Mon site WordPress est hacké : que faire ?
Votre site WordPress vient d'être piraté et vous ne savez pas par où commencer ? Respirez. Ce guide d'urgence vous donne les 6 étapes exactes à suivre immédiatement pour limiter les dégâts, récupérer votre site et empêcher que ça ne se reproduise.
⏱️ Le temps est votre ennemi n°1
Chaque heure où votre site reste compromis, les dégâts s'aggravent : Google blackliste votre domaine (-72% de trafic organique), vos visiteurs sont redirigés vers des sites dangereux, et les moteurs de recherche indexent du spam à votre place. Plus vous agissez vite, plus la récupération sera rapide et complète.
Les 6 étapes à suivre immédiatement
Suivez ce protocole dans l'ordre. Chaque étape est cruciale pour maximiser vos chances de récupérer votre site rapidement et complètement.
Étape 1 : Ne paniquez pas — et ne supprimez rien
C'est contre-intuitif, mais ne supprimez aucun fichier et ne réinstallez pas WordPress. Chaque modification efface des preuves forensiques précieuses pour identifier la faille exploitée. Si vous supprimez les fichiers malveillants sans corriger la vulnérabilité d'origine, le hacker reviendra en quelques heures via la même brèche.
Étape 2 : Changez TOUS vos mots de passe
Immédiatement, changez les mots de passe de :
- Tous les comptes administrateurs WordPress
- Accès FTP / SFTP / SSH
- Base de données MySQL (et mettez à jour wp-config.php)
- Panneau d'hébergement (cPanel, Plesk, etc.)
- Comptes email liés au domaine
Utilisez des mots de passe de 16+ caractères, uniques, générés par un gestionnaire de mots de passe (Bitwarden, 1Password).
Étape 3 : Mettez votre site en mode maintenance
Activez le mode maintenance pour protéger vos visiteurs des redirections malveillantes et du contenu spam. Cela empêche aussi Google de crawler les pages infectées et d'aggraver les pénalités SEO. Un simple fichier .maintenance à la racine suffit.
Étape 4 : Contactez un expert sécurité WordPress
Le nettoyage DIY est tentant mais risqué. Les solutions grand public laissent en moyenne 40% des backdoors actives, selon les données de Sucuri. Un professionnel dispose des outils et de l'expérience pour :
- Identifier la souche exacte de malware
- Trouver toutes les backdoors cachées
- Nettoyer sans perdre vos données
- Corriger la faille d'origine
- Demander le retrait des blacklists
Étape 5 : Nettoyage professionnel en profondeur
L'expert va scanner l'intégralité de votre installation (fichiers core, thèmes, plugins, uploads, base de données), supprimer manuellement chaque élément malveillant et comparer les fichiers WordPress avec les checksums officiels. C'est un processus qui prend de 4 à 24 heures selon la complexité.
Étape 6 : Sécurisation et prévention
Une fois le site propre, il faut verrouiller les portes : installation d'un pare-feu WAF, activation de la double authentification (2FA), mise à jour de tous les composants, verrouillage des permissions fichiers et mise en place d'un monitoring continu. C'est cette étape qui garantit que le piratage ne se reproduira pas.
Pourquoi votre WordPress a été hacké
Plugin vulnérable (87% des cas)
Un plugin non mis à jour avec une faille de sécurité connue (CVE). Les hackers utilisent des bots automatisés qui scannent des millions de sites pour trouver ces vulnérabilités.
Mot de passe faible
Les attaques brute-force testent des milliers de combinaisons par minute sur wp-login.php. Un mot de passe comme "admin123" ou le nom de votre entreprise est craqué en secondes.
Thème ou plugin nulled
Les thèmes et plugins "gratuits" téléchargés sur des sites non officiels contiennent presque systématiquement des backdoors pré-installées. C'est la porte d'entrée idéale pour un hacker.
Questions fréquentes — Site hacké
Mon site WordPress est hacké, que faire en premier ?
+
Combien coûte la réparation d'un site WordPress hacké ?
+
Combien de temps pour récupérer un site WordPress hacké ?
+
Puis-je nettoyer mon site WordPress hacké moi-même ?
+
Site hacké ? On le récupère.
Diagnostic gratuit, intervention sous 4h. Un ingénieur rappelle dans l'heure.