Retour au journal
Sécurité18 Mai 2026

Nettoyage site WordPress piraté : prix, délais et intervention rapide

A

Andrei

Expert WordPress & Fondateur

Redirection, malware, alerte Google, pages spam : prix réalistes, délais et éléments à envoyer pour estimer le nettoyage WordPress.

Tableau de diagnostic d'un site WordPress piraté avec prix, délai, niveau d'urgence, nettoyage et sécurisation.

Un site WordPress piraté pose deux questions immédiates : est-ce dangereux pour les visiteurs et combien va coûter le nettoyage ? Le problème peut être visible, avec une alerte Google, une redirection suspecte ou un blocage hébergeur. Il peut aussi être discret : pages spam dans les résultats, emails envoyés depuis le serveur, comptes administrateurs inconnus ou fichiers modifiés sans bruit.

Pour un site vitrine de TPE, comptez souvent 250€ à 600€ si l'infection est limitée. Un cas urgent ou plus complexe monte plutôt entre 600€ et 1 500€, parfois plus si WooCommerce, la base de données, Google ou l'hébergement sont touchés.

Réponse rapide

Prix courant

250€ à 600€

Site vitrine accessible, symptômes limités, accès et sauvegardes exploitables.

Cas urgent

600€ à 1 500€

Redirection, alerte Google, blocage hébergeur, réinfection ou base touchée.

À envoyer

URL + alertes + accès

Pages touchées, captures, date de découverte, accès WordPress et hébergement.

Demander une estimation

Un nettoyage sérieux doit traiter ce qui est touché, comprendre l'entrée probable, sécuriser les accès et éviter la récidive. L'article site WordPress piraté : que faire détaille les premiers réflexes ; ici, on cadre surtout le prix, les délais et les étapes d'un nettoyage sérieux.

Quel cas correspond à votre situation ?

Si vous cherchez une agence de nettoyage de site piraté sous WordPress ou un expert WordPress, cette qualification évite les devis approximatifs. Le prix dépend moins du mot "piraté" que de ce qui est réellement touché.

Redirection ou alerte Google

Le site expose les visiteurs ou affiche un avertissement. Il faut préserver les preuves, nettoyer puis demander les contrôles Google ou hébergeur utiles.

Pages spam dans les résultats

Le piratage peut être invisible sur le site mais visible pour Google. Le nettoyage doit vérifier fichiers, base de données, sitemap, comptes et anciennes URL spam.

Site bloqué par l'hébergeur

Le message de suspension donne souvent la piste : malware, spam, ressources ou fichiers suspects. Il faut le lire avant de restaurer ou supprimer.

Doute sans symptôme critique

Quand le site reste en ligne mais paraît suspect, un diagnostic évite de lancer une intervention lourde ou d'écraser une sauvegarde encore utile.

Redirection, alerte Google ou pages spam : quel niveau d'urgence ?

Si le site redirige vers un domaine inconnu, si Google affiche une alerte "site dangereux", si des pages japonaises apparaissent dans les résultats ou si l'hébergeur suspend le compte, il faut agir rapidement. Ce ne sont pas de simples bugs d'affichage.

Dans les premières minutes, le plus utile est de documenter le problème : captures d'écran, URL concernées, message de l'hébergeur, alerte Search Console, date de découverte et dernières modifications connues. Un site WordPress infecté peut sembler normal depuis votre ordinateur tout en affichant du spam à Google ou à certains visiteurs ; une désinfection sérieuse commence donc par un diagnostic.

Besoin d'un chiffrage ?

Si le site est déjà redirigé, bloqué, signalé par Google ou suspecté de malware, commencez par une estimation cadrée avant de modifier les fichiers. Pour aller vite, envoyez les éléments qui permettent de distinguer un nettoyage simple d'une reprise de sécurité complète.

URL du site et pages touchées
Capture de l'alerte Google, navigateur ou hébergeur
Date de découverte et derniers changements connus
Accès disponibles : WordPress, hébergement, SFTP, base, Search Console
Présence de WooCommerce, comptes clients ou formulaires sensibles
Existence et date des sauvegardes connues
Estimer le nettoyage WordPress

Combien coûte le nettoyage d'un site WordPress piraté ?

Les prix affichés sur le marché varient beaucoup parce que tous les piratages ne se ressemblent pas. Une redirection simple sur un petit site vitrine n'a pas le même poids qu'un hack SEO avec des centaines de pages japonaises indexées, une base de données infectée, un WooCommerce actif ou un hébergement suspendu.

Infection limitée

250€ à 600€

Quelques heures à 24h

Site vitrine accessible, symptômes identifiés, peu de plugins, pas de boutique et sauvegardes exploitables.

À envoyer : URL, symptôme principal, accès WordPress et hébergement.

Cas complexe ou urgent

600€ à 1 500€

24 à 48h, parfois plus

Redirections, base de données touchée, hébergeur qui bloque, alerte Google, réinfection ou intervention rapide.

À envoyer : Messages Google ou hébergeur, pages touchées, accès serveur et base.

Risque élevé

2 000€ et plus

Plusieurs jours

WooCommerce, multisite, serveur compromis, données sensibles, hack SEO massif ou audit sécurité approfondi.

À envoyer : Contexte métier, données à préserver, sauvegardes, logs et contraintes.

Ces fourchettes ne remplacent pas un diagnostic. Elles servent à comprendre l'ordre de grandeur. Un prix très bas peut convenir pour une intervention simple et bien limitée. Il devient risqué s'il promet de nettoyer un site entier sans regarder les fichiers, la base de données, les comptes, les sauvegardes, l'hébergement et l'origine probable de l'infection.

Ce qui permet de donner un prix fiable

Une demande exploitable n'a pas besoin d'être longue. Pour éviter un devis flou, envoyez au minimum :

  • L'URL du site, les pages touchées et le symptôme principal : redirection, malware, alerte Google, pages spam, blocage hébergeur ou emails suspects.
  • Le message exact reçu dans Search Console, chez l'hébergeur ou dans le navigateur, avec une capture si possible.
  • Les accès déjà disponibles : WordPress, hébergement, SFTP ou FTP, base de données, nom de domaine et Search Console.
  • Le type de site, la présence éventuelle de données clients, la date des dernières sauvegardes et les changements récents.

Si certains accès manquent, l'intervention reste parfois possible, mais le devis doit le prendre en compte. Une intervention sans hébergement, sans base de données ou sans sauvegarde exploitable peut devenir plus lente et plus risquée.

Ce qui doit être inclus dans le prix

Pour comparer deux tarifs, il faut regarder le périmètre. Un nettoyage à bas prix peut être cohérent s'il s'agit d'un cas simple, mais il doit rester clair sur ce qui est vérifié et ce qui ne l'est pas.

  • Diagnostic initial des symptômes, de l'hébergement et des alertes disponibles.
  • Sauvegarde de l'état actuel avant toute suppression.
  • Nettoyage des fichiers WordPress, du thème, des plugins et des uploads suspects.
  • Contrôle de la base de données, des redirections et des comptes administrateurs.
  • Rotation des accès et des clés de sécurité quand c'est nécessaire.
  • Mises à jour utiles et suppression des extensions ou thèmes inutilisés.
  • Vérification Search Console si Google signale un problème.
  • Recommandations post-intervention pour éviter une réinfection.

Ce qui peut faire monter le devis : WooCommerce, serveur compromis, absence d'accès, sauvegardes introuvables, migration nécessaire, gros volume de pages spam, données sensibles ou besoin d'un rapport post-incident plus détaillé. Dans ces cas, on sort parfois du simple nettoyage pour entrer dans une reprise de sécurité complète.

Les signes qu'un site WordPress est piraté

Un site piraté ne ressemble pas toujours à un site hors ligne. Les symptômes peuvent apparaître seulement depuis Google, seulement sur mobile ou seulement pour certains visiteurs. C'est justement ce qui rend le diagnostic délicat.

  • Le site redirige vers une page inconnue, parfois seulement depuis Google.
  • Google affiche une alerte "site dangereux" ou un avertissement de sécurité.
  • Des pages japonaises, chinoises, casino, adulte ou pharmacie apparaissent dans les résultats.
  • L'hébergeur bloque le site pour malware, spam ou consommation anormale.
  • Des comptes administrateurs inconnus apparaissent dans WordPress.
  • Le site envoie des emails suspects ou finit en liste noire.
  • Des fichiers, plugins ou scripts inconnus sont visibles sur le serveur.
  • Le trafic SEO chute alors que le site semble normal depuis votre ordinateur.

Si le problème principal est une redirection, l'article sur le site WordPress qui redirige vers un autre site détaille ce scénario. Dans tous les cas, supprimer uniquement ce qui se voit peut laisser une porte ouverte.

Que faire dans les 30 premières minutes ?

Le premier réflexe doit être de stabiliser la situation, pas de tout modifier. Chaque action menée dans la panique peut supprimer des traces utiles ou rendre la restauration plus compliquée.

Checklist immédiate

Documenter : captures d'écran, URL touchées, alerte Google, message hébergeur et date de découverte.
Préserver : sauvegarde de l'état actuel, même infecté, avant suppression ou restauration.
Limiter : éviter de remettre publiquement en ligne un site qui met les visiteurs en danger.
Ne pas faire : supprimer des fichiers, écraser les sauvegardes ou installer plusieurs plugins au hasard.
Préparer : accès WordPress, hébergement, SFTP, base de données, domaine et Search Console.
Cadrer : indiquer si le site contient WooCommerce, des comptes clients ou des formulaires sensibles.

Si l'hébergeur a suspendu le site, commencez aussi par comprendre la raison exacte du blocage. Un site WordPress bloqué par l'hébergeur peut signaler un piratage, mais aussi un problème de ressources, de spam ou de configuration.

Les étapes d'un nettoyage WordPress sérieux

Un nettoyage sérieux suit une méthode. Elle peut être plus ou moins technique selon le cas, mais elle ne doit pas se limiter à lancer un scanner puis cliquer sur "réparer".

  1. Diagnostic initial : symptômes, date probable, pages touchées, alertes Google ou hébergeur.
  2. Sauvegarde complète de l'état actuel : fichiers, base de données, configuration utile.
  3. Analyse des fichiers WordPress, du thème, des plugins, des uploads, des fichiers serveur et des zones sensibles comme .htaccess, wp-config.php ou mu-plugins.
  4. Analyse de la base de données : scripts injectés, redirections, comptes inconnus, contenus spam.
  5. Remplacement des fichiers WordPress, plugins et thèmes depuis des sources propres quand c'est possible.
  6. Suppression des backdoors, faux plugins, comptes administrateurs suspects et accès inutiles.
  7. Contrôle des journaux serveur si disponibles pour repérer la date et l'entrée probable.
  8. Rotation des mots de passe, clés WordPress et secrets : WordPress, hébergement, SFTP, base de données, comptes critiques.
  9. Mise à jour de WordPress, du thème et des extensions conservées, puis suppression des composants inutilisés.
  10. Durcissement : sauvegardes externes, permissions, 2FA si pertinent, limitation des comptes et surveillance.
  11. Contrôle après nettoyage : pages publiques, formulaires, comptes, logs si disponibles, Search Console, scan externe et nouvelles alertes.
Schéma des étapes pour reprendre un site WordPress piraté : contenir, sauvegarder, nettoyer, sécuriser et surveiller.

Pourquoi le prix varie autant

Le prix dépend d'abord du niveau d'incertitude. Un petit site vitrine avec accès complets, sauvegardes claires et symptômes limités est plus simple à reprendre qu'un site ancien, sans suivi, avec beaucoup d'extensions et aucun historique.

Le budget augmente si la base de données est infectée, si le piratage revient après un premier nettoyage, si l'hébergeur a suspendu le compte, si Google a indexé des centaines de pages spam, si les accès sont incomplets ou si aucune sauvegarde fiable n'est disponible. Une sauvegarde WordPress introuvable transforme souvent une intervention cadrée en reprise plus délicate.

WooCommerce ajoute aussi du risque. Il faut préserver les commandes, les produits, les comptes clients, les emails transactionnels et les paiements. On ne nettoie pas une boutique active comme un simple site vitrine.

À retenir

Le coût d'un nettoyage WordPress dépend du risque : ce qui a été touché, ce qu'il faut préserver et ce qu'il faut corriger pour éviter la récidive.

Combien de temps faut-il prévoir ?

Le nettoyage technique peut être rapide dans un cas simple, mais le retour complet à la normale peut prendre plus longtemps. Il faut distinguer le temps d'intervention, le temps de vérification et le temps nécessaire à Google ou à l'hébergeur pour lever certaines alertes.

Un diagnostic peut souvent être lancé rapidement si les accès sont disponibles. Un nettoyage simple peut être terminé en quelques heures ou sous 24 heures. Un cas plus courant demande 24 à 48 heures. Un site suspendu, blacklisté, réinfecté ou très ancien peut demander plusieurs jours.

Si Google affiche une alerte, le nettoyage du site ne retire pas toujours l'avertissement immédiatement. Il faut vérifier Search Console, expliquer les corrections et demander un réexamen après le nettoyage complet.

Si Google affiche une alerte ou des pages spam

Quand Google signale un malware WordPress, une alerte "site dangereux" ou des pages spam, il faut traiter le sujet en deux temps : nettoyer le site, puis demander à Google de recontrôler une base vraiment propre.

Dans Search Console, vérifiez les rapports "Problèmes de sécurité" et "Actions manuelles" si vous y avez accès. Les exemples d'URL fournis par Google sont précieux : ils montrent parfois des pages que vous ne voyez pas depuis la navigation normale, surtout si le spam est affiché différemment aux moteurs.

Les pages spam qui n'ont jamais été légitimes doivent être supprimées proprement et répondre en 404 ou 410. Les rediriger massivement vers l'accueil peut brouiller le signal. Une fois le nettoyage terminé, renvoyez un sitemap propre si nécessaire, puis demandez l'examen de sécurité. L'alerte peut disparaître après validation, mais certaines anciennes URL spam peuvent rester visibles quelque temps dans les résultats ou dans Search Console.

Les erreurs à éviter

Les mauvaises décisions coûtent parfois plus cher que le piratage initial. Elles peuvent détruire des preuves, écraser une version récupérable ou laisser la faille active.

  • Restaurer une sauvegarde sans savoir si elle est saine : le malware peut revenir immédiatement.
  • Installer plusieurs plugins de sécurité en urgence : un scanner aide, mais ne remplace pas le nettoyage.
  • Changer seulement le mot de passe WordPress : l'accès hébergeur, SFTP ou base peut aussi être concerné.
  • Supprimer un fichier suspect sans sauvegarde : cela peut effacer des traces utiles au diagnostic.
  • Oublier la base de données, les comptes admin, les tâches planifiées ou les redirections cachées : la réinfection devient probable.
  • Remettre le site en ligne sans comprendre l'entrée : l'hébergeur ou Google peut prolonger le blocage.

Nettoyage ou refonte complète ?

Un piratage ne justifie pas automatiquement une refonte complète. Si le site est sain dans sa structure, encore utile commercialement et techniquement récupérable, un nettoyage suivi d'une sécurisation peut suffire.

En revanche, une refonte peut devenir plus rationnelle si le site est très ancien, lent, impossible à maintenir, construit avec un thème abandonné, rempli d'extensions fragiles ou déjà peu utile avant l'incident. Dans ce cas, il faut décider ce qui mérite d'être conservé avant de réparer.

Cette décision se prend après diagnostic. Nettoyer un site condamné peut coûter moins cher à court terme, mais plus cher si l'on doit refaire la base quelques semaines plus tard.

Après le nettoyage : éviter que le problème revienne

Le nettoyage règle l'incident. La maintenance réduit le risque de récidive. Après intervention, il faut garder le site à jour, supprimer ce qui est inutile, vérifier les sauvegardes, surveiller les alertes, limiter les comptes administrateurs et garder un responsable identifié.

Une maintenance WordPress avec hébergement peut être pertinente si le site est devenu critique pour votre activité. Elle ne promet pas une sécurité parfaite, mais elle évite de laisser le site sans suivi, sans sauvegarde claire et sans interlocuteur le jour où quelque chose casse.

Questions fréquentes

Combien coûte le nettoyage d'un site WordPress piraté ?+

Pour un site vitrine WordPress, un nettoyage sérieux coûte souvent entre 250€ et 600€ quand l'infection est limitée. Le prix peut monter entre 600€ et 1 500€ si le site est bloqué, blacklisté par Google, touché en base de données ou à traiter en urgence.

Combien de temps faut-il pour nettoyer un site WordPress infecté ?+

Un cas simple peut parfois être traité en quelques heures. Un cas courant demande plutôt 24 à 48 heures. Si Google affiche une alerte, si des pages spam sont indexées ou si l'hébergeur a suspendu le site, le retour complet peut prendre plusieurs jours.

Faut-il restaurer une sauvegarde pour nettoyer un site piraté ?+

Pas automatiquement. Une sauvegarde peut déjà contenir l'infection ou être trop ancienne. Avant de restaurer, il faut vérifier sa date, son contenu, sa qualité et conserver une copie de l'état actuel du site.

Comment retirer l'alerte site dangereux de Google ?+

Il faut nettoyer le site complètement, corriger la faille, vérifier les pages infectées dans Search Console, puis demander un réexamen à Google. La disparition de l'alerte peut prendre quelques jours, parfois plus si le piratage a généré beaucoup de pages spam.

Pourquoi un site WordPress piraté peut-il être infecté à nouveau ?+

La réinfection arrive souvent quand le nettoyage retire seulement le symptôme visible sans corriger l'entrée : plugin vulnérable, thème abandonné, compte admin compromis, mot de passe faible, fichier caché, sauvegarde infectée ou hébergement mal sécurisé.

Que comprend le prix d'un nettoyage WordPress ?+

Un prix sérieux doit couvrir au minimum le diagnostic, une sauvegarde avant intervention, le nettoyage des fichiers et de la base, la vérification des comptes, la rotation des accès, les mises à jour utiles, les contrôles après nettoyage et les recommandations pour éviter une récidive.

Le prix est-il fixe après diagnostic ?+

Il peut l'être si le périmètre est clair : type de site, accès disponibles, symptômes, sauvegardes, présence ou non de WooCommerce, alerte Google et état de l'hébergement. Sans diagnostic, un prix fixe peut oublier des points importants.

Que faut-il envoyer pour obtenir un prix fiable ?+

Envoyez l'URL, les symptômes visibles, les messages Google ou hébergeur, la date de découverte, les accès disponibles, le type de site et ce que vous savez des sauvegardes. Plus le contexte est clair, plus le chiffrage peut être précis.

Quand faut-il demander une intervention urgente ?+

L'urgence est réelle si le site redirige les visiteurs, affiche une alerte Google, est suspendu par l'hébergeur, envoie du spam, expose des données clients ou contient une boutique active.

Faut-il choisir une agence ou un expert WordPress ?+

Le plus important est le périmètre réel : diagnostic, sauvegarde, fichiers, base, accès, Search Console, corrections et suivi. Une agence ou un expert est utile quand le site est commercialement important ou que le piratage dépasse un simple symptôme visible.

Puis-je nettoyer moi-même un site WordPress piraté avec un plugin ?+

Un plugin de sécurité peut aider à repérer certains fichiers suspects, mais il ne remplace pas une vérification des fichiers, de la base de données, des comptes, des accès, des sauvegardes et de la faille qui a permis l'infection.

Conclusion : nettoyer vite, mais avec méthode

Un site WordPress piraté demande une réaction rapide, mais pas précipitée. Le plus important est de comprendre ce qui a été touché, de préserver ce qui peut l'être, de nettoyer proprement et de corriger la faille qui a permis l'incident.

Si votre site affiche une alerte, redirige vers un autre domaine, contient des pages inconnues dans Google ou a été bloqué par l'hébergeur, commencez par la page nettoyage site WordPress piraté. Vous saurez si le site doit être nettoyé, restauré, audité, refondu ou remis sous maintenance.

Pour obtenir une estimation utile, envoyez l'URL du site, les symptômes observés, les messages Google ou hébergeur et les accès disponibles. Le chiffrage sera plus fiable qu'une promesse de nettoyage sans regarder le site.

Site piraté maintenant ?

Envoyez l'URL, les symptômes visibles, les messages Google ou hébergeur et les accès disponibles. Le premier objectif est d'estimer le prix et le risque sans aggraver l'incident.

Envoyer l'URL pour estimation

À lire ensuite.

Sécurité

Site WordPress envoie du spam : que faire côté serveur ?

Votre hébergeur signale du spam envoyé depuis votre site WordPress ou votre serveur ? Voici quoi vérifier avant de réactiver les emails.

Sécurité

Fichiers malveillants signalés : que faire sur WordPress ?

Votre hébergeur signale des fichiers malveillants sur WordPress ? Voici quoi vérifier, quoi éviter et comment préparer le nettoyage sans aggraver l’incident.

Sécurité

Alerte Google : site piraté, que faire sur WordPress ?

Google affiche une alerte de piratage sur votre site WordPress ? Voici quoi vérifier dans Search Console, quoi éviter et comment demander un réexamen proprement.

Sécurité

Site WordPress piraté avec pages japonaises : que faire dans Google ?

Des pages en japonais apparaissent dans Google alors que votre site WordPress semble normal ? Voici quoi vérifier, quoi éviter et comment préparer le nettoyage sans perdre les preuves utiles.

Sécurité

Site WordPress piraté : que faire sans aggraver la situation ?

Votre site WordPress est piraté ? Voici quoi vérifier, quoi éviter et quand demander un diagnostic pour nettoyer le site sans aggraver la situation.

Sécurité

Site WordPress qui redirige vers un autre site : que faire ?

Votre site WordPress redirige vers un autre site ? Voici pourquoi c’est souvent un signal de sécurité et quoi vérifier avant de nettoyer.

Urgence

Site WordPress bloqué par l’hébergeur : que faire ?

Votre hébergeur a bloqué votre site WordPress ? Voici les causes possibles et les vérifications à faire avant de remettre le site en ligne.

Maintenance

Sauvegarde WordPress introuvable : pourquoi il faut la traiter vite

Une sauvegarde WordPress introuvable peut transformer un bug simple en incident sérieux. Voici quoi vérifier et comment éviter de perdre le contrôle du site.

Maintenance

Tarif maintenance WordPress : comparer le prix et le périmètre réel

Prix de maintenance WordPress, forfaits, hébergement, sécurité, sauvegardes, support, limites et critères concrets pour comparer les offres.