Retour au blog
WordPress Pirate : 18 Signes que Votre Site est Compromis
SEO

WordPress Pirate : 18 Signes que Votre Site est Compromis

Bastien Allain11 mars 202618 min de lecture
wordpressmalwaresecuritepiratagesignes-piratage

WordPress propulse 43 % des sites web dans le monde. Cette domination en fait la cible numero un des cyberattaques. En 2025, plus de 90 000 tentatives de piratage par minute visent des installations WordPress selon les donnees de Wordfence.

Comprendre le Piratage WordPress : Une Menace Constante

Pourquoi les Sites WordPress sont Cibles ?

Plusieurs facteurs expliquent cette vulnerabilite systematique :

  • Popularite massive : chaque faille decouverte touche potentiellement des millions de sites.
  • Plugins et themes tiers : l'ecosysteme de 60 000+ extensions constitue le principal vecteur d'attaque. Pres de 97 % des vulnerabilites WordPress proviennent de plugins ou themes, selon WPScan.
  • Mises a jour negligees : un site non mis a jour expose des failles connues et documentees dans les bases CVE.
  • Mots de passe faibles : les attaques par force brute exploitent les identifiants previsibles (admin, password123).
  • Hebergement mutualise : un site compromis sur un serveur partage peut contaminer les voisins.

Les Differents Types de Piratage

Le piratage WordPress prend des formes variees, chacune avec des signes distinctifs :

Type de piratageDescriptionSigne principal
Pharma HackInjection de liens/pages pour des medicaments (Viagra, Cialis) dans le code source ou la base de donneesPages fantomes indexees par Google
BackdoorScript cache permettant un acces distant persistant, meme apres nettoyage partielFichiers suspects dans /wp-content/uploads/
Redirection malveillanteCode injecte redirigeant les visiteurs vers des sites frauduleuxVisiteurs envoyes vers des pages inconnues
DefacementRemplacement visible de la page d'accueil par un message du piratePage d'accueil modifiee
SEO Spam (Japanese Keyword Hack)Injection de milliers de pages en japonais ou chinois pour parasiter l'indexationCaracteres japonais dans les resultats Google
CryptominingScripts JavaScript charges en arriere-plan pour miner de la cryptomonnaieRalentissement extreme et consommation CPU elevee

Identifier le type de malware est la premiere etape pour comprendre les signes que vous allez observer sur votre site.

Les 18 Signes Incontournables d'un Site WordPress Compromis

Voici les 18 signes revelateurs qu'un site WordPress a ete pirate. Plus vous en identifiez simultanement, plus la probabilite d'une compromission est elevee.

1. Chute Brusque du Trafic Organique

Une baisse soudaine de 30 % ou plus du trafic dans Google Analytics ou Search Console signale souvent un piratage. Google detecte les sites infectes et les derefference de l'index ou affiche un avertissement "Ce site peut etre pirate" dans les resultats de recherche.

Comment verifier : Ouvrez Google Search Console > Problemes de securite. Verifiez aussi l'onglet "Actions manuelles" pour detecter une penalite liee a un contenu spam.

2. Redirections Suspectes vers des Sites Inconnus

Vos visiteurs sont rediriges automatiquement vers des sites de phishing, de pharmacie en ligne ou de contenus pour adultes. Ce type de redirect hack modifie generalement le fichier .htaccess, le wp-config.php ou injecte du JavaScript dans la base de donnees.

Comment verifier : Testez votre site depuis un navigateur en mode prive. Utilisez un outil comme Redirect Checker pour tracer la chaine de redirections.

3. Apparition de Contenu Etranger, Publicites ou Spam

Des pop-ups non sollicites, des liens vers des sites tiers ou du contenu en langue etrangere apparaissent sur vos pages. Le SEO Spam (Japanese Keyword Hack) injecte des milliers de pages en japonais indexees sous votre domaine.

Comment verifier : Tapez site:votredomaine.com dans Google. Si des pages en japonais, chinois ou des resultats pharmaceutiques apparaissent, votre site est compromis.

4. Page d'Accueil Defiguree (Defacement)

Votre page d'accueil est remplacee par un message du pirate, souvent avec un pseudonyme et un drapeau. C'est la forme la plus visible de piratage, mais pas la plus dangereuse car elle est immediatement detectable.

Comment verifier : Visitez simplement votre site. Le defacement est evident a l'oeil nu.

5. Impossibilite de se Connecter au Tableau de Bord

L'acces administrateur est bloque : mot de passe refuse, page /wp-admin inaccessible ou redirigeant vers une erreur. Le pirate a modifie vos identifiants ou supprime votre compte utilisateur dans la base de donnees.

Comment verifier : Tentez la reinitialisation du mot de passe. Si l'email n'arrive pas, connectez-vous via phpMyAdmin a la table wp_users pour verifier si votre compte existe encore.

6. Comptes Utilisateurs Inconnus avec des Privileges Administrateur

De nouveaux comptes administrateur apparaissent dans la liste des utilisateurs WordPress sans que vous les ayez crees. C'est un signe classique de backdoor : le pirate s'assure un acces permanent.

Comment verifier : Rendez-vous dans Utilisateurs > Tous les utilisateurs, filtrez par role "Administrateur". Tout compte inconnu doit etre supprime immediatement.

7. Ralentissement Extreme et Temps de Chargement Anormal

Votre site met plus de 10 secondes a charger alors qu'il etait rapide. Les scripts de cryptomining, les boucles de redirection ou les requetes SQL malveillantes consomment les ressources du serveur de maniere excessive.

Comment verifier : Testez avec GTmetrix ou PageSpeed Insights. Surveillez aussi la consommation CPU/RAM dans le tableau de bord de votre hebergeur.

8. Envoi d'Emails Spam depuis Votre Serveur

Votre hebergeur vous alerte d'un envoi massif d'emails ou vos emails legitimes arrivent en spam. Les pirates exploitent la fonction wp_mail() ou installent des scripts d'envoi massif dans /wp-content/uploads/.

Comment verifier : Consultez les logs d'envoi d'email dans cPanel (Exim Mail Manager). Verifiez que votre domaine n'est pas blackliste sur MxToolbox.

9. Modifications des Fichiers Core de WordPress

Les fichiers wp-login.php, wp-settings.php, wp-includes/ ou index.php ont ete modifies a une date recente alors que vous n'avez pas mis a jour WordPress. Du code malveillant (souvent encode en base64) est injecte dans ces fichiers.

Comment verifier : Comparez vos fichiers avec l'original via WP-CLI : wp core verify-checksums. Toute difference signale une modification non autorisee.

10. Alterations ou Ajouts de Plugins et Themes Inconnus

Des plugins ou themes que vous n'avez jamais installes apparaissent dans votre tableau de bord. Certains portent des noms generiques comme "updater", "developer-tools" ou "cache-manager" pour passer inapercus. Ces faux plugins contiennent du code malveillant.

Comment verifier : Comparez la liste de vos extensions dans /wp-content/plugins/ avec ce que vous avez reellement installe. Tout dossier de plugin inconnu doit etre examine puis supprime.

11. Alertes de Securite de Google, des Navigateurs ou de l'Hebergeur

Google Chrome affiche un ecran rouge "Ce site contient des logiciels malveillants". Google Search Console envoie une notification de securite. Votre hebergeur suspend votre compte. Ces alertes signifient que votre site a ete identifie comme dangereux par des systemes de detection automatises.

Comment verifier : Consultez le rapport de transparence Google (Google Safe Browsing) en saisissant votre URL. Verifiez aussi les notifications dans Google Search Console > Problemes de securite.

12. Apparition de Nouvelles Pages ou Articles Non Publies par Vous

Des pages ou articles fantomes apparaissent dans votre back-office ou dans l'index Google sans que vous les ayez crees. Ils contiennent generalement du contenu SEO spam (pharmaceutique, jeux en ligne, contrefacon) destine a exploiter l'autorite de votre domaine.

Comment verifier : Dans le tableau de bord WordPress, allez dans Articles > Tous les articles et Pages > Toutes les pages. Triez par date pour reperer les contenus recents non crees par votre equipe.

13. Resultats de Recherche Detournes (Hijacked Search Results)

Les meta-titles et meta-descriptions de vos pages dans Google affichent du texte en langue etrangere, des publicites pour des produits pharmaceutiques ou des liens vers des sites tiers. Votre site apparait normalement en navigation directe, mais les resultats de recherche sont corrompus.

Comment verifier : Tapez site:votredomaine.com dans Google et examinez chaque resultat. Utilisez aussi l'outil d'inspection d'URL dans Search Console pour voir ce que Google a indexe.

14. Taches Cron Suspectes Planifiees sur le Serveur

Des taches automatisees (cron jobs) ont ete ajoutees a votre serveur ou dans la table wp_options via wp_cron. Ces taches executent periodiquement du code malveillant : envoi de spam, regeneration de backdoors supprimees, ou communication avec un serveur de commande (Command and Control ou C2).

Comment verifier : Inspectez les cron jobs serveur avec crontab -l dans le terminal SSH. Cote WordPress, utilisez le plugin WP Crontrol pour lister toutes les taches planifiees et identifier celles qui ne correspondent a aucun plugin legitime.

15. Fichiers Inconnus ou Anormaux via FTP ou le Gestionnaire de Fichiers

Des fichiers PHP aux noms aleatoires (xkdf7.php, about.php, class-wp-cache.php) apparaissent dans des repertoires inattendus comme /wp-content/uploads/, /wp-includes/ ou a la racine. Ces fichiers sont souvent des web shells permettant l'execution de commandes a distance.

Comment verifier : Connectez-vous en FTP ou via le gestionnaire de fichiers de cPanel. Triez les fichiers par date de modification. Tout fichier PHP dans /wp-content/uploads/ est suspect par defaut.

16. Consommation de Ressources Serveur Anormalement Elevee

Votre hebergeur signale un depassement de CPU, de memoire RAM ou de bande passante. Les scripts de cryptomining, les attaques DDoS utilisees comme distraction, ou les envois massifs d'emails consomment des ressources bien au-dela de l'utilisation normale.

Comment verifier : Consultez les statistiques de ressources dans cPanel (CPU Usage, Memory Usage) ou dans le tableau de bord de votre hebergeur cloud. Comparez avec votre consommation habituelle.

17. Pop-ups Intrusifs et Fenetres Publicitaires non Sollicitees

Des fenetres publicitaires s'ouvrent automatiquement lors de la navigation sur votre site, souvent pour des arnaques ("Votre ordinateur est infecte !"), des faux concours ou des sites pour adultes. Le JavaScript malveillant est souvent injecte dans le footer du theme ou la base de donnees.

Comment verifier : Naviguez sur votre site en mode prive sans extensions de navigateur. Si des pop-ups apparaissent alors que vous n'avez installe aucun plugin de pop-up, votre site est infecte.

18. Erreurs Serveur Inhabituelles (500, 503, Connexion Base de Donnees)

Des erreurs 500 (Internal Server Error) ou "Erreur lors de la connexion a la base de donnees" surviennent de maniere intermittente sans raison apparente. Le code malveillant injecte peut provoquer des conflits, des boucles infinies ou corrompre la structure de la base de donnees MySQL.

Comment verifier : Activez le mode debug WordPress en ajoutant define('WP_DEBUG', true); dans wp-config.php. Consultez le fichier debug.log dans /wp-content/ et les logs d'erreurs du serveur Apache/Nginx.

Au-dela des Evidences : Les Indices Techniques d'une Intrusion

Les signes visibles ne representent que la surface. Une analyse technique approfondie revele des compromissions invisibles a l'oeil nu.

Analyse Approfondie des Logs Serveur

Les logs d'acces et d'erreur du serveur (Apache, Nginx) constituent une mine d'informations pour identifier une intrusion :

  • Requetes POST suspectes vers des fichiers inhabituels (/wp-content/uploads/cache.php, /wp-includes/class-wp-xmlrpc.php)
  • Adresses IP repetitives effectuant des centaines de requetes en quelques minutes (attaque par force brute)
  • Codes de reponse 200 sur des URLs inexistantes, indiquant qu'un fichier malveillant a ete cree et est accessible
  • Acces a xmlrpc.php en masse : ce fichier est souvent exploite pour des attaques par amplification

Commande utile : tail -500 /var/log/apache2/access.log | grep POST pour filtrer les requetes POST recentes.

Verification de la Base de Donnees WordPress

La base de donnees MySQL est un vecteur d'attaque souvent neglige. Les pirates y injectent du code directement :

  • Table wp_options : verifiez les valeurs de siteurl et home (redirection), ainsi que les options transient suspectes contenant du code encode en base64
  • Table wp_posts : recherchez du contenu injecte (iframes, scripts JavaScript, liens caches) dans post_content
  • Table wp_users : identifiez les comptes administrateur crees recemment avec des adresses email inconnues
  • Tables personnalisees : certains malwares creent leurs propres tables pour stocker des donnees

Requete SQL utile : SELECT * FROM wp_options WHERE option_value LIKE '%eval(%' OR option_value LIKE '%base64_decode(%';

Detection de Backdoors et Shells Web

Les backdoors sont les elements les plus critiques a identifier car elles permettent la reinfection meme apres un nettoyage :

  • Fonctions PHP dangereuses a rechercher : eval(), base64_decode(), gzinflate(), str_rot13(), assert(), preg_replace avec le flag /e
  • Emplacements courants : wp-config.php, functions.php du theme actif, fichiers index.php dans chaque repertoire, /wp-content/uploads/
  • Techniques d'obfuscation : variables concatenees ($a = "ev"."al", $$var), encodage hexadecimal, utilisation de chr() pour construire des chaines

Commande utile : grep -r "eval\|base64_decode\|gzinflate" /var/www/html/wp-content/ --include="*.php" pour scanner les fichiers PHP a la recherche de fonctions suspectes.

Utilisation d'Outils de Scan de Securite Specialises

Plusieurs outils gratuits et premium permettent un diagnostic complet de votre site :

OutilTypeCe qu'il detecte
Sucuri SiteCheckGratuit en ligneMalware cote client, blacklists, anomalies
WordfencePlugin WP (freemium)Malware serveur, fichiers modifies, backdoors
MalCarePlugin WP (premium)Scan profond sans surcharger le serveur
WP-CLILigne de commandeVerification des checksums des fichiers core
VirusTotalGratuit en ligneAnalyse multi-moteurs de votre URL

Pour un scan complet, combinez un outil en ligne (Sucuri SiteCheck) avec un plugin serveur (Wordfence ou MalCare) : le premier detecte les symptomes visibles, le second analyse les fichiers sur le serveur.

Reagir Immediatement : Que Faire si Vous Identifiez un Piratage ?

Une fois les signes confirmes, chaque minute compte. Voici les 7 etapes de premiers secours a suivre dans l'ordre.

1. Isoler le Site pour Limiter les Degats

Mettez votre site en mode maintenance ou desactivez-le temporairement via votre hebergeur. L'objectif est d'empecher la propagation du malware aux visiteurs et d'eviter que Google continue d'indexer des pages infectees.

2. Changer Tous les Mots de Passe

Modifiez immediatement tous les acces :

  • Mot de passe administrateur WordPress
  • Acces FTP/SFTP
  • Identifiants cPanel ou panneau d'hebergement
  • Mot de passe de la base de donnees MySQL
  • Cles de securite WordPress (AUTH_KEY, SECURE_AUTH_KEY, etc. dans wp-config.php)

Utilisez un generateur de mots de passe et activez l'authentification a deux facteurs (2FA) sur chaque compte.

3. Restaurer une Sauvegarde Saine

Si vous disposez d'une sauvegarde recente et non infectee, restaurez-la. Verifiez la date de debut de l'infection pour choisir une sauvegarde anterieure. Attention : une sauvegarde peut elle-meme contenir la backdoor si l'infection est ancienne.

4. Nettoyer les Fichiers et la Base de Donnees

Si aucune sauvegarde saine n'est disponible, procedez au nettoyage manuel :

  • Remplacez les fichiers core WordPress par une copie fraiche depuis wordpress.org
  • Supprimez les plugins et themes suspects, puis reinstallez les versions officielles
  • Nettoyez la base de donnees des injections (iframes, scripts, contenu spam)
  • Supprimez les comptes utilisateurs non autorises

5. Mettre a Jour WordPress, Themes et Plugins

Apres le nettoyage, mettez tout a jour vers les dernieres versions. Les vulnerabilites connues des anciennes versions sont la porte d'entree la plus courante. Supprimez les plugins et themes inutilises plutot que de simplement les desactiver.

6. Installer un Pare-feu et Renforcer la Securite

Deployez un pare-feu applicatif (WAF) comme Sucuri Firewall ou Cloudflare pour bloquer les attaques avant qu'elles n'atteignent votre serveur. Installez un plugin de securite (Wordfence, iThemes Security) pour un monitoring continu.

7. Notifier Google et Votre Hebergeur

Une fois le nettoyage termine :

  • Google Search Console : soumettez une demande de reexamen dans la section "Problemes de securite" pour faire retirer l'avertissement des resultats de recherche
  • Hebergeur : informez-le que le nettoyage est effectue pour faire debloquer votre compte si necessaire
  • Blacklists : verifiez et demandez la suppression de votre domaine sur les principales listes noires (Google Safe Browsing, Norton Safe Web, McAfee SiteAdvisor)

Si vous n'etes pas a l'aise avec ces etapes techniques, faites appel a un service professionnel de suppression de malware WordPress. Une intervention experte reduit le risque de reinfection et garantit un nettoyage complet.

Prevention : Eviter le Prochain Piratage WordPress

Un site nettoye sans mesures preventives sera pirate a nouveau dans les 30 jours dans 73 % des cas selon Sucuri. La prevention est indispensable.

Mises a Jour Regulieres et Automatiques

Activez les mises a jour automatiques pour le core WordPress, les plugins et les themes. Les failles de securite connues sont corrigees dans les patchs : chaque jour de retard est un jour d'exposition.

Mots de Passe Forts et Authentification a Deux Facteurs (2FA)

  • Utilisez des mots de passe de 16 caracteres minimum generes aleatoirement
  • Activez le 2FA sur tous les comptes administrateur avec une application comme Google Authenticator ou Authy
  • Limitez les tentatives de connexion avec un plugin comme Limit Login Attempts Reloaded

Pare-feu Applicatif (WAF) et Plugins de Securite

Un WAF filtre le trafic malveillant avant qu'il n'atteigne votre serveur. Les solutions recommandees :

  • Cloudflare (WAF cloud) : bloque les attaques DDoS et les bots malveillants au niveau DNS
  • Sucuri Firewall (WAF cloud) : specialise WordPress, protection contre les exploits connus
  • Wordfence (WAF applicatif) : firewall integre a WordPress avec scan de malware

Sauvegardes Regulieres, Automatisees et Externalisees

Configurez des sauvegardes quotidiennes automatiques stockees hors du serveur (cloud externe : Amazon S3, Google Drive, Dropbox). Conservez au minimum 30 jours d'historique pour pouvoir restaurer une version saine meme si l'infection est decouverte tardivement.

Suppression des Themes et Plugins Inutilises

Chaque plugin ou theme installe, meme desactive, est un vecteur d'attaque potentiel. Supprimez tout ce qui n'est pas activement utilise. Privilegiez les extensions avec un historique de mises a jour regulieres et une communaute active.

Permissions de Fichiers et Dossiers

Configurez les permissions correctes pour limiter les risques d'ecriture non autorisee :

  • Fichiers : 644 (lecture/ecriture proprietaire, lecture groupe et public)
  • Dossiers : 755 (lecture/ecriture/execution proprietaire, lecture/execution autres)
  • wp-config.php : 440 ou 400 (lecture seule proprietaire)

Questions Frequemment Posees

Comment verifier si mon site WordPress a une backdoor cachee ?

Les backdoors se dissimulent dans des fichiers PHP aux noms anodins places dans /wp-content/uploads/, /wp-includes/ ou dans le fichier functions.php du theme actif. Recherchez les fonctions suspectes (eval(), base64_decode(), gzinflate()) avec la commande : grep -r "eval\|base64_decode" /var/www/html/wp-content/ --include="*.php". Verifiez aussi les horodatages de modification des fichiers : tout fichier modifie a une date ou vous n'avez pas effectue de mise a jour est suspect. L'outil WP-CLI avec wp core verify-checksums detecte les modifications des fichiers core.

Quels outils gratuits recommandez-vous pour detecter un piratage WordPress ?

Cinq outils gratuits couvrent l'essentiel du diagnostic :

  • Sucuri SiteCheck : scan en ligne detectant malware, blacklists et anomalies cote client
  • Wordfence (version gratuite) : scan serveur des fichiers modifies et des backdoors
  • Google Search Console : alertes de securite et detection de contenu spam indexe
  • WP-CLI (wp core verify-checksums) : verification de l'integrite des fichiers core
  • VirusTotal : analyse multi-moteurs (70+) de votre URL

Combinez un scan en ligne (Sucuri) avec un scan serveur (Wordfence) pour une couverture complete.

Mon hebergeur peut-il m'aider a nettoyer mon site pirate ?

La plupart des hebergeurs detectent l'infection mais ne la nettoient pas. Leur role se limite generalement a :

  • Suspendre le compte pour proteger les autres clients du serveur mutualise
  • Fournir les logs d'acces et d'erreur pour l'analyse forensique
  • Restaurer une sauvegarde (si incluse dans votre plan d'hebergement)

Le nettoyage des fichiers infectes, la suppression des backdoors et le hardening restent votre responsabilite. Pour un nettoyage complet avec garantie de resultat, un service specialise en suppression de malware WordPress est recommande.

Un site WordPress pirate nuit-il durablement au referencement SEO ?

Oui, l'impact SEO est significatif et peut durer plusieurs mois apres le nettoyage :

  • Desindexation : Google retire les pages infectees de son index, provoquant une chute immediate du trafic organique
  • Penalite manuelle : une action manuelle "Contenu pirate" dans Search Console necessite un reexamen qui prend 2 a 4 semaines
  • Perte de confiance : les signaux E-E-A-T (Experience, Expertise, Autorite, Fiabilite) sont degrades, affectant le classement general
  • Blacklist : l'inscription sur Google Safe Browsing affiche un avertissement aux visiteurs, reduisant le taux de clic de 95 %

Pour minimiser les degats : nettoyez rapidement, soumettez une demande de reexamen dans Search Console, et renforcez la securite WordPress pour eviter la recidive. Le retour au classement initial prend en moyenne 4 a 12 semaines apres un nettoyage complet.

Conclusion : La Vigilance, Votre Meilleure Protection

Identifier les signes d'un site WordPress pirate est la premiere etape vers la resolution. Les 18 indicateurs presentes dans ce guide couvrent aussi bien les symptomes visibles (redirections, defacement, spam) que les indices techniques (logs serveur, backdoors, taches cron suspectes).

Retenez ces 3 reflexes essentiels :

  1. Surveillez : installez un plugin de securite avec scan automatique et activez les alertes email. Consultez notre guide de securite WordPress pour les meilleures pratiques.
  2. Reagissez vite : chaque heure d'inaction aggrave les consequences SEO et la perte de donnees
  3. Preventez : suivez notre guide de maintenance WordPress pour les mises a jour automatiques, 2FA, sauvegardes externalisees et pare-feu (WAF)

Si vous suspectez une infection ou si vous avez identifie plusieurs signes decrits dans cet article, n'attendez pas. Un nettoyage professionnel de malware WordPress avec garantie de resultat vous permet de reprendre le controle de votre site en moins de 48 heures.

Vous souhaitez approfondir ? Consultez notre guide complet de nettoyage WordPress pirate ou decouvrez les malwares WordPress les plus courants en 2026.

Articles similaires