sécurité WordPress