- 1 Les signes qui ne trompent pas : votre site WordPress piraté que faire
- 2 Site WordPress piraté que faire : le plan d’action immédiat (30 minutes)
- 3 Nettoyer un site WordPress piraté que faire étape par étape
- 4 Sécuriser votre site après un piratage : site WordPress piraté que faire pour éviter la récidive
- 5 Les erreurs à ne JAMAIS faire après un piratage
- 6 Combien coûte le nettoyage d’un site WordPress piraté que faire niveau budget
- 7 Comment éviter de se faire pirater à l’avenir
Ce qu’il faut retenir : face à un site WordPress piraté que faire ? Agissez vite. Changez tous vos mots de passe. Scannez votre site avec un plugin de sécurité. Nettoyez les fichiers infectés. Restaurez une sauvegarde saine si possible. Sécurisez tout. Un site piraté n’est pas une fatalité, mais chaque minute compte. Ce guide vous dit exactement quoi faire, dans quel ordre, pour récupérer votre site.
Votre site affiche des publicités bizarres. Ou il redirige vers des sites de casino. Ou Google vous a blacklisté. Pire : vous ne pouvez même plus vous connecter. Bienvenue dans le cauchemar du site WordPress piraté que faire. Chaque année, des milliers de sites WordPress se font pirater. Pas parce que WordPress est fragile. Mais parce que les propriétaires négligent les mises à jour et la sécurité. On vous dit tout. Sans panique. Avec un plan d’action clair.
Les signes qui ne trompent pas : votre site WordPress piraté que faire
Avant de réagir, il faut être sûr. Voici les symptômes d’un site WordPress piraté que faire vérifier immédiatement.
Signes visibles par vos visiteurs
Ces signaux sont flagrants. Vos visiteurs les voient. Google aussi.
- Redirections automatiques vers des sites de casino, pornographiques ou de pharmacie en ligne
- Pop-ups agressifs qui s’affichent sans arrêt, même quand vous les fermez
- Publicités parasites pour des produits que vous ne vendez pas
- Contenu bizarre : articles en japonais, liens vers des sites louches, pages que vous n’avez jamais créées
- Page d’accueil défigurée avec un message de hackers ou une page blanche
Si un seul de ces signes apparaît, votre site est compromis. Agissez maintenant.
Signes techniques invisibles pour vos visiteurs
Certains piratages sont silencieux. Ils infectent votre site sans que personne ne s’en rende compte. Jusqu’au blacklistage Google.
- Impossible de vous connecter au tableau de bord WordPress (identifiants refusés)
- Nouveaux comptes administrateurs que vous n’avez pas créés
- Fichiers modifiés récemment alors que vous n’avez rien touché
- Alerte Google Search Console : « Ce site peut avoir été piraté »
- Votre hébergeur suspend votre compte pour activité suspecte ou spam
- Performances dégradées : site ultra lent sans raison
Site WordPress piraté que faire : le plan d’action immédiat (30 minutes)
Pas de panique. Vous avez un plan. Suivez ces étapes dans l’ordre. Chronométrez-vous. Vous avez 30 minutes pour limiter les dégâts.
Étape 1 : Isoler le site (5 minutes)
Votre site infecté peut contaminer d’autres sites sur le même serveur. Il peut aussi envoyer du spam. Il faut le couper.
Action : Mettez votre site en mode maintenance via votre hébergeur ou via un plugin. Affichez une page « Site en maintenance » à vos visiteurs. Ils comprendront. C’est mieux qu’un site qui affiche du spam.
Conseil pro : Si vous avez accès au cPanel ou à l’interface de votre hébergeur, créez un fichier .htaccess temporaire qui bloque tout le trafic sauf votre IP. Vous seul pouvez accéder au site pour le nettoyer.
Étape 2 : Changer TOUS les mots de passe (10 minutes)
Le pirate a peut-être vos identifiants. Changez tout. Tout de suite.
- Compte d’administration WordPress (tous les comptes admin)
- Accès FTP (FileZilla, cPanel File Manager)
- Accès base de données (phpMyAdmin)
- Compte hébergeur (OVH, o2switch, Hostinger, etc.)
- Email associé au site
Utilisez des mots de passe forts. 16 caractères minimum. Lettres, chiffres, symboles. Utilisez un gestionnaire de mots de passe (1Password, Bitwarden, Dashlane).
Étape 3 : Scanner le site avec un plugin de sécurité (15 minutes)
Il faut identifier les fichiers infectés. Les plugins de sécurité scannent tout.
Plugins recommandés :
- Wordfence Security (gratuit) : scan complet, firewall, détection malware
- Sucuri Security (gratuit) : monitoring, scan, nettoyage
- iThemes Security (gratuit) : durcissement WordPress, scan
Installez un de ces plugins. Lancez un scan complet. Ça prend 10-15 minutes. Le plugin vous liste les fichiers suspects, les backdoors, les scripts malveillants.
Nettoyer un site WordPress piraté que faire étape par étape
Le scan est terminé. Vous savez ce qui est infecté. Maintenant, on nettoie.
Option 1 : Restaurer une sauvegarde saine (la solution rapide)
Si vous avez une sauvegarde récente ET saine (avant le piratage), c’est la solution la plus rapide.
Vérifiez :
- Vous avez une sauvegarde complète (fichiers + base de données)
- Elle date d’AVANT le piratage
- Elle est testée et fonctionnelle
Procédure :
- Supprimez TOUS les fichiers WordPress du serveur
- Supprimez la base de données
- Restaurez la sauvegarde complète
- Changez tous les mots de passe (même ceux de la sauvegarde)
- Mettez à jour WordPress, thèmes et plugins
Attention : Vous perdez tout ce qui a été fait entre la sauvegarde et le piratage. Mais votre site est propre.
Option 2 : Nettoyage manuel (si pas de sauvegarde)
Pas de sauvegarde ? Ou la sauvegarde est trop vieille ? Il faut nettoyer à la main.
Supprimez les fichiers infectés identifiés par le scan. Le plugin de sécurité vous dit lesquels. Supprimez-les via FTP ou cPanel File Manager.
Remplacez les fichiers WordPress core. Même s’ils semblent propres. Téléchargez WordPress frais depuis wordpress.org. Remplacez les dossiers wp-admin et wp-includes. Ne touchez PAS wp-content (vos thèmes et plugins sont là).
Vérifiez les fichiers suspects dans wp-content. Les pirates cachent souvent du code dans :
- wp-content/uploads (fichiers .php cachés dans les dossiers d’images)
- Thèmes (footer.php, header.php, functions.php modifiés)
- Plugins inconnus ou obsolètes
Nettoyez la base de données. Les pirates ajoutent des comptes admin fantômes. Connectez-vous à phpMyAdmin. Vérifiez la table wp_users. Supprimez les comptes que vous ne reconnaissez pas.
Option 3 : Faire appel à un pro (la solution sûre)
Le nettoyage manuel est technique. Si vous avez un doute, appelez un professionnel. Notre service de maintenance WordPress inclut le nettoyage de sites piratés. Intervention en urgence. Site propre en 24h maximum.
Sécuriser votre site après un piratage : site WordPress piraté que faire pour éviter la récidive
Votre site est propre. Parfait. Maintenant, verrouillez tout. Sinon, vous serez re-piraté dans la semaine.
Mettez à jour TOUT immédiatement
Les pirates exploitent les failles de sécurité des anciennes versions. Mettez à jour :
- WordPress core (dernière version stable)
- Tous les thèmes (actifs ET inactifs)
- Tous les plugins (actifs ET inactifs)
- PHP (version serveur — via votre hébergeur)
Supprimez les thèmes et plugins que vous n’utilisez pas. Chaque plugin inactif est une porte d’entrée potentielle.
Installez un plugin de sécurité et configurez-le
Un bon plugin de sécurité bloque 99 % des attaques. Installez Wordfence ou iThemes Security. Activez :
- Firewall applicatif (bloque les IPs suspectes)
- Limitation des tentatives de connexion (3 essais max)
- Scan automatique quotidien
- Notifications par email en cas d’activité suspecte
- Authentification à deux facteurs (2FA) pour tous les comptes admin
Changez l’URL de connexion WordPress
Par défaut, WordPress utilise monsite.com/wp-admin. Les pirates le savent. Tout le monde le sait. Changez cette URL avec le plugin WPS Hide Login. Créez une URL unique : monsite.com/portail-secret-7845. Les robots ne la trouveront jamais.
Sauvegardez automatiquement votre site
Une sauvegarde quotidienne automatique vous sauve la vie. En cas de piratage, vous restaurez en 10 minutes.
Plugins de sauvegarde automatique :
- UpdraftPlus (gratuit) : sauvegarde sur Google Drive, Dropbox
- BackWPup (gratuit) : sauvegarde complète programmable
- VaultPress (payant) : sauvegarde temps réel + scan sécurité
Configurez une sauvegarde quotidienne. Stockez-la hors du serveur (Google Drive, Dropbox, disque externe). Testez une restauration une fois par mois.
Passez à un contrat de maintenance WordPress
Vous n’avez pas le temps de surveiller tout ça ? Normal. Notre contrat de maintenance WordPress s’occupe de tout :
- Mises à jour hebdomadaires de WordPress, thèmes et plugins
- Scan de sécurité quotidien automatique
- Sauvegardes quotidiennes externalisées
- Monitoring 24/7 avec alertes en temps réel
- Intervention d’urgence en cas de piratage (inclus)
Vous dormez tranquille. On surveille. Vous ne serez plus jamais piraté.
Les erreurs à ne JAMAIS faire après un piratage
Ces erreurs empirent la situation. Ne les faites pas.
Ne pas changer les mots de passe
« J’ai nettoyé les fichiers, ça suffit. » Non. Le pirate a peut-être vos identifiants. Il reviendra. Changez TOUS les mots de passe. Tous.
Restaurer une sauvegarde sans la vérifier
Votre sauvegarde date d’il y a 2 semaines. Parfait. Mais elle était peut-être déjà infectée à cette date. Scannez la sauvegarde AVANT de la restaurer. Sinon vous réinstallez le virus.
Laisser les plugins et thèmes obsolètes
Vous nettoyez le site mais vous laissez vos vieux plugins inactifs. Le pirate les exploitera à nouveau dans 3 jours. Supprimez tout ce qui est obsolète ou inutilisé.
Ne rien surveiller après le nettoyage
Votre site est propre. Vous pensez que c’est fini. Erreur. Les pirates laissent souvent des backdoors cachées. Installez un plugin de monitoring. Scannez quotidiennement pendant 2 semaines minimum.
Combien coûte le nettoyage d’un site WordPress piraté que faire niveau budget
Si vous appelez un professionnel, voici les tarifs moyens 2026 :
| Prestation | Prix moyen |
|---|---|
| Diagnostic + scan sécurité | 100 – 200 € |
| Nettoyage simple (fichiers infectés) | 300 – 500 € |
| Nettoyage complet + sécurisation | 500 – 1 000 € |
| Reconstruction complète du site | 1 500 – 3 000 € |
| Déblocage Google (déréférencement) | 200 – 400 € |
Notre intervention d’urgence démarre à 350 € pour un nettoyage complet avec sécurisation. Garantie : votre site est propre en 24h ou remboursé.
Comment éviter de se faire pirater à l’avenir
La prévention coûte moins cher que le nettoyage. Voici les règles d’or.
Les 5 règles qui éliminent 95 % des risques
- Mettez à jour WordPress, thèmes et plugins chaque semaine
- N’installez QUE des thèmes et plugins depuis les sources officielles (jamais de thèmes « nulled » piratés)
- Utilisez des mots de passe forts + 2FA sur tous les comptes admin
- Sauvegardez automatiquement tous les jours
- Installez un plugin de sécurité (Wordfence, iThemes Security)
Respectez ces 5 règles. Vous ne serez jamais piraté.
Le contrat de maintenance : la solution pour dormir tranquille
Vous n’avez pas le temps de surveiller tout ça. C’est normal. Notre contrat de maintenance WordPress prend tout en charge. À partir de 50 € par mois. Vous déléguez. On sécurise. On surveille. On intervient en cas de problème.
Face à un site WordPress piraté que faire ? Agir vite. Changer les mots de passe. Scanner. Nettoyer. Sécuriser. Sauvegarder. Ce guide vous donne le plan d’action complet. Mais si vous voulez éviter ce cauchemar, la solution est simple : prévenez plutôt que guérir. Un site bien maintenu ne se fait jamais pirater. Besoin d’aide pour nettoyer ou sécuriser votre site WordPress ? Contactez-nous en urgence — intervention sous 24h.
