Comment savoir si votre site est vraiment piraté ?

Avant de tout réinstaller, identifiez les symptômes. Un site lent ou mal configuré peut ressembler à un site infecté. Voici les signes qui ne trompent pas :

  • Redirections vers des sites inconnus — au clic, vos visiteurs atterrissent sur des pages de phishing ou de faux antivirus
  • Google Search Console affiche "Site trompeur" — Google a détecté du contenu malveillant et blacklisté votre domaine
  • Votre hébergeur a suspendu le compte — Infomaniak ou OVH envoient une alerte avec des noms de fichiers suspects
  • De nouveaux utilisateurs administrateurs sont apparus dans WordPress sans que vous les ayez créés
  • Des fichiers PHP inconnus trainent dans wp-content/uploads/, wp-includes/ ou à la racine
  • Le source HTML contient des liens cachés vers des sites tiers (en bas de page, dans des balises style display:none)
"En avril 2026, 21 sites clients MogaCode ont été infectés en une seule nuit via des plugins nullés. Patrick Rary a tout diagnostiqué et nettoyé en moins de 12 heures. Le vecteur d'attaque : une backdoor unique encodée dans chaque plugin piraté."

Etape 1 — Isoler et diagnostiquer

Ne touchez rien avant d'avoir une image claire de l'infection. Agir à l'aveugle risque de cacher des traces et laisser des backdoors actives.

1
Passez le site en mode maintenance — activez un plugin de maintenance ou ajoutez un .htaccess pour bloquer l'accès public pendant le nettoyage.
2
Exportez un dump complet — même infecté, gardez une copie. On ne supprime rien sans backup.
3
Lancez un scan avec Wordfence ou MalCare — ces plugins comparent vos fichiers core WordPress avec les originaux officiels et signalent chaque différence.
4
Cherchez les fichiers récemment modifiés — via SSH : find . -name "*.php" -newer wp-config.php -not -path "*/uploads/*"

Etape 2 — Nettoyage DIY (si vous avez les accès SSH)

Supprimer les fichiers malveillants

Les backdoors se cachent souvent dans des fichiers aux noms anodins : wp-includes/class-wp-clean.php, wp-content/uploads/2025/cache.php ou des fichiers PHP dans wp-content/uploads (les uploads ne devraient jamais contenir de PHP).

find wp-content/uploads -name "*.php" -delete find wp-includes -name "*.php" | xargs grep -l "eval(base64_decode" | xargs rm grep -r "cAT3VWynuiL7CRgr" . --include="*.php" -l

Réinstaller les fichiers core

Ne faites jamais confiance aux fichiers core d'un site infecté. Téléchargez une installation WordPress vierge et remplacez tous les fichiers core (tout sauf wp-content/ et wp-config.php).

Changer tous les mots de passe

  • Mot de passe WordPress de chaque administrateur
  • Mot de passe de la base de données (dans wp-config.php)
  • Mot de passe FTP/SFTP de l'hébergement
  • Les security keys WordPress (AUTH_KEY, SECURE_AUTH_KEY, etc.) — regénérez-les sur api.wordpress.org/secret-key/1.1/salt/

Quand appeler un professionnel ?

Si vous rencontrez l'un de ces cas, ne perdez pas plus de temps à tenter le nettoyage seul :

  • L'infection se reproduit après nettoyage (backdoor persistante ou compte admin compromis)
  • Google a blacklisté votre domaine (désindexation partielle ou totale)
  • Vous n'avez pas d'accès SSH ou les permissions fichiers ont été modifiées
  • Vous avez un site e-commerce avec des données clients (risque RGPD)
  • Votre hébergeur refuse de réactiver le compte sans validation

Votre site est infecté ?

MogaCode prend en charge le nettoyage complet, le hardening et la mise en place d'une surveillance active. Intervention rapide — généralement sous 24h.

Demander une intervention

Etape 3 — Durcissement post-nettoyage

Un site nettoyé non durci sera réinfecté. C'est une certitude. Voici les mesures essentielles :

Sécuriser wp-config.php

# Dans .htaccess, bloquer l'accès direct à wp-config.php <Files wp-config.php> order allow,deny deny from all </Files> # Déplacer wp-config.php un niveau au-dessus de la racine web # WordPress le trouvera automatiquement

Permissions fichiers correctes

find . -type d -exec chmod 755 {} \; find . -type f -exec chmod 644 {} \; chmod 600 wp-config.php

Activer l'authentification à deux facteurs

Le plugin "WP 2FA" ou "Google Authenticator" pour WordPress ajoute un TOTP sur la page de connexion. C'est la mesure la plus efficace contre les attaques brute-force sur /wp-admin.

Mettre en place un WAF

Un Web Application Firewall (Wordfence Premium, Cloudflare WAF) bloque les attaques avant même qu'elles atteignent WordPress. Sur nos serveurs Infomaniak, nous activons systématiquement Wordfence avec une règle de blocage géographique sur les pays à forte activité de scan automatique.

Ne jamais utiliser de plugins nullés

C'est la leçon la plus douloureuse. En avril 2026, 21 sites de nos clients ont été infectés en une nuit via des versions piratées d'Elementor Pro, UltimateElementor et RevSlider. Ces plugins contenaient tous la même signature : cAT3VWynuiL7CRgr. Une backdoor propre, discrète, et déjà en place depuis des semaines avant l'activation.

Checklist de durcissement WordPress

  • Mise à jour WordPress, themes et plugins — sans exception
  • Suppression des themes et plugins inactifs
  • Limitation des tentatives de connexion (Limit Login Attempts)
  • Authentification 2FA sur tous les comptes admin
  • Scan de sécurité automatique hebdomadaire (Wordfence)
  • Sauvegardes automatiques quotidiennes hors serveur
  • HTTPS actif avec HSTS
  • Headers de sécurité HTTP (X-Frame-Options, CSP, X-Content-Type-Options)
  • Masquage de la version WordPress (dans les meta et le flux RSS)
  • Désactivation de xmlrpc.php si non utilisé
P

Patrick Rary

Fondateur MogaCode — Expert judiciaire informaticien, 30 ans d'experience IT. A nettoye plus de 80 sites WordPress infectes depuis 2020.