Site web piraté : que faire et comment sécuriser WordPress ?

Agir vite : les premiers réflexes

Dès que vous soupçonnez un piratage, placez votre site en maintenance pour éviter d’exposer vos visiteurs à un contenu malveillant. Changez immédiatement les mots de passe de l’administrateur WordPress, de la base de données, de l’hébergement et de FTP/SFTP. Activez l’authentification à deux facteurs sur le compte admin et vérifiez que personne d’autre n’a été créé à votre insu. Établissez une copie de travail hors ligne sur un environnement de staging pour diagnostiquer sans risque. Si possible, demandez conseil à un expert tel qu’Amine Aziz pour accélérer la reprise et limiter les dégâts.

Diagnostiquer l’ampleur de l’attaque

Connectez-vous en SFTP ou via le gestionnaire de fichiers de l’hébergeur pour repérer les fichiers modifiés récemment, en particulier wp-config.php et .htaccess. Parcourez les répertoires /wp-content/uploads, /wp-includes et /wp-content/themes pour détecter les backdoors et scripts obfusqués. Vérifiez les tables wp_users et wp_options afin de repérer des comptes administrateurs fantômes ou des options modifiées. Analysez les journaux d’accès et d’erreurs du serveur pour comprendre le vecteur d’entrée (plugin obsolète, thème, mot de passe faible). Activez un plugin d’audit pour tracer les modifications ultérieures. Cette étape vous aide à établir un plan de nettoyage méthodique.

Nettoyer et restaurer en sécurité

Supprimez les fichiers étrangers, remplacez les thèmes et plugins par des versions officielles, et réinstallez le cœur de WordPress via l’onglet Mise à jour. Mettez à jour tous les extensions et le thème, ou remplacez-les par des alternatives fiables si leur ??? a été compromis. Nettoyez la base de données en supprimant les entrées suspectes et en restaurant les options critiques. Reconfigurez les permaliens et régénérez le fichier .htaccess. Une fois le nettoyage terminé, effectuez des tests fonctionnels et de sécurité sur le staging avant de remettre le site en ligne.

Durcir la configuration WordPress

Modifiez le préfixe des tables (wp_) lors d’une prochaine installation, et déplacez wp-config.php hors de la racine publique. Désactivez l’éditeur de code dans l’administration et limitez les tentatives de connexion avec un plugin dédié. Forcer HTTPS et configurer des en-têtes de sécurité (CSP, HSTS, X-Frame-Options) réduit les risques côté navigateur. Installez un pare-feu applicatif (WAF) et surveillez les logs en temps réel pour bloquer les attaques courantes. Activez la sauvegarde automatique et les snapshots avant chaque mise à jour majeure. Ces mesures constituent une première ligne de défense efficace.

Prévention et maintenance continue

Adoptez une politique de mises à jour régulière, incluant le cœur, les extensions et le thème, et testez-les en staging. Évitez les thèmes et plugins nulled, préférez les dépôts officiels et lisez les avis avant installation. Renforcez l’hébergement avec un pare-feu réseau, un CDN sécurisé et des certificats SSL à jour. Planifiez des audits périodiques, des scans de malware et des tests de mots de passe. En cas de doute, faites appel à un spécialiste pour auditer vos configurations et corriger les failles. La prévention et la routine de maintenance limitent fortement les réinfections.

Surveillance, sauvegarde et plan de réponse

Activez des alertes de sécurité (connexion anormale, modifications de fichiers, erreurs serveur) pour intervenir rapidement. Programmez des sauvegardes incrémentales et complètes, chiffrées et stockées hors serveur, avec des restaurations testées chaque trimestre. Documentez un plan de réponse : rôles, contacts, procédures de bascule, et checklist de nettoyage. Mesurez les indicateurs clés (temps de détection, durée de remédiation) pour améliorer votre posture. La préparation en amont permet de contenir l’incident et de reprendre un service normal plus vite. Un site surveillé et entretenu reste résilient face aux menaces.