Un site WordPress piraté ne se résume pas à une simple alerte technique. Dans de nombreux cas, l’attaque laisse derrière elle des liens parasites, des redirections vers de faux sites marchands, des pages spam indexées dans Google et parfois même des scripts invisibles pour l’administrateur. Résultat : perte de trafic, chute de confiance, baisse de conversions et risque de dégradation durable de la réputation du domaine.
Quand un site WordPress piraté continue d’afficher des URL douteuses après la correction d’une faille, cela signifie souvent que l’infection ne se limite pas au point d’entrée initial. Le code malveillant peut encore vivre dans les fichiers racine, dans un plugin caché, dans le dossier uploads, dans la base de données ou dans une règle de redirection conservée par erreur. Pour repartir sur des bases saines, il faut traiter la cause, éliminer les traces et verrouiller l’environnement.
Plan d’action prioritaire
Priorité | Action | Objectif |
Immédiate | Changer tous les mots de passe et activer la maintenance | Bloquer une réinfection en cours |
Très haute | Contrôler index.php, .htaccess, wp-config.php et uploads | Supprimer les redirections et backdoors |
Haute | Nettoyer wp_posts, wp_options et les widgets | Éliminer les liens spam et les injections |
Haute | Réinstaller les composants depuis des sources fiables | Retrouver une base saine |
Importante | Vérifier Search Console, sitemap et codes HTTP | Récupérer l’indexation et le SEO |
Comment reconnaître une infection orientée SEO ?
Certaines attaques ne cherchent pas à bloquer votre site, mais à exploiter sa visibilité. C’est le cas du SEO spam. Le pirate injecte des liens, des pages ou des contenus conçus pour détourner votre autorité vers un faux e-commerce, un réseau d’affiliation frauduleux ou des pages de faible qualité. L’administrateur croit parfois le problème réglé après une mise à jour de thème ou de plugin, alors que les éléments injectés continuent d’exister ailleurs.
Les signaux les plus courants sont l’apparition d’URL inconnues dans Google, des redirections vers un domaine tiers, des titres ou descriptions anormaux dans les résultats de recherche, une hausse de pages indexées sans logique métier, des comptes administrateurs inattendus, ou encore des fichiers récemment modifiés dans des répertoires sensibles. Plus l’attaque a duré, plus il faut supposer que plusieurs couches du site ont été touchées.
Pourquoi les liens frauduleux restent visibles après un correctif ?
Corriger la vulnérabilité d’origine ne suffit pas toujours. Un thème ou un plugin peut avoir servi de porte d’entrée, mais les fichiers déposés ensuite peuvent fonctionner de façon autonome. Un index.php altéré, un .htaccess manipulé, un mu-plugin discret ou un script PHP placé dans uploads peuvent continuer à produire des redirections même après la mise à jour de l’extension vulnérable.
La base de données est un autre angle critique. Les pirates injectent parfois des fragments HTML, JavaScript ou des URL toxiques dans wp_posts, wp_options, les widgets, certains constructeurs de pages ou des tables personnalisées. Cela explique pourquoi un site peut sembler propre côté fichiers tout en continuant à générer des liens spam pour les visiteurs non connectés ou pour les robots des moteurs.
Le plan d’action pour nettoyer un site WordPress piraté
Avant toute manipulation lourde, il faut faire une sauvegarde complète du site compromis afin de conserver une base d’analyse. Ensuite, mettez le site en maintenance, changez immédiatement les mots de passe liés à l’administration, à l’hébergement, au FTP ou SFTP, à la base de données et aux comptes e-mail associés. Cette étape évite qu’un accès toujours ouvert ne réinfecte le site pendant le nettoyage.
Commencez par vérifier les fichiers les plus exposés. À la racine, inspectez en priorité index.php, .htaccess, wp-config.php et les éventuels fichiers PHP récemment créés. Un index.php WordPress normal reste très court. S’il contient des chaînes obfusquées, du code encodé, des inclusions externes ou des redirections, il faut le remplacer par une version saine. Dans .htaccess, recherchez des RewriteRule suspectes, des redirections vers des domaines tiers ou des règles ajoutées sans justification métier.
Le dossier wp-content mérite une attention particulière. Contrôlez les plugins installés, les thèmes actifs et inactifs, les mu-plugins qui se chargent automatiquement, ainsi que uploads. Ce dernier répertoire ne devrait pas héberger de scripts PHP exécutables dans un fonctionnement standard. Or il est fréquent qu’un backdoor s’y cache parce qu’il passe plus facilement sous les radars. Supprimez tout fichier inconnu, puis réinstallez depuis des sources fiables les thèmes et extensions réellement utiles.
Côté base de données, recherchez le domaine frauduleux, les slugs suspects, les morceaux de code injectés et les widgets contaminés. Les tables wp_posts et wp_options sont prioritaires, mais il faut aussi examiner les tables des builders, des formulaires et des plugins marketing si le site en utilise. Le nettoyage doit être précis : on supprime les entrées malveillantes, on répare les contenus touchés, puis on vérifie qu’aucune règle de redirection n’est recréée après connexion ou après vidage du cache.
Une fois le code supprimé, il faut s’attaquer à la couche SEO. Les anciennes URLs spam peuvent rester visibles un temps dans les résultats de recherche. Si les pages n’ont aucune équivalence légitime, elles doivent renvoyer un vrai code 404 ou 410. En revanche, lorsqu’une ancienne URL piratée correspond à une page déplacée vers une ressource réelle et utile, une redirection 301 propre peut être envisagée. L’erreur classique consiste à laisser des pages d’erreur qui renvoient un code 200, ce qui entretient la confusion pour les moteurs.
Checklist de remise en sécurité après nettoyage
Quand le site redevient propre, la remise en sécurité doit être immédiate. Mettez à jour WordPress, les thèmes, les plugins et la version PHP. Supprimez définitivement les extensions abandonnées, les thèmes inutilisés et les comptes à privilèges excessifs. Activez une authentification forte, limitez les accès administrateurs, désactivez l’édition directe des fichiers dans WordPress si elle n’est pas nécessaire et documentez le périmètre exact des plugins autorisés.
Installez ensuite un dispositif de surveillance : journalisation des connexions, suivi des modifications de fichiers, alertes sur les nouveaux administrateurs, sauvegardes automatiques testées et scans réguliers. Un site WordPress piraté doit être considéré comme un environnement à risque tant que vous n’avez pas vérifié l’ensemble du cycle de publication, de connexion et de déploiement. L’objectif n’est pas seulement de remettre le site en ligne, mais d’empêcher une rechute silencieuse.
Comment protéger durablement le référencement après une attaque ?
Une infection de type SEO spam affecte autant la technique que la visibilité. Après nettoyage, contrôlez l’indexation dans Google Search Console, vérifiez la liste des pages connues, soumettez un sitemap XML sain et inspectez les URLs stratégiques. Surveillez également les pages exclues, les soft 404, les erreurs d’exploration et les éventuelles baisses de performances sur les requêtes les plus importantes.
Il est aussi recommandé de revoir les modèles de page, les liens internes et les balises canoniques, car une attaque peut casser la logique éditoriale du site. Si des pages légitimes ont disparu ou été remplacées, il faut restaurer leur contenu rapidement pour limiter la perte de positions. Plus le site retrouve vite une structure cohérente, plus la récupération SEO a de chances d’être rapide.
Quand faire appel à un spécialiste ?
Certains nettoyages sont simples, d’autres beaucoup moins. Si l’infection se recharge après suppression, si plusieurs comptes ont été compromis, si le site e-commerce traite des données sensibles, ou si vous observez une explosion d’URLs indexées, il vaut mieux confier l’intervention à un professionnel. Un bon nettoyage ne consiste pas seulement à effacer du code visible, mais à comprendre le mode d’intrusion, vérifier les persistances et remettre en place une architecture fiable.
Le bon réflexe consiste à traiter simultanément la sécurité, la performance et le référencement. Sans cette approche globale, un site peut sembler rétabli alors qu’il garde des faiblesses structurelles ou des séquelles SEO qui coûtent cher sur le moyen terme.
FAQ sur le nettoyage d’un site WordPress piraté
Un site WordPress piraté peut-il redevenir fiable sans être refait de zéro ? Oui, à condition que le nettoyage soit complet, que les accès soient renouvelés et que tous les composants compromis soient remplacés ou réinstallés proprement.
Faut-il supprimer toutes les URLs spam de Google manuellement ?
Pas forcément. Quand ces pages n’existent plus et renvoient un code 404 ou 410 correct, elles finissent généralement par sortir de l’index. En revanche, il reste utile de surveiller Search Console et d’accélérer la vérification des URLs critiques.
Pourquoi les visiteurs voient parfois les redirections alors que l’admin ne voit rien ?
Parce que certaines injections se déclenchent uniquement pour les utilisateurs non connectés, certains user agents ou certaines provenances, ce qui rend l’infection plus difficile à détecter.
Peut-on faire confiance à un scan vert ?
Un scan rassurant est utile, mais il ne remplace pas une vérification manuelle des fichiers sensibles, des dossiers d’exécution et de la base de données.
Conclusion
Face à un site WordPress piraté, la priorité n’est pas seulement de refermer une faille, mais d’éliminer toutes les traces laissées par l’attaque. Les liens spam persistants, les redirections cachées et les URLs toxiques indexées demandent une approche méthodique mêlant audit des fichiers, contrôle de la base de données, réinstallation propre et vérification SEO.
En procédant par étapes et sans négliger la partie indexation, il est possible de restaurer un site sain, de protéger à nouveau son trafic organique et de retrouver un environnement WordPress plus robuste pour la suite.
Mada Créative Agency vous aide à nettoyer, sécuriser et relancer votre site WordPress
Votre site WordPress montre des signes de piratage, de redirections anormales, d’URLs spam ou de chute SEO ? Mada Créative Agency peut intervenir pour auditer l’infection, assainir les fichiers et la base de données, remettre en ordre l’indexation et renforcer la sécurité de votre environnement WordPress.
Nous pouvons aussi vous accompagner sur la remise en ligne, l’optimisation SEO post-incident, le suivi Search Console, la correction technique et la prévention pour éviter qu’un site nettoyé aujourd’hui ne soit à nouveau compromis demain.
Si vous souhaitez une intervention sérieuse, structurée et orientée résultats, nous pouvons aussi faire ce genre de travail pour vous.
