Demeillat Web

Comment réparer un site WordPress piraté (étapes concrètes)

Un site WordPress piraté ne se répare pas en corrigeant un bug. Il faut nettoyer fichiers, base de données et sécuriser l’ensemble pour éviter le re-piratage.

Dans cet article, on aborde :
cybersécuritéhack wordpressmaintenance WordPressréparation site webSécurité WordPresssite piratéWordPress

Temps de lecture :

5–8 minutes
Accueil » Blog » Maintenance & Sécurité » Comment réparer un site WordPress piraté (étapes concrètes)

Introduction — le site “normal”… qui ne l’est pas

Un site piraté n’est pas toujours visible immédiatement.

Tout peut sembler fonctionner normalement. Vous cliquez, les pages s’affichent, rien ne paraît anormal. Et pourtant, le site peut déjà être compromis.

  • des scripts tournent en arrière-plan ;
  • des pages parasites existent sans lien visible ;
  • des redirections peuvent s’activer sans que vous tombiez dessus.

Le vrai problème est là : un site compromis peut avoir l’air propre. Dans ce contexte, “réparer” ne consiste pas simplement à corriger une erreur. Il faut repartir sur quelque chose de fiable.

Étape 1 — Évaluer l’ampleur du hack (avant d’agir)

Soyons honnêtes : chercher le hack exact n’est pas toujours utile. Sur un site très récent, cela peut encore avoir du sens. Mais sur un site un peu ancien, la réalité est souvent plus diffuse : fichiers modifiés, injections dans la base, accès cachés, scripts dormants…

  • fichiers modifiés ;
  • injections en base ;
  • accès cachés ;
  • scripts dormants.

Autrement dit, vous ne nettoyez pas un simple bug. Vous nettoyez un système potentiellement infecté à plusieurs endroits, et il faut partir de cette réalité pour agir correctement.

Cas à part — problème côté serveur

Dans certains cas, le problème ne vient pas du site lui-même, mais de l’hébergement. On n’est alors plus sur un hack WordPress classique.

Si le serveur est mal maintenu, tous les sites qu’il héberge peuvent être infectés, et le hack peut revenir même après un nettoyage complet du site. Cela arrive lorsque le système, PHP ou l’outil de gestion n’est pas à jour ou présente des failles connues.

On revient toujours à la même base : faire les mises à jour de sécurité, que ce soit sur un PC, un serveur ou un site web. Concrètement, vous pouvez avoir un site propre, mais un serveur compromis qui réinjecte du code ensuite.

Dans ce cas, la priorité n’est plus WordPress mais l’environnement serveur. Sinon, le problème reviendra quoi que vous fassiez côté site.

Étape 2 — Nettoyage des fichiers (ou reconstruction)

Un site WordPress repose sur plusieurs couches : le cœur de WordPress, les plugins et le thème. Et, dans la majorité des cas, le coupable n’est pas WordPress lui-même, mais plutôt un plugin ou parfois un thème mal maintenu.

  • WordPress (core) ;
  • plugins ;
  • thème.

On peut aller droit au but : la seule façon réellement fiable de ne rien oublier est souvent de repartir propre.

Concrètement, cela veut dire :

  • réinstaller WordPress ;
  • réinstaller tous les plugins depuis des sources officielles uniquement ;
  • vérifier le thème avant de le réintégrer ;
  • nettoyer les uploads ;
  • contrôler la base.

Points critiques à vérifier

WordPress + plugins

Il vaut mieux repartir de zéro. Un plugin compromis reste dangereux, même désactivé, parce qu’il peut toujours contenir du code exploitable ou une trace du problème initial.

/wp-content/uploads (zone à risque)

Écran d'ordinateur affichant un tableau de fichiers images avec des détails techniques.

Cette zone est particulièrement critique. Il faut la reprendre dossier par dossier, supprimer tout fichier suspect, et ne laisser que des images et médias légitimes.

  • nettoyer dossier par dossier ;
  • supprimer tout fichier suspect ;
  • ne conserver que des médias légitimes.

Un seul fichier PHP oublié dans /uploads peut suffire à réinfecter tout le site.

Code informatique affichant une fonction de décodage Base64, avec divers éléments de syntaxe.

Cas réel — ACF et contenu piégé

Avec ACF, le problème peut être totalement invisible. Le code malveillant peut être stocké dans un champ personnalisé, dans un contenu d’administration ou dans un bloc dynamique.

Résultat : vous nettoyez les fichiers, mais le site reste infecté via la base.

Étape 3 — Nettoyage de la base de données

Cette étape est souvent négligée, alors qu’elle fait partie des principales causes de re-piratage.

Il faut notamment vérifier :

  • du contenu suspect dans wp_posts ;
  • des scripts dans wp_options ;
  • des utilisateurs inconnus ;
  • des tâches cron douteuses.

Si la base n’est pas propre, le site peut se recontaminer même après un nettoyage apparent des fichiers.

Étape 3 bis — Les sauvegardes (fausse bonne sécurité)

On se dit souvent : “je restaure une sauvegarde et c’est réglé”. En réalité, c’est plus piégeux.

Le cas classique

  • un fichier malveillant est déposé ;
  • il reste discret pendant plusieurs semaines ;
  • puis il s’active.

Pendant ce temps, votre site est sauvegardé… avec le problème dedans.

Résultat

Écran d'ordinateur affichant un diagramme de flux avec des icônes illustrant des processus numériques.

Vous restaurez, et vous remettez en ligne un site déjà compromis.

Ce que ça change

Une sauvegarde ne garantit pas un site sain. Elle garantit seulement un état antérieur. Si cet état est déjà infecté, vous repartez avec le problème.

Bonne approche

  • ne jamais restaurer les yeux fermés ;
  • contrôler fichiers et base après restauration ;
  • utiliser une sauvegarde ancienne si possible ;
  • idéalement, repartir propre et ne réinjecter que le contenu sain.

Une sauvegarde sert surtout à récupérer des données. Elle ne nettoie pas un hack à elle seule.

Étape 4 — Réinstallation propre

À un moment, il faut arrêter de bricoler et repartir de zéro.

  • nouveau WordPress ;
  • plugins propres ;
  • thème validé ;
  • contenu réimporté proprement.

Ce que cela change est simple : vous éliminez tout ce que vous ne maîtrisez pas et vous repartez sur une base saine.

Étape 5 — Backdoors (le piège classique)

Les backdoors existent bel et bien. Mais en pratique, si vous repartez sur une installation propre, vous vous protégez déjà contre une grande partie du problème.

Pourquoi on ne les cherche pas à la main

Pour bien faire, il faudrait ouvrir chaque dossier, analyser chaque fichier et vérifier chaque ligne suspecte. En pratique, c’est impossible à faire de manière vraiment fiable sur un site complet.

  • ouvrir chaque dossier ;
  • analyser chaque fichier ;
  • vérifier chaque ligne douteuse.

Vous pouvez y passer des heures… et en oublier une seule. Or un seul fichier oublié peut suffire à faire repartir toute l’infection.

Code source PHP affiché sur un écran d'ordinateur, avec des lignes de données en texte blanc sur fond noir.

Repartir propre reste donc beaucoup plus fiable que chercher manuellement partout.

Étape 6 — Pourquoi ça recommence

Ce point est souvent mal compris. Ce n’est pas forcément un nouveau hack. C’est souvent un oubli dans le nettoyage ou dans la sécurisation.

Exemples fréquents :

  • base de données mal nettoyée ;
  • mot de passe administrateur inchangé ;
  • ancien accès encore actif ;
  • faille non corrigée.

Autrement dit, vous avez peut-être nettoyé une partie visible du problème, mais laissé une porte ouverte derrière.

Étape 7 — Sécuriser derrière

Une fois le site redevenu propre, il faut verrouiller. Sinon, le problème peut recommencer rapidement.

Actions concrètes

  • changer tous les mots de passe ;
  • limiter les comptes administrateurs ;
  • installer un plugin de sécurité ;
  • surveiller les fichiers modifiés.

Ce que permettent les plugins de sécurité

Écran d'ordinateur affichant des données de performance web, avec une tasse de café et des fleurs en arrière-plan.
  • changement de l’URL de connexion ;
  • double authentification ;
  • blacklist d’IP suspectes ;
  • détection des fichiers modifiés ;
  • alertes en cas d’activité anormale.

Concrètement, cela permet d’être alerté avant que le problème ne redevienne critique.

Plugin payant = maintenance continue

C’est un point souvent sous-estimé. Acheter un plugin premium une fois, puis laisser la licence expirer, est une mauvaise idée. Sans licence active, il n’y a plus de mises à jour, plus de correctifs de sécurité, et des failles connues peuvent rester ouvertes.

Il faut voir les choses autrement : un plugin de sécurité payant n’est pas un achat ponctuel. C’est plutôt un abonnement à une sécurité maintenue dans le temps.

Si vous arrêtez, vous augmentez le risque.

Conclusion – Un site piraté n’est pas un simple bug. C’est un environnement compromis.

Un nettoyage partiel ne suffit pas. Dans la majorité des cas, fichiers et base sont touchés, plusieurs points d’entrée peuvent exister, et un seul oubli suffit à relancer le problème.

  • fichiers et base peuvent être touchés ;
  • plusieurs points d’entrée peuvent exister ;
  • un oubli suffit à relancer le hack.

Le vrai travail consiste donc à reprendre le site proprement, puis à tout verrouiller derrière. Avec cette méthode, on ne se contente pas de remettre un site en ligne : on cherche aussi à éviter qu’il retombe dans le même problème.

Besoin d’une réparation fiable (sans laisser de faille)

Un site piraté ne se répare pas à moitié. Un oubli, et le problème peut revenir quelques jours plus tard.

Je nettoie votre site en profondeur et je vérifie qu’il ne reste pas de faille exploitable.

Demander un diagnostic et une réparation

Pour aller plus loin dans la réparation et éviter que ça recommence