Découvrir que son site WordPress est piraté ou infecté par un malware est une situation stressante mais réversible dans la grande majorité des cas. Les signes courants incluent : redirection indésirable des visiteurs, contenu suspect ajouté (liens de spam, publicités), alerte de Google Search Console signalant du contenu malveillant, ou email de votre hébergeur signalant une activité anormale.
En 2026, WordPress reste la cible privilégiée des attaques automatisées en raison de sa popularité (plus de 40% des sites web mondiaux), souvent via des plugins ou thèmes obsolètes non mis à jour. Agir rapidement et méthodiquement permet généralement de restaurer un site infecté sans perte de données majeure.
- La première étape est toujours de faire une sauvegarde complète du site avant toute intervention, même infecté.
- Wordfence et Sucuri sont les plugins de référence pour scanner et nettoyer un site infecté.
- Changez immédiatement tous les mots de passe (WordPress, FTP, base de données, hébergeur).
- Une fois nettoyé, mettez à jour WordPress, tous les plugins et thèmes vers leurs dernières versions.
- Demandez une revue à Google Search Console si le site était marqué comme dangereux, pour retirer l’avertissement.
Etapes pour désinfecter un site WordPress piraté
| Etape | Action |
|---|---|
| 1. Isoler le site | Passer le site en mode maintenance ou hors ligne temporairement |
| 2. Sauvegarder | Effectuer une sauvegarde complète (même infectée) pour analyse |
| 3. Scanner | Utiliser Wordfence ou Sucuri pour identifier les fichiers infectés |
| 4. Nettoyer | Supprimer les fichiers malveillants et le code injecté |
| 5. Mettre à jour | WordPress, plugins et thèmes vers les dernières versions |
| 6. Sécuriser | Changer tous les mots de passe, activer l’authentification 2FA |
| 7. Vérifier | Demander une revue Google Search Console si nécessaire |
Prévenir une future infection WordPress
Pour éviter une nouvelle infection : maintenez WordPress, plugins et thèmes toujours à jour ; utilisez des mots de passe forts et uniques avec authentification à deux facteurs ; limitez le nombre de plugins installés aux seuls nécessaires ; effectuez des sauvegardes régulières automatisées ; et installez un plugin de sécurité (Wordfence, Sucuri) avec surveillance active permanente.
Pour l’assistance WordPress : assistance WordPress. Pour votre site : agence SEO Oscar Black.
Boostez votre visibilité avec Oscar Black
Oscar Black est une agence SEO, Google Ads et GEO basée en France. Nous gérons des stratégies de référencement naturel et payant pour des marques ambitieuses.
Demandez un audit gratuit ou découvrez nos services de référencement naturel et de Google Ads.
Comment savoir si mon site WordPress est piraté ?
Signes courants : redirection vers des sites suspects, contenu indésirable visible sur les pages, alerte ‘Site potentiellement piraté’ dans les résultats Google, ralentissement anormal, ou notification de votre hébergeur signalant une activité malveillante détectée.
Peut-on désinfecter un site WordPress soi-même ?
Oui, pour les infections simples avec les plugins Wordfence ou Sucuri qui automatisent une bonne partie du nettoyage. Pour les infections complexes ou récurrentes, faire appel à un professionnel spécialisé en sécurité WordPress est recommandé pour éviter de laisser des traces de code malveillant.
Combien de temps pour retirer un avertissement Google ‘site dangereux’ ?
Après avoir nettoyé le site et demandé une revue via Google Search Console, le délai de traitement varie généralement de quelques jours à deux semaines. Assurez-vous que toute trace d’infection est bien éliminée avant de demander la revue pour éviter un refus.