Votre site WordPress a été piraté. Vous paniquez, c’est normal. Mais inutile d’agir dans la précipitation. Un nettoyage efficace ne se fait ni à l’aveugle, ni avec des plugins magiques. Il faut suivre une méthode rigoureuse, étape par étape, pour éradiquer le code malveillant, corriger les failles, et sécuriser durablement votre site.
Voici le guide complet pour nettoyer un site WordPress piraté de manière professionnelle.
🔍 Étape 1 : Confirmer le piratage
Avant de vous lancer, soyez certain qu’il s’agit bien d’un piratage. Les signes les plus fréquents :
- Redirections vers d’autres sites
- Messages d’alerte Google ou navigateur
- Contenus spammés ou injections de liens
- Nouveaux fichiers ou comptes admin inconnus
- Alertes de votre hébergeur
Utilisez la Google Search Console, le site IsItHacked.com, ou un plugin comme Wordfence pour confirmer.
🛑 Étape 2 : Sauvegarder avant d’intervenir
Même si le site est compromis, sauvegardez tout :
- Fichiers WordPress (via FTP ou votre hébergeur)
- Base de données (via phpMyAdmin ou un export MySQL)
Cette sauvegarde vous permettra de restaurer un état antérieur si quelque chose tourne mal pendant le nettoyage, ou d’analyser le code infecté en profondeur.
🧼 Étape 3 : Identifier les fichiers compromis
La plupart des attaques injectent du code malveillant dans :
- le dossier
/wp-content/ - les thèmes (
/themes/) - les plugins (
/plugins/) - les fichiers racines (
index.php,.htaccess,wp-config.php)
Comparez votre installation à une version saine de WordPress :
- téléchargez une copie officielle sur wordpress.org
- comparez les dates de modification
- repérez les fichiers inconnus ou modifiés récemment
Utilisez un scanner de sécurité (Wordfence, Sucuri, MalCare) pour repérer les anomalies, mais ne vous fiez pas uniquement aux plugins : beaucoup de malwares passent sous les radars.
🗑️ Étape 4 : Supprimer ou remplacer les fichiers infectés
Une fois identifiés :
- Supprimez les fichiers suspects (sauvegardez-les d’abord si besoin)
- Remplacez les fichiers de WordPress, thèmes et plugins par des versions saines à jour
- Inspectez manuellement les fichiers PHP si vous êtes à l’aise
Attention : certains scripts malveillants se cachent dans des fichiers valides mais modifiés (comme functions.php). Cherchez des lignes obscures, des appels eval(), base64_decode(), ou des longues chaînes cryptées.
🧠 Étape 5 : Vérifier la base de données
Les pirates injectent souvent du spam ou des redirections dans la base de données :
- Vérifiez les tables
wp_posts,wp_options,wp_users - Cherchez les balises
<script>, iframes ou des URLs étrangères - Utilisez un outil de recherche SQL ou un plugin spécialisé
Supprimez tout contenu suspect ou restaurez depuis une sauvegarde propre.
🔐 Étape 6 : Changer tous les mots de passe et clés
Changez immédiatement :
- les mots de passe WordPress (tous les comptes)
- les mots de passe FTP, base de données et hébergeur
- les salts dans
wp-config.phpvia https://api.wordpress.org/secret-key/1.1/salt
Supprimez tous les comptes utilisateurs inconnus ou douteux.
🧱 Étape 7 : Renforcer la sécurité
Un nettoyage sans sécurisation est inutile. Voici les actions essentielles :
- Installez un plugin de sécurité (Wordfence, WP Cerber, iThemes Security)
- Limitez les tentatives de connexion
- Activez l’authentification à 2 facteurs
- Cachez ou changez l’URL de connexion
- Mettez à jour WordPress, les plugins et les thèmes
- Supprimez tout plugin ou thème inutilisé
Et surtout : activez les sauvegardes automatiques.
📤 Étape 8 : Demander la levée des alertes
Si votre site a été signalé par Google, rendez-vous dans la Search Console, section Problèmes de sécurité. Une fois le site nettoyé :
- cliquez sur « Demander un examen »
- expliquez les mesures prises : nettoyage, mise à jour, sécurisation
La levée de l’alerte peut prendre 24 à 72h.
🧘 Et après ? Prévenir les récidives
Un site piraté une fois peut l’être à nouveau, surtout si vous ne corrigez pas la faille initiale. Voici les bonnes pratiques à suivre :
✅ Mettez à jour au moins 1 fois par semaine
✅ Supprimez tout ce que vous n’utilisez pas
✅ Activez les alertes par email
✅ Sauvegardez automatiquement sur un stockage externe
✅ Évitez les plugins ou thèmes piratés (nulled)
Mieux encore : optez pour un service de maintenance WordPress professionnel. Il prendra en charge la sécurité, les mises à jour, les sauvegardes et les scans.
Conclusion
Nettoyer un site WordPress hacké, c’est bien plus que supprimer quelques fichiers suspects. Il faut comprendre l’origine de l’attaque, agir avec méthode, et surtout sécuriser durablement. Si vous n’avez pas l’expertise ou le temps, ne prenez pas de risque : faites appel à un professionnel. Cela vous coûtera toujours moins cher qu’un site blacklisté ou détruit.