Jeff Concept Agence Web

Catégories : Création de site web | E-commerce | Réseaux Sociaux | Hôtellerie et restauration | Vie d'entreprise | Webmarketing

Temps de lecture estimé : 10 minutes

Site piraté : que faire dans les premières heures (guide de crise WordPress)

Votre site affiche une page blanche. Ou pire : un message rouge de Google indiquant « ce site a peut-être été piraté ». Ou votre hébergeur vient de suspendre votre compte pour « activité malveillante ». C’est le lundi matin, vous avez du travail, et là, tout s’arrête.

Respirez. Votre site peut être récupéré. Mais chaque minute compte.

Ce guide est fait pour vous : dirigeant d’une TPE ou PME, pas développeur, qui vient de découvrir le piratage et qui a besoin de savoir quoi faire, dans quel ordre, sans se tromper.

Site piraté

Ce qui se passe vraiment sur un WordPress piraté

Imaginez Sophie, gérante d’une boutique de cosmétiques à Toulon. Elle ouvre son ordinateur à 8h30, tape l’adresse de sa boutique en ligne, et tombe sur une page entièrement blanche. Pas d’erreur, pas de message. Rien. Elle appelle son neveu « qui s’y connaît en informatique ». Deux heures plus tard, elle apprend que son site redirige les visiteurs mobiles vers un site de paris en ligne ukrainien.

C’est l’une des attaques les plus courantes. Et c’est récupérable.

Sur WordPress, les piratages prennent généralement quatre formes :

Type d’attaque Ce que vous voyez Ce que fait vraiment le pirate
Injection de code malveillant Page blanche, redirections bizarres Redirige vos visiteurs vers des sites tiers
Défacement (defacement) Page d’accueil remplacée Message politique ou revendication visible
Spam SEO Site « normal » en apparence Crée des milliers de pages cachées pour vendre des médicaments ou des contrefaçons
Porte dérobée (backdoor) Rien de visible Accès permanent à votre serveur, silencieux

La plupart du temps, vous n’êtes pas une cible personnelle. Des robots automatisés scannent des millions de sites en permanence, cherchant des versions de WordPress ou de plugins non mis à jour. Votre site a été pris dans le filet.

  • 90% des CMS piratés sont sous WordPress – WordPress cible privilégiée

H+1 : Les 60 premières minutes

Vous venez de découvrir le problème. Voici exactement ce que vous devez faire, dans cet ordre.

Ne touchez à rien sur le site pour l’instant

C’est contre-intuitif, mais supprimer des fichiers au hasard peut effacer des preuves et compliquer la récupération. Ne supprimez rien, ne réinstallez rien, ne « bidouillez » pas.

Changez tous vos mots de passe immédiatement

Commencez par :

  • Le mot de passe administrateur WordPress
  • L’accès FTP ou SFTP chez votre hébergeur
  • Le panneau d’administration de votre hébergeur (cPanel, Plesk, etc.)
  • L’adresse email associée au compte admin

Utilisez des mots de passe longs, aléatoires, différents pour chaque accès. Un gestionnaire comme Bitwarden ou 1Password peut générer et stocker tout ça en deux minutes.

Mettez le site en mode maintenance si possible

Si vous avez encore accès à l’administration WordPress, activez un mode maintenance. Cela empêche vos visiteurs de tomber sur du contenu malveillant et protège votre réputation pendant l’intervention.

Faites une capture d’écran de tout ce que vous voyez

Ce que vous observez (messages d’erreur, redirections, contenu étrange) sera utile pour diagnostiquer l’attaque. Photographiez votre écran, notez l’heure.

Priorité absolue : Changer les mots de passe d’accès au site et à l’hébergeur est la première action non négociable. Tant que le pirate a vos identifiants, toute intervention de nettoyage sera inutile.

Vous n’êtes pas seul dans cette situation. L’équipe de Jeff Concept intervient en urgence sur les sites piratés dans la région toulonnaise et partout en France. Contactez-nous dès maintenant pour une première évaluation rapide.

H+1 à H+4 : Scanner, identifier, contacter

Une fois les accès sécurisés, il faut comprendre l’étendue des dégâts.

Scannez votre site avec un outil en ligne

Sans accès technique, vous pouvez déjà obtenir une première image de la situation :

  • Sucuri SiteCheck (sitecheck.sucuri.net) : analyse les pages publiques de votre site à la recherche de malwares connus, de blacklists et de code suspect.
  • Google Search Console : si votre site est référencé, Google vous avertit parfois directement. Vérifiez la section « Problèmes de sécurité ».

Ces outils ne voient que la surface. Ils ne détectent pas les backdoors cachés dans les fichiers du serveur. Mais ils donnent une première indication précieuse.

Vérifiez si votre site est blacklisté

Google, Bing et les antivirus maintiennent des listes noires de sites compromis. Si votre site y figure, les visiteurs verront un avertissement rouge avant même d’arriver sur votre page. Cela peut durer plusieurs jours après le nettoyage si vous ne faites pas la démarche de demande de révision.

Un site blacklisté par Google perd en moyenne 95% de son trafic organique – Impact sur le trafic

Contactez votre hébergeur

Appelez le support technique de votre hébergeur (OVH, Ionos, o2switch, Infomaniak, etc.). Dites-leur clairement que votre site a été compromis. Ils peuvent :

  • Vous fournir les logs d’accès pour identifier l’heure et la méthode d’intrusion
  • Isoler votre hébergement pour éviter la propagation
  • Vous confirmer si une sauvegarde récente est disponible

La sauvegarde est souvent votre meilleure alliée. Certains hébergeurs en font une automatiquement chaque jour. Si vous avez une sauvegarde propre d’avant l’attaque, la restauration est infiniment plus simple qu’un nettoyage manuel.

Ne faites surtout pas ça : Ne restaurez pas une sauvegarde sans avoir d’abord identifié et colmaté la faille. Si la vulnérabilité est toujours présente (plugin non mis à jour, mot de passe faible), votre site sera repiraté en quelques heures.

H+4 à H+24 : Nettoyage et restauration

C’est la phase technique. Soyons honnêtes : si vous n’avez pas de compétences en administration de serveur, cette étape nécessite une intervention professionnelle.

Identifier et supprimer les fichiers malveillants

Un professionnel va :

  • Comparer les fichiers de votre installation avec les fichiers officiels de WordPress
  • Identifier les fichiers modifiés ou ajoutés par le pirate
  • Localiser les backdoors (souvent des fichiers PHP avec des noms anodins cachés dans des dossiers de thèmes ou de plugins)
  • Nettoyer la base de données si elle a été infectée

En moyenne, un site piraté reste compromis 287 jours avant d’être détecté – Délai de détection

Mettre à jour absolument tout

Après le nettoyage : WordPress core, tous les plugins, tous les thèmes. Sans exception. Les versions obsolètes sont la première cause de piratage sur WordPress.

Supprimez les plugins inactifs. Supprimez les thèmes que vous n’utilisez pas. Chaque extension installée est une surface d’attaque potentielle.

Vérifier Google Search Console

Connectez-vous à votre Search Console et vérifiez :

  • La section « Problèmes de sécurité » pour voir si Google a détecté quelque chose
  • La section « Couverture » pour repérer des URLs inconnues (signe d’un spam SEO)
  • Si votre site est blacklisté, soumettez une demande de révision une fois le nettoyage terminé

Bon à savoir : Google met généralement 24 à 72 heures pour réévaluer un site après une demande de révision. Pendant ce temps, votre site peut continuer à afficher des avertissements pour les visiteurs. C’est normal. C’est temporaire.

Si vous êtes arrivé à cette étape et que vous avez besoin d’aide pour le nettoyage technique, Jeff Concept peut intervenir rapidement. Nous avons déjà aidé plusieurs entreprises de la région toulonnaise à récupérer leur site après un piratage. Écrivez-nous ou appelez-nous directement.

Les erreurs qui aggravent tout

Voici ce que font la plupart des dirigeants qui découvrent un piratage, et qui transforment une mauvaise situation en catastrophe.

Supprimer le site et tout réinstaller sans diagnostic

Si vous réinstallez WordPress sans avoir identifié la faille d’entrée, vous serez repiraté. Parfois en moins d’une heure. Le pirate a peut-être laissé plusieurs backdoors. Il faut tous les trouver.

Ignorer le problème en espérant que ça passe

Un site piraté ne se « répare » pas tout seul. Plus vous attendez, plus le pirate consolide son accès, plus le nettoyage est complexe. Et pendant ce temps, vos visiteurs sont exposés à du contenu malveillant.

Payer une rançon

Certains piratages s’accompagnent d’un message demandant un paiement pour « rendre » le site. Ne payez pas. Rien ne garantit que le pirate tiendra parole, et payer signale que vous êtes une cible rentable.

Changer uniquement le mot de passe admin WordPress

C’est nécessaire mais largement insuffisant. Si le pirate est entré par une faille dans un plugin, il a probablement créé son propre compte administrateur ou installé une backdoor. Changer un mot de passe ne le fait pas sortir.

Après la crise : 3 actions pour ne plus revivre ça

Un piratage est souvent le révélateur d’une maintenance négligée. Voici ce que font les sites qui ne se font pas pirater deux fois.

Action 1 : Activer les mises à jour automatiques

WordPress permet d’activer les mises à jour automatiques pour le core et les plugins. C’est la mesure préventive la plus simple et la plus efficace. La majorité des piratages exploitent des failles connues, corrigées depuis des mois dans les versions récentes.

Action 2 : Installer un plugin de sécurité actif

Des solutions comme Wordfence ou iThemes Security ajoutent un pare-feu, bloquent les tentatives de connexion répétées (attaques par force brute) et scannent régulièrement les fichiers à la recherche de modifications suspectes.

Action 3 : Mettre en place des sauvegardes quotidiennes hors serveur

Une sauvegarde stockée sur le même serveur que votre site ne sert à rien si le serveur est compromis. Configurez des sauvegardes automatiques quotidiennes vers un espace externe : Google Drive, Dropbox, ou un service dédié comme UpdraftPlus.

60% des PME victimes d’une cyberattaque sans sauvegarde récente ferment dans les 6 mois – Sauvegardes et récupération

Bon à savoir : Jeff Concept propose un service de maintenance WordPress mensuel qui inclut mises à jour, sauvegardes externalisées et monitoring de sécurité. C’est beaucoup moins stressant, et beaucoup moins cher, qu’une intervention d’urgence après piratage.

Votre site est piraté et vous avez besoin d’une intervention rapide ? Jeff Concept, agence web à Toulon, prend en charge la récupération de sites WordPress compromis. Contactez-nous aujourd’hui : nous vous répondons rapidement, nous évaluons la situation, et nous vous disons clairement ce qui peut être fait et dans quel délai.

Questions Fréquentes (FAQ)

Mon site piraté peut-il être totalement récupéré ?

Dans la grande majorité des cas, oui. Si vous disposez d’une sauvegarde récente et propre, la restauration est rapide. Sans sauvegarde, un nettoyage manuel est possible mais plus long. La seule situation où des données peuvent être définitivement perdues, c’est lorsque le pirate a supprimé activement des fichiers ou des données de base de données, et qu’aucune sauvegarde n’existe. C’est rare, mais ça arrive.

Combien de temps dure une intervention de nettoyage ?

Pour un site WordPress de taille standard, un nettoyage complet par un professionnel prend entre 4 et 8 heures de travail technique. La remise en ligne peut se faire dans la journée. La sortie des blacklists Google prend généralement 24 à 72 heures supplémentaires après la demande de révision.

Mon hébergeur peut-il faire le nettoyage à ma place ?

La plupart des hébergeurs peuvent vous fournir des sauvegardes et des logs d’accès, mais ils ne font pas de nettoyage de code malveillant. C’est une prestation de développement web qui sort de leur périmètre. Certains proposent des services de sécurité payants, mais ils restent souvent superficiels.

Est-ce que mes clients sont en danger si mon site a été piraté ?

Cela dépend du type d’attaque. Si votre site collecte des données personnelles ou des paiements, il faut vérifier si ces données ont été exposées. Dans ce cas, vous avez une obligation légale d’information auprès de la CNIL (sous 72 heures pour les violations de données personnelles, selon le RGPD). Un professionnel peut vous aider à évaluer ce risque.

Comment savoir si mon site est vraiment piraté ou si c’est juste un bug ?

Un bug d’affichage ne redirige pas vos visiteurs. Un bug ne crée pas des centaines de pages inconnues dans Google. Un bug ne déclenche pas les alertes de votre hébergeur. Si vous observez l’un de ces signes, c’est un piratage. Si vous avez un doute, un scan via Sucuri SiteCheck ou un contact avec votre hébergeur peut confirmer la situation en quelques minutes.

Chiffres Clés

  • 43% des cyberattaques ciblent les petites et moyennes entreprises, souvent perçues comme des cibles moins protégées (Source : Verizon Data Breach Investigations Report 2026)
  • 287 jours : c’est le délai moyen entre l’intrusion et la détection d’un site compromis, selon IBM Security 2026. La plupart des piratages restent invisibles pendant des mois.
  • 90% des sites WordPress piratés l’ont été via un plugin ou un thème non mis à jour (Source : Sucuri Security Report 2026)
  • 72 heures : le délai légal pour notifier la CNIL en cas de violation de données personnelles sur votre site, sous peine de sanctions RGPD (Source : CNIL 2026)

« La majorité des piratages de sites WordPress exploitent des vulnérabilités connues et corrigées depuis plusieurs mois »
— Sucuri Security Report 2026

Vous avez aimé cet article ? Partagez-le avec vos collègues ou amis :

jean-francois legras
Jean-François Legras / (Jeff c’est plus simple)

Webmaster, formateur, consultant SEO, GEO et fondateur de l’agence web Jeff Concept, je suis spécialisé dans la création de sites web qui dépotent sous WordPress et WooCommerce. Passionné par le webmarketing, le GEO et le SEO, j’ai décidé de voler de mes propres ailes en 2005 après avoir fait mes armes dans des domaines hyper concurrentiels. Envie de discuter ? Retrouvons-nous sur LinkedIn ! Sinon, un petit mail à contact@jeff-concept.fr, et c’est parti!

Articles similaires sur les réseaux sociaux

2026-05-23T10:25:55+02:0025 mai 2026|Catégories : Création de sites web, Vie d'entreprise|Mots-clés : , |0 commentaire

Vous avez aimé cet article ? Partagez-le avec vos collègues ou amis :

FacebookXLinkedInWhatsAppEmail

Articles similaires

Objet d’email : les 7 formules qui font exploser votre taux d’ouverture

Objet d’email : les 7 formules qui font exploser votre taux d’ouverture

18 mai 2026 | 0 commentaire
GEO : Comment apparaître dans les réponses de ChatGPT et Google IA quand on est une PME à Toulon

GEO : Comment apparaître dans les réponses de ChatGPT et Google IA quand on est une PME à Toulon

11 mai 2026 | 0 commentaire
Fiche produit SEO : pourquoi la vôtre est invisible sur Google (et comment y remédier)

Fiche produit SEO : pourquoi la vôtre est invisible sur Google (et comment y remédier)

4 mai 2026 | 0 commentaire
Mots-clés SEO : comment trouver ceux qui ramènent vraiment des clients (et pas juste du trafic)

Mots-clés SEO : comment trouver ceux qui ramènent vraiment des clients (et pas juste du trafic)

27 avril 2026 | 0 commentaire

Laisser un commentaire

Jeff Concept Agence Web

Agence web à Toulon pour l’optimisation de votre communication digitale.

Suivez-nous !

Newsletter

©Jeff Concept 2025  |  Mentions légales  |  Conditions générales d’utilisation  |  Politique de confidentialité  |  Recrutement  |  Events  |  Sav  |  Démarche RSE

©Jeff Concept 2025

Mentions légales

Conditions générales d’utilisation

Politique de confidentialité

Recrutement

Events

Sav

Démarche RSE

Bascule de la zone de la barre coulissante
Play sound

ON A UN CADEAU POUR VOUS !

Vous voulez réaliser vos rêves? Abonnez-vous pour rester informé!

Aller en haut