Retour au journal
Sécurité18 Mai 2026

Nettoyage d'un site WordPress piraté : prix, délais et étapes en 2026

A

Andrei

Expert WordPress & Fondateur

Prix d'un nettoyage de site WordPress piraté, délais réalistes, étapes sérieuses, erreurs à éviter et que faire si Google affiche une alerte de sécurité.

Tableau de diagnostic d'un site WordPress piraté avec prix, délai, niveau d'urgence, nettoyage et sécurisation.

Un site WordPress piraté crée souvent deux urgences en même temps : remettre le site en état et comprendre combien l'intervention va coûter. Le problème peut être visible, avec une alerte Google ou une redirection suspecte. Il peut aussi être discret : pages inconnues dans les résultats, spam envoyé depuis le serveur, comptes administrateurs ajoutés ou fichiers modifiés sans bruit.

Pour un site vitrine de TPE, le nettoyage d'un WordPress piraté coûte souvent entre 250€ et 600€ lorsque l'infection est limitée. Le budget peut monter entre 600€ et 1 500€ si le site est bloqué, si la base de données est touchée, si Google affiche une alerte, si le site contient une boutique WooCommerce ou si l'intervention doit être menée en urgence.

Le bon objectif n'est pas seulement de retirer le fichier suspect. Il faut nettoyer, comprendre l'entrée, vérifier les accès, sécuriser la base et éviter que le piratage revienne. Si vous pensez être dans ce cas, l'article site WordPress piraté : que faire donne les premiers réflexes. Ici, on va surtout cadrer le prix, les délais et les étapes d'un nettoyage sérieux.

Redirection, alerte Google ou pages japonaises : quel niveau d'urgence ?

Si le site redirige vers un domaine inconnu, si Google affiche une alerte "site dangereux", si des pages japonaises apparaissent dans les résultats ou si l'hébergeur suspend le compte, il faut agir rapidement. Ce sont des signaux plus sérieux qu'un simple bug d'affichage.

Dans les premières minutes, le plus utile est de documenter le problème : captures d'écran, URL concernées, message de l'hébergeur, alerte Search Console, date de découverte et dernières modifications connues. Ces éléments aident à estimer le coût, le délai et le niveau de risque.

Un site WordPress infecté peut sembler normal depuis votre ordinateur tout en affichant du spam à Google ou à certains visiteurs. C'est pour cela qu'une désinfection WordPress sérieuse commence par un diagnostic, pas par la suppression rapide du symptôme visible.

Combien coûte le nettoyage d'un site WordPress piraté ?

Les prix affichés sur le marché varient beaucoup parce que tous les piratages ne se ressemblent pas. Une redirection simple sur un petit site vitrine n'a pas le même poids qu'un hack SEO avec des centaines de pages japonaises indexées, une base de données infectée, un WooCommerce actif ou un hébergement suspendu.

Infection limitée

250€ à 600€

Site vitrine accessible, symptômes identifiés, peu de plugins, pas de boutique et sauvegardes exploitables.

Cas complexe ou urgent

600€ à 1 500€

Redirections, base de données touchée, hébergeur qui bloque, alerte Google, réinfection ou intervention rapide.

Risque élevé

2 000€ et plus

WooCommerce, multisite, serveur compromis, données sensibles, hack SEO massif ou audit sécurité approfondi.

Ces fourchettes ne remplacent pas un diagnostic. Elles servent à comprendre l'ordre de grandeur. Un prix très bas peut convenir pour une intervention simple et bien limitée. Il devient risqué s'il promet de nettoyer un site entier sans regarder les fichiers, la base de données, les comptes, les sauvegardes, l'hébergement et l'origine probable de l'infection.

Ce qui doit être inclus dans le prix

Pour comparer deux tarifs, il faut regarder le périmètre. Un nettoyage à bas prix peut être cohérent s'il s'agit d'un cas simple, mais il doit rester clair sur ce qui est vérifié et ce qui ne l'est pas.

  • Diagnostic initial des symptômes, de l'hébergement et des alertes disponibles.
  • Sauvegarde de l'état actuel avant toute suppression.
  • Nettoyage des fichiers WordPress, du thème, des plugins et des uploads suspects.
  • Contrôle de la base de données, des redirections et des comptes administrateurs.
  • Rotation des accès et des clés de sécurité quand c'est nécessaire.
  • Mises à jour utiles et suppression des extensions ou thèmes inutilisés.
  • Vérification Search Console si Google signale un problème.
  • Recommandations post-intervention pour éviter une réinfection.

Ce qui peut faire monter le devis : WooCommerce, serveur compromis, absence d'accès, sauvegardes introuvables, migration nécessaire, gros volume de pages spam, données sensibles ou besoin d'un rapport post-incident plus détaillé. Dans ces cas, on sort parfois du simple nettoyage pour entrer dans une vraie reprise sécurité.

Les signes qu'un site WordPress est piraté

Un site piraté ne ressemble pas toujours à un site hors ligne. Les symptômes peuvent apparaître seulement depuis Google, seulement sur mobile ou seulement pour certains visiteurs. C'est justement ce qui rend le diagnostic délicat.

  • Le site redirige vers une page inconnue, parfois seulement depuis Google.
  • Google affiche une alerte "site dangereux" ou un avertissement de sécurité.
  • Des pages japonaises, chinoises, casino, adulte ou pharmacie apparaissent dans les résultats.
  • L'hébergeur bloque le site pour malware, spam ou consommation anormale.
  • Des comptes administrateurs inconnus apparaissent dans WordPress.
  • Le site envoie des emails suspects ou finit en liste noire.
  • Des fichiers, plugins ou scripts inconnus sont visibles sur le serveur.
  • Le trafic SEO chute alors que le site semble normal depuis votre ordinateur.

Si le problème principal est une redirection, l'article sur le site WordPress qui redirige vers un autre site détaille ce scénario. Dans tous les cas, supprimer uniquement ce qui se voit peut laisser une porte ouverte.

Que faire dans les 30 premières minutes ?

Le premier réflexe doit être de stabiliser la situation, pas de tout modifier. Chaque action menée dans la panique peut supprimer des traces utiles ou rendre la restauration plus compliquée.

Checklist immédiate

Documenter : captures d'écran, URL touchées, alerte Google, message hébergeur et date de découverte.
Préserver : sauvegarde de l'état actuel, même infecté, avant suppression ou restauration.
Limiter : éviter de remettre publiquement en ligne un site qui met les visiteurs en danger.
Ne pas faire : supprimer des fichiers, écraser les sauvegardes ou installer plusieurs plugins au hasard.
Préparer : accès WordPress, hébergement, SFTP, base de données, domaine et Search Console.
Cadrer : indiquer si le site contient WooCommerce, des comptes clients ou des formulaires sensibles.

Si l'hébergeur a suspendu le site, commencez aussi par comprendre la raison exacte du blocage. Un site WordPress bloqué par l'hébergeur peut signaler un piratage, mais aussi un problème de ressources, de spam ou de configuration.

Les étapes d'un nettoyage WordPress sérieux

Un nettoyage sérieux suit une méthode. Elle peut être plus ou moins technique selon le cas, mais elle ne doit pas se limiter à lancer un scanner puis cliquer sur "réparer".

  1. Diagnostic initial : symptômes, date probable, pages touchées, alertes Google ou hébergeur.
  2. Sauvegarde complète de l'état actuel : fichiers, base de données, configuration utile.
  3. Analyse des fichiers WordPress, du thème, des plugins, des uploads, des fichiers serveur et des zones sensibles comme .htaccess, wp-config.php ou mu-plugins.
  4. Analyse de la base de données : scripts injectés, redirections, comptes inconnus, contenus spam.
  5. Remplacement des fichiers WordPress, plugins et thèmes depuis des sources propres quand c'est possible.
  6. Suppression des backdoors, faux plugins, comptes administrateurs suspects et accès inutiles.
  7. Contrôle des journaux serveur si disponibles pour repérer la date et l'entrée probable.
  8. Rotation des mots de passe, clés WordPress et secrets : WordPress, hébergement, SFTP, base de données, comptes critiques.
  9. Mise à jour de WordPress, du thème et des extensions conservées, puis suppression des composants inutilisés.
  10. Durcissement : sauvegardes externes, permissions, 2FA si pertinent, limitation des comptes et surveillance.
  11. Contrôle après nettoyage : pages publiques, formulaires, comptes, logs si disponibles, Search Console, scan externe et nouvelles alertes.
Schéma des étapes pour reprendre un site WordPress piraté : contenir, sauvegarder, nettoyer, sécuriser et surveiller.

Pourquoi le prix varie autant

Le prix dépend d'abord du niveau d'incertitude. Un petit site vitrine avec accès complets, sauvegardes claires et symptômes limités est plus simple à reprendre qu'un site ancien, sans suivi, avec beaucoup d'extensions et aucun historique.

Le budget augmente si la base de données est infectée, si le piratage revient après un premier nettoyage, si l'hébergeur a suspendu le compte, si Google a indexé des centaines de pages spam, si les accès sont incomplets ou si aucune sauvegarde fiable n'est disponible. Une sauvegarde WordPress introuvable transforme souvent une intervention cadrée en reprise plus délicate.

WooCommerce ajoute aussi du risque. Il faut préserver les commandes, les produits, les comptes clients, les emails transactionnels et les paiements. On ne nettoie pas une boutique active comme un simple site vitrine.

À retenir

Le vrai coût d'un nettoyage WordPress ne dépend pas seulement du malware visible. Il dépend surtout du risque : ce qui a été touché, ce qu'il faut préserver et ce qu'il faut corriger pour éviter la récidive.

Combien de temps faut-il prévoir ?

Le nettoyage technique peut être rapide dans un cas simple, mais le retour complet à la normale peut prendre plus longtemps. Il faut distinguer le temps d'intervention, le temps de vérification et le temps nécessaire à Google ou à l'hébergeur pour lever certaines alertes.

Un diagnostic peut souvent être lancé rapidement si les accès sont disponibles. Un nettoyage simple peut être terminé en quelques heures ou sous 24 heures. Un cas plus courant demande 24 à 48 heures. Un site suspendu, blacklisté, réinfecté ou très ancien peut demander plusieurs jours.

Si Google affiche une alerte, le nettoyage du site ne retire pas toujours l'avertissement immédiatement. Il faut vérifier Search Console, expliquer les corrections et demander un réexamen après le nettoyage complet.

Si Google affiche une alerte ou des pages spam

Quand Google signale un malware WordPress, une alerte "site dangereux" ou des pages spam, il faut traiter le sujet en deux temps : nettoyer le site, puis demander à Google de recontrôler une base vraiment propre.

Dans Search Console, vérifiez les rapports "Problèmes de sécurité" et "Actions manuelles" si vous y avez accès. Les exemples d'URL fournis par Google sont précieux : ils montrent parfois des pages que vous ne voyez pas depuis la navigation normale, surtout si le spam est affiché différemment aux moteurs.

Les pages spam qui n'ont jamais été légitimes doivent être supprimées proprement et répondre en 404 ou 410. Les rediriger massivement vers l'accueil peut brouiller le signal. Une fois le nettoyage terminé, renvoyez un sitemap propre si nécessaire, puis demandez l'examen de sécurité. L'alerte peut disparaître après validation, mais certaines anciennes URL spam peuvent rester visibles quelque temps dans les résultats ou dans Search Console.

Les erreurs à éviter

Les mauvaises décisions coûtent parfois plus cher que le piratage initial. Elles peuvent détruire des preuves, écraser une version récupérable ou laisser la faille active.

  • Restaurer une sauvegarde sans savoir si elle est saine : le malware peut revenir immédiatement.
  • Installer plusieurs plugins de sécurité en urgence : un scanner aide, mais ne remplace pas le nettoyage.
  • Changer seulement le mot de passe WordPress : l'accès hébergeur, SFTP ou base peut aussi être concerné.
  • Supprimer un fichier suspect sans sauvegarde : cela peut effacer des traces utiles au diagnostic.
  • Oublier la base de données, les comptes admin, les tâches planifiées ou les redirections cachées : la réinfection devient probable.
  • Remettre le site en ligne sans comprendre l'entrée : l'hébergeur ou Google peut prolonger le blocage.

Nettoyage ou refonte complète ?

Un piratage ne justifie pas automatiquement une refonte complète. Si le site est sain dans sa structure, encore utile commercialement et techniquement récupérable, un nettoyage suivi d'une sécurisation peut suffire.

En revanche, une refonte peut devenir plus rationnelle si le site est très ancien, lent, impossible à maintenir, construit avec un thème abandonné, rempli d'extensions fragiles ou déjà peu utile avant l'incident. Dans ce cas, il ne faut pas seulement réparer : il faut décider ce qui mérite d'être conservé.

Cette décision se prend après diagnostic. Nettoyer un site condamné peut coûter moins cher à court terme, mais plus cher si l'on doit refaire la base quelques semaines plus tard.

Après le nettoyage : éviter que le problème revienne

Le nettoyage règle l'incident. La maintenance réduit le risque de récidive. Après intervention, il faut garder le site à jour, supprimer ce qui est inutile, vérifier les sauvegardes, surveiller les alertes, limiter les comptes administrateurs et garder un responsable identifié.

Une maintenance WordPress avec hébergement peut être pertinente si le site est devenu critique pour votre activité. Elle ne promet pas une sécurité parfaite, mais elle évite de laisser le site sans suivi, sans sauvegarde claire et sans interlocuteur le jour où quelque chose casse.

Questions fréquentes

Combien coûte le nettoyage d'un site WordPress piraté ?+

Pour un site vitrine WordPress, un nettoyage sérieux coûte souvent entre 250€ et 600€ quand l'infection est limitée. Le prix peut monter entre 600€ et 1 500€ si le site est bloqué, blacklisté par Google, touché en base de données ou à traiter en urgence.

Combien de temps faut-il pour nettoyer un site WordPress infecté ?+

Un cas simple peut parfois être traité en quelques heures. Un cas courant demande plutôt 24 à 48 heures. Si Google affiche une alerte, si des pages spam sont indexées ou si l'hébergeur a suspendu le site, le retour complet peut prendre plusieurs jours.

Faut-il restaurer une sauvegarde pour nettoyer un site piraté ?+

Pas automatiquement. Une sauvegarde peut déjà contenir l'infection ou être trop ancienne. Avant de restaurer, il faut vérifier sa date, son contenu, sa qualité et conserver une copie de l'état actuel du site.

Comment retirer l'alerte site dangereux de Google ?+

Il faut nettoyer le site complètement, corriger la faille, vérifier les pages infectées dans Search Console, puis demander un réexamen à Google. La disparition de l'alerte peut prendre quelques jours, parfois plus si le piratage a généré beaucoup de pages spam.

Pourquoi un site WordPress piraté peut-il être infecté à nouveau ?+

La réinfection arrive souvent quand le nettoyage retire seulement le symptôme visible sans corriger l'entrée : plugin vulnérable, thème abandonné, compte admin compromis, mot de passe faible, fichier caché, sauvegarde infectée ou hébergement mal sécurisé.

Que comprend le prix d'un nettoyage WordPress ?+

Un prix sérieux doit couvrir au minimum le diagnostic, une sauvegarde avant intervention, le nettoyage des fichiers et de la base, la vérification des comptes, la rotation des accès, les mises à jour utiles, les contrôles après nettoyage et les recommandations pour éviter une récidive.

Le prix est-il fixe après diagnostic ?+

Il peut l'être si le périmètre est clair : type de site, accès disponibles, symptômes, sauvegardes, présence ou non de WooCommerce, alerte Google et état de l'hébergement. Sans diagnostic, un prix fixe peut oublier des points importants.

Puis-je nettoyer moi-même un site WordPress piraté avec un plugin ?+

Un plugin de sécurité peut aider à repérer certains fichiers suspects, mais il ne remplace pas une vérification des fichiers, de la base de données, des comptes, des accès, des sauvegardes et de la faille qui a permis l'infection.

Conclusion : nettoyer vite, mais avec méthode

Un site WordPress piraté demande une réaction rapide, mais pas précipitée. Le plus important est de comprendre ce qui a été touché, de préserver ce qui peut l'être, de nettoyer proprement et de corriger la faille qui a permis l'incident.

Si votre site affiche une alerte, redirige vers un autre domaine, contient des pages inconnues dans Google ou a été bloqué par l'hébergeur, commencez par un diagnostic gratuit. Vous saurez si le site doit être nettoyé, restauré, audité, refondu ou remis sous maintenance.

Pour obtenir une estimation utile, envoyez l'URL du site, les symptômes observés, les messages Google ou hébergeur et les accès disponibles. Le chiffrage sera plus fiable qu'une promesse de nettoyage sans regarder le site.

Besoin d'estimer le nettoyage ?

Envoyez l'URL, les symptômes visibles, les messages Google ou hébergeur et les accès disponibles. Le premier objectif est de chiffrer sans aggraver l'incident.

Estimer le nettoyage du site

À lire ensuite.

Sécurité

Site WordPress piraté : que faire sans aggraver la situation ?

Votre site WordPress est piraté ? Voici quoi vérifier, quoi éviter et quand demander un diagnostic pour nettoyer le site sans aggraver la situation.

Sécurité

Site WordPress qui redirige vers un autre site : que faire ?

Votre site WordPress redirige vers un autre site ? Voici pourquoi c’est souvent un signal de sécurité et quoi vérifier avant de nettoyer.

Urgence

Site WordPress bloqué par l’hébergeur : que faire ?

Votre hébergeur a bloqué votre site WordPress ? Voici les causes possibles et les vérifications à faire avant de remettre le site en ligne.

Maintenance

Sauvegarde WordPress introuvable : pourquoi c’est un vrai problème

Une sauvegarde WordPress introuvable peut transformer un bug simple en vrai problème. Voici quoi vérifier et comment éviter de perdre le contrôle du site.

Maintenance

Tarif maintenance WordPress : comparer le prix et le vrai périmètre

Prix de maintenance WordPress, forfaits, hébergement, sécurité, sauvegardes, support, limites et critères concrets pour comparer les offres.