Retour au journal
Sécurité8 Juillet 2026

Fichiers malveillants signalés : que faire sur WordPress ?

A

Andrei

Expert WordPress & Fondateur

Votre hébergeur signale des fichiers malveillants sur WordPress ? Voici quoi vérifier, quoi éviter et comment préparer le nettoyage sans aggraver l’incident.

Alerte hébergeur sur site WordPress avec fichier malveillant, serveur, sauvegarde, diagnostic et sécurité.

Vous recevez un message de votre hébergeur : fichiers malveillants détectés, malware trouvé, script suspect, suspension annoncée ou nettoyage demandé avant réactivation. Le site WordPress peut encore fonctionner, mais l’hébergeur a repéré quelque chose dans les fichiers ou dans l’activité du serveur.

Dans ce cas, la pire réaction est de supprimer au hasard les fichiers listés dans le rapport. Certains fichiers sont réellement infectés. D’autres sont des fichiers WordPress modifiés, des faux fichiers placés dans les uploads, des portes d’entrée ou seulement des symptômes. Si la cause reste active, les fichiers peuvent revenir.

L’objectif est de lire le rapport, préserver les indices utiles, nettoyer WordPress proprement, sécuriser les accès, puis répondre à l’hébergeur avec des éléments vérifiables. La rapidité compte, mais elle ne doit pas conduire à un nettoyage incomplet.

Réponse rapide

Signal

Rapport hébergeur

Chemins de fichiers, malware, script suspect, spam sortant ou consommation anormale.

Priorité

Comprendre avant de supprimer

Un fichier signalé peut être un symptôme. La porte d’entrée peut être ailleurs.

À garder

Rapport + sauvegarde

Conservez les chemins, dates, captures, messages et une copie de l’état actuel.

Ce que signifie une détection de fichiers malveillants

Un hébergeur surveille souvent les fichiers, les scripts exécutés, les envois d’emails, la charge serveur et certains comportements anormaux. Quand il signale des fichiers malveillants sur WordPress, cela peut venir d’un fichier modifié, d’un faux plugin, d’un script placé dans wp-content/uploads, d’un thème compromis, d’une extension vulnérable ou d’un accès utilisé par quelqu’un d’autre.

Le site n’est pas forcément déjà bloqué. L’hébergeur peut envoyer un avertissement avant suspension, placer certains fichiers en quarantaine, couper l’envoi d’emails ou demander une correction dans un délai précis. Il faut donc traiter l’alerte comme un incident réel, même si la page d’accueil semble normale.

Lire le rapport avant de toucher au site

Le message de l’hébergeur contient souvent les meilleurs indices. Avant de modifier quoi que ce soit, notez les chemins de fichiers, la date de détection, le type d’alerte et les actions déjà faites par l’hébergeur.

Chemins complets des fichiers signalés, par exemple wp-content, uploads, plugins, themes ou racine du site.
Type de menace indiqué : malware, phishing, spam, backdoor, shell, redirecteur ou script suspect.
Date de détection et éventuelle date limite avant suspension.
Actions déjà effectuées par l’hébergeur : quarantaine, désactivation, suspension, blocage email ou restriction serveur.
Présence d’autres symptômes : pages inconnues dans Google, redirection, alerte navigateur ou emails suspects.
Accès disponibles : WordPress, hébergement, SFTP, base de données, sauvegardes et domaine.

Ce qu’il ne faut pas faire trop vite

Ne supprimez pas uniquement les fichiers listés sans comprendre comment ils sont arrivés là. Si un compte administrateur est compromis, si une extension vulnérable reste active ou si un accès SFTP circule encore, l’infection peut revenir.

Évitez aussi d’installer plusieurs scanners de sécurité en urgence, de restaurer une sauvegarde inconnue, de changer de thème pour voir si le problème disparaît ou de demander à l’hébergeur une réactivation sans preuve de nettoyage. Ces actions peuvent masquer le symptôme sans corriger le fond.

Où se cachent souvent les fichiers suspects

Les fichiers malveillants ne portent pas toujours un nom évident. Certains ressemblent à des fichiers WordPress normaux, d’autres sont placés dans des dossiers où l’on regarde rarement.

Uploads

Des fichiers PHP ne devraient généralement pas apparaître dans un dossier d’images ou de documents.

Extensions

Un plugin abandonné, modifié ou inconnu peut servir de porte d’entrée ou cacher du code injecté.

Thème

functions.php, header.php ou des fichiers ajoutés peuvent contenir une redirection ou un chargeur suspect.

Racine

index.php, wp-config.php, .htaccess ou des fichiers au nom banal peuvent être modifiés.

Base de données

Des scripts, utilisateurs, options ou contenus spam peuvent survivre même après suppression de fichiers.

Tâches planifiées

Des tâches cron peuvent recréer des fichiers ou relancer du spam si elles ne sont pas vérifiées.

La méthode pour nettoyer sans aggraver

Un nettoyage utile ne consiste pas seulement à retirer ce qui est signalé. Il faut comprendre l’entrée probable, remettre des fichiers propres, sécuriser les accès et vérifier que le site ne recrée pas le même problème.

  1. Conserver le message de l’hébergeur, les chemins de fichiers et les captures.
  2. Créer une sauvegarde de l’état actuel, même infecté, avant suppression.
  3. Vérifier les fichiers WordPress, les thèmes, les extensions, les uploads et les fichiers serveur.
  4. Contrôler la base de données, les comptes administrateurs, les tâches planifiées et les redirections.
  5. Remplacer les fichiers WordPress, thèmes ou extensions par des sources propres quand c’est possible.
  6. Supprimer les faux plugins, fichiers suspects, comptes inconnus et accès inutiles.
  7. Changer les mots de passe et accès critiques : WordPress, hébergement, SFTP, base de données et comptes liés.
  8. Tester le site, les formulaires, les emails, les URL signalées et les éventuelles alertes Google.

À envoyer pour un diagnostic

Le rapport de l’hébergeur est la pièce la plus utile. Même s’il est technique, il permet d’éviter un nettoyage au hasard.

Message complet de l’hébergeur et chemins de fichiers signalés
URL du site et date de découverte
Captures éventuelles de l’alerte, du panneau hébergeur ou des emails reçus
Accès disponibles : WordPress, hébergement, SFTP, base, domaine et sauvegardes
Dernières mises à jour, nouveaux plugins ou interventions connues
Présence de WooCommerce, formulaires sensibles ou comptes clients
Faire vérifier les fichiers WordPress

Répondre à l’hébergeur après nettoyage

Une fois le site nettoyé, la réponse à l’hébergeur doit être concrète. Indiquez que les fichiers signalés ont été traités, que les sources propres ont été réinstallées si nécessaire, que les comptes ont été vérifiés, que les mots de passe ont été changés et que les extensions vulnérables ont été supprimées ou mises à jour.

Si l’hébergeur a suspendu le site, demandez une réanalyse ou une réactivation seulement quand les points principaux sont traités. Remettre le site en ligne trop tôt peut déclencher un nouveau blocage, voire compliquer la relation avec le support.

Et si le site est déjà suspendu ?

Si l’hébergeur a déjà bloqué le site, commencez par lire le motif exact. Un blocage pour fichiers malveillants ne se traite pas comme un dépassement de ressources, un non-paiement ou une erreur de configuration. L’article sur le site WordPress bloqué par l’hébergeur détaille ce scénario.

Si Google affiche aussi une alerte, lisez également le guide sur l’alerte Google site piraté. Les deux signaux peuvent être liés, mais ils ne se règlent pas avec le même bouton.

Quand demander une intervention

Demandez de l’aide si le rapport mentionne plusieurs fichiers, si le site contient WooCommerce, si les sauvegardes sont floues, si vous ne savez pas lire les chemins indiqués, si le site envoie du spam ou si l’hébergeur menace une suspension rapide.

Le budget se discute après la première lecture du rapport et des accès disponibles. Un fichier isolé, une infection dans les uploads, une base de données touchée, un WooCommerce actif ou un serveur compromis ne demandent pas le même travail. Pour les ordres de grandeur, l’article sur le nettoyage d’un site WordPress piraté reste le bon complément.

Questions fréquentes

Pourquoi mon hébergeur détecte des fichiers malveillants sur WordPress ?+

L’hébergeur peut détecter du code suspect dans les fichiers WordPress, le thème, les extensions, les uploads ou les fichiers serveur. Le site peut encore fonctionner tout en contenant une porte d’entrée ou un script malveillant.

Faut-il supprimer les fichiers signalés par l’hébergeur ?+

Pas sans sauvegarde ni diagnostic. Il faut comprendre si ces fichiers sont la cause, la conséquence ou seulement une partie de l’infection.

Un plugin de sécurité suffit-il à nettoyer WordPress ?+

Un plugin peut aider, mais il ne remplace pas une vérification des fichiers, de la base, des comptes, des accès, des extensions, des redirections et des sauvegardes.

Que répondre à l’hébergeur après nettoyage ?+

Répondez avec les actions concrètes : fichiers traités, accès changés, extensions vérifiées, comptes supprimés, sauvegardes contrôlées et mesures de prévention mises en place.

Site bloqué, cassé ou inquiétant ?

Envoyez l’URL, le message affiché et le contexte. Le premier objectif est de cadrer l’urgence avant de modifier quoi que ce soit.

Faire vérifier l'incident WordPress

À lire ensuite.

Sécurité

Site WordPress envoie du spam : que faire côté serveur ?

Votre hébergeur signale du spam envoyé depuis votre site WordPress ou votre serveur ? Voici quoi vérifier avant de réactiver les emails.

Urgence

Site WordPress bloqué par l’hébergeur : que faire ?

Votre hébergeur a bloqué votre site WordPress ? Voici les causes possibles et les vérifications à faire avant de remettre le site en ligne.

Sécurité

Site WordPress piraté : que faire sans aggraver la situation ?

Votre site WordPress est piraté ? Voici quoi vérifier, quoi éviter et quand demander un diagnostic pour nettoyer le site sans aggraver la situation.

Sécurité

Alerte Google : site piraté, que faire sur WordPress ?

Google affiche une alerte de piratage sur votre site WordPress ? Voici quoi vérifier dans Search Console, quoi éviter et comment demander un réexamen proprement.

Sécurité

Site WordPress piraté avec pages japonaises : que faire dans Google ?

Des pages en japonais apparaissent dans Google alors que votre site WordPress semble normal ? Voici quoi vérifier, quoi éviter et comment préparer le nettoyage sans perdre les preuves utiles.

Sécurité

Nettoyage site WordPress piraté : prix, délais et intervention rapide

Redirection, malware, alerte Google, pages spam : prix réalistes, délais et éléments à envoyer pour estimer le nettoyage WordPress.

Maintenance

Sauvegarde WordPress introuvable : pourquoi il faut la traiter vite

Une sauvegarde WordPress introuvable peut transformer un bug simple en incident sérieux. Voici quoi vérifier et comment éviter de perdre le contrôle du site.