Fichiers malveillants signalés : que faire sur WordPress ?
Andrei
Expert WordPress & Fondateur
Votre hébergeur signale des fichiers malveillants sur WordPress ? Voici quoi vérifier, quoi éviter et comment préparer le nettoyage sans aggraver l’incident.

Vous recevez un message de votre hébergeur : fichiers malveillants détectés, malware trouvé, script suspect, suspension annoncée ou nettoyage demandé avant réactivation. Le site WordPress peut encore fonctionner, mais l’hébergeur a repéré quelque chose dans les fichiers ou dans l’activité du serveur.
Dans ce cas, la pire réaction est de supprimer au hasard les fichiers listés dans le rapport. Certains fichiers sont réellement infectés. D’autres sont des fichiers WordPress modifiés, des faux fichiers placés dans les uploads, des portes d’entrée ou seulement des symptômes. Si la cause reste active, les fichiers peuvent revenir.
L’objectif est de lire le rapport, préserver les indices utiles, nettoyer WordPress proprement, sécuriser les accès, puis répondre à l’hébergeur avec des éléments vérifiables. La rapidité compte, mais elle ne doit pas conduire à un nettoyage incomplet.
Réponse rapide
Signal
Rapport hébergeur
Chemins de fichiers, malware, script suspect, spam sortant ou consommation anormale.
Priorité
Comprendre avant de supprimer
Un fichier signalé peut être un symptôme. La porte d’entrée peut être ailleurs.
À garder
Rapport + sauvegarde
Conservez les chemins, dates, captures, messages et une copie de l’état actuel.
Ce que signifie une détection de fichiers malveillants
Un hébergeur surveille souvent les fichiers, les scripts exécutés, les envois d’emails, la charge serveur et certains comportements anormaux. Quand il signale des fichiers malveillants sur WordPress, cela peut venir d’un fichier modifié, d’un faux plugin, d’un script placé dans wp-content/uploads, d’un thème compromis, d’une extension vulnérable ou d’un accès utilisé par quelqu’un d’autre.
Le site n’est pas forcément déjà bloqué. L’hébergeur peut envoyer un avertissement avant suspension, placer certains fichiers en quarantaine, couper l’envoi d’emails ou demander une correction dans un délai précis. Il faut donc traiter l’alerte comme un incident réel, même si la page d’accueil semble normale.
Lire le rapport avant de toucher au site
Le message de l’hébergeur contient souvent les meilleurs indices. Avant de modifier quoi que ce soit, notez les chemins de fichiers, la date de détection, le type d’alerte et les actions déjà faites par l’hébergeur.
Ce qu’il ne faut pas faire trop vite
Ne supprimez pas uniquement les fichiers listés sans comprendre comment ils sont arrivés là. Si un compte administrateur est compromis, si une extension vulnérable reste active ou si un accès SFTP circule encore, l’infection peut revenir.
Évitez aussi d’installer plusieurs scanners de sécurité en urgence, de restaurer une sauvegarde inconnue, de changer de thème pour voir si le problème disparaît ou de demander à l’hébergeur une réactivation sans preuve de nettoyage. Ces actions peuvent masquer le symptôme sans corriger le fond.
Où se cachent souvent les fichiers suspects
Les fichiers malveillants ne portent pas toujours un nom évident. Certains ressemblent à des fichiers WordPress normaux, d’autres sont placés dans des dossiers où l’on regarde rarement.
Uploads
Des fichiers PHP ne devraient généralement pas apparaître dans un dossier d’images ou de documents.
Extensions
Un plugin abandonné, modifié ou inconnu peut servir de porte d’entrée ou cacher du code injecté.
Thème
functions.php, header.php ou des fichiers ajoutés peuvent contenir une redirection ou un chargeur suspect.
Racine
index.php, wp-config.php, .htaccess ou des fichiers au nom banal peuvent être modifiés.
Base de données
Des scripts, utilisateurs, options ou contenus spam peuvent survivre même après suppression de fichiers.
Tâches planifiées
Des tâches cron peuvent recréer des fichiers ou relancer du spam si elles ne sont pas vérifiées.
La méthode pour nettoyer sans aggraver
Un nettoyage utile ne consiste pas seulement à retirer ce qui est signalé. Il faut comprendre l’entrée probable, remettre des fichiers propres, sécuriser les accès et vérifier que le site ne recrée pas le même problème.
- Conserver le message de l’hébergeur, les chemins de fichiers et les captures.
- Créer une sauvegarde de l’état actuel, même infecté, avant suppression.
- Vérifier les fichiers WordPress, les thèmes, les extensions, les uploads et les fichiers serveur.
- Contrôler la base de données, les comptes administrateurs, les tâches planifiées et les redirections.
- Remplacer les fichiers WordPress, thèmes ou extensions par des sources propres quand c’est possible.
- Supprimer les faux plugins, fichiers suspects, comptes inconnus et accès inutiles.
- Changer les mots de passe et accès critiques : WordPress, hébergement, SFTP, base de données et comptes liés.
- Tester le site, les formulaires, les emails, les URL signalées et les éventuelles alertes Google.
À envoyer pour un diagnostic
Le rapport de l’hébergeur est la pièce la plus utile. Même s’il est technique, il permet d’éviter un nettoyage au hasard.
Répondre à l’hébergeur après nettoyage
Une fois le site nettoyé, la réponse à l’hébergeur doit être concrète. Indiquez que les fichiers signalés ont été traités, que les sources propres ont été réinstallées si nécessaire, que les comptes ont été vérifiés, que les mots de passe ont été changés et que les extensions vulnérables ont été supprimées ou mises à jour.
Si l’hébergeur a suspendu le site, demandez une réanalyse ou une réactivation seulement quand les points principaux sont traités. Remettre le site en ligne trop tôt peut déclencher un nouveau blocage, voire compliquer la relation avec le support.
Et si le site est déjà suspendu ?
Si l’hébergeur a déjà bloqué le site, commencez par lire le motif exact. Un blocage pour fichiers malveillants ne se traite pas comme un dépassement de ressources, un non-paiement ou une erreur de configuration. L’article sur le site WordPress bloqué par l’hébergeur détaille ce scénario.
Si Google affiche aussi une alerte, lisez également le guide sur l’alerte Google site piraté. Les deux signaux peuvent être liés, mais ils ne se règlent pas avec le même bouton.
Quand demander une intervention
Demandez de l’aide si le rapport mentionne plusieurs fichiers, si le site contient WooCommerce, si les sauvegardes sont floues, si vous ne savez pas lire les chemins indiqués, si le site envoie du spam ou si l’hébergeur menace une suspension rapide.
Le budget se discute après la première lecture du rapport et des accès disponibles. Un fichier isolé, une infection dans les uploads, une base de données touchée, un WooCommerce actif ou un serveur compromis ne demandent pas le même travail. Pour les ordres de grandeur, l’article sur le nettoyage d’un site WordPress piraté reste le bon complément.
Questions fréquentes
Pourquoi mon hébergeur détecte des fichiers malveillants sur WordPress ?+
L’hébergeur peut détecter du code suspect dans les fichiers WordPress, le thème, les extensions, les uploads ou les fichiers serveur. Le site peut encore fonctionner tout en contenant une porte d’entrée ou un script malveillant.
Faut-il supprimer les fichiers signalés par l’hébergeur ?+
Pas sans sauvegarde ni diagnostic. Il faut comprendre si ces fichiers sont la cause, la conséquence ou seulement une partie de l’infection.
Un plugin de sécurité suffit-il à nettoyer WordPress ?+
Un plugin peut aider, mais il ne remplace pas une vérification des fichiers, de la base, des comptes, des accès, des extensions, des redirections et des sauvegardes.
Que répondre à l’hébergeur après nettoyage ?+
Répondez avec les actions concrètes : fichiers traités, accès changés, extensions vérifiées, comptes supprimés, sauvegardes contrôlées et mesures de prévention mises en place.
Site bloqué, cassé ou inquiétant ?
Envoyez l’URL, le message affiché et le contexte. Le premier objectif est de cadrer l’urgence avant de modifier quoi que ce soit.
Faire vérifier l'incident WordPressÀ lire ensuite.
Site WordPress envoie du spam : que faire côté serveur ?
Votre hébergeur signale du spam envoyé depuis votre site WordPress ou votre serveur ? Voici quoi vérifier avant de réactiver les emails.
UrgenceSite WordPress bloqué par l’hébergeur : que faire ?
Votre hébergeur a bloqué votre site WordPress ? Voici les causes possibles et les vérifications à faire avant de remettre le site en ligne.
SécuritéSite WordPress piraté : que faire sans aggraver la situation ?
Votre site WordPress est piraté ? Voici quoi vérifier, quoi éviter et quand demander un diagnostic pour nettoyer le site sans aggraver la situation.
SécuritéAlerte Google : site piraté, que faire sur WordPress ?
Google affiche une alerte de piratage sur votre site WordPress ? Voici quoi vérifier dans Search Console, quoi éviter et comment demander un réexamen proprement.
SécuritéSite WordPress piraté avec pages japonaises : que faire dans Google ?
Des pages en japonais apparaissent dans Google alors que votre site WordPress semble normal ? Voici quoi vérifier, quoi éviter et comment préparer le nettoyage sans perdre les preuves utiles.
SécuritéNettoyage site WordPress piraté : prix, délais et intervention rapide
Redirection, malware, alerte Google, pages spam : prix réalistes, délais et éléments à envoyer pour estimer le nettoyage WordPress.
MaintenanceSauvegarde WordPress introuvable : pourquoi il faut la traiter vite
Une sauvegarde WordPress introuvable peut transformer un bug simple en incident sérieux. Voici quoi vérifier et comment éviter de perdre le contrôle du site.