Comment Récupérer un Site WordPress Hacké : Guide de Remédiation Complet 2026

Votre site WordPress a été piraté : par où commencer ?

Chaque jour, plus de 30 000 sites WordPress sont compromis dans le monde, selon le rapport annuel Sucuri 2025. Un site piraté, c’est du contenu spam injecté, des visiteurs redirigés vers des pages malveillantes, une mise sur liste noire par Google — et parfois des mois de travail SEO anéantis en quelques heures.

La bonne nouvelle : il est possible de récupérer un site WordPress hacké, à condition de suivre une méthode rigoureuse et systématique. Ce guide vous accompagne étape par étape, de la détection initiale à la sécurisation complète post-hack.

Avant de commencer, notez que la prévention reste la meilleure arme. Si votre site n’a pas encore été compromis, consultez notre checklist sécurité WordPress 2026 pour renforcer votre défense dès maintenant.

Étape 1 : Confirmer le hack et évaluer les dégâts

Les signes d’un site WordPress compromis

• Redirections inattendues vers des sites tiers (phishing, casino, pharmacie)
• Avertissement Google « Ce site peut nuire à votre ordinateur »
• Contenu inconnu dans vos pages (spam, liens en japonais — le fameux Japanese SEO Hack)
• Nouveau(x) compte(s) administrateur que vous n’avez pas créés
• Alerte de votre hébergeur signalant une activité malveillante ou un envoi de spam
• Ralentissement extrême du site ou utilisation CPU anormalement élevée

Scanner votre site immédiatement

Utilisez des outils de détection en ligne avant même d’accéder à votre back-office :

• Sucuri SiteCheck : scan externe gratuit (malware, blacklists, anomalies DNS)
• VirusTotal : analyse de votre URL par 70+ moteurs antivirus
• Google Safe Browsing : vérifiez si votre domaine est déjà signalé

Pour un diagnostic interne approfondi, notre guide sur le scan de vulnérabilités WordPress détaille les outils à installer côté serveur.

Étape 2 : Isoler le site compromis

Dès le hack confirmé, activez immédiatement un mode maintenance pour protéger vos visiteurs du contenu malveillant. La plupart des hébergeurs permettent de le faire en un clic depuis le panneau de contrôle.

Idéalement, désactivez temporairement le site via votre panneau FTP/cPanel et prévenez votre équipe. Chaque minute pendant laquelle le site reste en ligne avec un malware actif aggrave les dégâts : indexation du contenu spam par Google, vol de données visiteurs, propagation à d’autres sites en hébergement mutualisé.

Selon Patchstack, 74 % des attaques WordPress en 2025 exploitaient des failles dans des plugins non mis à jour. L’isolation rapide est donc critique avant toute investigation.

Étape 3 : Nettoyer les fichiers infectés

Identifier les fichiers modifiés récemment

Via SSH, listez les fichiers PHP modifiés dans les 30 derniers jours :

find /var/www/html -name "*.php" -mtime -30 -ls

Comparez les fichiers core WordPress avec les originaux en téléchargeant la même version depuis wordpress.org. Tout fichier core modifié doit être considéré comme compromis.

Les points d’injection les plus courants

• wp-config.php : cible prioritaire pour voler les credentials de base de données. Vérifiez son intégrité — notre guide sécuriser wp-config.php couvre toutes les protections à appliquer
• functions.php du thème actif : souvent utilisé pour injecter du code malveillant exécuté à chaque chargement de page
• Dossier uploads (/wp-content/uploads/) : les hackers y dissimulent parfois des fichiers PHP exécutables
• Fichier .htaccess : modifié pour créer des redirections silencieuses vers des sites malveillants
• Plugins et thèmes nulled (crackés) : vecteur d’infection numéro 1, à bannir absolument

Réinstaller WordPress proprement

1. Sauvegardez la base de données (même infectée — pour référence forensique)
2. Téléchargez une version propre de WordPress depuis wordpress.org
3. Remplacez tous les fichiers core (sauf le dossier wp-content et wp-config.php)
4. Supprimez tous les plugins et thèmes inutilisés ou suspects
5. Réinstallez les plugins depuis leur source officielle uniquement (jamais de versions crackées)

Étape 4 : Nettoyer la base de données

Les hackers injectent fréquemment du contenu malveillant directement en base de données : liens spam dans les articles, backdoors cachées dans les options WordPress, comptes admin fantômes.

Vérifications prioritaires

• Table wp_users : supprimez tout compte administrateur que vous ne reconnaissez pas
• Table wp_options : inspectez les entrées siteurl, home et le champ active_plugins pour détecter des plugins cachés
• Table wp_posts : recherchez les injections avec cette requête SQL :

SELECT ID, post_title FROM wp_posts
WHERE post_content LIKE '%eval(%'
   OR post_content LIKE '%base64_decode(%'
   OR post_content LIKE '%gzinflate(%';

Notre guide d’audit de sécurité WordPress couvre en détail l’inspection complète de la base de données et l’analyse des logs serveur.

Étape 5 : Changer tous les mots de passe et sécuriser les accès

Une fois le site nettoyé, changez immédiatement l’ensemble des mots de passe :

• Tous les comptes WordPress (admins, éditeurs, abonnés)
• Mot de passe de la base de données MySQL (et mettre à jour wp-config.php en conséquence)
• Accès FTP / SFTP
• Panneau d’hébergement (cPanel, Plesk, etc.)
• Clés secrètes WordPress (AUTH_KEY, SECURE_AUTH_KEY, etc.) — régénérez-les sur api.wordpress.org/secret-key

Activez également l’authentification à deux facteurs (2FA) sur tous les comptes admin. Selon le NIST, le 2FA bloque 99,9 % des attaques automatisées de type credential stuffing.

Étape 6 : Notifier Google et demander une révision

Si votre site a été mis sur liste noire par Google Safe Browsing, vous devez soumettre une demande de révision :

1. Connectez-vous à Google Search Console
2. Accédez à la section Sécurité et Actions Manuelles
3. Cliquez sur « Demander un examen » en décrivant précisément les actions correctives menées

Le délai de révision est généralement de 1 à 3 jours ouvrables. Google peut effectuer plusieurs examens successifs si le nettoyage est incomplet. Soyez exhaustif dans votre description des corrections apportées.

Étape 7 : Mettre en place les protections post-hack

Un site nettoyé sans renforcement sera re-compromis dans les 24 à 72 heures dans 52 % des cas, selon le rapport Sucuri 2025. Les mesures suivantes sont indispensables :

• ✅ Mettre à jour WordPress, le thème actif et tous les plugins vers leurs dernières versions
• ✅ Supprimer les plugins et thèmes inactifs ou non maintenus
• ✅ Installer un pare-feu applicatif (WAF) : Wordfence, Cloudflare WAF, ou NinjaFirewall
• ✅ Activer un monitoring de fichiers pour détecter tout changement non autorisé en temps réel
• ✅ Configurer des sauvegardes automatiques quotidiennes stockées hors du serveur
• ✅ Désactiver l’exécution PHP dans le dossier /wp-content/uploads/ via .htaccess
• ✅ Restreindre l’accès à wp-admin par liste blanche d’IP si votre configuration le permet

Pour comprendre l’étendue réelle des dommages potentiels, lisez notre article sur l’impact des malwares WordPress : performances, SEO, données clients, réputation.

FAQ — Site WordPress Hacké

Combien de temps faut-il pour nettoyer un site WordPress hacké ?

Un nettoyage complet prend généralement entre 2 et 8 heures pour un technicien expérimenté, selon la profondeur de l’infection. Certains hacks avancés avec backdoors multiples ou infections de base de données étendues peuvent nécessiter 1 à 2 jours de travail.

Est-ce que restaurer une sauvegarde suffit ?

Pas nécessairement. Si la sauvegarde a été effectuée après la date de compromission initiale — souvent des jours ou semaines avant la détection visible — elle contient déjà le malware. Identifiez la date exacte de l’intrusion (via les logs serveur) avant de choisir quelle sauvegarde restaurer.

Mon hébergeur peut-il nettoyer le site à ma place ?

La plupart des hébergeurs mutualisés proposent une assistance basique (suppression de fichiers détectés comme malveillants), mais ne garantissent pas une remédiation complète incluant la base de données et les backdoors cachées. Pour une intervention professionnelle, faites appel à un expert WordPress spécialisé en sécurité.

Comment m’assurer que mon site est de nouveau sûr ?

Utilisez plusieurs outils en combinaison : Sucuri SiteCheck, Wordfence (scan interne), Google Safe Browsing. Activez ensuite un monitoring continu (Wordfence, MalCare, WP Cerber) pour être alerté en temps réel lors de toute nouvelle anomalie détectée.

Conclusion : Agir vite, agir méthodiquement

Un site WordPress hacké n’est pas une fatalité. Avec la bonne méthode — isolation immédiate, scan complet, nettoyage des fichiers et de la base de données, changement de tous les accès — vous pouvez récupérer votre site et le remettre en ligne rapidement. L’essentiel est d’agir sans délai pour limiter les dégâts sur votre SEO, vos données et la confiance de vos visiteurs.

Vous manquez de temps ou de ressources techniques ? SecuriteWP prend en charge la remédiation complète de votre site WordPress piraté, du diagnostic initial à la mise en place des protections durables. Découvrez nos services de sécurité WordPress →