Alerte Google : site piraté, que faire sur WordPress ?
Andrei
Expert WordPress & Fondateur
Google affiche une alerte de piratage sur votre site WordPress ? Voici quoi vérifier dans Search Console, quoi éviter et comment demander un réexamen proprement.

Vous cherchez votre site dans Google et un message inquiétant apparaît : ce site est peut-être piraté, ce site risque d'endommager votre ordinateur, contenu trompeur détecté ou page dangereuse. Parfois, l'alerte apparaît dans les résultats Google. Parfois, elle se voit dans Chrome, dans Search Console ou dans un email envoyé au propriétaire du site.
Sur WordPress, ce type d'alerte ne signifie pas toujours que la page d'accueil est cassée. Le site peut continuer à s'afficher normalement, alors que Google a trouvé des URL spam, des redirections, du code injecté, des fichiers suspects ou des pages inconnues sous votre nom de domaine.
Le bon réflexe n'est pas de cliquer partout pour faire disparaître l'alerte. Il faut d'abord comprendre ce que Google a détecté, préserver les indices utiles, nettoyer le site puis demander un réexamen quand le problème est réellement corrigé.
Réponse rapide
Signal
Alerte Google ou Chrome
Le problème peut venir d'une page précise, d'un ensemble d'URL spam, d'une redirection ou d'un fichier infecté.
Priorité
Nettoyer avant le réexamen
Demander une validation trop tôt ne sert pas si le site génère encore le contenu suspect.
À garder
Messages + URL + captures
Les exemples fournis par Google aident à trouver l'origine au lieu de nettoyer à l'aveugle.
D'abord identifier le type d'alerte
Toutes les alertes Google ne se traitent pas exactement de la même manière. Une mention dans les résultats de recherche peut signaler du contenu piraté. Un écran rouge dans le navigateur peut venir de Google Safe Browsing. Un message dans Search Console peut indiquer une catégorie plus précise : malware, pages piratées, phishing, contenu trompeur ou téléchargements dangereux.
La première étape consiste donc à vérifier où l'alerte apparaît. Cherchez le site dans Google, ouvrez Search Console, consultez les messages récents, regardez le rapport Problèmes de sécurité et notez les exemples d'URL indiqués. Si vous avez seulement une capture envoyée par un client, demandez l'URL exacte et le navigateur utilisé.
Ce que l'alerte ne dit pas
L'alerte ne donne pas toujours l'origine du piratage. Elle ne dit pas forcément quel plugin est en cause, quel compte a été compromis ou quel fichier doit être remplacé. Elle indique surtout que Google a vu quelque chose de risqué sur le site ou sous le domaine.
Le problème peut être visible seulement pour Google, seulement depuis un mobile, seulement depuis les résultats de recherche ou seulement sur des URL qui n'apparaissent pas dans le menu. C'est pour cette raison qu'un site qui semble normal à l'œil nu peut quand même être signalé.
Les vérifications à faire dans Search Console
Search Console donne souvent les meilleurs indices, à condition de ne pas se limiter à un seul rapport. Vérifiez les zones suivantes avant de modifier le site.
Ce qu'il ne faut pas faire trop vite
Ne demandez pas le réexamen Google avant d'avoir nettoyé le site. Le rapport peut donner envie de cliquer tout de suite sur le bouton de validation, mais Google vérifiera si le problème existe encore. Si les pages spam, les redirections ou les fichiers infectés sont toujours là, la demande peut échouer.
Évitez aussi de supprimer seulement les URL visibles, de changer le thème sans diagnostic, d'installer plusieurs plugins de sécurité au hasard ou de restaurer une sauvegarde sans savoir si elle est saine. Une alerte Google est un symptôme. Il faut traiter ce qui l'a déclenchée.
La méthode pour reprendre la main
Un traitement propre se fait dans un ordre précis. Le but est de corriger sans perdre les preuves, sans casser le site et sans demander à Google de réexaminer une version encore instable.
- Faire des captures de l'alerte, des messages Search Console et des URL d'exemple.
- Conserver une sauvegarde de l'état actuel, même si le site est infecté.
- Vérifier WordPress, le thème, les plugins, les uploads, les fichiers serveur et les règles de redirection.
- Contrôler la base de données, les comptes administrateurs, les tâches planifiées et les contenus inconnus.
- Nettoyer ou remplacer les fichiers suspects par des sources propres.
- Supprimer les pages spam, sitemaps parasites, redirections cachées et comptes non légitimes.
- Changer les accès WordPress, hébergement, SFTP, base de données et comptes liés.
- Tester le site depuis un navigateur propre, Search Console et quelques URL suspectes avant le réexamen.
À envoyer pour un diagnostic
Pour comprendre vite l'alerte, il faut surtout les éléments qui montrent ce que Google a réellement vu. Les accès viennent ensuite, si une intervention technique est nécessaire.
Demander le réexamen Google au bon moment
Une fois le site nettoyé et vérifié, le réexamen se demande depuis le rapport Problèmes de sécurité de Search Console. Google indique qu'une revue de sécurité peut prendre de quelques jours à plusieurs semaines selon le cas. Les alertes liées au spam piraté peuvent être plus longues, surtout quand beaucoup d'URL ont été créées.
La demande doit expliquer ce qui a été corrigé : fichiers supprimés ou remplacés, comptes retirés, extensions mises à jour, mots de passe changés, redirections nettoyées, URL spam traitées et mesures prises pour éviter la récidive. Une demande vague, envoyée avant la fin du nettoyage, a peu d'intérêt.
Et si Search Console ne montre rien ?
Il arrive que Search Console ne montre pas l'alerte attendue. Le site peut ne pas être vérifié dans la bonne propriété, l'alerte peut venir du navigateur, la notification peut être liée à une ancienne version déjà recrawlée partiellement, ou vous pouvez regarder une propriété URL alors que le problème concerne le domaine complet.
Dans ce cas, vérifiez les variantes du domaine : avec et sans www, HTTP et HTTPS, sous-domaines éventuels et propriété de domaine. Contrôlez aussi les messages reçus par les anciens propriétaires ou prestataires si vous venez de récupérer le site.
Quand demander une intervention
Demandez de l'aide si l'alerte est visible dans Google, si Search Console mentionne malware ou piratage, si des URL inconnues apparaissent, si le site redirige certains visiteurs ou si vous n'avez pas les accès nécessaires pour vérifier les fichiers et la base.
Si l'alerte est liée à des pages en langue étrangère, l'article sur les pages japonaises dans Google détaille ce scénario. Si certains visiteurs sont envoyés vers un autre domaine, lisez aussi le guide sur le site WordPress qui redirige vers un autre site.
Le budget se discute après la première lecture technique. Une alerte isolée, un gros volume de pages spam, un WooCommerce actif ou un serveur compromis ne demandent pas le même travail. Pour les ordres de grandeur, l'article sur le nettoyage d'un site WordPress piraté reste le bon complément.
Questions fréquentes
Pourquoi Google affiche que mon site est peut-être piraté ?+
Google peut afficher une alerte s'il détecte des pages spam, du contenu injecté, des redirections suspectes, du malware, du phishing ou des signaux de sécurité associés à votre domaine.
Faut-il demander un réexamen Google tout de suite ?+
Non. Il faut d'abord nettoyer le site, sécuriser les accès et vérifier que les pages suspectes ne reviennent pas. Le réexamen vient après.
Search Console suffit-elle à enlever l'alerte ?+
Non. Search Console permet de suivre le problème et de demander un réexamen. Elle ne nettoie pas WordPress, les fichiers, la base de données ou les redirections.
Combien de temps faut-il pour que l'alerte disparaisse ?+
Après nettoyage et demande de réexamen, le délai peut aller de quelques jours à plusieurs semaines selon le type d'alerte, le volume d'URL touchées et le traitement par Google.
Site bloqué, cassé ou inquiétant ?
Envoyez l’URL, le message affiché et le contexte. Le premier objectif est de cadrer l’urgence avant de modifier quoi que ce soit.
Faire vérifier l'incident WordPressÀ lire ensuite.
Site WordPress envoie du spam : que faire côté serveur ?
Votre hébergeur signale du spam envoyé depuis votre site WordPress ou votre serveur ? Voici quoi vérifier avant de réactiver les emails.
SécuritéFichiers malveillants signalés : que faire sur WordPress ?
Votre hébergeur signale des fichiers malveillants sur WordPress ? Voici quoi vérifier, quoi éviter et comment préparer le nettoyage sans aggraver l’incident.
SécuritéSite WordPress piraté avec pages japonaises : que faire dans Google ?
Des pages en japonais apparaissent dans Google alors que votre site WordPress semble normal ? Voici quoi vérifier, quoi éviter et comment préparer le nettoyage sans perdre les preuves utiles.
SécuritéSite WordPress piraté : que faire sans aggraver la situation ?
Votre site WordPress est piraté ? Voici quoi vérifier, quoi éviter et quand demander un diagnostic pour nettoyer le site sans aggraver la situation.
SécuritéSite WordPress qui redirige vers un autre site : que faire ?
Votre site WordPress redirige vers un autre site ? Voici pourquoi c’est souvent un signal de sécurité et quoi vérifier avant de nettoyer.
UrgenceSite WordPress bloqué par l’hébergeur : que faire ?
Votre hébergeur a bloqué votre site WordPress ? Voici les causes possibles et les vérifications à faire avant de remettre le site en ligne.
SécuritéNettoyage site WordPress piraté : prix, délais et intervention rapide
Redirection, malware, alerte Google, pages spam : prix réalistes, délais et éléments à envoyer pour estimer le nettoyage WordPress.
MaintenanceSauvegarde WordPress introuvable : pourquoi il faut la traiter vite
Une sauvegarde WordPress introuvable peut transformer un bug simple en incident sérieux. Voici quoi vérifier et comment éviter de perdre le contrôle du site.