Retour au journal
Sécurité8 Juillet 2026

Alerte Google : site piraté, que faire sur WordPress ?

A

Andrei

Expert WordPress & Fondateur

Google affiche une alerte de piratage sur votre site WordPress ? Voici quoi vérifier dans Search Console, quoi éviter et comment demander un réexamen proprement.

Diagnostic de sécurité WordPress avec alerte de site compromis, redirections suspectes, indicateurs de spam et recommandations de nettoyage.

Vous cherchez votre site dans Google et un message inquiétant apparaît : ce site est peut-être piraté, ce site risque d'endommager votre ordinateur, contenu trompeur détecté ou page dangereuse. Parfois, l'alerte apparaît dans les résultats Google. Parfois, elle se voit dans Chrome, dans Search Console ou dans un email envoyé au propriétaire du site.

Sur WordPress, ce type d'alerte ne signifie pas toujours que la page d'accueil est cassée. Le site peut continuer à s'afficher normalement, alors que Google a trouvé des URL spam, des redirections, du code injecté, des fichiers suspects ou des pages inconnues sous votre nom de domaine.

Le bon réflexe n'est pas de cliquer partout pour faire disparaître l'alerte. Il faut d'abord comprendre ce que Google a détecté, préserver les indices utiles, nettoyer le site puis demander un réexamen quand le problème est réellement corrigé.

Réponse rapide

Signal

Alerte Google ou Chrome

Le problème peut venir d'une page précise, d'un ensemble d'URL spam, d'une redirection ou d'un fichier infecté.

Priorité

Nettoyer avant le réexamen

Demander une validation trop tôt ne sert pas si le site génère encore le contenu suspect.

À garder

Messages + URL + captures

Les exemples fournis par Google aident à trouver l'origine au lieu de nettoyer à l'aveugle.

D'abord identifier le type d'alerte

Toutes les alertes Google ne se traitent pas exactement de la même manière. Une mention dans les résultats de recherche peut signaler du contenu piraté. Un écran rouge dans le navigateur peut venir de Google Safe Browsing. Un message dans Search Console peut indiquer une catégorie plus précise : malware, pages piratées, phishing, contenu trompeur ou téléchargements dangereux.

La première étape consiste donc à vérifier où l'alerte apparaît. Cherchez le site dans Google, ouvrez Search Console, consultez les messages récents, regardez le rapport Problèmes de sécurité et notez les exemples d'URL indiqués. Si vous avez seulement une capture envoyée par un client, demandez l'URL exacte et le navigateur utilisé.

Ce que l'alerte ne dit pas

L'alerte ne donne pas toujours l'origine du piratage. Elle ne dit pas forcément quel plugin est en cause, quel compte a été compromis ou quel fichier doit être remplacé. Elle indique surtout que Google a vu quelque chose de risqué sur le site ou sous le domaine.

Le problème peut être visible seulement pour Google, seulement depuis un mobile, seulement depuis les résultats de recherche ou seulement sur des URL qui n'apparaissent pas dans le menu. C'est pour cette raison qu'un site qui semble normal à l'œil nu peut quand même être signalé.

Les vérifications à faire dans Search Console

Search Console donne souvent les meilleurs indices, à condition de ne pas se limiter à un seul rapport. Vérifiez les zones suivantes avant de modifier le site.

Rapport Problèmes de sécurité : catégorie de l'alerte, exemples d'URL et date de détection.
Messages Search Console : notifications de piratage, malware, phishing ou contenu trompeur.
Actions manuelles : sanction liée au spam ou contenu piraté, différente d'une simple alerte de sécurité.
Inspection d'URL : état des pages suspectes, indexation, canonical et dernier crawl connu.
Pages indexées : hausse brutale d'URL inconnues, pages en langue étrangère ou chemins suspects.
Sitemaps : présence éventuelle d'un sitemap inconnu ou d'URL qui ne devraient pas exister.

Ce qu'il ne faut pas faire trop vite

Ne demandez pas le réexamen Google avant d'avoir nettoyé le site. Le rapport peut donner envie de cliquer tout de suite sur le bouton de validation, mais Google vérifiera si le problème existe encore. Si les pages spam, les redirections ou les fichiers infectés sont toujours là, la demande peut échouer.

Évitez aussi de supprimer seulement les URL visibles, de changer le thème sans diagnostic, d'installer plusieurs plugins de sécurité au hasard ou de restaurer une sauvegarde sans savoir si elle est saine. Une alerte Google est un symptôme. Il faut traiter ce qui l'a déclenchée.

La méthode pour reprendre la main

Un traitement propre se fait dans un ordre précis. Le but est de corriger sans perdre les preuves, sans casser le site et sans demander à Google de réexaminer une version encore instable.

  1. Faire des captures de l'alerte, des messages Search Console et des URL d'exemple.
  2. Conserver une sauvegarde de l'état actuel, même si le site est infecté.
  3. Vérifier WordPress, le thème, les plugins, les uploads, les fichiers serveur et les règles de redirection.
  4. Contrôler la base de données, les comptes administrateurs, les tâches planifiées et les contenus inconnus.
  5. Nettoyer ou remplacer les fichiers suspects par des sources propres.
  6. Supprimer les pages spam, sitemaps parasites, redirections cachées et comptes non légitimes.
  7. Changer les accès WordPress, hébergement, SFTP, base de données et comptes liés.
  8. Tester le site depuis un navigateur propre, Search Console et quelques URL suspectes avant le réexamen.

À envoyer pour un diagnostic

Pour comprendre vite l'alerte, il faut surtout les éléments qui montrent ce que Google a réellement vu. Les accès viennent ensuite, si une intervention technique est nécessaire.

URL du site et capture exacte de l'alerte Google ou Chrome
Message Search Console et catégorie du problème si elle est visible
Exemples d'URL suspectes données par Google
Date de découverte et derniers changements sur le site
Accès disponibles : WordPress, hébergement, SFTP, base et domaine
Présence de WooCommerce, formulaires sensibles ou comptes clients
Faire vérifier l'alerte WordPress

Demander le réexamen Google au bon moment

Une fois le site nettoyé et vérifié, le réexamen se demande depuis le rapport Problèmes de sécurité de Search Console. Google indique qu'une revue de sécurité peut prendre de quelques jours à plusieurs semaines selon le cas. Les alertes liées au spam piraté peuvent être plus longues, surtout quand beaucoup d'URL ont été créées.

La demande doit expliquer ce qui a été corrigé : fichiers supprimés ou remplacés, comptes retirés, extensions mises à jour, mots de passe changés, redirections nettoyées, URL spam traitées et mesures prises pour éviter la récidive. Une demande vague, envoyée avant la fin du nettoyage, a peu d'intérêt.

Et si Search Console ne montre rien ?

Il arrive que Search Console ne montre pas l'alerte attendue. Le site peut ne pas être vérifié dans la bonne propriété, l'alerte peut venir du navigateur, la notification peut être liée à une ancienne version déjà recrawlée partiellement, ou vous pouvez regarder une propriété URL alors que le problème concerne le domaine complet.

Dans ce cas, vérifiez les variantes du domaine : avec et sans www, HTTP et HTTPS, sous-domaines éventuels et propriété de domaine. Contrôlez aussi les messages reçus par les anciens propriétaires ou prestataires si vous venez de récupérer le site.

Quand demander une intervention

Demandez de l'aide si l'alerte est visible dans Google, si Search Console mentionne malware ou piratage, si des URL inconnues apparaissent, si le site redirige certains visiteurs ou si vous n'avez pas les accès nécessaires pour vérifier les fichiers et la base.

Si l'alerte est liée à des pages en langue étrangère, l'article sur les pages japonaises dans Google détaille ce scénario. Si certains visiteurs sont envoyés vers un autre domaine, lisez aussi le guide sur le site WordPress qui redirige vers un autre site.

Le budget se discute après la première lecture technique. Une alerte isolée, un gros volume de pages spam, un WooCommerce actif ou un serveur compromis ne demandent pas le même travail. Pour les ordres de grandeur, l'article sur le nettoyage d'un site WordPress piraté reste le bon complément.

Questions fréquentes

Pourquoi Google affiche que mon site est peut-être piraté ?+

Google peut afficher une alerte s'il détecte des pages spam, du contenu injecté, des redirections suspectes, du malware, du phishing ou des signaux de sécurité associés à votre domaine.

Faut-il demander un réexamen Google tout de suite ?+

Non. Il faut d'abord nettoyer le site, sécuriser les accès et vérifier que les pages suspectes ne reviennent pas. Le réexamen vient après.

Search Console suffit-elle à enlever l'alerte ?+

Non. Search Console permet de suivre le problème et de demander un réexamen. Elle ne nettoie pas WordPress, les fichiers, la base de données ou les redirections.

Combien de temps faut-il pour que l'alerte disparaisse ?+

Après nettoyage et demande de réexamen, le délai peut aller de quelques jours à plusieurs semaines selon le type d'alerte, le volume d'URL touchées et le traitement par Google.

Site bloqué, cassé ou inquiétant ?

Envoyez l’URL, le message affiché et le contexte. Le premier objectif est de cadrer l’urgence avant de modifier quoi que ce soit.

Faire vérifier l'incident WordPress

À lire ensuite.

Sécurité

Site WordPress envoie du spam : que faire côté serveur ?

Votre hébergeur signale du spam envoyé depuis votre site WordPress ou votre serveur ? Voici quoi vérifier avant de réactiver les emails.

Sécurité

Fichiers malveillants signalés : que faire sur WordPress ?

Votre hébergeur signale des fichiers malveillants sur WordPress ? Voici quoi vérifier, quoi éviter et comment préparer le nettoyage sans aggraver l’incident.

Sécurité

Site WordPress piraté avec pages japonaises : que faire dans Google ?

Des pages en japonais apparaissent dans Google alors que votre site WordPress semble normal ? Voici quoi vérifier, quoi éviter et comment préparer le nettoyage sans perdre les preuves utiles.

Sécurité

Site WordPress piraté : que faire sans aggraver la situation ?

Votre site WordPress est piraté ? Voici quoi vérifier, quoi éviter et quand demander un diagnostic pour nettoyer le site sans aggraver la situation.

Sécurité

Site WordPress qui redirige vers un autre site : que faire ?

Votre site WordPress redirige vers un autre site ? Voici pourquoi c’est souvent un signal de sécurité et quoi vérifier avant de nettoyer.

Urgence

Site WordPress bloqué par l’hébergeur : que faire ?

Votre hébergeur a bloqué votre site WordPress ? Voici les causes possibles et les vérifications à faire avant de remettre le site en ligne.

Sécurité

Nettoyage site WordPress piraté : prix, délais et intervention rapide

Redirection, malware, alerte Google, pages spam : prix réalistes, délais et éléments à envoyer pour estimer le nettoyage WordPress.

Maintenance

Sauvegarde WordPress introuvable : pourquoi il faut la traiter vite

Une sauvegarde WordPress introuvable peut transformer un bug simple en incident sérieux. Voici quoi vérifier et comment éviter de perdre le contrôle du site.