WordPress piraté : les signes qui doivent vous alerter

Lorsqu’un site WordPress est piraté, les symptômes ne sont pas toujours évidents à repérer. Certains signaux sont très visibles, d’autres passent totalement inaperçus sans un minimum de vigilance. Pourtant, plus un piratage est identifié tôt, plus il est possible de limiter les dégâts : perte de données, chute de référencement, redirections malveillantes, spam massif ou autres désagréments…

Voici les signes les plus fiables et les plus courants qui doivent vous alerter.

Des changements visibles apparaissent sur votre site

C’est souvent la première manifestation d’un piratage WordPress : votre site n’a plus tout à fait la même apparence.

Par exemple :

  • la page d’accueil a été modifiée sans votre intervention
  • un message inhabituel s’affiche au-dessus ou en dessous du contenu
  • des popups étranges apparaissent
  • des liens sponsorisés ou publicités douteuses s’incrustent dans le texte
  • certaines pages se chargent avec un contenu qui n’a jamais été publié.

Ces modifications sont généralement automatisées. Elles indiquent que quelqu’un ou quelque chose (automate, script, robot…) a réussi à ajouter ou altérer des fichiers.

Non ce n’est pas rassurant. Mais il faut mieux savoir pour pouvoir agir que ne pas savoir, rien faire et perdre des chances de pouvoir par exemple au minimum, restaurer une version propre et saine de toute l’installation WordPress.

Votre site redirige vers d’autres pages

L’un des symptômes les plus répandus est la redirection automatique du site vers une page externe.

Quelques cas typiques :

  • redirection vers un site de casinos, pharmaceutique ou pour adultes
  • redirection uniquement sur mobile (très courant dans les malwares WordPress)
  • redirection aléatoire, seulement une fois sur cinq
  • redirection en fonction de l’adresse IP du visiteur.

Si vous observez cela, il faut réagir vite : votre site sert probablement à générer du trafic vers une plateforme malveillante.

Si c’est un(e) internaute qui vous informe du problème, tentez de reproduire le problème, c’est à dire qu’il faut tester les connexions à votre site pour vérifier si oui, tout le temps ou de temps en temps, au lieu d’avoir votre site, vous avez des pages de sites différents du votre qui s’ouvrent.. Si oui, ne cherchez pas + loin : il y a bien eu intrusion….

Google affiche un avertissement de sécurité

Si Google détecte du code malveillant, il peut afficher un message alarmant dans les résultats :

  • “Ce site peut avoir été piraté”
  • “Ce site comporte des logiciels malveillants”
  • “Site potentiellement dangereux”

Dans Search Console, vous pouvez également recevoir des alertes précises de sécurité. Ces avertissements sont à prendre très au sérieux car ils impactent directement votre visibilité et votre réputation.

Heureusement, il s’agit souvent de faux positifs, c’est à dire que ces messages peuvent s’afficher ponctuellement, pour une courte durée et ne pas être véridiques… Bref, il vaut mieux vérifier tout de même !

Vous ne pouvez plus vous connecter à votre tableau de bord

Un pirate peut tenter de bloquer votre accès à l’administration WordPress pour garder le contrôle.

Quelques signes d’alerte :

  • votre mot de passe n’est plus reconnu alors que vous êtes certain de ne pas l’avoir changé
  • votre adresse e-mail n’est plus reconnue
  • votre compte administrateur a disparu
  • de nouveaux comptes administrateurs sont apparus dans la liste des utilisateurs

Si vous êtes soudainement éjecté de l’administration, c’est un indicateur fort qu’une intrusion a eu lieu.

Tentez de récupérer votre compte par exemple en passant par la base de données et en recryptant votre mot de passe en MD5.

D’autres bugs WordPress peuvent bloquer votre accès d’administrateur. Mais les piratages en sont souvent les coupables…

Des fichiers suspects apparaissent dans votre FTP

Même si vous n’êtes pas expert technique, certains dossiers et fichiers doivent vous mettre en garde.

Ce qui doit attirer votre attention :

  • des fichiers PHP au nom étrange : cache.php, shell.php, adminer.php, wp-login-new.php, etc.
  • des archives .zip ou .gz que vous n’avez jamais mises en ligne
  • des fichiers créés à la même seconde dans différents dossiers
  • du code minifié incompréhensible dans /wp-includes/ ou /wp-admin/

Ce type d’activité est typique d’un script malveillant chargé d’infecter plusieurs fichiers à la suite.

Ci-dessous en capture d’écran un exemple de fichiers déposés par une intrusion WordPress :

fichier veroles piratage wordpress
fichier véroles par un piratage wordpress

Votre site devient anormalement lent

Un site compromis peut être utilisé pour envoyer du spam, miner des cryptomonnaies ou héberger des pages cachées.

Cela se traduit souvent par :

  • un ralentissement soudain
  • des erreurs 500 ou 503
  • une explosion de la consommation CPU côté hébergeur
  • des pics de trafic dans les logs (souvent dus à des bots).

Si vous remarquez un changement brutal de performance, il est logique de suspecter une compromission. Si vous recevez un email de la part de votre hébergeur web indiqué qu’il y a une grosse consommation de ressource (inhabituelle par ailleurs), alors observez ce qui est en train de se passer sur votre site WP.

Votre site envoie du spam sans que vous le sachiez

C’est l’un des usages les plus classiques d’un site piraté. Malheureusement.

Symptômes :

  • vous recevez des alertes de votre hébergeur concernant un envoi massif d’e-mails
  • vos visiteurs se plaignent de recevoir des courriers suspects
  • votre domaine se retrouve blacklisté
  • vos formulaires sont détournés.

Un pirate peut installer un script SMTP clandestin pour utiliser votre site comme relais.

Même si ce n’est pas le piratage le plus fréquent, ça reste historiquement un classique. En faute ? Des plugins de formulaire et/ou de newsletter non mis à jour…

Le cœur WordPress montre des modifications anormales

Certaines modifications sont particulièrement graves.
Si vous remarquez que des fichiers essentiels comme wp-settings.php, index.php, wp-config.php ou des fichiers du dossier /wp-includes/ ont été modifiés récemment, c’est un signe d’injection directe dans le moteur WordPress.

WordPress ne modifie jamais ces fichiers tout seul :tout changement doit être considéré comme suspect.

Notez que si vous avez un doute parce que vous n’êtes pas habitué(e)s à aller voir ces fichiers, ce qui est tout à fait normal pour un usage simple de WordPress, des bons plugins de sécurité comme WordFence sauront vous informer de ce type de modifications détectées.

D’où l’intérêt d’avoir un bon plugin de sécurité : ça ne fait pas toujours tout, mais ça aide énormément !

Vos plugins ou votre thème ont été altérés

Les pirates exploitent souvent des failles dans les thèmes ou plugins obsolètes. Oui les plugins non à jour sont des fenêtres ouvertes pour des entrées discrètes

Les signes d’alerte :

  • du code inconnu ajouté dans les fichiers de thème
  • des scripts injectés dans le footer ou header
  • des fichiers supplémentaires dans le dossier de votre thème enfant
  • des fonctions obfusquées (base64, eval, gzinflate…) dans les plugins.

Un audit du dossier /wp-content est souvent révélateur. En gros, quand j’y vais, je suis fixée sur un potentiel piratage en 2 minutes…

Votre hébergeur signale une activité anormale

Les hébergeurs détectent parfois des comportements suspects avant vous.
Par exemple :

  • des connexions FTP venant d’un pays inhabituel
  • des scripts qui tournent en tâche de fond
  • un volume inhabituel de requêtes HTTP
  • des erreurs répétées liées à des fichiers corrompus

Ces alertes sont précieuses, il ne faut pas les ignorer. Et si vous en recevez souvent, tentez de résoudre les raisons de ces alertes car sinon, le jour où il y aura une vraie alerte, vous risquez de ne pas y prêter attention :'(

Voici un exemple d’objet d’email envoyé en cas de sur-activité inhabituelle sur un hébergement :

Apparition d’articles et pages non publiés par vous

Symptôme rare de piratage mais pourtant bien réel : des articles et pages apparaissent dans vos listes d’articles et pages. En français ou en anglais ou toute autre langue…

C’est quasiment assuré qu’il s’agit là d’un signe de piratage WordPress.

Je l’ai vu à plusieurs reprises ces 3 dernières années…

Exemple de piratage via ajout d’un faux plugin WP

Certains pirates installent un faux plugin avec un nom rassurant (par exemple une copie de ‘Hello Dolly’), qui lit un fichier texte, le déchiffre puis l’exécute avec eval(). C’est typiquement le genre de backdoor qu’on ne voit jamais côté front, mais qui donne un accès complet au serveur.

L’exemple concret est le cas d’un plugin nommé Hello Dolly 2. Les connaisseurs de WP savent qu’il n’existe qu’une version et une seule version historique de Hello Dolly.

Si vous voyez Hello Dolly 2, votre site est certainement infecté :'(

Ce piratage est un des plus lourdingues vus ces 2 dernières années. Le pirate obtient le mot de passe de connexion au serveur. Ainsi il accède aux infos de connexion à la base de données. Il peut donc faire tout ce qu’il veut (lui ou un robot). Et si on ne commence pas par changer le mot de passe pour se connecter via FTP ou SFTP, il redéclenchera l’infection après nettoyage. Bref, c’est un bon gros piratage bien lourd comme on les déteste !

En bref

Un piratage WordPress ne ressemble pas toujours à une prise de contrôle totale du site. Parfois, les signaux sont très subtils : un fichier ajouté, un compte utilisateur suspect, une redirection qui ne se produit qu’en navigation privée ou uniquement sur mobile.

L’essentiel est de repérer ces signaux le plus tôt possible pour éviter une dégradation plus sévère du site, une perte de positionnement dans Google ou une infection qui se propage ailleurs.

Si vous reconnaissez plusieurs de ces signes, il est probable que votre site soit compromis. Un diagnostic rapide permet souvent de limiter les dégâts avant qu’ils ne s’aggravent.

FAQ : Questions fréquentes sur les signes d’un piratage WordPress

Comment être sûr qu’un site WordPress est piraté ?

La présence de plusieurs signes en même temps est souvent décisive : redirections, fichiers inconnus, compte admin modifié, alertes Google, etc. Vous pouvez aussi analyser vos fichiers FTP et consulter les journaux de votre hébergeur pour identifier des scripts suspects ou des connexions inhabituelles.

Tableau récapitulatif : les signes les plus fiables d’un piratage WordPress

Catégorie de signeManifestation observableRisque réelGravité
Apparence du sitePage d’accueil modifiée, éléments ajoutés, popups étrangesDéfiguration, perte de confiance, infiltration de scriptsImportant
Redirections suspectesRedirection vers casinos/pharma/adultes, mobile-only, aléatoireInfection profonde, SEO détruit, blocage GoogleCritique
Alerte Google“Site peut être piraté”, “Site dangereux”, alertes Search ConsoleBlacklist, perte massive de visibilitéCritique
Accès admin modifiéMot de passe refusé, compte admin supprimé, nouveau compte adminContrôle total du site par un tiersCritique
Fichiers FTP suspectsFichiers inconnus (shell.php, cache.php, adminer.php), archives .zip/.gzInjection massive, scripts persistantsCritique
Performances anormalesLenteur soudaine, erreurs 500, CPU explosé, pics de trafic botSite utilisé comme relais de spam ou cryptominingImportant
Envoi d’emails non sollicitésSpam massif, domaine blacklisté, alertes hébergeurPénalité e-mail, réputation détruiteImportant
Modifications du cœur WPwp-settings.php modifié, wp-config.php altéré, fichiers créés en rafaleCompromission totale, contrôle systèmeCritique
Plugins ou thèmes altérésCode inconnu, scripts injectés, base64/eval/gzinflateBackdoors persistantes, réinfection automatiqueCritique
Activité anormale chez l’hébergeurConnexions FTP suspectes, scripts en tâche de fondFuite de données, utilisation frauduleuse du serveurImportant

Demander de l’aide en cas de piratage WordPress

Si vous reconnaissez plusieurs de ces symptômes, il est probable que votre site WordPress soit compromis. Un diagnostic rapide permet d’éviter que l’infection ne se propage, qu’elle détruise des données importantes ou qu’elle réduise votre visibilité dans Google.

Je propose un accompagnement rapide et bienveillant pour identifier l’origine du problème et rétablir un environnement sain. Vous pouvez en savoir plus sur mon service de dépannage WordPress via la page dédiée.

Partager ce contenu :
Griselidis Gaillet
Griselidis Gaillet

Bonjour ! Je suis Griselidis. Webmaster WordPress & Consultante SEO. Fondatrice de Yes We Blog créé en mai 2014, je partage ici des tutoriels et articles pour vous aider à créer votre site web et le faire connaître. Je crée, entretiens et dépanne des sites internet.

Newsletter

Saisissez votre adresse e-mail ci-dessous et abonnez-vous à la newsletter

Sur le même Thème

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *