Votre site WordPress affiche des avertissements de sécurité ? Son nom de domaine ne permet plus d’y accéder ? Son contenu a été altéré ou vous n’arrivez plus à accéder à la console de WordPress ? D’une manière ou d’une autre, vous avez le sentiment que votre site a été piraté.
Dans cet article, nous vous aidons à nettoyer et réparer un site WordPress piraté afin de le remettre en état de marche. Nous vous partageons aussi quelques recommandations pour éviter que cela ne se reproduise.
Comment savoir si mon site WordPress a été piraté ?
Voici les symptômes principaux qui permettent d’identifier un site WordPress infecté par une personne ou un logiciel malveillant :
- Les navigateurs et/ou les moteurs de recherche comme Google affichent un avertissement lors de l’accès à votre site.
- Votre hébergeur vous a signalé une activité suspecte ou a mis votre site en maintenance pour des raisons de sécurité.
- Votre nom de domaine redirige vers un autre site.
- Le contenu de vos pages est altéré (en particulier les liens).
- Vous constatez la présence d’utilisateurs inconnus ou suspects dans votre console WordPress.
- Vous constatez des écritures anormales dans les journaux (logs) de votre site ou dans sa base de données.
- Vous ne pouvez plus accéder à votre site ou la console WordPress.
- Votre site est plus lent que d’habitude ou ne semble pas répondre.
- Votre plugin de sécurité affiche des avertissements inhabituels.
Comment réparer un site WordPress piraté ?
Dans tous les cas, il faut agir. Voici les actions à suivre pour tenter de récupérer la situation.
💡 Mon hébergeur peut-il réparer mon site à ma place ? Un hébergeur n’intervient en général pas sur le contenu d’un hébergement ou le développement d’un site Internet. Son rôle est de garantir la disponibilité, la performance et la sécurité de votre serveur et de vous accompagner dans l’utilisation de votre hébergement Web (par exemple pour mettre à jour la version de PHP de vos sites ou pour lancer l’analyse antivirus d’un site). La création ou la maintenance d’un site est donc un métier très différent. Si vous avez besoin d’aide pour réparer un site WordPress piraté, le plus efficace sera donc de vous faire accompagner par un professionnel. En cas de besoin, Infomaniak met gratuitement à votre disposition une plateforme d’appels d’offres qui vous met gratuitement en relation avec des professionnels reconnus.
La meilleure option : restaurez votre site avec une sauvegarde saine
Le moyen le plus rapide et sûr de remettre un site piraté sur les rails est de restaurer une sauvegarde saine.
- Chez Infomaniak, les sites Internet sont sauvegardés quotidiennement et vous pouvez les restaurer automatiquement sur les 7 derniers jours glissants. Pour en savoir plus, n’hésitez pas à consulter ce guide.
- La plupart des hébergeurs sauvegardent automatiquement les sites pendant quelques jours. Réagissez donc le plus rapidement possible afin d’augmenter vos chances de récupérer une sauvegarde saine de votre site.
💡 Vous n’avez pas une sauvegarde saine de votre site ? Nous ne pouvons que vous encourager de mettre en place une sauvegarde automatique de votre site dès que la situation sera rétablie. Avec Swiss Backup et Acronis, Infomaniak vous permet d’automatiser la sauvegarde de votre site via FTP où qu’il soit hébergé. Vous pouvez aussi utiliser Swiss Backup avec l’extension UpdraftPlus via le protocole S3.
Étape 1 : mettez votre site en maintenance
La première chose à faire est de protéger la réputation de votre site et la sécurité de vos visiteurs. Le mode maintenance empêchera les moteurs de recherche et vos visiteurs de s’apercevoir que votre site a été piraté et il évitera aussi de compromettre leur sécurité avec des logiciels malveillants ou des tentatives de fraude.
Les options les plus faciles sont :
- Activer la maintenance de votre site via le tableau de bord de votre hébergement. Avec Infomaniak, cela se fait en quelques clics.
- Utiliser un plugin de maintenance du répertoire officiel de WordPress.
- Si votre hébergement n’a pas de mode maintenance et que vous n’avez plus accès à votre console WordPress, déplacez les fichiers de votre site WordPress dans un sous-dossier via FTP. Créez ensuite un fichier index.html à la racine du site avec un texte « SITE EN MAINTENANCE ».
Étape 2 : changez vos mots de passe et vérifiez vos utilisateurs WordPress
La deuxième chose à faire est d’empêcher le pirate de pouvoir facilement accéder aux données de votre site ou d’en modifier le contenu.
Pour cela, modifiez les mots de passe suivants :
- Mot de passe pour accéder à la console WordPress (guide pour Infomaniak).
- Mot de passe FTP/SSH de l’hébergement (guide pour Infomaniak).
- Mot de passe de la base de données du site (guide pour Infomaniak).
- Mot de passe pour accéder au compte de votre hébergeur (guide pour Infomaniak).
Pensez ensuite à vérifier la liste de vos comptes depuis la console WordPress. Supprimez tous les utilisateurs suspects.
💡 Pour un maximum de sécurité : ne réutilisez pas d’anciens mots de passe ou n’utilisez pas le même mot de passe plusieurs fois. Si ce n’est pas déjà le cas, nous vous conseillons d’utiliser un logiciel comme BitWarden pour sécuriser et gérer vos mots de passe facilement.
Étape 3 : supprimez toutes les extensions et thèmes suspects et inutilisés
La prochaine étape est d’aller vérifier la liste de vos extensions WordPress :
- Supprimez les plugins que vous n’avez pas installés vous-même.
- Supprimez les plugins qui n’ont pas été mis à jour récemment.
- Supprimez les plugins qui proviennent d’une source inconnue.
💡 Bon à savoir : plus vous réduisez les plugins utilisés, plus éclaircissez la situation. Cela réduira aussi votre exposition aux risques de sécurité.
Étape 4 : scannez votre site Internet avec un antivirus
C’est le moment de vérifier l’intégrité de votre installation WordPress et des fichiers stockés sur votre hébergement !
Plusieurs options s’offrent à vous pour faire ce travail important :
- Lancez une analyse antivirus complète de votre hébergement (guide pour Infomaniak).
- Vérifiez la présence de logiciels malveillants (automatique chez Infomaniak).
- Utilisez une extension de sécurité comme JetPack Scan, Wordfence Security ou Sucuri Security.
Avant de payer un plugin tiers, pensez aux outils gratuits de votre hébergeur. Chez Infomaniak, les hébergements intègrent par exemple un antivirus et une protection anti-malware qui corrige automatiquement les vulnérabilités connues des CMS populaires comme WordPress, Joomla ou Drupal.
Étape 5 : mettez à jour WordPress, vos plugins et vos thèmes
C’est la base et vous devriez le faire régulièrement : mettez votre installation de WordPress à jour ainsi que vos extensions et votre thème. Pour dormir tranquille, prenez quelques secondes pour activer la mise à jour automatique de votre site.
💡 Pourquoi est-ce important ? Dès qu’une faille de sécurité est détectée, une mise à jour est proposée dans la foulée pour corriger la vulnérabilité sur les installations des utilisateurs. Si vous ne mettez pas à jour votre site, c’est un peu comme si vous affichiez votre vulnérabilité au grand jour.
Étape 6 : supprimez les fichiers et les contenus parasites
Après le scan automatique de votre site, il est nécessaire de passer aux vérifications manuelles :
- Vérifiez et corrigez le contenu des pages et des articles de votre site, en particulier les liens.
- Connectez-vous via FTP à votre hébergement et vérifiez l’arborescence de votre installation WordPress. Si des fichiers inattendus vous sautent aux yeux par rapport aux fichiers originaux, supprimez-les ou passez à l’étape 8.
- Vérifiez le fichier de configuration WordPress (wp-config.php) en le comparant avec la version originale de WordPress.
💡 Besoin d’aide ? Si vous n’avez pas les compétences techniques pour procéder à ces vérifications, vous avez la possibilité de lancer un appel d’offres via cette plateforme pour être accompagné par un expert. Vous recevrez des devis dans les 48h et c’est gratuit et sans engagement pour vous.
Étape 7 : régénérez votre Sitemap
Le sitemap contient le plan de votre site et est utilisé par les moteurs de recherche pour comprendre ce qu’il contient.
Si votre site Web déclenche les alertes des moteurs de recherche et des navigateurs, c’est peut-être parce que le fichier sitemap.xml de votre site a été piraté.
Vous pouvez utiliser un plugin pour générer un nouveau fichier sitemap et le soumettre à nouveau aux moteurs de recherche. Certaines extensions font les deux pour vous, comme XML Sitemaps ou Yoast SEO par exemple. Vous pouvez aussi le faire manuellement depuis la Search console pour Google.
Étape 8 : réinstallez WordPress (si nécessaire)
Si tout ce que vous avez fait a échoué ou que vous ne parvenez toujours pas à accéder à la console WordPress, la réinstallation de WordPress pourrait débloquer votre situation.
Plusieurs options s’offrent à vous pour réinstaller le noyau de WordPress sans affecter le contenu de votre site.
Vous avez encore accès à la console WordPress (méthode automatique)
- Allez sur Tableau de bord => Mises à jour
- Cliquez sur le bouton Réinstaller la version X.XX.
Vous ne pouvez plus accéder à la console WordPress (méthode manuelle)
- Récupérez la dernière version officielle de WordPress.
- Décompressez le fichier ZIP sur votre ordinateur.
- Supprimez le dossier /wp-content/.
- Connectez-vous à votre hébergement via FTP (guide pour Infomaniak).
- Téléchargez les fichiers WordPress (sans /wp-content/) dans le dossier où vous l’avez initialement installé.
- Votre logiciel FTP devrait détecter des éléments similaires : choisissez l’option Écraser et continuez.
💡 Besoin d’aide ? Si vous n’avez pas les compétences techniques pour suivre ces étapes, vous avez la possibilité de lancer un appel d’offres via cette plateforme pour être accompagné par un expert. Vous recevrez des devis dans les 48h et c’est gratuit et sans engagement pour vous.
Étape 9 : réinstallez les thèmes et les extensions (si nécessaire)
Si vous faites face à un piratage majeur ou que vous soupçonnez qu’une extension ou votre thème soit à l’origine du problème, il est recommandé de réinstaller la dernière version du thème ou de l’extension concernée. Vous aurez ainsi la certitude de repartir sur de bonnes bases.
Voici les actions à suivre :
- Connectez-vous à votre hébergement via FTP (guide pour Infomaniak).
- Allez dans le dossier des thèmes ou des plugins de WordPress (/wp-content/themes ou /wp-content/plugins)
- Trouvez le dossier du thème ou de l’extension à réinstaller puis renommez ce dossier avec _old à la fin (par ex. : Yoast SEO_old).
- Récupérez la dernière version de votre thème ou de l’extension depuis une source fiable.
- Décompressez le fichier ZIP sur votre ordinateur.
- Téléchargez le dossier de l’extension ou du thème dans le dossier où vous l’avez initialement installé.
- Vérifiez que tout fonctionne correctement avec la version réinstallée et supprimez l’ancien dossier _old.
💡 Besoin d’aide ? Si vous n’avez pas les compétences techniques pour suivre ces étapes, vous avez la possibilité de lancer un appel d’offres via cette plateforme pour être accompagné par un expert. Vous recevrez des devis dans les 48h et c’est gratuit et sans engagement pour vous.
Étape 10 : désactivez le mode maintenance
Votre site est à nouveau sur les rails ? Félicitations 👏
Il est à présent temps de désactiver le mode maintenance pour le rouvrir au public 😎🚀
Pensez à vider le cache de votre site et de votre navigateur avant de charger votre site pour avoir la dernière version.
Pourquoi un site WordPress se fait-il pirater ?
Des robots (aussi appelé bots) scannent en permanence le Web à la recherche de sites Internet qui contiennent des vulnérabilités qui sont faciles à exploiter de manière automatique. Dans l’immense majorité des cas, les attaques ne ciblent pas spécifiquement votre site et il suffit de respecter les bonnes pratiques pour éviter les problèmes 😇
8 bonnes pratiques pour se prémunir du piratage de votre site WordPress
Voici les bonnes pratiques à suivre pour sécuriser vos sites WordPress le plus possible contre les tentatives de piratage.
1. Choisissez un hébergement WordPress sécurisé
Certains hébergeurs comme Infomaniak mettent en place des mesures avancées qui augmentent la sécurité des sites :
- protection contre les attaques DDoS
- protection contre les virus
- protection contre les logiciels malveillants avec correction automatique
- support des dernières versions de PHP et de MySQL/MariaDB
- sauvegarde quotidienne (7 derniers jours) dans un autre centre de données
- restauration automatique et complète en 1 clic
- support local 7/7 de qualité par e-mail, chat et téléphone
- thèmes et extensions Elegant Themes avec Divi inclus
- certificats SSL gratuits et professionnels (Sectigo)
2. Limitez et utilisez uniquement des plugins populaires
Chaque extension WordPress augmente vos chances d’introduire des vulnérabilités sur votre site. Limitez-les au strict nécessaire.
Privilégiez systématiquement des ressources populaires, car les thèmes et les extensions WordPress qui ne sont pas régulièrement mis à jour génèrent des vulnérabilités importantes avec le temps.
3. Activez la mise à jour automatique de WordPress et de vos plugins
Ne pas mettre à jour WordPress, les extensions, les thèmes et sa version de PHP revient littéralement à partir de chez soi en laissant la porte ouverte et en l’indiquant par un panneau 😅
Cela ne prend que quelques secondes pour configurer la mise à jour automatique de WordPress, et cela peut vous éviter de gros problèmes.
4. Sauvegardez automatiquement votre site Internet
En cas de problème de sécurité, vous devez pouvoir rétablir votre site facilement à l’aide d’une version saine. Un système de sauvegarde automatique minimisera le temps nécessaire au retour à la normale.
Vous pouvez compter sur les sauvegardes automatiques gratuites de votre hébergement et en complément, vous pouvez mettre en place une routine via FTP pour sauvegarder votre site dans un espace cloud sécurisé comme Swiss Backup :
- Sauvegarder un site WordPress avec le plugin UpdraftPlus et Swiss Backup via le protocole S3
- Sauvegarder un site WordPress avec Acronis via FTP
5. Renforcez la sécurité de vos utilisateurs WordPress
De nombreuses installations WordPress ont encore l’utilisateur « admin » comme login. Celui-ci est donc susceptible d’être plus facilement exploité par un robot ou un pirate pour forcer l’accès à votre site :
- Modifiez le pseudonyme de vos utilisateurs WordPress par des noms uniques depuis le menu Comptes de votre console WordPress
- Optez pour des mots de passe uniques, longs et complexes et utilisez un logiciel sécurisé comme BitWarden pour gérer vos mots de passe
6. Protégez l’accès de votre console WordPress contre les robots
Par défaut, l’URL d’accès à la page de login d’un site WordPress suit toujours la même construction : votredomaine.com/wp-admin. Comme il est très facile de savoir si un site utilise WordPress (cela se voit immédiatement dans le code source d’un site), cette URL d’accès est forcément accessible aux pirates et aux robots. Il ne reste ensuite qu’à attaquer cette page par force brute.
- Il est facile et rapide de sécuriser la page de login WordPress avec une extension comme WPS Hide Login.
- Il est conseillé de limiter les tentatives de connexion à votre console WordPress (par ex. avec Limit Login Attempts Reloaded). Les robots et les pirates ne pourront ainsi pas essayer des milliers de mots de passe à la suite.
💡 Important :
- Si vous mettez en place une limite de connexion et que vous modifiez l’URL d’accès de votre console WordPress, notez précieusement ces informations afin d’éviter que ces protections ne se retournent contre vous : notez précieusement la nouvelle URL d’accès et évitez de rentrer plusieurs fois un mauvais mot de passe ou nom d’utilisateur.
- Les plugins de sécurité « tout en un » comme Wordfence intègrent nativement plusieurs mesures de sécurité. Évitez d’installer des extensions différentes qui ont la même fonction et dans le doute, consultez un professionnel.
7. Utilisez des technologies à jour (PHP, MySQL/MariaDB)
WordPress fonctionne avec PHP/MySQL et ces technologies évoluent régulièrement. Lorsque vous utilisez une version de PHP qui n’est plus tenue à jour, vous exposez votre site Web à des risques de sécurité. Des personnes malveillantes pourraient par exemple exploiter des failles de sécurité connues pour s’introduire sur votre site et en modifier le contenu. Il est donc important d’utiliser une version maintenue de PHP. De plus, les dernières versions de PHP sont plus performantes et accélèrent le chargement des sites Web.
- Vérifier les versions obsolètes et maintenues de PHP
- Modifier la version PHP d’un site chez Infomaniak
8. Bloquez les commentaires et les messages indésirables (spams)
Les robots et les personnes malveillantes exploitent souvent l’espace des commentaires sous vos articles pour y placer du contenu et des liens publicitaires. Pour stopper ce fléau qui affecte la réputation et le référencement de votre site, il existe en heureusement plusieurs options faciles à mettre en œuvre.
Voici 3 options populaires pour bloquer les spams d’un site WordPress :
- Installer et configurer le plugin Akismet (gratuit pour un usage non commercial)
- Installer et configurer le plugin hcaptcha (une alternative open source à la solution reCAPTCHA de Google)
- Installer et configurer le plugin Google Captcha
***
Nous espérons que ce guide vous a permis de réparer votre site WordPress ou d’améliorer sa sécurité. Dans le cas inverse, nous vous recommandons de vous faire accompagner par une agence Web ou un professionnel reconnu, surtout si vous n’avez pas réalisé votre site WordPress vous-même.