Pas évident de ne pas céder à la panique lorsque l’on découvre que son site web a été piraté. Pourtant, agir dans la précipitation est souvent la meilleure manière d’aggraver la situation.
Alors prenez une grande respiration. Voyons ensemble, étape par étape, comment réagir correctement, remettre votre site en état et éviter que cela ne se reproduise.
Les 5 signes que votre site WordPress a probablement été piraté
Avant de lancer le branle-bas de combat, encore faut-il s’assurer qu’il s’agit bien d’un piratage. Voici les signaux les plus fréquents :
- Il est impossible de se connecter à l’administration WordPress
- Google affiche un message du type « ce site peut être dangereux » lorsque vous le visitez
- Le graphisme ou le contenu de votre site a radicalement changé (defacing)
- Des publicités, pop-ups ou concours apparaissent sans que vous ne les ayez installés
- Votre hébergeur vous avertit que votre site est contaminé ou présente des failles de sécurité
La piste administrative ou la configuration de l’hébergement
Si votre site est totalement inaccessible, il ne s’agit pas forcément d’un piratage. Cela peut aussi venir d’un souci temporaire chez l’hébergeur ou d’un nom de domaine ou d’un hébergement non renouvelé.
Un message du type « Nous ne parvenons pas à trouver ce site » doit vous inciter à contacter immédiatement votre hébergeur.
Vous pouvez également vérifier la disponibilité de votre site via un outil comme Hors ligne juste pour moi ou pour tout le monde.
Un renouvellement manqué de nom de domaine peut coûter très cher (mise en quarantaine, frais de réactivation).
Si cela arrive trop souvent, il est peut-être temps de changer d’hébergeur ou de confier cette gestion à un prestataire.
Alinoa peut vous aider
Chez Alinoa, nous surveillons pour vous le renouvellement de vos noms de domaine et la disponibilité de votre site. Vous pouvez dormir sur vos deux oreilles.
Mettre le site en maintenance ou hors ligne
Une fois le diagnostic posé, pas de panique. Voici la méthode à suivre, dans le bon ordre.
L’objectif est double :
- éviter d’exposer vos visiteurs à du contenu malveillant
- limiter l’impact négatif sur la réputation de votre nom de domaine
Vous pouvez :
- activer une page de maintenance via une extension • ou désactiver temporairement le site depuis l’hébergement
- Les plus avancés peuvent se connecter en FTP et déplacer tous les fichiers du site dans un dossier (en incluant les fichiers cachés comme .htaccess).
Notre conseil pour mettre votre site en mode maintenance ?
« Une extension simple et efficace : LightStart / WP Maintenance Mode. Elle fait le job sans complexité inutile. »
Thomas Dubois – directeur technique d’Alinoa
Changer tous les mots de passe (sans exception)
Commencez par :
- les comptes administrateurs WordPress
- l’accès à l’hébergement
- la base de données
- le FTP
- la boîte mail liée au site
Même si vous pensez que seul WordPress est concerné, ne prenez aucun risque. Utilisez des mots de passe longs, uniques et générés automatiquement.
Nous vous recommandons 1Password et Bitwarden pour les plus geeks d’entre vous.
Notre conseil pour changer les mots de passe
« Soyez méthodique. Changez les accès un par un. Aller trop vite est le meilleur moyen de tout bloquer. »
Thomas Dubois – directeur technique d’Alinoa
Faire une sauvegarde… de l’état actuel (oui, même piraté)
Cela peut paraître contre-intuitif, mais conserver une copie du site piraté peut être utile :
- pour analyse
- pour récupérer certains fichiers légitimes
- pour comprendre la faille exploitée
Il s’agit d’un snapshot à conserver, pas à restaurer.
À sauvegarder en priorité :
- le dossier /wp-content/ (uploads, plugins, thèmes)
- la base de données
Restaurer une sauvegarde saine (si vous en avez une)
Si vous disposez d’une sauvegarde propre et récente, c’est souvent la solution la plus rapide.
Attention cependant :
- vérifiez que la sauvegarde n’est pas déjà infectée
- mettez immédiatement WordPress, les plugins et le thème à jour
- changez à nouveau tous les mots de passe après restauration
Pas de sauvegarde ? Ce n’est pas dramatique. Passez à l’étape suivante.
Scanner et nettoyer le site
Plusieurs outils permettent de détecter les fichiers suspects :
- Sucuri SiteCheck (gratuit, en ligne)
- Wordfence (plugin WordPress)
- Scanner de sécurité proposé par votre hébergeur
Un scan ne suffit pas toujours. Certains fichiers malveillants sont volontairement déguisés.
Notre conseil pour changer les mots de passe
« En cas de doute, faites appel à un professionnel. Un nettoyage partiel est souvent pire que pas de nettoyage du tout. »
Thomas Dubois – directeur technique d’Alinoa
Mettre à jour WordPress, thèmes et extensions
Un site piraté est très souvent un site non mis à jour.
Une fois le nettoyage terminé :
- mettez WordPress à jour
- mettez tous les plugins à jour
- mettez le thème à jour
Vérifier les utilisateurs WordPress
Dans l’administration :
- vérifiez la liste des utilisateurs
- supprimez tout compte inconnu
- surveillez particulièrement les rôles administrateurs
Même en cas de rançon ou de perte d’accès admin, rien n’est perdu. Il est souvent possible de rétablir les droits via la base de données.
Le piratage d’un site WordPress n’est jamais une fatalité.
Avec du sang-froid, une méthode claire et une maintenance régulière, la situation est presque toujours récupérable.
Pour vous concentrer sur ce qui vous rapporte vraiment, Alinoa peut veiller au quotidien sur la sécurité de votre site.
Crédit photo : Pexels