Retour au blog
WordPress Pirate : Guide Complet de Nettoyage en 10 Etapes
SEO

WordPress Pirate : Guide Complet de Nettoyage en 10 Etapes

Bastien Allain11 mars 202612 min de lecture
wordpressmalwarenettoyagepiratagesecuritewp-cli

Votre site WordPress a ete pirate ? Pas de panique. Ce guide detaille les 10 etapes exactes pour nettoyer votre site, supprimer les malwares et restaurer votre referencement. Que vous interveniez vous-meme ou que vous fassiez appel a un professionnel, ce processus couvre l'integralite du nettoyage, de la detection a la securisation finale.

Comment nettoyer un site WordPress pirate (8 etapes)
  1. 1

    Confirmer l'infectionVerifiez les signes de piratage et identifiez le vecteur d'attaque.

  2. 2

    Isoler le siteMettez le site en maintenance pour stopper la propagation du malware.

  3. 3

    Sauvegarder l'etat actuelCreez une sauvegarde complete avant toute intervention de nettoyage.

  4. 4

    Scanner les fichiers infectesUtilisez WP-CLI et des scanners pour localiser les fichiers malveillants.

  5. 5

    Nettoyer la base de donneesSupprimez le contenu spam et les comptes administrateurs frauduleux.

  6. 6

    Supprimer les backdoorsRecherchez et eliminez les portes derobees dans les fichiers du site.

  7. 7

    Renforcer la securiteChangez les mots de passe, mettez a jour et installez un pare-feu.

  8. 8

    Demander la reexamination GoogleSoumettez une demande de reexamen dans la Search Console.

Etape 1 : Confirmer l'Infection et Diagnostiquer

Avant toute intervention, confirmez que votre site est bien compromis et identifiez la nature de l'attaque.

Les Signes Revelateurs

Les symptomes les plus frequents d'un site WordPress pirate incluent :

  • Redirections vers des sites tiers (pharmacie, phishing, contenu adulte)
  • Contenu spam injecte : pages en japonais, liens pharmaceutiques, publicites non sollicitees
  • Acces administrateur bloque : mot de passe modifie, compte supprime
  • Alertes Google : "Ce site peut etre pirate" dans les resultats de recherche
  • Ralentissement extreme sans raison apparente

Pour un diagnostic detaille de chaque symptome, consultez notre guide des 18 signes d'un WordPress pirate.

Identifier le Vecteur d'Attaque

Comprendre comment le pirate est entre evite la reinfection :

  • Plugins ou themes obsoletes : 97 % des vulnerabilites WordPress proviennent d'extensions non mises a jour (WPScan)
  • Mots de passe faibles : attaques par force brute sur /wp-login.php ou xmlrpc.php
  • Acces FTP/cPanel compromis : identifiants voles par phishing ou malware local
  • Hebergement mutualise : contamination croisee entre sites sur le meme serveur

Etape 2 : Isoler le Site Immediatement

Mettez votre site en mode maintenance pour empecher la propagation du malware aux visiteurs et stopper l'indexation de pages infectees par Google.

Via le Tableau de Bord WordPress

Si vous avez encore acces a l'administration, installez une extension comme Coming Soon Page & Maintenance pour afficher une page temporaire.

Via le Fichier .htaccess (Si Acces Admin Bloque)

Si l'administration est inaccessible, ajoutez ces lignes en haut de votre fichier .htaccess via FTP :

Order Deny,Allow
Deny from all
Allow from VOTRE_IP

Remplacez VOTRE_IP par votre adresse IP publique (trouvable sur whatismyip.com). Seul vous pourrez acceder au site pendant le nettoyage.

Informer Votre Hebergeur

Contactez votre hebergeur pour les informer de l'infection. Certains hebergeurs comme OVH, Infomaniak ou o2switch peuvent :

  • Fournir les logs d'acces et d'erreur du serveur
  • Restaurer une sauvegarde anterieure a l'infection
  • Scanner le serveur avec des outils comme Imunify360 ou ClamAV

Etape 3 : Sauvegarder Avant de Nettoyer

Realisez une sauvegarde complete du site infecte avant toute modification. Meme compromise, cette sauvegarde sert de reference pour l'analyse forensique.

Sauvegarde Manuelle via phpMyAdmin

  1. Connectez-vous a phpMyAdmin depuis cPanel
  2. Selectionnez votre base de donnees WordPress
  3. Cliquez sur Exporter > Format SQL > Executer
  4. Telechargez egalement tous les fichiers via FTP (compressez /wp-content/ en priorite)

Sauvegarde via WP-CLI

Si vous avez un acces SSH, utilisez WP-CLI pour une sauvegarde rapide :

wp db export backup-infecte-$(date +%Y%m%d).sql
tar -czf wp-content-backup.tar.gz wp-content/

Important : Stockez cette sauvegarde dans un repertoire separe, jamais dans le dossier public du site.

Etape 4 : Scanner les Fichiers Infectes

Scan avec WP-CLI

La commande wp core verify-checksums compare vos fichiers core WordPress avec les originaux de wordpress.org :

wp core verify-checksums

Toute difference dans la sortie signale un fichier modifie. Les fichiers core ne doivent jamais etre modifies manuellement.

Scan avec un Plugin de Securite

Installez Wordfence ou Sucuri Security et lancez un scan complet :

  • Wordfence : Wordfence > Scan > Start New Scan (detecte fichiers modifies, backdoors, malware connu)
  • Sucuri Security : Sucuri > Dashboard > Scan (scan serveur + verification blacklists)

Scan Manuel des Fichiers Suspects

Recherchez les fonctions PHP dangereuses dans vos fichiers :

grep -r "eval\|base64_decode\|gzinflate\|str_rot13\|assert" wp-content/ --include="*.php"

Les resultats indiquent des fichiers potentiellement infectes. Tout fichier PHP dans /wp-content/uploads/ est suspect par defaut.

Etape 5 : Reinstaller les Fichiers Core WordPress

Remplacez les fichiers core par une copie neuve depuis wordpress.org. Cette etape elimine tout code malveillant injecte dans les fichiers systeme.

Via WP-CLI (Methode Recommandee)

wp core download --force --skip-content

Cette commande telecharge et remplace tous les fichiers core sans toucher au dossier wp-content/.

Via FTP (Methode Manuelle)

  1. Telechargez la derniere version de WordPress depuis wordpress.org
  2. Supprimez les dossiers wp-admin/ et wp-includes/ de votre serveur
  3. Uploadez les dossiers wp-admin/ et wp-includes/ de la copie neuve
  4. Remplacez tous les fichiers PHP a la racine sauf wp-config.php

Ne supprimez jamais le dossier wp-content/ qui contient vos themes, plugins et medias.

Etape 6 : Nettoyer les Themes et Plugins

Supprimer et Reinstaller les Plugins

Pour chaque plugin :

  1. Desactivez le plugin
  2. Supprimez completement le dossier du plugin dans /wp-content/plugins/
  3. Reinstallez la derniere version depuis le depot officiel WordPress

Via WP-CLI, cette operation se fait en une commande :

wp plugin deactivate --all
wp plugin delete plugin-suspect
wp plugin install plugin-nom --activate

Nettoyer le Theme Actif

  1. Verifiez le fichier functions.php de votre theme : recherchez du code encode en base64 ou des eval() non legitimes
  2. Si le theme provient du depot officiel, supprimez-le et reinstallez-le
  3. Si c'est un theme premium, telechargez une copie neuve depuis le site de l'editeur

Supprimer les Extensions Inutilisees

Chaque plugin installe, meme desactive, est un vecteur d'attaque. Supprimez tout ce qui n'est pas activement utilise :

wp plugin list --status=inactive --format=csv | tail -n +2 | cut -d',' -f1 | xargs -I {} wp plugin delete {}

Etape 7 : Nettoyer la Base de Donnees

Le nettoyage de la base de donnees MySQL est l'etape la plus critique car les backdoors et injections s'y cachent souvent.

Supprimer les Utilisateurs Suspects

SELECT * FROM wp_users WHERE user_registered > '2026-01-01' ORDER BY user_registered DESC;

Tout compte administrateur que vous n'avez pas cree doit etre supprime :

wp user delete ID_SUSPECT --reassign=1

Nettoyer la Table wp_options

Recherchez les injections dans les options WordPress :

SELECT option_name, LEFT(option_value, 200) FROM wp_options
WHERE option_value LIKE '%eval(%'
OR option_value LIKE '%base64_decode(%'
OR option_value LIKE '%<script%'
OR option_value LIKE '%<iframe%';

Verifiez aussi que siteurl et home pointent vers votre domaine legitime :

SELECT option_name, option_value FROM wp_options WHERE option_name IN ('siteurl', 'home');

Nettoyer la Table wp_posts

Recherchez du contenu malveillant injecte dans vos articles :

SELECT ID, post_title, LEFT(post_content, 100) FROM wp_posts
WHERE post_content LIKE '%<iframe%'
OR post_content LIKE '%<script%'
OR post_content LIKE '%display:none%'
OR post_content LIKE '%viagra%'
OR post_content LIKE '%casino%';

Nettoyer les Taches Cron Suspectes

Les pirates planifient des taches cron pour regenerer les backdoors apres nettoyage :

wp cron event list

Supprimez toute tache qui ne correspond pas a un plugin installe :

wp cron event delete nom_tache_suspecte

Etape 8 : Securiser les Fichiers Critiques

Le Fichier wp-config.php

  1. Regenerez les cles de securite : copiez de nouvelles cles depuis l'API WordPress et remplacez les anciennes dans wp-config.php
  2. Changez le mot de passe de la base de donnees dans cPanel, puis mettez a jour DB_PASSWORD dans wp-config.php
  3. Desactivez l'editeur de fichiers en ajoutant : define('DISALLOW_FILE_EDIT', true);
  4. Configurez les permissions : chmod 400 wp-config.php (lecture seule proprietaire)

Le Fichier .htaccess

Remplacez le contenu par un .htaccess propre :

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
 
# Bloquer l'execution PHP dans uploads
<Directory "/wp-content/uploads/">
  <Files "*.php">
    Deny from all
  </Files>
</Directory>
 
# Proteger wp-config.php
<Files wp-config.php>
  Order Allow,Deny
  Deny from all
</Files>
 
# Desactiver le directory listing
Options -Indexes

Permissions des Fichiers et Dossiers

Configurez les permissions correctes sur l'ensemble du site :

find . -type f -exec chmod 644 {} \;
find . -type d -exec chmod 755 {} \;
chmod 400 wp-config.php

Etape 9 : Changer Tous les Mots de Passe et Acces

Apres le nettoyage des fichiers, renouvelez tous les identifiants sans exception :

  • Administrateur WordPress : utilisez un mot de passe de 16+ caracteres genere aleatoirement
  • Base de donnees MySQL : changez dans cPanel > MySQL Databases, puis mettez a jour wp-config.php
  • FTP/SFTP : changez dans cPanel > FTP Accounts
  • cPanel : changez le mot de passe principal du compte d'hebergement
  • Cles de securite WordPress : regenerez via l'API WordPress (voir Etape 8)

Activez l'authentification a deux facteurs (2FA) sur tous les comptes administrateur avec Wordfence Login Security ou Google Authenticator.

Etape 10 : Recovery SEO et Demande de Reexamen Google

Un piratage impacte directement votre referencement naturel. Si Google a inscrit votre site sur sa liste noire, consultez notre guide sur la suppression de la blacklist Google. Voici comment recuperer votre positionnement.

Verifier Google Search Console

  1. Connectez-vous a Google Search Console
  2. Allez dans Securite et actions manuelles > Problemes de securite
  3. Si une alerte est presente, suivez les instructions de reexamen

Soumettre une Demande de Reexamen

Une fois le nettoyage termine :

  1. Dans Search Console, cliquez sur "Demander un examen" dans la section Problemes de securite
  2. Decrivez les actions entreprises (fichiers nettoyes, BDD purgee, securisation)
  3. Le delai de reponse est de 2 a 4 semaines en moyenne

Supprimer les URLs Spam de l'Index

Si des pages spam (japonais, pharmaceutique) ont ete indexees :

  1. Supprimez les pages en question de WordPress
  2. Utilisez l'outil Suppressions dans Search Console pour demander un retrait temporaire
  3. Soumettez un sitemap mis a jour pour forcer le recrawl des pages legitimes

Surveiller la Recuperation

Le retour au classement initial prend en moyenne 4 a 12 semaines apres nettoyage. Surveillez :

  • Le trafic organique dans Google Analytics (comparaison periode precedente)
  • Les impressions et clics dans Search Console (Performance)
  • Les eventuelles nouvelles alertes de securite

Pour une securisation WordPress complete et eviter la recidive, renforcez votre site avec un pare-feu (WAF), des sauvegardes automatiques et un monitoring continu.

Checklist Post-Nettoyage

Avant de remettre votre site en ligne, verifiez ces points :

  • Fichiers core WordPress reinstalles depuis une copie neuve
  • Tous les plugins et themes supprimes et reinstalles
  • Base de donnees scannee et nettoyee (utilisateurs, options, posts)
  • Fichiers wp-config.php et .htaccess securises
  • Tous les mots de passe changes (WP, MySQL, FTP, cPanel)
  • Cles de securite WordPress regenerees
  • Authentification 2FA activee sur tous les comptes admin
  • Plugin de securite installe et configure (Wordfence ou Sucuri)
  • Sauvegarde automatique configuree (quotidienne, externalisee)
  • Google Search Console verifie et demande de reexamen soumise
  • Sitemap mis a jour et soumis

Questions Frequemment Posees

Comment identifier le fichier source d'une injection SQL dans la base de donnees ?

Recherchez les entrees contenant du code encode (eval(), base64_decode()) dans les tables wp_options, wp_posts et wp_postmeta avec les requetes SQL fournies a l'Etape 7. Croisez les resultats avec les logs d'acces serveur pour identifier l'heure et l'IP de l'injection. La table wp_options est la cible la plus frequente, notamment les champs transient et les options de widgets.

Quelles commandes WP-CLI utiliser en urgence pour isoler un site pirate ?

Trois commandes essentielles :

  • wp maintenance-mode activate : active le mode maintenance
  • wp plugin deactivate --all : desactive tous les plugins pour stopper l'execution de code malveillant
  • wp user list --role=administrator --format=table : liste les administrateurs pour identifier les comptes suspects

Enchainez avec wp core verify-checksums pour detecter les fichiers core modifies.

Combien de temps faut-il pour nettoyer completement un site WordPress pirate ?

Le temps depend de la gravite de l'infection :

  • Infection superficielle (redirect hack, defacement) : 2 a 4 heures pour un technicien experimente
  • Infection profonde (backdoors multiples, BDD compromise, spam SEO) : 8 a 24 heures
  • Infection ancienne (malware present depuis des mois, reinfections repetees) : 1 a 3 jours

Un service professionnel de nettoyage WordPress garantit un delai d'intervention sous 48h et une garantie de 90 jours contre la reinfection.

Comment analyser les logs serveur pour remonter a la source du piratage ?

Les logs d'acces Apache/Nginx contiennent l'historique de toutes les requetes :

grep "POST" /var/log/apache2/access.log | grep "wp-content" | tail -100

Recherchez les requetes POST suspectes vers des fichiers dans /wp-content/uploads/ ou /wp-includes/. Les timestamps des requetes vous indiquent le moment de l'intrusion. Croisez avec les dates de modification des fichiers malveillants identifies lors du scan.

Conclusion

Nettoyer un site WordPress pirate est un processus methodique en 10 etapes : du diagnostic initial a la recovery SEO. Les cles du succes sont la rigueur (ne sauter aucune etape), la rapidite (chaque heure d'inaction aggrave les degats) et la prevention (securiser pour eviter la recidive).

Si l'ampleur de l'infection depasse vos competences techniques, un nettoyage professionnel de malware WordPress vous garantit un site propre sous 48h avec une garantie de 90 jours.

Decouvrez aussi les malwares WordPress les plus courants en 2026 pour mieux comprendre les menaces auxquelles votre site est expose. Pour une approche complementaire axee sur l'identification et la suppression de malwares specifiques, consultez notre guide de suppression de malware WordPress.

Articles similaires