Retour au journal
Sécurité25 Avril 2026

Site WordPress piraté : que faire sans aggraver la situation ?

A

Andrei

Expert WordPress & Fondateur

Votre site WordPress est piraté ? Voici quoi vérifier, quoi éviter et quand demander un diagnostic pour nettoyer le site sans aggraver la situation.

Écran de site WordPress avec alerte de sécurité, redirections suspectes et indicateurs de sauvegarde.

Un site WordPress piraté n’affiche pas toujours un grand message d’alerte. Parfois, le site redirige certains visiteurs vers une autre page. Parfois, il envoie du spam, devient lent, crée des pages inconnues dans Google ou se retrouve bloqué par l’hébergeur.

Le réflexe naturel est de vouloir tout supprimer très vite. C’est compréhensible, mais risqué. En supprimant au hasard, on peut effacer des traces utiles, écraser une sauvegarde saine ou laisser la porte ouverte au même problème.

Le bon objectif est plus calme : contenir, comprendre, sauvegarder l’état actuel, nettoyer proprement, puis remettre un cadre de suivi pour éviter que le piratage revienne.

Comment savoir si un site WordPress est piraté ?

Les signes ne sont pas toujours visibles depuis votre ordinateur. Un site peut sembler normal pour vous, mais rediriger certains visiteurs depuis Google, afficher des pages inconnues, envoyer du spam ou déclencher une alerte navigateur.

D’autres signaux doivent alerter : site très lent soudainement, nouveaux comptes administrateurs, fichiers modifiés, formulaire qui envoie du spam, hébergeur qui bloque le site, messages suspects dans la Search Console ou pages étranges indexées dans Google.

Un site WordPress hacké peut donc être discret. C’est pour cela qu’il faut regarder l’ensemble, pas seulement retirer ce qui se voit.

Ce qu’il ne faut pas faire tout de suite

Ne supprimez pas des fichiers au hasard. N’installez pas plusieurs plugins de sécurité en urgence. Ne restaurez pas une sauvegarde sans savoir si elle est saine. Ne changez pas tous les réglages sans noter ce que vous faites.

Une mauvaise manipulation peut supprimer des traces utiles, écraser une sauvegarde saine ou laisser la porte ouverte au même problème.

Il faut aussi éviter d’ignorer l’hébergeur. S’il a envoyé une alerte ou bloqué le site, l’information peut aider à comprendre ce qui a été détecté.

Étape 1 : limiter les dégâts

Commencez par noter les symptômes : redirection, alerte, pages inconnues, spam, blocage, lenteur, accès admin suspect. Notez aussi quand vous avez découvert le problème et ce qui a changé récemment.

Si vous pensez que les accès sont compromis, changez les accès critiques avec méthode : comptes administrateurs, hébergement, FTP/SFTP, base de données si nécessaire. Vérifiez les comptes admin inconnus et évitez de modifier le contenu inutilement pendant l’incident.

Si le site est très touché ou bloque votre activité, le plus simple est de demander un diagnostic gratuit. Le but est de comprendre le niveau d’urgence avant de nettoyer.

Étape 2 : vérifier les sauvegardes

Une sauvegarde récente ne suffit pas. Il faut savoir si elle est antérieure au piratage, si elle contient les fichiers et la base de données, et si elle peut être restaurée sans remettre le problème en ligne.

Restaurer une sauvegarde infectée ne règle rien. Restaurer une sauvegarde trop récente peut réinstaller le malware WordPress ou perdre des données utiles. Avant une grosse intervention, il faut aussi conserver une copie de l’état actuel.

C’est une des raisons pour lesquelles une maintenance WordPress suivie a de la valeur : les sauvegardes ne sont pas seulement annoncées, elles doivent être exploitables.

Étape 3 : comprendre l’origine probable

Les causes fréquentes sont connues : extension vulnérable, thème ancien, WordPress non mis à jour, mot de passe faible, compte administrateur oublié, formulaire exposé, hébergement mal configuré ou site laissé sans suivi.

C’est souvent le même terrain qu’un site WordPress non maintenu. Le site fonctionne longtemps, puis une faiblesse accumulée finit par devenir visible.

Comprendre l’entrée est important. Sinon, le site peut être nettoyé en surface et se faire pirater à nouveau quelques jours ou semaines plus tard.

Schéma des étapes pour reprendre un site WordPress piraté : contenir, sauvegarder, nettoyer, sécuriser et surveiller.

Étape 4 : nettoyer proprement

Nettoyer un site piraté ne veut pas seulement dire supprimer une page étrange. Il faut regarder les fichiers, la base de données, les comptes, les extensions, le thème, les redirections et les accès.

Il faut aussi vérifier les tâches planifiées, les fichiers suspects, les comptes inconnus, les redirections cachées et les modifications qui ne se voient pas depuis la page d’accueil.

Un audit de site peut devenir utile si l’origine n’est pas claire, si le piratage revient ou si le site était déjà lent, instable ou difficile à maintenir.

Étape 5 : éviter que le piratage revienne

Après nettoyage, le sujet n’est pas terminé. Il faut remettre le site sous contrôle : mises à jour régulières, sauvegardes vérifiées, comptes admin propres, mots de passe changés, extensions inutiles supprimées, hébergement suivi et surveillance minimale.

Une maintenance ne garantit pas qu’un incident n’arrivera jamais. Elle réduit les angles morts et évite de laisser le site sans responsable. L’article sur la maintenance WordPress à 60€/mois explique précisément ce qu’un suivi cadré peut couvrir.

Quand demander un diagnostic

Demandez un diagnostic si vous ne savez pas depuis quand le site est touché, si Google affiche une alerte, si l’hébergeur a bloqué le site, si l’administration est inaccessible, si des redirections étranges apparaissent ou si la sauvegarde est floue.

Même chose si le piratage revient après un premier nettoyage. Dans ce cas, un audit WordPress peut être nécessaire pour comprendre la base du problème. Un incident de sécurité peut aussi arriver après une intervention mal préparée, comme une mise à jour WordPress qui casse le site.

À retenir

Un site WordPress piraté ne se règle pas en supprimant seulement ce qui se voit. Il faut comprendre l’entrée, nettoyer ce qui a été touché, vérifier les accès et remettre un suivi clair pour éviter la récidive.

Questions fréquentes

Comment savoir si mon site WordPress est piraté ?+

Les signes fréquents sont des redirections étranges, des pages inconnues dans Google, du spam envoyé depuis le site, une alerte navigateur, des comptes administrateurs inconnus ou un blocage par l’hébergeur.

Puis-je restaurer une sauvegarde pour nettoyer un site piraté ?+

Oui, mais seulement si la sauvegarde est saine, complète et antérieure au piratage. Restaurer une sauvegarde infectée ou trop récente peut remettre le problème en ligne.

Comment éviter qu’un site WordPress soit piraté à nouveau ?+

Il faut maintenir WordPress, les thèmes et les extensions à jour, supprimer les comptes inutiles, vérifier les sauvegardes, utiliser des accès solides et garder un suivi régulier du site.

Conclusion : nettoyer, puis reprendre le contrôle

Un site WordPress piraté n’est pas toujours perdu. Mais il ne faut pas se contenter de retirer le symptôme visible.

Si vous ne savez pas depuis quand le site est touché, ce qui a été modifié ou quelle sauvegarde est saine, commencez par un diagnostic gratuit. Vous saurez s’il faut nettoyer, restaurer, auditer ou remettre le site sous maintenance.

Prêt à déléguer la technique ?

Concentrez-vous sur votre métier, je m'occupe du reste.

Découvrir l'offre (60€/mois)

À lire ensuite.

Maintenance

Site WordPress non maintenu : quels risques réels pour une TPE ?

Un site WordPress non maintenu peut devenir lent, vulnérable ou difficile à corriger. Voici les risques réels pour une TPE et quand demander un diagnostic.

Urgence

Site WordPress inaccessible : que faire avant d’appeler quelqu’un ?

Votre site WordPress est inaccessible ? Voici quoi vérifier avant d’agir : hébergement, domaine, SSL, mise à jour, plugin, sauvegarde ou piratage.