Retour au journal
Sécurité8 Juillet 2026

Site WordPress envoie du spam : que faire côté serveur ?

A

Andrei

Expert WordPress & Fondateur

Votre hébergeur signale du spam envoyé depuis votre site WordPress ou votre serveur ? Voici quoi vérifier avant de réactiver les emails.

Alerte serveur WordPress avec envoi de spam, logs email, hébergeur, fichier suspect et diagnostic de sécurité.

Votre hébergeur vous signale que votre site WordPress ou votre serveur envoie du spam. Le message peut parler d’emails sortants anormaux, de file d’attente saturée, de script PHP qui envoie des messages, de réputation email dégradée ou de blocage temporaire des envois.

Le site peut pourtant sembler normal. La page d’accueil s’affiche, l’administration répond, le formulaire existe encore. Le problème se voit surtout côté serveur, dans les logs, dans les retours d’emails ou dans le panneau de l’hébergeur.

La mauvaise réaction consiste à installer un plugin SMTP ou à relancer les emails sans comprendre la source. Si le spam vient d’un formulaire exploité, d’un fichier injecté, d’un compte compromis ou d’une tâche planifiée, les envois peuvent reprendre dès que le blocage est levé.

Réponse rapide

Signal

Spam sortant

Emails envoyés depuis le serveur, le formulaire, un script ou un compte compromis.

Priorité

Trouver la source

Un blocage email ne dit pas encore si le problème vient du site, du SMTP ou du serveur.

À garder

Logs + exemples

Conservez le message hébergeur, les heures d’envoi, les chemins de scripts et les retours d’erreur.

Ce que signifie un spam envoyé depuis le serveur

Un envoi de spam depuis le serveur signifie que des messages partent, ou tentent de partir, depuis l’environnement qui héberge le site. Cela peut passer par la fonction mail du serveur, un formulaire WordPress, une extension, un script PHP, un compte SMTP ou une tâche automatisée.

L’hébergeur peut couper seulement l’envoi d’emails, limiter le compte, suspendre le site ou demander une correction avant réactivation. Le sujet n’est donc pas seulement la réception des messages. Il touche aussi la sécurité du site, la réputation du domaine et la confiance des services email.

Différence avec le spam reçu par formulaire

Recevoir beaucoup de messages indésirables dans une boîte email n’est pas exactement la même chose que voir le serveur envoyer du spam vers l’extérieur.

Si votre boîte reçoit du bruit, le sujet peut être le formulaire, l’antispam ou le captcha. L’article sur le formulaire WordPress qui envoie du spam traite ce scénario. Ici, le signal est plus serveur : l’hébergeur voit des envois sortants anormaux ou des scripts qui génèrent des emails.

Lire le message de l’hébergeur avant d’agir

Le message de l’hébergeur donne souvent les meilleurs indices. Avant de modifier WordPress, récupérez les informations disponibles : heure des envois, volume, chemin du script, adresse d’expédition, destinataires, file d’attente, retour d’erreur ou règle de blocage.

Chemin du script ou du fichier mentionné par l’hébergeur, si l’information est fournie.
Heure approximative des pics d’envoi et volume indiqué dans les logs.
Adresse d’expédition utilisée : domaine du site, adresse inconnue, compte SMTP ou adresse générique serveur.
Type de blocage : emails suspendus, site limité, compte isolé ou demande de nettoyage.
Symptômes associés : fichiers suspects, pages inconnues, formulaire abusé, alerte Google ou site lent.
Accès disponibles : WordPress, hébergement, SFTP, base de données, DNS, SMTP et sauvegardes.

Causes fréquentes

Le spam sortant peut avoir plusieurs origines. Le bon diagnostic consiste à les séparer au lieu de corriger au hasard.

Formulaire abusé

Un formulaire peut être utilisé en boucle si la protection antispam est trop faible ou mal réglée.

Script injecté

Un fichier PHP ajouté dans WordPress, le thème, les extensions ou les uploads peut envoyer des messages.

Extension vulnérable

Une faille dans un plugin peut permettre l’envoi d’emails ou l’ajout de fichiers suspects.

Compte compromis

Un accès WordPress, SFTP, hébergement ou SMTP peut être utilisé sans que la page d’accueil change.

Tâche planifiée

Une tâche cron ou un processus automatisé peut relancer des envois après une correction partielle.

Domaine mal configuré

Des réglages SPF, DKIM ou DMARC absents ne créent pas forcément le spam, mais compliquent la délivrabilité.

Ce qu’il ne faut pas faire trop vite

N’installez pas un plugin SMTP en pensant que cela nettoie le problème. Un SMTP peut rendre les envois plus fiables quand le site est sain, mais il peut aussi donner une meilleure route à un site encore compromis.

Ne réactivez pas les emails auprès de l’hébergeur sans preuve de correction. Ne changez pas seulement le mot de passe WordPress si le script vient du serveur. Ne supprimez pas un formulaire utile sans vérifier s’il est réellement la source. Ne restaurez pas une sauvegarde inconnue si vous ne savez pas depuis quand les envois ont commencé.

Méthode pour arrêter le spam sans casser le site

L’objectif est de stopper les envois indésirables, trouver la source, nettoyer ce qui doit l’être et tester les emails utiles après correction.

  1. Conserver le message de l’hébergeur, les logs disponibles et les exemples d’emails rejetés.
  2. Créer une sauvegarde de l’état actuel avant de supprimer des fichiers ou extensions.
  3. Identifier si les envois partent d’un formulaire, d’un script, d’un compte SMTP, de WordPress ou du serveur.
  4. Vérifier les fichiers, les uploads, les extensions, le thème, les comptes administrateurs et les tâches planifiées.
  5. Contrôler les réglages email : expéditeur, SMTP, SPF, DKIM, DMARC et adresses utilisées par les formulaires.
  6. Supprimer les scripts suspects, corriger le formulaire, mettre à jour ou remplacer les extensions vulnérables.
  7. Changer les accès critiques : WordPress, hébergement, SFTP, base de données, SMTP et boîtes liées.
  8. Tester les formulaires et les emails utiles avant de demander la levée du blocage.

À envoyer pour un diagnostic

Le message de l’hébergeur et les horaires d’envoi permettent souvent de remonter plus vite à la source du spam.

Message complet de l’hébergeur et captures du panneau
URL du site et date de découverte du problème
Horaires, volume ou chemin de script mentionnés dans les logs
Plugin de formulaire utilisé et présence éventuelle d’un SMTP
Accès disponibles : WordPress, hébergement, SFTP, base, DNS et sauvegardes
Dernières mises à jour, nouveaux plugins ou changements email connus
Faire vérifier le spam WordPress

Si l’hébergeur a bloqué les emails ou le site

Si l’hébergeur a seulement bloqué les emails sortants, le site peut rester visible mais les formulaires, notifications, commandes ou alertes WordPress peuvent ne plus partir. Il faut alors tester les fonctions utiles après correction.

Si l’hébergeur a suspendu le site, commencez par le motif exact du blocage. L’article sur le site WordPress bloqué par l’hébergeur détaille ce scénario. Si des fichiers suspects sont aussi signalés, lisez le guide sur les fichiers malveillants détectés par l’hébergeur.

Et la réputation email du domaine ?

Quand un serveur envoie du spam, la réputation email peut être touchée. Les messages légitimes risquent ensuite d’arriver en spam ou d’être rejetés, même après la correction technique.

Il faut donc vérifier les réglages d’envoi, les adresses utilisées par WordPress, les DNS email, les retours d’erreur et les tests de réception. Le but n’est pas seulement de remettre un bouton en marche, mais de s’assurer que les messages utiles repartent proprement.

Quand demander une intervention

Demandez de l’aide si l’hébergeur menace de suspendre le compte, si les logs mentionnent un script inconnu, si les emails sont bloqués, si WooCommerce est actif, si les formulaires génèrent des demandes importantes ou si vous ne savez pas quels accès sont encore fiables.

Le budget se discute après la première lecture du message hébergeur, des logs et des accès disponibles. Un simple formulaire abusé, un script injecté, un serveur suspendu ou une réinfection ne demandent pas le même travail. Pour les ordres de grandeur, l’article sur le nettoyage d’un site WordPress piraté reste le bon complément.

Questions fréquentes

Pourquoi mon site WordPress envoie du spam ?+

Le spam peut venir d’un formulaire exploité, d’un script injecté, d’une extension vulnérable, d’un compte compromis, d’un SMTP mal protégé ou d’un fichier malveillant sur le serveur.

Faut-il couper tous les emails WordPress ?+

Il peut être utile de bloquer temporairement l’envoi pour stopper l’incident, mais il faut surtout identifier la source. Couper les emails sans diagnostic peut masquer le problème et casser les formulaires utiles.

Un SMTP suffit-il à régler le spam sortant ?+

Non. Un SMTP peut améliorer la délivrabilité quand le site est sain, mais il ne corrige pas un formulaire abusé, un fichier infecté, un compte compromis ou une tâche planifiée qui relance les envois.

Que répondre à l’hébergeur après correction ?+

Répondez avec les actions concrètes : source identifiée, scripts supprimés, formulaire protégé, accès changés, extensions vérifiées, logs contrôlés et tests d’envoi réalisés.

Site bloqué, cassé ou inquiétant ?

Envoyez l’URL, le message affiché et le contexte. Le premier objectif est de cadrer l’urgence avant de modifier quoi que ce soit.

Faire vérifier l'incident WordPress

À lire ensuite.

Sécurité

Fichiers malveillants signalés : que faire sur WordPress ?

Votre hébergeur signale des fichiers malveillants sur WordPress ? Voici quoi vérifier, quoi éviter et comment préparer le nettoyage sans aggraver l’incident.

Urgence

Site WordPress bloqué par l’hébergeur : que faire ?

Votre hébergeur a bloqué votre site WordPress ? Voici les causes possibles et les vérifications à faire avant de remettre le site en ligne.

Sécurité

Formulaire WordPress qui envoie du spam : comment réagir ?

Votre formulaire WordPress envoie ou reçoit du spam ? Voici les causes fréquentes, les risques et les corrections à envisager sans surcharger le site.

Urgence

Formulaire WordPress ne fonctionne plus : pourquoi vous ne recevez plus les messages ?

Votre formulaire WordPress semble fonctionner, mais vous ne recevez plus les messages ? Voici comment distinguer un problème de formulaire, de SMTP, de domaine ou d'antispam avant de modifier les réglages.

Sécurité

Site WordPress piraté : que faire sans aggraver la situation ?

Votre site WordPress est piraté ? Voici quoi vérifier, quoi éviter et quand demander un diagnostic pour nettoyer le site sans aggraver la situation.

Sécurité

Nettoyage site WordPress piraté : prix, délais et intervention rapide

Redirection, malware, alerte Google, pages spam : prix réalistes, délais et éléments à envoyer pour estimer le nettoyage WordPress.

Maintenance

Sauvegarde WordPress introuvable : pourquoi il faut la traiter vite

Une sauvegarde WordPress introuvable peut transformer un bug simple en incident sérieux. Voici quoi vérifier et comment éviter de perdre le contrôle du site.