Site WordPress envoie du spam : que faire côté serveur ?
Andrei
Expert WordPress & Fondateur
Votre hébergeur signale du spam envoyé depuis votre site WordPress ou votre serveur ? Voici quoi vérifier avant de réactiver les emails.

Votre hébergeur vous signale que votre site WordPress ou votre serveur envoie du spam. Le message peut parler d’emails sortants anormaux, de file d’attente saturée, de script PHP qui envoie des messages, de réputation email dégradée ou de blocage temporaire des envois.
Le site peut pourtant sembler normal. La page d’accueil s’affiche, l’administration répond, le formulaire existe encore. Le problème se voit surtout côté serveur, dans les logs, dans les retours d’emails ou dans le panneau de l’hébergeur.
La mauvaise réaction consiste à installer un plugin SMTP ou à relancer les emails sans comprendre la source. Si le spam vient d’un formulaire exploité, d’un fichier injecté, d’un compte compromis ou d’une tâche planifiée, les envois peuvent reprendre dès que le blocage est levé.
Réponse rapide
Signal
Spam sortant
Emails envoyés depuis le serveur, le formulaire, un script ou un compte compromis.
Priorité
Trouver la source
Un blocage email ne dit pas encore si le problème vient du site, du SMTP ou du serveur.
À garder
Logs + exemples
Conservez le message hébergeur, les heures d’envoi, les chemins de scripts et les retours d’erreur.
Ce que signifie un spam envoyé depuis le serveur
Un envoi de spam depuis le serveur signifie que des messages partent, ou tentent de partir, depuis l’environnement qui héberge le site. Cela peut passer par la fonction mail du serveur, un formulaire WordPress, une extension, un script PHP, un compte SMTP ou une tâche automatisée.
L’hébergeur peut couper seulement l’envoi d’emails, limiter le compte, suspendre le site ou demander une correction avant réactivation. Le sujet n’est donc pas seulement la réception des messages. Il touche aussi la sécurité du site, la réputation du domaine et la confiance des services email.
Différence avec le spam reçu par formulaire
Recevoir beaucoup de messages indésirables dans une boîte email n’est pas exactement la même chose que voir le serveur envoyer du spam vers l’extérieur.
Si votre boîte reçoit du bruit, le sujet peut être le formulaire, l’antispam ou le captcha. L’article sur le formulaire WordPress qui envoie du spam traite ce scénario. Ici, le signal est plus serveur : l’hébergeur voit des envois sortants anormaux ou des scripts qui génèrent des emails.
Lire le message de l’hébergeur avant d’agir
Le message de l’hébergeur donne souvent les meilleurs indices. Avant de modifier WordPress, récupérez les informations disponibles : heure des envois, volume, chemin du script, adresse d’expédition, destinataires, file d’attente, retour d’erreur ou règle de blocage.
Causes fréquentes
Le spam sortant peut avoir plusieurs origines. Le bon diagnostic consiste à les séparer au lieu de corriger au hasard.
Formulaire abusé
Un formulaire peut être utilisé en boucle si la protection antispam est trop faible ou mal réglée.
Script injecté
Un fichier PHP ajouté dans WordPress, le thème, les extensions ou les uploads peut envoyer des messages.
Extension vulnérable
Une faille dans un plugin peut permettre l’envoi d’emails ou l’ajout de fichiers suspects.
Compte compromis
Un accès WordPress, SFTP, hébergement ou SMTP peut être utilisé sans que la page d’accueil change.
Tâche planifiée
Une tâche cron ou un processus automatisé peut relancer des envois après une correction partielle.
Domaine mal configuré
Des réglages SPF, DKIM ou DMARC absents ne créent pas forcément le spam, mais compliquent la délivrabilité.
Ce qu’il ne faut pas faire trop vite
N’installez pas un plugin SMTP en pensant que cela nettoie le problème. Un SMTP peut rendre les envois plus fiables quand le site est sain, mais il peut aussi donner une meilleure route à un site encore compromis.
Ne réactivez pas les emails auprès de l’hébergeur sans preuve de correction. Ne changez pas seulement le mot de passe WordPress si le script vient du serveur. Ne supprimez pas un formulaire utile sans vérifier s’il est réellement la source. Ne restaurez pas une sauvegarde inconnue si vous ne savez pas depuis quand les envois ont commencé.
Méthode pour arrêter le spam sans casser le site
L’objectif est de stopper les envois indésirables, trouver la source, nettoyer ce qui doit l’être et tester les emails utiles après correction.
- Conserver le message de l’hébergeur, les logs disponibles et les exemples d’emails rejetés.
- Créer une sauvegarde de l’état actuel avant de supprimer des fichiers ou extensions.
- Identifier si les envois partent d’un formulaire, d’un script, d’un compte SMTP, de WordPress ou du serveur.
- Vérifier les fichiers, les uploads, les extensions, le thème, les comptes administrateurs et les tâches planifiées.
- Contrôler les réglages email : expéditeur, SMTP, SPF, DKIM, DMARC et adresses utilisées par les formulaires.
- Supprimer les scripts suspects, corriger le formulaire, mettre à jour ou remplacer les extensions vulnérables.
- Changer les accès critiques : WordPress, hébergement, SFTP, base de données, SMTP et boîtes liées.
- Tester les formulaires et les emails utiles avant de demander la levée du blocage.
À envoyer pour un diagnostic
Le message de l’hébergeur et les horaires d’envoi permettent souvent de remonter plus vite à la source du spam.
Si l’hébergeur a bloqué les emails ou le site
Si l’hébergeur a seulement bloqué les emails sortants, le site peut rester visible mais les formulaires, notifications, commandes ou alertes WordPress peuvent ne plus partir. Il faut alors tester les fonctions utiles après correction.
Si l’hébergeur a suspendu le site, commencez par le motif exact du blocage. L’article sur le site WordPress bloqué par l’hébergeur détaille ce scénario. Si des fichiers suspects sont aussi signalés, lisez le guide sur les fichiers malveillants détectés par l’hébergeur.
Et la réputation email du domaine ?
Quand un serveur envoie du spam, la réputation email peut être touchée. Les messages légitimes risquent ensuite d’arriver en spam ou d’être rejetés, même après la correction technique.
Il faut donc vérifier les réglages d’envoi, les adresses utilisées par WordPress, les DNS email, les retours d’erreur et les tests de réception. Le but n’est pas seulement de remettre un bouton en marche, mais de s’assurer que les messages utiles repartent proprement.
Quand demander une intervention
Demandez de l’aide si l’hébergeur menace de suspendre le compte, si les logs mentionnent un script inconnu, si les emails sont bloqués, si WooCommerce est actif, si les formulaires génèrent des demandes importantes ou si vous ne savez pas quels accès sont encore fiables.
Le budget se discute après la première lecture du message hébergeur, des logs et des accès disponibles. Un simple formulaire abusé, un script injecté, un serveur suspendu ou une réinfection ne demandent pas le même travail. Pour les ordres de grandeur, l’article sur le nettoyage d’un site WordPress piraté reste le bon complément.
Questions fréquentes
Pourquoi mon site WordPress envoie du spam ?+
Le spam peut venir d’un formulaire exploité, d’un script injecté, d’une extension vulnérable, d’un compte compromis, d’un SMTP mal protégé ou d’un fichier malveillant sur le serveur.
Faut-il couper tous les emails WordPress ?+
Il peut être utile de bloquer temporairement l’envoi pour stopper l’incident, mais il faut surtout identifier la source. Couper les emails sans diagnostic peut masquer le problème et casser les formulaires utiles.
Un SMTP suffit-il à régler le spam sortant ?+
Non. Un SMTP peut améliorer la délivrabilité quand le site est sain, mais il ne corrige pas un formulaire abusé, un fichier infecté, un compte compromis ou une tâche planifiée qui relance les envois.
Que répondre à l’hébergeur après correction ?+
Répondez avec les actions concrètes : source identifiée, scripts supprimés, formulaire protégé, accès changés, extensions vérifiées, logs contrôlés et tests d’envoi réalisés.
Site bloqué, cassé ou inquiétant ?
Envoyez l’URL, le message affiché et le contexte. Le premier objectif est de cadrer l’urgence avant de modifier quoi que ce soit.
Faire vérifier l'incident WordPressÀ lire ensuite.
Fichiers malveillants signalés : que faire sur WordPress ?
Votre hébergeur signale des fichiers malveillants sur WordPress ? Voici quoi vérifier, quoi éviter et comment préparer le nettoyage sans aggraver l’incident.
UrgenceSite WordPress bloqué par l’hébergeur : que faire ?
Votre hébergeur a bloqué votre site WordPress ? Voici les causes possibles et les vérifications à faire avant de remettre le site en ligne.
SécuritéFormulaire WordPress qui envoie du spam : comment réagir ?
Votre formulaire WordPress envoie ou reçoit du spam ? Voici les causes fréquentes, les risques et les corrections à envisager sans surcharger le site.
UrgenceFormulaire WordPress ne fonctionne plus : pourquoi vous ne recevez plus les messages ?
Votre formulaire WordPress semble fonctionner, mais vous ne recevez plus les messages ? Voici comment distinguer un problème de formulaire, de SMTP, de domaine ou d'antispam avant de modifier les réglages.
SécuritéSite WordPress piraté : que faire sans aggraver la situation ?
Votre site WordPress est piraté ? Voici quoi vérifier, quoi éviter et quand demander un diagnostic pour nettoyer le site sans aggraver la situation.
SécuritéNettoyage site WordPress piraté : prix, délais et intervention rapide
Redirection, malware, alerte Google, pages spam : prix réalistes, délais et éléments à envoyer pour estimer le nettoyage WordPress.
MaintenanceSauvegarde WordPress introuvable : pourquoi il faut la traiter vite
Une sauvegarde WordPress introuvable peut transformer un bug simple en incident sérieux. Voici quoi vérifier et comment éviter de perdre le contrôle du site.