Mon site wordpress a été piraté : que faire ?

⚠️ Votre site est hors ligne, redirige vers un site inconnu ou Google l’a marqué comme dangereux ? Respirez. Ce guide vous explique exactement quoi faire, étape par étape, pour reprendre le contrôle.

13 000 sites WordPress sont piratés chaque jour. En 2025, pas moins de 11 334 nouvelles failles de sécurité ont été découvertes dans l’écosystème WordPress — soit une hausse de 42 % en un an. Le délai médian entre la divulgation d’une vulnérabilité et sa première exploitation est désormais de seulement 5 heures.

WordPress propulse 43,5 % de l’ensemble des sites internet, ce qui en fait la cible numéro un des cybercriminels à l’échelle mondiale. Autrement dit : si vous avez un site WordPress, vous êtes dans le viseur. TPE, PME, e-commerce, indépendant à Strasbourg ou ailleurs — personne n’est épargné.

Dans cet article, l’équipe Qwenty, agence WordPress à Strasbourg, vous donne le plan d’action complet : détecter le piratage, nettoyer votre site, le sécuriser et éviter que ça ne recommence.

Comment savoir si mon site WordPress a été piraté ?

Parfois le piratage est évident. Parfois il est invisible pendant des semaines. Voici les signaux d’alarme à surveiller absolument.

Les signes qui ne trompent pas

  • 🔴 Redirections vers des sites inconnus — vos visiteurs sont envoyés vers des sites de phishing, de jeux d’argent ou de contenus illicites.
  • 🔴 Contenu inconnu apparu sur votre site — des pages, des liens ou des textes en langue étrangère ont été créés à votre insu.
  • 🔴 Google affiche « Ce site est dangereux » — votre site a été blacklisté par Google Safe Browsing, ce qui fait chuter votre trafic à zéro en quelques heures.
  • 🔴 Votre hébergeur a suspendu le compte — il a détecté des activités malveillantes (envoi de spam, scripts malicieux) et coupé l’accès.
  • 🔴 Des emails de spam sont envoyés depuis votre domaine — votre serveur est utilisé comme relais de spam, ce qui nuit à votre réputation d’expéditeur.
  • 🔴 Ralentissement brutal et inexpliqué — un script malveillant consomme les ressources de votre serveur en arrière-plan.
  • 🔴 Utilisateurs administrateurs inconnus dans le back-office — le hacker a créé un compte pour maintenir son accès.

💡 Conseil Qwenty : Utilisez l’outil gratuit Sucuri SiteCheck (sitecheck.sucuri.net) pour un premier diagnostic en 30 secondes. Mais attention : un scan externe ne détecte pas toujours les backdoors cachés dans les fichiers serveur.

Comment les pirates s’introduisent-ils dans WordPress ?

Comprendre les portes d’entrée, c’est déjà savoir comment les fermer.

92 % des piratages réussis sur WordPress en 2025 provenaient de vulnérabilités dans les plugins et thèmes — et non du cœur de WordPress lui-même.

Les vecteurs d’attaque les plus fréquents

Vecteur d’attaque Fréquence Niveau de risque
Plugins/thèmes non mis à jour ~92 % des cas 🔴 Critique
Mots de passe faibles ou réutilisés ~81 % des sites hackés 🔴 Critique
Thèmes/plugins nulled (piratés) Très fréquent 🔴 Critique
Attaques par force brute sur /wp-admin Des milliards/an 🟠 Élevé
Hébergement mutualisé compromis Modéré 🟠 Élevé
Fichier wp-config.php mal protégé Modéré 🟡 Moyen
  • Plugins et thèmes non mis à jour : 46 % des vulnérabilités n’ont aucun correctif disponible au moment de leur divulgation publique. Chaque plugin installé et oublié est une porte entrouverte.
  • Mots de passe faibles : 81 % des sites WordPress piratés impliquaient un mot de passe faible ou volé comme facteur contributif.
  • Plugins nulled : les versions « gratuites » de plugins premium téléchargées sur des sites douteux contiennent quasi systématiquement des backdoors intégrés.
  • Force brute sur /wp-admin : Wordfence a bloqué plus de 100 milliards d’attaques par credential stuffing depuis 74 millions d’adresses IP uniques, ciblant massivement les chemins /wp-login.php et /wp-admin.
  • Hébergement mutualisé : si un site voisin sur le même serveur est compromis, le vôtre peut l’être aussi par contamination latérale.
  • wp-config.php mal protégé : ce fichier contient vos identifiants de base de données. S’il est accessible, c’est game over.

📊 11 334 (+42 % vs 2024) — vulnérabilités WordPress découvertes en 2025.

Mon site WordPress est piraté : les 7 étapes pour s’en sortir

⚡ Agissez vite. Chaque heure de retard aggrave les dégâts : perte de référencement, propagation du malware, données clients compromises.

✅ Étape 1 : mettre le site en maintenance immédiatement

Activez un mode maintenance pour masquer le contenu infecté à vos visiteurs et stopper la propagation. Utilisez un plugin comme WP Maintenance Mode ou modifiez directement le .htaccess si le back-office est inaccessible.

✅ Étape 2 : changer TOUS les mots de passe

Sans exception :

  • Mot de passe WordPress (tous les comptes)
  • Mot de passe FTP/SFTP
  • Mot de passe du panneau d’hébergement (cPanel, Plesk…)
  • Mot de passe de la base de données MySQL
  • Mot de passe de l’email associé au domaine

⚠️ Attention : le code malveillant est généralement injecté dans le fichier .htaccess ou dans le functions.php du thème — changer les mots de passe seuls ne suffit pas si les fichiers infectés sont toujours en place.

✅ Étape 3 : faire une sauvegarde de l’état actuel

Même infecté, sauvegardez l’état actuel du site (fichiers + base de données). Cela permet une analyse forensique pour comprendre comment le piratage s’est produit et éviter qu’il ne se reproduise.

✅ Étape 4 : scanner le site avec Wordfence ou Sucuri

  • Wordfence (plugin WordPress) : scan complet des fichiers, détection des modifications suspectes, comparaison avec les fichiers WordPress officiels.
  • Sucuri Security : scanner en ligne + plugin, détection de blacklisting, analyse des en-têtes HTTP.
  • MalCare : alternative puissante, détection des malwares injectés directement dans les fichiers légitimes.

✅ Étape 5 : supprimer les fichiers malveillants identifiés

Les fichiers PHP avec des noms aléatoires (wp-load-config.php, class-wp-cache.php, db-config.php) à la racine ou dans /wp-content/ sont des webshells — des portes dérobées qui permettent au hacker de revenir. Supprimez-les impérativement.

✅ Étape 6 : restaurer depuis une sauvegarde saine

Si vous disposez d’une sauvegarde antérieure au piratage, c’est la solution la plus fiable. Restaurez les fichiers et la base de données, puis reconfigurez les éléments récents (articles, commandes e-commerce…) manuellement si nécessaire.

✅ Étape 7 : soumettre le site à Google pour levée de pénalité

Via Google Search Console :

  1. Allez dans Sécurité et actions manuelles > Problèmes de sécurité
  2. Vérifiez les URLs signalées
  3. Une fois le site nettoyé, cliquez sur « Demander un examen »

Le délai de traitement par Google est généralement de 24 à 72 heures.

« Ne supprimez pas le site — dans 95 % des cas, un nettoyage complet est possible »
— WPFormation

Nettoyer un WordPress piraté manuellement

agence nettoyage wordpress

Réservé aux utilisateurs avancés. Si vous n’êtes pas à l’aise avec le FTP et les fichiers PHP, faites appel à un professionnel — une erreur peut aggraver la situation.

Vérifier les fichiers core WordPress

Téléchargez une version propre de WordPress depuis wordpress.org et comparez les fichiers avec ceux de votre installation. Tout fichier modifié dans /wp-admin/ ou /wp-includes/ est suspect. Les attaquants injectent désormais du code directement dans les fichiers légitimes de WordPress core, plugins et thèmes — l’approche classique « scanner et supprimer » peut passer à côté.

Inspecter wp-content/uploads/

Ce dossier est souvent utilisé pour cacher des backdoors car il est accessible en écriture par défaut. Recherchez tout fichier .php dans ce répertoire — il ne devrait y en avoir aucun.

find wp-content/uploads/ -name "*.php" -type f

Analyser les fichiers thème et plugins

Recherchez les fonctions PHP suspectes souvent utilisées dans les malwares :

grep -r "eval(base64_decode" wp-content/
grep -r "system(" wp-content/
grep -r "exec(" wp-content/

Vérifier la base de données

Connectez-vous à phpMyAdmin et inspectez :

  • Table wp_users : supprimez tout administrateur inconnu
  • Table wp_options : vérifiez les champs siteurl et home (redirections), et repérez des scripts injectés dans active_plugins ou widget_
  • Table wp_usermeta : vérifiez les rôles attribués aux utilisateurs

Sécuriser WordPress après un piratage

Un site nettoyé mais non sécurisé sera repiraté en quelques jours. Voici les mesures indispensables.

Les protections essentielles

  • 🔒 Mettre à jour WordPress core, thèmes et plugins — immédiatement et systématiquement dès qu’une mise à jour est disponible.
  • 🔒 Installer un plugin de sécurité complet — Wordfence, iThemes Security ou Sucuri : pare-feu, scanner, protection brute force.
  • 🔒 Activer l’authentification à deux facteurs (2FA) sur /wp-admin — même si un mot de passe est volé, le hacker ne peut pas entrer.
  • 🔒 Changer le préfixe des tables de base de données — remplacer le préfixe par défaut wp_ par quelque chose d’unique (qw7x_ par exemple).
  • 🔒 Limiter les tentatives de connexion — bloquez automatiquement les IPs après 3 à 5 échecs.
  • 🔒 Désactiver l’édition de fichiers depuis le back-office — ajoutez cette ligne dans wp-config.php : 
    define('DISALLOW_FILE_EDIT', true);
  • 🔒 Mettre en place un pare-feu applicatif (WAF) — Cloudflare (version gratuite) ou le WAF intégré à Wordfence/Sucuri.
  • 🔒 Héberger sur un serveur de qualité avec SSL — privilégiez un hébergement WordPress managé avec isolation des comptes.

📊 87,8 % ne bloquent pas les exploits — taux d’échec des défenses d’hébergement standard.

Prévenir le piratage WordPress : les 10 règles d’or

Appliquez cette check-list pour réduire drastiquement votre surface d’attaque.

# Règle Priorité
1 Mises à jour systématiques (core + plugins + thèmes) 🔴 Critique
2 Mots de passe forts + gestionnaire (Bitwarden, 1Password) 🔴 Critique
3 Sauvegardes automatiques quotidiennes hors-site 🔴 Critique
4 Plugin de sécurité actif avec pare-feu 🔴 Critique
5 Monitoring de disponibilité et d’intégrité 🟠 Élevé
6 Hébergement spécialisé WordPress 🟠 Élevé
7 Supprimer les plugins/thèmes inutilisés 🟠 Élevé
8 Ne jamais utiliser de thèmes/plugins nulled 🔴 Critique
9 Limiter les accès administrateurs 🟠 Élevé
10 Contrat de maintenance WordPress avec une agence spécialisée 🟠 Élevé

💡 La règle la plus négligée ? Les plugins inutilisés mais toujours installés. Un plugin désactivé mais présent sur le serveur reste une faille potentielle. Supprimez, ne désactivez pas.

Besoin d’un accompagnement sur mesure ? Notre guide de dépannage WordPress recense les erreurs les plus fréquentes et leurs solutions.

Conclusion : Qwenty intervient en urgence

Un site WordPress piraté, c’est stressant. Mais c’est récupérable — à condition d’agir vite et méthodiquement.

Si vous n’avez pas les compétences techniques pour gérer la crise seul, ou si vous ne voulez tout simplement pas prendre de risque avec vos données et celles de vos clients, Qwenty est là.

🚨 Intervention d’urgence sous 24h

Basée au 10 place Gutenberg, 67000 Strasbourg, l’agence WordPress à Strasbourg Qwenty intervient sur tous les sites WordPress piratés, en Alsace et partout en France :

  • Diagnostic complet de l’infection et identification du vecteur d’attaque
  • Nettoyage professionnel des fichiers malveillants et de la base de données
  • Sécurisation renforcée post-nettoyage (WAF, 2FA, durcissement)
  • Levée de pénalité Google et restauration du référencement
  • Contrat de maintenance WordPress pour que ça n’arrive plus jamais

📞 07 49 55 53 01 | 🌐 qwenty.fr | 📍 Strasbourg

Ne laissez pas un piratage détruire ce que vous avez mis des mois à construire.

👉 Contactez notre équipe en urgence — nous répondons sous 2h en heures ouvrées.

Questions fréquentes (FAQ)

Combien de temps faut-il pour nettoyer un WordPress piraté ?

Cela dépend de la gravité du piratage. Pour un nettoyage manuel par un expert, comptez entre 2 et 8 heures selon la complexité de l’infection. Si une sauvegarde saine est disponible, la restauration peut être effectuée en moins d’une heure. En revanche, un piratage profond avec backdoors multiples et base de données compromise peut nécessiter une journée de travail complète. Qwenty garantit une prise en charge sous 24h et une résolution rapide pour limiter l’impact sur votre activité.

Peut-on récupérer un site WordPress totalement détruit par un piratage ?

Dans la grande majorité des cas, oui. Même sans sauvegarde, un site WordPress peut être reconstruit à partir des fichiers encore présents sur le serveur, combinés à une réinstallation propre du core WordPress. La base de données est souvent récupérable. Il existe cependant des cas extrêmes (chiffrement ransomware, suppression totale des fichiers) où la récupération est partielle. C’est pourquoi les sauvegardes automatiques quotidiennes hors-site sont absolument indispensables.

Mon hébergeur peut-il m’aider si mon WordPress est piraté ?

Oui, partiellement. La plupart des hébergeurs proposent une restauration depuis leurs sauvegardes automatiques (souvent les 7 à 30 derniers jours). Certains offrent aussi un scan antimalware basique. Cependant, ils ne font généralement pas de nettoyage manuel approfondi ni de sécurisation post-piratage. Leur rôle s’arrête souvent à la restauration d’une sauvegarde — ce qui ne résout pas la faille d’origine. Pour une intervention complète, faites appel à une agence spécialisée comme Qwenty.

Les plugins gratuits suffisent-ils à sécuriser WordPress ?

Les plugins gratuits comme Wordfence (version free) ou Sucuri Security offrent une protection solide pour la majorité des sites. Ils couvrent le pare-feu, le scan de malwares et la protection contre la force brute. Cependant, les versions premium apportent des fonctionnalités cruciales : nettoyage automatique, protection en temps réel, CDN sécurisé. Pour un site e-commerce ou un site professionnel à fort enjeu, investir dans une version premium (30 à 100 €/an) est largement justifié. La vraie sécurité passe aussi par les bonnes pratiques humaines : mises à jour, mots de passe forts, sauvegardes régulières.

Qwenty intervient-il en urgence pour les piratages WordPress ?

Oui, absolument. Qwenty propose une intervention d’urgence sous 24h pour les sites WordPress piratés, que vous soyez basé à Strasbourg, en Alsace ou n’importe où en France. Notre équipe prend en charge le diagnostic, le nettoyage complet, la sécurisation et la levée de pénalité Google. Appelez-nous au 07 49 55 53 01 ou contactez notre équipe en urgence via notre formulaire en ligne.

Chiffres clés

  • 📊 13 000 sites WordPress piratés chaque jour dans le monde (Patchstack State of WordPress Security 2026)
  • 🔓 11 334 nouvelles vulnérabilités WordPress découvertes en 2025, soit +42 % en un an (Patchstack 2026)
  • 5 heures : délai médian entre la divulgation d’une faille et sa première exploitation active (Patchstack 2026)
  • 🌐 43,5 % des sites web mondiaux tournent sous WordPress — ce qui en fait la cible privilégiée des hackers (W3Techs 2026)

Profitez d'un cadre de travail exceptionnel chez Qwenty

Bureaux situés place Gutenberg, en plein centre de Strasbourg. Cadre exceptionnel et accessibilité optimale (transports, commerces, restaurants).

Bureaux Qwenty Strasbourg
Bureaux Qwenty Strasbourg
Rejoignez une équipe de développeurs web à Strasbourg qui fait les choses bien

Prêt à rejoindre l'aventure ?

Postuler maintenant

Histoires de projets réussis

L'atelier des entrepreneurs

Site vitrine cabinet comptable région strasbourgeoise
Voir le projet

Sea Base

Plateforme réservation croisières plongée Mer Rouge
Voir le projet

Niclaus

Boutique en ligne pour la marque alsacienne
Voir le projet

Methavos

Site vitrine pour expert en méthanisation
Voir le projet

Tred Union

Plateforme métier groupement transporteurs routiers français
Voir le projet

Parking Roissy Voyage

Refonte boutique réservation parking aéroport Roissy
Voir le projet

Ores Collective

Site vitrine haut de gamme agence parisienne
Voir le projet

Fiscalexis

Refonte site vitrine pour avocat fiscaliste
Voir le projet

Fred Auto Sport

Outil de simulation pour reprogrammation automobile
Voir le projet

Foies Gras du Ried

Boutique e-commerce produits gastronomiques alsaciens
Voir le projet
Voir toutes nos réalisations