En moins de 48h, un site WordPress piraté peut devenir une machine à spam… parfois sans que le propriétaire ne s’en rende compte. Pages “casino” injectées pour le SEO, plugins fantômes, comptes email créés sur le serveur : l’attaque dépasse souvent WordPress.

Dans ce cas client, nous présentons une intervention réelle : récupération d’un site compromis, désinfection WordPress, remise en état et sécurisation.

Un site WordPress détourné en usine à spam

Lorsque nous récupérons le site, plusieurs signaux sont présents :

• création de pages spam SEO (casino, paris, contenus multilingues)
• apparition de plugins inconnus aux noms aléatoires, parfois invisibles dans l’admin
• désactivation “silencieuse” de certaines fonctions (mises à jour, contrôles)
• suspicion de comptes email pirates créés côté serveur (risque d’envoi de spam/phishing)

Le risque est immédiat : blacklist Google, réputation dégradée, perte de trafic, et hébergement pouvant être suspendu.

Ce que les pirates avaient mis en place

1) Plugins malveillants et persistance

Nous détectons plusieurs plugins malveillants typiques : noms modifiés, fonctions détournées, et parfois masquage pour qu’ils ne soient pas visibles dans l’interface. Exemples rencontrés : MythosForge, NoirShadow, wp-security-helper, file-updater-…

Leur objectif ?

• conserver une présence durable,
• empêcher les corrections (mises à jour bloquées),
• permettre une réinfection automatique.

2) Backdoors (portes dérobées) dans les fichiers

Au-delà des plugins, nous trouvons des backdoors déposées dans des emplacements discrets (dossiers techniques, uploads, chemins inattendus). Exemple typique : fichiers cachés sous .well-known/ ou scripts PHP uploadés.

Une backdoor permet d’exécuter du code à distance : même si un plugin est supprimé, l’attaquant peut revenir.

3) Injection base de données : spam SEO à grande échelle

La base WordPress est également contaminée :

• création massive de posts “casino / paris”, parfois en plusieurs langues (russe, arabe, chinois…)
• multiplication des révisions et sauvegardes automatiques pour gonfler le volume et compliquer le nettoyage

Le but : capter du trafic depuis Google, le détourner et le monétiser.

4) Compromission de wp_options et connexions externes

Nous identifions des modifications dans wp_options (là où WordPress stocke des réglages critiques), avec des “gateways” externes et une logique de commande à distance permettant de piloter l’infection.

5) Le point critique : le serveur et les emails

Dans ce dossier, l’attaque ne s’arrête pas au CMS : des indices montrent une compromission côté serveur, avec création de comptes emails pirates et traces système associées. Conséquence : le serveur peut être utilisé pour envoyer du spam ou du phishing.

un site piraté n’est forcément “juste” un problème WordPress.

Origine probable : une exploitation automatisée

Le scénario le plus crédible est une attaque automatisée via bots, exploitant :

• un plugin vulnérable (très fréquent),
• une fonction d’upload mal protégée,
• ou une faille historique sur certains modules très répandus.

Notre processus de désinfection WordPress

1) Nettoyage des fichiers

Nous procédons à :

• suppression des plugins infectés et de leurs traces,
• suppression des backdoors,
• réinstallation propre des fichiers cœur WordPress (base saine),
• contrôles sur les dossiers sensibles (uploads, .well-known, scripts isolés).

2) Nettoyage de la base de données

Nous supprimons :

• posts spam + contenus associés,
• révisions / sauvegardes automatiques inutiles générés par l’attaque,
• éléments résiduels (postmeta, transients),
• entrées suspectes dans wp_options.

3) Nettoyage serveur et comptes email

Nous supprimons les comptes emails pirates identifiés, vérifions les traces disponibles, et réinitialisons les accès :

• mots de passe (WordPress, FTP/SSH si concernés, bases, boîtes email),
• vérification des utilisateurs admin et des tâches planifiées.

4) Sécurisation après-incident

Une fois le site désinfecté, nous mettons en place une base de sécurité durable :

• durcissement de la sécurité WordPress,
• mise en place/ajustement d’un firewall et d’un plugin sécurité,
• mise à jour PHP et des composants,
• surveillance renforcée.

Actions mises en place pour qu’il n’y ait pas de récidives

Dans une désinfection WordPress, les oublis les plus courants sont :

• ne pas vérifier wp_options et les transients,
• oublier les cron jobs et tâches planifiées,
• ignorer les comptes admin “fantômes”,
• ne pas regarder côté serveur (emails, logs, permissions),
• nettoyer uniquement “en surface” (ce qui laisse une backdoor active).

C’est précisément ce qui explique de nombreuses réinfections quelques jours plus tard.

Un site internet WordPress récupéré, désinfecté et stabilisé

• le site est désinfecté (fichiers + base),
• les injections spam SEO sont supprimées,
• les points de persistance sont traités,
• l’environnement est sécurisé et remis en état,
• le site est à nouveau exploitable et maintenable.

Besoin d’une désinfection WordPress ?

Si vous observez des pages “casino”, des plugins inconnus, des redirections étranges, une baisse SEO brutale ou des emails suspects, il est probable que votre site soit compromis.

Nous proposons :

• un diagnostic rapide,
• une désinfection WordPress complète (WordPress + base + serveur),
• et une mise en place de maintenance sécurité pour éviter la récidive.