Retour aux guides

Publié le 28 avril 2026

Mis à jour le 17 avril 2026

Les points critiques à vérifier après un piratage WordPress

Après un piratage WordPress, nettoyer le malware ne suffit pas. Il faut comprendre comment le pirate est entré, colmater la brèche, et vérifier que tout est vraiment propre. Un nettoyage incomplet = réinfection garantie dans les semaines qui suivent.

Voici les 10 points critiques à vérifier après un piratage WordPress. Chaque point doit être contrôlé méthodiquement pour éviter une nouvelle compromission.

01

Changez TOUS les mots de passe immédiatement

Admin WordPress, FTP, base de données, hébergeur, email. Le pirate a potentiellement accès à tout. Changez tous les mots de passe avec des mots de passe forts (16+ caractères, lettres, chiffres, symboles). Utilisez un gestionnaire de mots de passe. Ne réutilisez jamais un ancien mot de passe. Un seul mot de passe oublié = porte dérobée permanente pour le pirate.

Sécurisation accès
02

Scannez tous les fichiers à la recherche de backdoors

Utilisez Wordfence ou Sucuri pour scanner TOUS les fichiers. Les pirates laissent souvent plusieurs backdoors cachés : fichiers PHP malveillants dans wp-content/uploads, code injecté dans des fichiers légitimes, fichiers .htaccess modifiés. Comparez vos fichiers core WordPress avec les originaux. Supprimez tout fichier suspect. Un backdoor non détecté = réinfection automatique.

Détection backdoors
03

Vérifiez tous les comptes utilisateurs WordPress

Allez dans Utilisateurs et vérifiez chaque compte. Les pirates créent souvent des comptes admin cachés avec des noms discrets (support, admin2, wp-user). Supprimez tout compte que vous ne reconnaissez pas. Vérifiez les emails associés : si un compte admin a un email suspect, supprimez-le. Gardez uniquement les comptes légitimes avec mots de passe changés.

Audit comptes
04

Nettoyez la base de données des injections SQL

Les pirates injectent du code malveillant dans la base de données : options WordPress, posts, commentaires. Recherchez dans phpMyAdmin : eval(, base64_decode, gzinflate, des URLs suspectes. Nettoyez avec un plugin spécialisé ou manuellement. Vérifiez wp_options, wp_posts, wp_postmeta. Une injection SQL non nettoyée réactive le malware même après nettoyage des fichiers.

Nettoyage BDD
05

Régénérez les clés de sécurité WordPress

Les clés de sécurité dans wp-config.php chiffrent les sessions et cookies. Si le pirate les a, il peut se reconnecter même après changement de mot de passe. Allez sur api.wordpress.org/secret-key/1.1/salt/ pour générer de nouvelles clés. Remplacez les anciennes dans wp-config.php. Cela déconnecte tous les utilisateurs (vous compris), mais invalide aussi les sessions du pirate.

Clés sécurité
06

Identifiez la faille qui a permis le piratage

Consultez les logs d'accès et d'erreur pour comprendre comment le pirate est entré. Plugin vulnérable ? Mot de passe faible ? Fichier uploadé malveillant ? Sans identifier la faille, vous serez repiraté. Vérifiez les dates de dernière modification des fichiers suspects. Corrigez la faille : mettez à jour le plugin vulnérable, renforcez les mots de passe, limitez les uploads.

Analyse forensique
07

Vérifiez que votre site n'est pas blacklisté

Allez sur transparencyreport.google.com/safe-browsing/search et entrez votre URL. Vérifiez aussi dans Google Search Console → Problèmes de sécurité. Si votre site est blacklisté, nettoyez complètement, puis demandez un réexamen à Google. Un site blacklisté perd 95% de son trafic. Le réexamen peut prendre plusieurs jours, d'où l'importance de nettoyer à fond.

Réputation Google
08

Renforcez la sécurité pour éviter une réinfection

Installez un plugin de sécurité (Wordfence, Sucuri), activez le 2FA, limitez les tentatives de connexion, changez l'URL de connexion, désactivez l'édition de fichiers dans WordPress, configurez un firewall. Un site piraté une fois sera ciblé à nouveau. Renforcez toutes les couches de sécurité. La prévention coûte moins cher que le nettoyage répété.

Durcissement sécurité
09

Restaurez depuis une sauvegarde propre si possible

Si vous avez une sauvegarde datant d'avant le piratage, restaurez-la plutôt que de nettoyer manuellement. C'est plus sûr et plus rapide. Vérifiez que la sauvegarde est saine (scannez-la avant restauration). Après restauration, appliquez immédiatement toutes les mises à jour et renforcez la sécurité. Une restauration propre élimine 100% du malware, le nettoyage manuel laisse toujours un doute.

Restauration propre
10

Surveillez le site pendant 30 jours après nettoyage

Scannez quotidiennement pendant un mois. Surveillez les fichiers modifiés, les nouvelles tentatives d'intrusion, les comportements anormaux. Vérifiez les logs régulièrement. Si le malware réapparaît, c'est qu'un backdoor ou une faille n'a pas été corrigé. Un piratage bien nettoyé ne revient pas. Si ça revient, le nettoyage était incomplet. Recommencez méthodiquement ou faites appel à un expert.

Surveillance post-nettoyage
Retour aux guides
Emmanuel

Auteur

Emmanuel

Voir ses articles

Besoin d'aide sur votre site WordPress ?

Réponse en moins de 24h — sans engagement

Vos données restent confidentielles

Les informations recueillies seront transmises au service commercial de TYTAE. En savoir plus sur vos données personnelles.

TYTAE

Découvrir l'agence

Nous vous écoutons

Et si on parlait de votre site WordPress ?

Vous hésitez sur le bon forfait ? Vous voulez faire corriger une erreur rapidement ? Un expert Tytae vous répond sous 24 h pour une estimation gratuite. Basés à Valence. Interventions sur toute la France.

Appelez le 04 75 69 25 95
Contactez Tytae
Secret Link