Piratage WordPress à Grenoble : le jour où j'ai nettoyé un site hacké 🏴‍☠️

1. Le piratage du site WordPress de mon client : comment je m'en suis aperçue

Quand je suis allée visiter le site de mon ancien client, au premier coup d’œil, rien ne semblait anormal. Le design et le contenu n’avait pas bougé, le site n’était pas étrangement lent, ou avec un affichage bizarre. C’est lorsque j’ai scrollé tout en bas de la page d’accueil par hasard, que j’ai vu quelque chose qui n'aurait pas dû être là (cliquez sur l'image pour agrandir) :

Oui, du texte juste au-dessus du footer (pied de page du site), dans une autre langue, sur un fond blanc. Et uniquement sur la page d’accueil. Dire que j’ai paniqué est un euphémisme. Mais c’était sans m’apercevoir encore que ce texte, qui n’avait rien à faire là, comportait aussi … des liens.

A s’y pencher un peu plus attentivement, on y voyait en effet un lien qui menait ... vers une page de casino étranger. Là, plus de doute : j’étais face à une attaque que l’on appelle communément « injection de contenu spam SEO », autrement dit l'intrusion dans le site par un bot malveillant qui vient s’incruster dans l'unique objectif de lui injecter des liens vers d’autres sites et donc garantir à ces sites un plus gos trafic (en gros).

Un lien étranger dans WordPress peut apparaître pour plusieurs raisons :

1. Injection dans la base de données
Les pirates peuvent insérer des liens directement dans les pages ou articles en modifiant les tables de la base de données. C’est discret, souvent invisible depuis l’éditeur WordPress classique, mais ces liens sont là, et Google ou vos visiteurs peuvent les voir.

2. Plugins ou thèmes compromis
Certains plugins ou thèmes non mis à jour peuvent contenir des failles. Les pirates les exploitent pour y injecter des liens ou du code malveillant. Même si vous n’avez rien changé, le site peut afficher des contenus étranges.

3. Fichiers corrompus sur le serveur
Dans certains cas, des scripts malveillants sont ajoutés directement dans les fichiers PHP du site WordPress. Ces scripts affichent alors des liens vers d’autres sites, souvent de manière aléatoire, ce qui rend le problème encore plus confus.

... En bref : dans tous les cas, une enquête à mener et des neurones à faire chauffer 🤯

2. Un site WordPress infecté par un malware … pas vraiment discret

Un de mes premiers réflexes a donc été de me connecter au backoffice du site de mon client, et de regarder les comptes utilisateurs existants (personnes qui ont accès au site). Pourquoi ? Parce qu'il s'agit d'un grand classique : les bots peuvent parvenir à se créer un compte utilisateur dans le site WordPress, pour ensuite injecter en toute sérénité des dizaines, voir des centaines de contenus sur le site.

Dans mon cas, voici le coupable :

Inutile bien sûr de préciser l’angoisse quand j’ai vu le nombre de contenus créés par ce compte appelé "Bury" : 1109 ! Pas manqué, le piratage était encore plus limpide à ce stade. 

💡 Pour info, voici les réflexes à avoir si vous voyez des liens bizarres sur votre site :
• Vérifier les articles et pages dans WordPress pour voir si du contenu supplémentaire a été injecté ;
• Scanner la base de données depuis votre hébergeur pour détecter des modifications récentes.

Pour comprendre l’ampleur des dégâts sur ce site, il faut d’abord savoir à quoi ressemble un WordPress « sain ». Car à la base, un site WordPress n’est rien de plus qu’un ensemble de dossiers et de fichiers déposés sur un serveur, reliés à une base de données. C’est cette combinaison qui fait tourner votre site et qui stocke tout son contenu. Et ces dossiers ont toujours la même organisation.

Les principaux éléments que vous trouverez dans un WordPress standard sont :

1. Le dossier wp-admin
Ce sont les dossiers qui génèrent l’interface d’administration de votre site WordPress.
On y trouve tous les fichiers qui permettent de gérer votre site (pages, articles, réglages…).

2. Le dossier wp-content
Ici se trouvent vos thèmes, vos plugins et vos médias.
C’est souvent la partie que les pirates ciblent, parce qu’un plugin ou un thème vulnérable peut être un point d’entrée.

3. Le dossier wp-includes
Celui-ci contient le cœur de WordPress : les fichiers PHP qui font fonctionner le moteur du site.
Ces fichiers ne changent quasiment jamais, sauf lors des mises à jour de WordPress.

Inutile de préciser la panique donc quand je me suis connectée ensuite au serveur du site directement, pour aller voir justement l'organisation de ces petits dossiers WordPress, et qu’en parcourant les fichiers, j'ai découvert dans le dossier dédié au contenu (wp-content), des dossiers de plugins que je n’avais, pour ainsi dire, jamais installé sur le site WordPress de mon client (avec des noms parfois très créatifs – mais vraiment grossiers) :

Je ne précise pas non plus l’expression de mon visage quand je suis allée jeter un œil ensuite sur la base de données du site, côté hébergeur, et qu’en effectuant des recherches fines sur toutes les tables, je me suis aperçue que le dossier lié au plugin YOAST SEO comportait des tables entières (plusieurs milliers...) de liens vers des sites improbables.

Il est fort probable que ce plugin fût d'ailleurs la porte d'entrée de Mr Pirate WordPress, qui a pu trouvé une faille de sécurité dans celui-ci, pas mis à jour depuis longtemps, pour parvenir à entrer à travers lui dans la base de données du site.

Une fois entré, le bot a donc sans doute scanné la base de données pour y trouver les tables et lignes où YOAST SEO stocke ses informations, détecté les lignes éditables pour y injecter ses liens vers des sites externes, du type spam ou pishing.

Mais ces joyeusetés n'expliquaient toujours pas l'affichage du texte bizarre en bas de la page d'accueil de mon client. En parcourant donc l'entièreté de la base de données, je me suis aussi aperçue que les fichiers liés à la page d’accueil avaient été directement modifiés pour y intégrer l'encart de liens :

Au final, pour résumer, ma petite enquête a permis de trouver :

• Dossiers mystérieux directement sur le serveur 
• Des milliers d'injections dans la base de données
• Du code caché directement dans les pages du site.

Sympa non ?

3. La résolution : un dépannage WordPress plus « simple » que prévu

Une fois le diagnostic posé, il était temps de passer à l’action.
Voici comment je m’y suis prise pour remettre le site sur pied :

1. Sauvegardes de sécurité
• Sauvegarde du site en l’état (fichiers via FTP + base de données via phpMyAdmin ou équivalent, depuis le panel hébergeur).
• Duplication du site sur un environnement contrôlé et sécurisé sur l'hébergeur
• Audit du site pour identifier les vulnérabilités utilisées par le pirate.

2. Nettoyage du compte utilisateur malveillant
• J’ai commencé par supprimer le compte bot qui avait été créé (en le supprimant, j’ai coché « supprimer tous les contenus associés à cet utilisateur ») ;
• Enfin, j’ai forcé le changement des mots de passe pour tous les comptes administrateurs afin de sécuriser les accès.

3. Suppression des fichiers suspects via FTP
• Tous les dossiers et fichiers inconnus ou malveillants ont été supprimés directement via FTP (serveur) ;
• J’ai veillé à ne garder que les fichiers légitimes de WordPress, des thèmes et plugins utilisés réellement, en re-uploadant les thèmes du cœur de WordPress ;
• Vérification des fichiers wp-config.php et .htaccess à la racine du site ;
• Vérification de l'existence de scripts cachés pouvant réinjecter du contenu malveillant.

4. Nettoyage de la base de données
• J’ai parcouru toutes les tables de la base pour supprimer les injections et liens spam.
• Les tables corrompues du plugin YOAST SEO ont été nettoyées pour ne conserver que le contenu légitime du plugin.
• Toutes les modifications malveillantes sur la page d’accueil ont été corrigées directement via la base de données.

5. Mises à jour et sécurisation
• Mise à jour complète du cœur WordPress, des plugins et du thème (mais aussi de la version PHP) ;
• Installation de mesures de sécurité simples : limitation des tentatives de connexion, vérification des permissions de fichiers, et sauvegarde complète du site.

Après ces étapes, le site était à nouveau propre, sécurisé et fonctionnel, sans traces de malware.
► Verdict : l'absence de mises à jours depuis trop longtemps a ouvert la porte à Mr Pirate !

Les mises à jours n'avaient pas été gérées depuis environ 2 ans.

Heureusement, dans le cas de mon client, les dégâts étaient finalement assez « maîtrisables ». Mais un site WordPress piraté peut vite devenir un vrai cauchemar.

Parfois, il s’agit d’une injection SQL, où le script malveillant est stocké directement dans la base de données. Chaque fois que le site se charge, le contenu infecté est réinjecté, et le site peut rester compromis malgré les efforts de nettoyage. L’enfer !

Et ce n’est pas tout. Voici d’autres scénarios qui rendent un piratage beaucoup plus compliqué :

• Règles .htaccess modifiées, redirigeant les visiteurs vers des sites malveillants ;
• Utilisateurs administrateurs cachés, créés par les pirates pour garder un accès secret ;
• Tâches programmées pour réinjecter automatiquement du contenu ou des scripts malveillants ; 
• Backdoors cachés dans wp-content ou wp-includes, permettant aux pirates de revenir ; 
• Compromis au niveau du serveur, qui rend la récupération beaucoup plus complexe.

Bref, dans ce contexte, j’ai eu de la chance : le piratage était limité, assez grossier, et le nettoyage possible. Mais ce genre de mésaventure rappelle qu’un site WordPress, même simple, doit être maintenu et surveillé régulièrement pour éviter que la situation ne devienne incontrôlable !

4. Pourquoi & comment les sites WordPress se font pirater ?

Maintenant que vous avez vu l’ampleur des dégâts possibles, il est utile de comprendre pourquoi ça arrive. Et la raison est simple : les pirates exploitent surtout les failles classiques de WordPress, et elles sont souvent très simples à éviter :

• Plugins / thèmes / WordPress non mis à jour
Chaque plugin / thème est un morceau de code, et comme tout logiciel, il peut contenir des failles. Si vous ne mettez pas régulièrement vos plugins à jour, un pirate peut facilement s’y glisser et prendre le contrôle de votre site. WordPress aussi en lui-même a besoin d'être mis à jour régulièrement. 

• Mots de passe faibles
Les mots de passe du type “123456” ou “monsite2026” sont une porte ouverte à tous les bots malveillants. Même des pirates débutants peuvent deviner vos identifiants et créer des comptes ou injecter du contenu malveillant.

• Hébergement peu sécurisé
Un serveur mal configuré, sans protection contre les intrusions ou sans mises à jour régulières, peut permettre à des pirates de compromettre non seulement votre site, mais potentiellement tous les sites hébergés sur le même serveur.

💡 Petit conseil pédagogique : Un site WordPress sécurisé repose sur trois piliers simples mais essentiels : plugins/thèmes/logiciel à jour, mots de passe solides, et hébergement fiable (02Switch, Infomaniak…). Quand ces bases sont respectées, le risque de piratage chute drastiquement ! 

Même si votre site a l’air normal au premier abord, WordPress peut être compromis sans que vous le remarquiez immédiatement. Voici les signes les plus fréquents qui indiquent qu’un site a été piraté :

• Contenu modifié : des textes ou des images apparaissent là où ils ne devraient pas ; 
• Redirections suspectes : vos visiteurs sont envoyés vers d’autres sites inconnus sans raison ; 
• Lenteur inhabituelle : un site WordPress hacké peut devenir beaucoup plus lent, car le serveur exécute des scripts malveillants ou gère des tâches cachées en arrière-plan ; 
• Alertes Google : Google peut détecter du contenu spam ou malveillant et afficher des alertes “site piraté” dans les résultats de recherche ou quand vous essayer de vous rendre sur l'adresse ; 
• Nouveaux utilisateurs inconnus : des comptes créés à votre insu sur le backoffice du site.

Ou encore des signes encore plus discrets : 

• Baisse soudaine du trafic : un piratage peut entraîner un blacklistage partiel par Google ou des problèmes de SEO, ce qui se traduit par une chute rapide de vos visites ; 
• Augmentation soudaine de spams dans les commentaires : des centaines de commentaires spam peuvent apparaître en quelques heures, signe que des scripts automatisés exploitent votre site ; 
• Codes suspects dans les fichiers du site : en accédant aux fichiers de votre site, vous pouvez également repérer du code qui semble étranger ou non conforme aux bonnes pratiques.
• Vous recevez des notifications de mails rejetés : vous recevez des notifications de courriels rejetés (aussi appelés bounce ou « mailer-daemon ») que vous n’avez pas envoyés vous-même...

Se faire pirater son site WordPress n’est jamais anodin. Même si votre site continue de s’afficher, les impacts peuvent être sérieux. : le contenu peut être modifié, supprimé ou remplacé par des textes et des liens malveillants, rendant certaines pages inutilisables jusqu’au nettoyage complet - en plus de vous faire perdre vos données (si vous n'aviez pas de sauvegardes automatisées de votre site).

Côté référencement, Google détecte rapidement les sites compromis et peut afficher des alertes “site piraté” ou déclasser votre site dans les résultats de recherche, ce qui entraîne une perte de trafic organique parfois vraiment durable.

Pire encore, un site infecté peut servir de relais pour envoyer des spams, héberger des virus ou rediriger vos visiteurs vers d’autres sites malveillants, ce qui nuit à la réputation de votre projet et à la confiance de vos visiteurs ou clients.

Pour les sites qui gèrent des paiements ou des données personnelles, un piratage peut avoir des conséquences financières et légales. Mais la bonne nouvelle, c’est que la plupart des WordPress piratés peuvent être nettoyés et sécurisés rapidement, à condition d’agir vite - et surtout : la mise en place de mesures de prévention simple vous permettent d'éliminer le risque de piratage ! 

5. Comment éviter le piratage de son site WordPress ?

La maintenance technique d’un site WordPress (mises à jour, sauvegardes de sécurité…) n’est pas un luxe, c’est une nécessité. Posséder un site WordPress, c’est posséder une voiture : en évitant d’aller chez le garagiste pendant très longtemps, on prend le risque d’avoir d’énormes tuiles qui nous tombent sur la tête - nous coûtant bien plus chères que de simples révisions régulières. 

Le plus important est de s’adresser à un webmaster freelance WordPress qui a réellement une expertise WordPress, l’habitude de gérer des cas difficiles ou des dépannages techniques au besoin, et qui proposent des forfaits réellement adaptés à vos besoins.

La sécurité d’un site WordPress passe par des gestes simples mais essentiels - puisqu'ils vous permettent d'éliminer tout risque de piratage.

Les voici : 

⚡Avoir peu de plugins (et fiables) : trop de sites cumulent parfois 10-15 plugins WordPress, certains abandonnés, inutilisés, etc. Chaque plugin non mis à jour est une porte d’entrée potentielle pour un pirate. Choisissez 5 plugins maximum, et plutôt des extensions fiables, connues et mises à jour ; 

⚡Regarder en détails votre site régulièrement : contrôlez les comptes utilisateurs du site, utilisez des mots de passe forts et uniques pour tous les accès. Vérifiez la présence de contenus étranges, d'une lenteur inhabituelle... 

⚡Le serveur lui-même mérite aussi votre attention : il faut également rester vigilant quant aux scripts et fichiers présents dans les dossiers de votre site : tout fichier inconnu ou modifié doit être contrôlé, car c’est souvent là que les backdoors se cachent.

⚡Faites vos mises à jours WordPress, régulièrement, tous les mois, via un·e prestataire experte (webmaster wordpress compétent·e) ou par vous-mêmes si vous êtes formé·e ! 

Ces bonnes pratiques simples permettent de garder votre site WordPress sain, sécurisé et sous contrôle, et d’éviter que de petites failles ne deviennent de gros problèmes !

La question que tout le monde se pose (ou presque), du coup : est-ce que WordPress est donc un bon plan, si on peut du jour au lendemain se faire hacker et devoir se confronter à des situations angoissantes comme celle-là ?

Après avoir parcouru cette petite aventure, on pourrait se dire : “WordPress, c’est dangereux, mieux vaut passer son chemin”. Mais ce serait ne pas analyser le problème correctement, et ne pas tirer la bonne conclusion de cette histoire : car en réalité, WordPress est une plateforme puissante, flexible et robuste, capable de faire tourner tout type de projet, des portfolios aux boutiques en ligne.

Le vrai enjeu, ce n’est pas WordPress lui-même : mais la manière dont il est utilisé et sécurisé. Comme on l’a vu dans cette histoire, un site piraté n’est jamais une fatalité : avec un peu de vigilance, de bonnes pratiques et, surtout, un accompagnement professionnel quand c’est nécessaire, il est possible de garder votre WordPress sain et performant sur du très looooong terme, sans aucun problème.

Donc, à la question “Est-ce une bonne idée de rester sur WordPress ?”, ma réponse est clairement oui ! À condition de comprendre qu’en échange de tous les avantages d’un logiciel libre, open source, puissant, soutenu par une communauté de personnes talentueuses et engagées, mon unique responsabilité est de ... prendre soin de lui comme il le mérite !

Car si WordPress peut présenter des failles de sécurité, c’est justement parce que c’est un outil open source en constante évolution. Et honnêtement, c’est une excellente nouvelle : la plateforme vous appartient, et une communauté active de développeur·ses travaille en permanence pour faire évoluer le cœur de WordPress, ses thèmes et ses extensions. Ces petites notifications qui vous invitent à effectuer des mises à jour régulières ne sont pas là pour vous embêter, elles témoignent d’un engagement à maintenir un écosystème sûr, performant et toujours à jour.

Pour moi, c’est un vrai gage d’indépendance et de performance. La seule responsabilité qui en découle est simple : effectuer ces mises à jour pour garantir que votre site continue d’évoluer correctement. Et franchement, c’est un tout petit prix à payer pour bénéficier d’un site web qui vous appartient vraiment, qui reste autonome et qui évolue constamment ⚡