Un piratage ne se voit pas toujours. Mais il laisse des traces. Voici comment les repérer — et comment réagir.
Mon site est piraté, aidez-moiSelon une étude SiteLock, 79% des sites impactés par un piratage ou un malware subissent une perte de trafic. Le problème ? Beaucoup de propriétaires ne s'en rendent compte que des semaines, voire des mois après l'intrusion.
Pourquoi ? Parce que les hackers modernes ne cherchent plus à "défacer" votre site avec un message provocateur. Ils préfèrent rester discrets : voler des données, injecter des liens SEO invisibles, envoyer du spam depuis votre serveur, ou rediriger vos visiteurs vers des sites malveillants.
Plus vous tardez à détecter un piratage, plus les dégâts s'accumulent : blacklist Google, perte de référencement, vol de données clients, réputation entachée.
Cette page vous apprend à reconnaître les signaux d'alerte — et vous guide pas à pas pour reprendre le contrôle.
Le signal le plus évident
Ce qui se passe :
Vos visiteurs arrivent sur votre site et sont immédiatement redirigés vers un autre site — souvent un site de casino, de pharmaceutique douteuse, ou de phishing.
Pourquoi c'est vicieux :
Selon Sucuri, ces redirections n'affectent souvent pas les utilisateurs connectés ou ceux qui accèdent directement au site. Vous pouvez donc naviguer normalement sur votre propre site sans rien remarquer, pendant que vos visiteurs venus de Google sont redirigés.
Comment vérifier :
→ Ouvrez une fenêtre de navigation privée
→ Recherchez votre site sur Google et cliquez sur le résultat
→ Testez depuis un mobile sur le réseau 4G (pas votre Wi-Fi)
→ Demandez à quelqu'un d'externe de visiter votre site
Source : Sucuri — "WordPress Hacked: What to Do When Your Site is Compromised" (2024)
L'hémorragie silencieuse
Ce qui se passe :
Votre Google Analytics montre une baisse soudaine et inexpliquée du trafic, alors que rien n'a changé côté contenu ou SEO.
Les causes possibles :
→ Google a détecté du malware et désindexé vos pages
→ Vos visiteurs sont redirigés avant d'atteindre votre site
→ Des liens spam injectés ont déclenché une pénalité Google
→ Votre site est blacklisté
Les chiffres :
Selon le rapport SiteLock 2022, 79% des sites touchés par un hack ou un malware ont subi une perte de trafic significative.
Comment vérifier :
→ Consultez Google Search Console > Sécurité et actions manuelles
→ Vérifiez votre statut sur Google Safe Browsing
→ Tapez site:votredomaine.com dans Google et cherchez des pages suspectes
Source : SiteLock Website Security Statistics Report 2022 ; WPBeginner (2025)
Vous êtes exclu de votre propre site
Ce qui se passe :
Vos identifiants habituels ne fonctionnent plus. La réinitialisation de mot de passe échoue. Vous êtes bloqué hors de votre propre site.
Ce que ça signifie :
Selon Sucuri, les attaquants suppriment souvent le compte admin d'origine ou changent les mots de passe une fois qu'ils ont pris le contrôle du site. C'est un signe quasi-certain de compromission.
Comment vérifier :
→ Essayez la réinitialisation de mot de passe
→ Vérifiez si l'email de réinitialisation arrive (et qu'il pointe bien vers votre site)
→ Si vous avez accès à phpMyAdmin, vérifiez la table wp_users
→ Contactez votre hébergeur pour un accès d'urgence
Source : Sucuri — "WordPress Hacked" (2024) ; 10Web (2024)
Le signal qui fait fuir vos visiteurs
Ce qui se passe :
Quand vos visiteurs accèdent à votre site, leur navigateur (Chrome, Firefox, Safari) affiche un écran rouge avec "Ce site peut être dangereux" ou "Site trompeur".
Ce que ça signifie :
Google Safe Browsing a détecté du contenu malveillant sur votre site et l'a blacklisté. Tous les navigateurs modernes utilisent cette base de données.
L'impact :
→ Perte immédiate de confiance des visiteurs
→ Chute du trafic (personne ne clique sur "Continuer quand même")
→ Perte de positions SEO
Comment vérifier :
→ Testez votre URL sur Google Safe Browsing
→ Consultez Google Search Console > Problèmes de sécurité
→ Vérifiez sur VirusTotal qui agrège 70+ antivirus
Source : Sucuri Guide (2024) ; Google Safe Browsing ; WPZOOM (2025)
Google vous prévient directement
Ce qui se passe :
Vous recevez un email de Google Search Console signalant des "problèmes de sécurité" sur votre site. Ou vous voyez un avertissement dans l'interface.
Les types d'alertes :
→ "Logiciel malveillant détecté"
→ "Contenu piraté détecté"
→ "Ingénierie sociale détectée" (phishing)
→ "Téléchargements dangereux"
Pourquoi c'est important :
Ces alertes ne sont pas des faux positifs. Google a scanné votre site et trouvé quelque chose. Agissez immédiatement.
Comment réagir :
→ Consultez le détail dans Search Console > Sécurité
→ Identifiez les pages et URLs concernées
→ Nettoyez le site (voir section "Quoi faire")
→ Demandez un réexamen une fois le nettoyage terminé
Source : Google Search Console Help ; Sucuri (2024)
Du spam sur votre propre site
Ce qui se passe :
Vous découvrez des pages que vous n'avez jamais créées. Des articles de blog sur des sujets bizarres (pharma, casino, etc.). Des liens vers des sites externes dans votre contenu.
Le "pharma hack" :
Selon Sucuri, le "pharma hack" est l'une des infections les plus courantes. Les hackers injectent des pages ou des liens vers des pharmacies en ligne. Ces pages sont souvent invisibles pour vous mais visibles pour Google.
Comment vérifier :
→ Tapez site:votredomaine.com dans Google
→ Cherchez des pages avec des titres suspects (viagra, casino, etc.)
→ Vérifiez le nombre de pages indexées vs le nombre réel de pages
→ Inspectez le code source de votre footer et header
Source : WPBeginner (2025) ; Sucuri (2024)
Quelqu'un s'est invité
Ce qui se passe :
Dans votre liste d'utilisateurs WordPress, vous trouvez des comptes que vous n'avez pas créés — souvent avec des droits administrateur.
Pourquoi c'est grave :
Selon Wordfence, plus de 40% des sites WordPress piratés avaient au moins un compte utilisateur compromis. Les hackers créent ces comptes pour garder un accès même si vous changez votre mot de passe.
Comment vérifier :
→ Allez dans Utilisateurs > Tous les utilisateurs
→ Filtrez par rôle "Administrateur"
→ Vérifiez les emails associés à chaque compte
→ Vérifiez aussi directement dans la base de données (table wp_users) — certains comptes peuvent être cachés de l'interface admin
Source : Wordfence (2022) via WP Support Specialists ; Bluehost (2025) ; WPZOOM (2025)
Votre réputation d'expéditeur est ruinée
Ce qui se passe :
Les emails envoyés depuis votre site (confirmations de commande, formulaires de contact, etc.) arrivent systématiquement en spam chez vos destinataires. Ou pire : ils ne partent plus du tout.
Ce que ça signifie :
Votre serveur a probablement été utilisé pour envoyer du spam en masse. L'adresse IP est maintenant blacklistée par les fournisseurs d'email.
Témoignage d'expert :
Selon Marketing Scoop : "J'ai vu des sites WordPress piratés envoyer des centaines de milliers de messages spam avant d'être détectés."
Comment vérifier :
→ Testez la délivrabilité sur Mail Tester
→ Vérifiez si votre IP est blacklistée sur MXToolbox
→ Consultez les logs email de votre hébergeur
Source : Marketing Scoop (2024)
Votre serveur est surchargé
Ce qui se passe :
Votre site qui fonctionnait bien est soudainement très lent, ou tombe régulièrement. Votre hébergeur vous alerte sur une consommation excessive de ressources.
Les causes possibles :
→ Des scripts malveillants tournent en arrière-plan
→ Votre serveur est utilisé pour miner de la cryptomonnaie
→ Votre site sert de relais pour des attaques DDoS
→ Des bots exploitent une faille et surchargent le serveur
Ce qu'en dit Patchstack :
"Si votre site tournait bien avant et qu'il crash maintenant, vous avez très probablement un hack dans votre système."
Comment vérifier :
→ Consultez les logs d'accès serveur
→ Cherchez des requêtes anormales ou des IPs suspectes
→ Vérifiez la consommation CPU/RAM dans votre panel hébergeur
→ Scannez avec Wordfence ou Sucuri
Source : Patchstack (2023) ; Marketing Scoop (2024)
Quelqu'un a touché au code
Ce qui se passe :
Des fichiers WordPress (core, thème, plugins) ont été modifiés à des dates où vous n'avez rien fait. Ou vous trouvez des fichiers avec des noms suspects.
Comment vérifier :
Selon Sucuri, connectez-vous en SSH et exécutez :
find . -type f -mtime -7Cette commande liste les fichiers modifiés dans les 7 derniers jours.
Les fichiers à surveiller particulièrement :
→ wp-config.php (configuration)
→ .htaccess (redirections)
→ index.php (point d'entrée)
→ Fichiers dans /wp-content/uploads/ (souvent utilisé pour cacher des backdoors)
Ce qu'en dit Wordfence :
Selon le Wordfence Plugin Security Report 2022, 88% des sites piratés avaient des backdoors installées — des fichiers malveillants qui permettent aux hackers de revenir même après un nettoyage.
Source : Sucuri (2024) ; Wordfence Report 2022 via Marketing Scoop
Votre site affiche des pubs que vous n'avez pas mises
Ce qui se passe :
Des popups apparaissent sur votre site, généralement pour des casinos, des rencontres, ou des arnaques. Parfois des publicités s'affichent dans le contenu.
Pourquoi c'est vicieux :
Selon WPBeginner, ces popups n'apparaissent souvent pas pour les utilisateurs connectés ou les visiteurs directs. Ils ciblent spécifiquement les visiteurs venant de Google, ce qui les rend difficiles à détecter pour le propriétaire du site.
Comment vérifier :
→ Visitez votre site en navigation privée
→ Arrivez sur votre site depuis une recherche Google (pas en direct)
→ Testez sur différents appareils et navigateurs
→ Demandez à des proches de tester
Source : WPBeginner (2025)
Votre hébergeur a détecté quelque chose
Ce qui se passe :
Vous recevez un email de votre hébergeur signalant une activité suspecte, une consommation anormale, ou carrément une suspension de votre compte.
Pourquoi c'est sérieux :
Les hébergeurs surveillent leurs serveurs pour détecter les malwares, le spam sortant, et les comportements anormaux. S'ils vous contactent, c'est qu'ils ont détecté quelque chose de concret.
Raisons courantes de suspension :
→ Envoi massif de spam depuis votre compte
→ Malware détecté sur votre espace
→ Consommation excessive de ressources (mining, DDoS)
→ Plaintes d'autres utilisateurs ou services
Comment réagir :
→ Contactez immédiatement le support de votre hébergeur
→ Demandez les détails de ce qui a été détecté
→ Ne supprimez rien avant d'avoir compris le problème
→ Suivez les étapes de nettoyage (section suivante)
Source : Sucuri (2024) ; 10Web (2024)
1. Ne paniquez pas, mais agissez vite
Plus vous attendez, plus les dégâts s'accumulent. Selon Sucuri, la première étape est de ne rien supprimer impulsivement — vous pourriez effacer des indices précieux pour comprendre l'attaque.
2. Faites une sauvegarde de l'état actuel
Avant toute intervention, sauvegardez le site tel qu'il est (fichiers + base de données). Cette sauvegarde "infectée" servira à analyser l'attaque et à identifier comment les hackers sont entrés.
3. Scannez votre site
Utilisez des outils de scan pour identifier les fichiers infectés :
→ Sucuri SiteCheck (gratuit, en ligne) — scan externe
→ Wordfence (plugin gratuit) — scan interne complet
→ MalCare (plugin) — détection et nettoyage
Ces outils comparent vos fichiers avec une installation WordPress propre et identifient les anomalies.
Source : Sucuri Guide "How to Clean a Hacked Website" (2024)
4. Nettoyez les fichiers infectés
Deux options selon Sucuri :
→ Option A : Restaurer depuis une sauvegarde propre — Si vous avez une sauvegarde datant d'avant l'infection, c'est souvent le plus rapide.
→ Option B : Nettoyage manuel — Remplacez les fichiers core WordPress par des versions fraîches téléchargées sur wordpress.org. Inspectez thèmes et plugins pour du code suspect.
Attention aux backdoors :
Selon le rapport Wordfence 2022, 88% des sites piratés contenaient des backdoors — des fichiers malveillants qui permettent aux hackers de revenir. Cherchez particulièrement :
→ Des fichiers PHP dans /wp-content/uploads/ (il ne devrait pas y en avoir)
→ Des fichiers avec des noms génériques comme config.php, cache.php dans des endroits inhabituels
→ Du code obfusqué (base64_decode, eval, gzinflate)
5. Nettoyez la base de données
Les hackers injectent parfois du code directement dans la base de données (articles, options, etc.). Vérifiez la table wp_options et les contenus de wp_posts pour du code suspect.
Source : Sucuri (2024) ; Wordfence Report 2022
6. Changez TOUS les mots de passe
C'est crucial. Selon une étude Sucuri 2024, plus de 60% des sites réinfectés après un nettoyage n'avaient pas changé tous leurs mots de passe ou avaient oublié des comptes admin cachés.
Changez impérativement :
→ Tous les mots de passe WordPress (tous les utilisateurs)
→ Mot de passe base de données (et mettez à jour wp-config.php)
→ Mot de passe FTP/SFTP
→ Mot de passe du panel hébergeur
→ Clés de sécurité WordPress (AUTH_KEY, etc. dans wp-config.php)
7. Mettez tout à jour et demandez un réexamen
→ Mettez à jour WordPress, tous les thèmes et tous les plugins
→ Supprimez les thèmes et plugins non utilisés
→ Si vous êtes blacklisté par Google, soumettez une demande de réexamen dans Search Console une fois le site propre
Risque de réinfection :
Selon une enquête Wordfence 2024, plus de 60% des propriétaires de sites qui ont tenté de supprimer le malware manuellement sans aide professionnelle ont subi une réinfection dans les 6 mois.
Source : Sucuri 2024 via WP Support Specialists ; Wordfence 2024 via WP Support Specialists
Un interlocuteur technique, pas commercial.
Dites-nous : URL, objectifs, budget indicatif, délai.
Nous répondons sous 48 h avec la meilleure voie technique.