Comment savoir si votre site a été piraté ?

Comment savoir si votre site a été piraté ?

Par / / 20 minutes de lecture / Conseils en Informatique, Sécurité informatique
5/5 - (5 votes)
Soldes informatique

Votre site se comporte bizarrement : des visiteurs signalent des redirections inattendues, Google affiche un avertissement rouge dans ses résultats, ou votre hébergeur vous a envoyé un email inquiétant. Avant de tout effacer ou de paniquer, il faut distinguer un vrai piratage d’une simple panne. Ce guide vous donne une méthode en deux temps : repérer les signaux visibles à l’œil nu, puis plonger dans les outils et les fichiers pour confirmer l’intrusion avec des preuves concrètes.

Ce qu’il faut retenir
  • Un piratage peut rester invisible pendant des mois, voire des années : l’absence de symptôme évident ne garantit pas l’intégrité du site.
  • Google Search Console et Google Safe Browsing sont les premiers outils à consulter ; une alerte dans les résultats de recherche est un signal sérieux, mais son absence ne prouve pas non plus que tout va bien.
  • Les contrôles techniques (logs serveur, fichiers .htaccess, comptes administrateurs, DNS) permettent de confirmer ou d’infirmer une intrusion là où les outils automatiques échouent.
  • WordPress concentre une part importante des sites compromis ; plugins, thèmes et comptes admin sont les vecteurs prioritaires à auditer.
  • Après confirmation, la priorité est d’isoler, de réinitialiser tous les accès et de vérifier si vos données personnelles ont également été exposées via Have I Been Pwned.

Ce que signifie un site piraté et ce que les pirates cherchent

Un site piraté, c’est un site dont un tiers non autorisé a modifié le contenu, les fichiers, la base de données ou la configuration, sans que le propriétaire l’ait demandé. La compromission peut être chirurgicale — une seule ligne de code injectée dans un fichier PHP — ou massive, avec l’ensemble du serveur sous contrôle d’un attaquant. Ce qui complique le diagnostic, c’est que les pirates n’ont généralement aucun intérêt à ce que vous le sachiez : un site piraté qui continue de fonctionner normalement est bien plus utile qu’un site mis hors ligne.

Les formes de compromission les plus courantes suivent des logiques économiques précises :

  • L’injection de malware : du code malveillant est glissé dans les fichiers du site pour infecter les visiteurs, voler des identifiants de carte bancaire ou transformer les navigateurs en relais d’attaque.
  • Le phishing hébergé : plutôt que d’enregistrer un domaine suspect (du type netflik.com à la place de netflix.com), de nombreux cybercriminels piratent des sites légitimes — souvent des PME moins bien surveillées — et y créent des sous-sections hébergeant des pages d’hameçonnage. En septembre 2023, des avertissements officiels signalaient que des centaines de milliers de sites imitaient des boutiques en ligne, des banques ou des services de livraison pour voler mots de passe et données financières.
  • Les redirections malveillantes : les visiteurs, surtout mobiles, sont renvoyés vers des sites de loterie, de pharmacie illégale ou de téléchargement douteux. Le propriétaire du site ne voit rien car la redirection ne se déclenche que pour certains navigateurs ou certains référents (Google, par exemple).
  • Le SEO spam : des milliers de pages sont créées discrètement sur votre domaine pour vendre des produits contrefaits ou du contenu pour adultes, en profitant de votre autorité de domaine. Ces pages n’apparaissent souvent que dans les résultats de recherche, jamais dans votre navigation habituelle.
  • La backdoor : une porte dérobée est installée pour permettre un accès futur, même si vous changez vos mots de passe. C’est le mécanisme de persistance favori des attaquants.
  • La fuite de données : les bases de données contenant noms, adresses mail, numéros de téléphone et mots de passe sont exfiltrées, puis revendues sur le dark web ou exploitées pour des campagnes de spam.

Les motivations sont donc financières dans la quasi-totalité des cas : monétisation du trafic détourné, vente de données volées, location de l’infrastructure compromise à d’autres cybercriminels. Les PME sont particulièrement ciblées car elles disposent de moins de ressources pour surveiller et mettre à jour leurs sites en continu. Comprendre ces objectifs permet de savoir où chercher les traces d’une intrusion, ce qui conduit directement aux signaux visibles.

Les signes visibles qui doivent vous alerter immédiatement

Les signes visibles qui doivent vous alerter immédiatement

Certains indices se repèrent sans aucun outil technique, à condition de savoir où regarder. Le premier réflexe est de consulter votre site depuis un navigateur en mode navigation privée, sur mobile et sur ordinateur, en simulant la visite d’un inconnu. Ce détail compte : certains contenus trompeurs ne s’affichent que dans certains navigateurs ou uniquement sur mobile, et les pirates désactivent souvent leurs redirections lorsqu’ils détectent une session administrateur connectée.

Les signaux côté visiteur et côté propriétaire à prendre au sérieux :

  • Avertissements dans les résultats de recherche Google : plusieurs messages distincts existent, chacun avec une signification précise.
    • « Il est possible que ce site ait été piraté » indique une suspicion de spam ou de contenu manipulé.
    • « Ce site risque d’endommager votre ordinateur » signale une suspicion de distribution de logiciels malveillants.
    • « Le site que vous allez ouvrir contient des logiciels malveillants » confirme une détection active.
    • « Le site Web que vous allez ouvrir contient des programmes dangereux » cible les logiciels indésirables.
    • « Le site Web que vous allez ouvrir est trompeur » pointe vers du phishing ou de l’ingénierie sociale.
  • Redirections inattendues : vous tapez votre URL et vous atterrissez ailleurs. Vérifiez aussi sur mobile, en touchant la barre d’adresse pour afficher l’URL complète, car certaines applications la masquent ou la tronquent.
  • Contenu inconnu affiché : liens vers des pharmacies en ligne, textes en langues étrangères, pop-ups publicitaires que vous n’avez jamais installés.
  • Lenteur anormale ou erreurs serveur répétées : un serveur utilisé pour envoyer du spam ou miner de la cryptomonnaie est souvent surchargé.
  • Emails envoyés à votre insu : des contacts signalent avoir reçu des messages de votre domaine que vous n’avez pas rédigés.
  • Pages inconnues indexées : une recherche site:votredomaine.com dans Google révèle des URLs que vous ne reconnaissez pas.
  • Comptes désactivés ou mots de passe refusés : un attaquant a pu modifier vos identifiants d’administration.

Un point de vigilance important : une redirection ne signifie pas forcément que votre site est piraté. Une annonce publicitaire malveillante chargée par votre site (via un réseau publicitaire tiers compromis) peut provoquer exactement les mêmes symptômes sans que vos fichiers aient été touchés. De même, une redirection ouverte (open redirect) dans votre code peut être exploitée pour envoyer des visiteurs vers n’importe quelle URL sans modification de vos fichiers. Ces cas nécessitent un diagnostic différent, ce qui justifie de passer à une phase de vérification outillée.

Vérifications express avec des outils fiables

Une fois les signaux visuels identifiés, l’étape suivante consiste à obtenir des preuves documentées sans toucher au serveur. Ces vérifications prennent moins de trente minutes et permettent soit de confirmer une compromission, soit d’écarter plusieurs hypothèses.

Google Search Console est le point de départ incontournable. Connectez-vous à votre propriété et consultez la section « Problèmes de sécurité ». Google y publie ses alertes officielles lorsqu’il détecte du contenu piraté, du phishing ou des logiciels malveillants sur votre site. C’est le canal de communication direct entre le moteur de recherche et le propriétaire du site. Si une alerte y figure, elle est accompagnée d’exemples d’URLs concernées, ce qui facilite considérablement le diagnostic.

Google Safe Browsing propose un outil public accessible à l’adresse transparencyreport.google.com/safe-browsing/search. Entrez votre domaine pour obtenir un statut de sécurité. Attention cependant : un résultat « aucun problème détecté » ne garantit pas l’absence de piratage. Les outils automatisés peuvent passer à côté des piratages servant à l’envoi de spam ou à l’hébergement de pages de phishing discrètes. Ce résultat négatif est un indicateur, pas une preuve.

D’autres vérifications rapides à enchaîner :

  • Recherche site: dans Google : tapez site:votredomaine.com et parcourez les résultats. Des pages inconnues, des titres en langue étrangère ou des descriptions contenant des mots-clés de spam (médicaments, jeux d’argent, contenu adulte) sont des signaux forts.
  • Scanners de malware en ligne : des outils comme Sucuri SiteCheck, VirusTotal (pour les URLs) ou Quttera analysent le code source visible de votre site. Ils détectent les scripts malveillants, les iframes cachées et les redirections codées en dur. Leurs limites : ils ne voient que ce que le serveur leur envoie, pas le code côté serveur exécuté conditionnellement.
  • Test de redirection : utilisez un outil de vérification d’en-têtes HTTP (comme redirect-checker.org) pour inspecter la chaîne de redirections de votre domaine. Une redirection 301 ou 302 vers un domaine tiers que vous ne contrôlez pas est un signal critique.
  • Comparaison du cache Google : accédez au cache de vos pages principales via Google (en tapant cache:votredomaine.com) et comparez avec ce que vous voyez en direct. Des différences de contenu révèlent un cloaking, technique par laquelle le site affiche un contenu différent à Google et aux visiteurs humains.
  • Vérification du certificat SSL : un certificat SSL expiré, émis pour un domaine différent ou présentant une chaîne de certification suspecte peut indiquer une manipulation DNS ou une attaque de type man-in-the-middle.

Ces vérifications sans accès serveur permettent de constituer un premier dossier. Si l’une d’elles confirme une anomalie, il est temps de passer aux contrôles techniques internes, là où les preuves les plus solides se trouvent.

Contrôles techniques pour confirmer l’intrusion

Les outils en ligne ne voient que la surface. Pour confirmer un piratage avec certitude — et comprendre comment l’attaquant est entré — il faut examiner les entrailles du serveur. Ces vérifications requièrent un accès FTP, SSH ou au panneau de contrôle de l’hébergeur.

Les journaux d’accès et d’erreurs (logs serveur) sont la première source d’information. Ils enregistrent chaque requête reçue par le serveur, avec l’adresse IP, l’URL demandée, le code de réponse et l’agent utilisateur. Cherchez :

  • Des pics de trafic à des heures inhabituelles, notamment la nuit.
  • Des requêtes vers des fichiers PHP dans des répertoires inhabituels (dossiers d’images, de cache, de téléchargements).
  • Des codes de réponse 200 sur des URLs que vous ne reconnaissez pas.
  • Des agents utilisateurs automatisés répétitifs, souvent liés à des outils d’exploitation connus.
  • Des requêtes POST massives vers un même fichier, signature fréquente d’un webshell (outil de contrôle à distance installé par l’attaquant).

Le fichier .htaccess est une cible prioritaire sur les serveurs Apache. Les pirates y insèrent des règles de redirection conditionnelles, par exemple pour renvoyer uniquement les visiteurs venant de Google vers un site malveillant, tout en laissant les autres (dont vous) voir le site normal. Ouvrez-le et vérifiez l’absence de règles RewriteRule ou Redirect que vous n’avez pas écrites. Comparez avec une version de référence si vous en avez une.

Les dates de modification des fichiers sont un indicateur précieux. Via FTP ou SSH, listez les fichiers modifiés récemment avec la commande find . -mtime -30 -type f (fichiers modifiés dans les 30 derniers jours). Des fichiers core modifiés à une date que vous ne reliez à aucune action de votre part méritent d’être inspectés. Comparez leur taille et leur contenu avec les fichiers originaux.

D’autres points de contrôle à ne pas négliger :

  • Tâches cron : vérifiez le crontab du serveur (commande crontab -l) pour détecter des scripts programmés que vous n’avez pas créés. Les attaquants les utilisent pour réinstaller une backdoor après nettoyage.
  • Comptes utilisateurs système : listez les comptes FTP, SSH et cPanel actifs. Un compte inconnu est une preuve directe d’intrusion.
  • Modifications DNS : connectez-vous à votre registrar et vérifiez que vos enregistrements DNS (A, CNAME, MX, NS) n’ont pas été modifiés. Une modification des enregistrements MX peut permettre d’intercepter vos emails ; une modification de l’enregistrement A redirige tout votre trafic vers un autre serveur.
  • Permissions des fichiers : des fichiers PHP avec des permissions 777 (accessibles en écriture par tous) dans des répertoires normalement en lecture seule sont le signe d’une manipulation.
  • Connexions actives : sur un serveur dédié ou VPS, la commande netstat ou ss révèle les connexions réseau en cours. Une connexion persistante vers une IP inconnue mérite investigation.

Ces contrôles techniques permettent de passer du doute à la certitude. Dans la majorité des cas de piratage, au moins l’un de ces points révèle une anomalie claire. Et dans la grande majorité des cas signalés, la porte d’entrée se trouve dans le CMS lui-même — WordPress en tête.

Cas fréquent: wordpress, thèmes et plugins compromis

WordPress propulse une part considérable des sites web mondiaux, ce qui en fait la cible la plus documentée. Des dizaines de milliers de sites sous ce CMS sont compromis à tout moment, selon les estimations du secteur. La surface d’attaque est large : le cœur du CMS, les thèmes, les plugins, les comptes administrateurs et la configuration de la base de données constituent autant de vecteurs potentiels.

Les comptes administrateurs inconnus sont le premier endroit à vérifier. Connectez-vous à votre tableau de bord, allez dans Utilisateurs > Tous les utilisateurs et filtrez par rôle « Administrateur ». Tout compte que vous ne reconnaissez pas doit être supprimé immédiatement, après avoir noté son adresse email et sa date de création pour l’analyse. Les attaquants créent souvent ces comptes via une vulnérabilité de plugin, puis les utilisent pour installer d’autres outils malveillants.

Les plugins inconnus ou désactivés méritent une attention particulière. Un plugin peut contenir une backdoor même s’il est désactivé dans WordPress — ses fichiers restent présents sur le serveur et peuvent être appelés directement via une URL. Vérifiez la liste complète dans Extensions > Extensions installées et comparez avec ce que vous avez intentionnellement installé. Méfiez-vous aussi des plugins dont la version affichée ne correspond pas à la dernière version disponible sur le dépôt officiel.

Les points de contrôle spécifiques à WordPress :

  • Fichiers core modifiés : utilisez le plugin Wordfence ou WP Authenticity Checker pour comparer vos fichiers WordPress avec les fichiers officiels. Toute différence dans wp-admin/, wp-includes/ ou les fichiers racine (index.php, wp-login.php) est suspecte.
  • Fichier wp-config.php : vérifiez qu’il ne contient pas de code obfusqué (chaînes encodées en base64, fonctions eval() ou gzinflate()). Ce fichier est souvent ciblé pour y injecter du code d’exécution à distance.
  • Thèmes injectés : le fichier functions.php du thème actif est une cible classique. Ouvrez-le et cherchez du code qui ne correspond pas à la documentation du thème, notamment des fonctions ajoutant des utilisateurs, envoyant des emails ou chargeant des scripts externes.
  • Répertoire wp-content/uploads : ce dossier, normalement réservé aux médias, ne devrait contenir aucun fichier PHP. La présence d’un fichier .php dans ce répertoire est presque toujours le signe d’un webshell déposé par un attaquant.
  • Chemins révélateurs dans les URLs de phishing : si votre site héberge des pages de phishing, leurs URLs contiennent souvent des segments comme /wp-content/, /wp-admin/ ou /wp-includes/, et se terminent fréquemment par .php.

Les vulnérabilités de plugins représentent la majorité des intrusions WordPress documentées. Des extensions abandonnées par leurs développeurs, non mises à jour depuis des mois ou téléchargées depuis des sources non officielles sont des portes d’entrée directes. Un audit complet de WordPress ne se limite donc pas aux fichiers : il inclut aussi la vérification des accès, ce qui mène naturellement à la question des comptes et des données compromis.

  • Yubico - Security Key C NFC - Noire - Clé de sécurité pour l'authentification à Deux facteurs (2FA), Connexion Via USB-C ou NFC, Certification FIDO U2F/FIDO2
    Fonctionne avec plus de 1 000 comptes : compatible avec Google, Microsoft et Apple. Une seule Security Key C NFC sécurise 100 de vos comptes préférés, y compris vos e-mails, vos gestionnaires de mots de passe et bien plus encore. Connexion rapide et pratique : branchez votre Security Key C NFC via USB-C et appuyez dessus, ou placez-la contre votre téléphone (NFC) pour vous authentifier. Pas de batterie, de connexion Internet ou de frais en plus. Technologie de passkey fiable : utilise les derniers standards de passkey (FIDO2/WebAuthn et FIDO U2F), mais ne prend pas en charge les mots de passe à usage unique. Pour les besoins complexes, optez pour la YubiKey 5 Series. Conçue pour durer : fabriquée à partir de matériaux robustes, étanches et résistants à l'écrasement. Produite en Suède selon les normes de sécurité les plus strictes. Clés principales et de rechange : tout comme vous avez un double pour la clé de votre domicile, nous vous recommandons d'acheter deux YubiKeys, l'une pour votre utilisation quotidienne et l'autre en tant que clé de rechange. Ainsi, vous ne serez jamais bloqué pour accéder à vos comptes. Non compatible : passez à la YubiKey 5 Series pour une utilisation avec l'application Yubico Authenticator.
    34,80 €
  • Yubico - Security Key NFC - Noire - Clé de sécurité pour l'authentification à Deux facteurs (2FA), Connexion Via USB-A ou NFC, Certification FIDO U2F/FIDO2
    Fonctionne avec plus de 1 000 comptes : compatible avec Google, Microsoft et Apple. Une seule Security Key NFC sécurise 100 de vos comptes préférés, y compris vos e-mails, vos gestionnaires de mots de passe et bien plus encore. Connexion rapide et pratique : branchez votre Security Key NFC via USB-A et appuyez dessus, ou placez-la contre votre téléphone (NFC) pour vous authentifier. Pas de batterie, de connexion Internet ou de frais en plus. Technologie de passkey fiable : utilise les derniers standards de passkey (FIDO2/WebAuthn et FIDO U2F), mais ne prend pas en charge les mots de passe à usage unique. Pour les besoins complexes, optez pour la YubiKey 5 Series. Conçue pour durer : fabriquée à partir de matériaux robustes, étanches et résistants à l'écrasement. Produite en Suède selon les normes de sécurité les plus strictes. Clés principales et de rechange : tout comme vous avez un double pour la clé de votre domicile, nous vous recommandons d'acheter deux YubiKeys, l'une pour votre utilisation quotidienne et l'autre en tant que clé de rechange. Ainsi, vous ne serez jamais bloqué pour accéder à vos comptes. Non compatible : passez à la YubiKey 5 Series pour une utilisation avec l'application Yubico Authenticator.
    34,80 €
  • Clé de sécurité FIDO2 - USB d'authentification à Deux facteurs universels universels (Type A) pour la Protection Multicouche (HOTP) dans Windows/Linux/Mac OS, Gmail, Facebook, Dropbox, GitHub
    Monde sans mot de passe : une nouvelle façon révolutionnaire de protéger les informations de votre compte. En étant certifié FIDO2 par le plus grand écosystème au monde pour une authentification standard et interopérable, FIDO2 permet une expérience de connexion quotidienne sans effort et sans mot de passe mais plus sûre que la sécurité générique. **Remarque : FIDO2 ne prend pas en charge la connexion Mac. Protection du compte en ligne : la clé FIDO2 est rétrocompatible avec le protocole U2F et fonctionne avec le dernier navigateur Chrome avec des systèmes d'exploitation tels que : Windows, MacOS ou Linux. U2F peut être pris en charge et protégé sur tous les sites Web qui suivent les protocoles U2F. Authentification multi-factored : technologie avancée HOTP intégrée qui complète le processus unique d'authentification multi-facteurs. Éliminez les soucis et évitez de perdre les informations de votre compte pour le vol, l'hameçonnage, le piratage ou d'autres escroqueries en ligne. Remarque : Seuls les utilisateurs d'entreprise utilisant le répertoire actif Azure peuvent accéder à Windows Hello via la clé de sécurité Thetis FIDO2. Compact et durable : design à 360° avec couvercle rotatif en alliage d'aluminium qui protège le connecteur USB lorsqu'il n'est pas utilisé. L'alliage robuste et durable protège la clé FIDO2 de l'usure quotidienne, des chutes accidentelles et des rayures. Design portable : le design ultra-portable vous permet d'emporter votre clé FIDO partout où vous en avez besoin.
    28,89 €

Vérifier si vos comptes et données ont été compromis

Un piratage de site va rarement de pair avec une intrusion isolée. Dans la majorité des cas, l’attaquant a obtenu des identifiants — soit en les volant directement sur le serveur, soit parce qu’un mot de passe réutilisé ailleurs avait déjà été exposé dans une fuite de données antérieure. Vérifier l’état de vos comptes est donc une étape à part entière du diagnostic.

Have I Been Pwned (haveibeenpwned.com) est l’outil de référence pour cette vérification. Entrez votre adresse email (ou votre numéro de téléphone) et le service indique si ces informations ont été exposées dans des fuites de données connues, sur quelle plateforme la fuite s’est produite et quelles catégories de données ont été divulguées (mots de passe, adresses, numéros de téléphone, etc.). Les données potentiellement exposées lors d’un piratage incluent typiquement le nom, l’adresse email, le numéro de téléphone et les mots de passe — des informations qui, une fois volées, peuvent être revendues sur le dark web et exploitées pour des campagnes de spam ou d’autres attaques.

Google Password Checkup, intégré au gestionnaire de mots de passe Google, analyse vos identifiants sauvegardés et vous alerte si l’un d’eux a été compromis dans une fuite connue. L’outil signale également les mots de passe réutilisés sur plusieurs sites, qui sont les plus dangereux en cas de compromission.

Les comptes à vérifier en priorité :

  • Compte d’hébergement et panneau de contrôle (cPanel, Plesk, etc.) : vérifiez l’historique des connexions si votre hébergeur le propose.
  • Accès FTP et SSH : listez les comptes actifs et vérifiez les dernières connexions dans les logs.
  • Compte Google Search Console et Google Analytics : un attaquant peut y avoir ajouté des utilisateurs pour surveiller votre trafic ou recevoir vos alertes.
  • Boîte mail associée au domaine : si elle est compromise, l’attaquant peut réinitialiser tous vos autres mots de passe.
  • Registrar (gestionnaire de nom de domaine) : un accès non autorisé permet de modifier les DNS ou de transférer le domaine.

Point critique : faire disparaître des données divulguées d’internet est impossible. Une fois des identifiants exposés dans une fuite, ils circulent. La seule réponse efficace est de les rendre inutilisables : changer immédiatement les mots de passe sur toutes les plateformes concernées, modifier également les mots de passe identiques utilisés ailleurs, et activer l’authentification à deux facteurs (2FA) partout où c’est disponible. L’utilisation d’un gestionnaire de mots de passe pour générer et stocker des mots de passe uniques par service est la mesure la plus efficace pour limiter la propagation en cas de fuite future. Ces actions de réinitialisation constituent d’ailleurs les premières mesures à prendre une fois le piratage confirmé.

Que faire juste après avoir confirmé le piratage

Que faire juste après avoir confirmé le piratage

La confirmation d’un piratage appelle une réponse rapide et méthodique. L’objectif n’est pas de tout effacer immédiatement, mais de contenir, documenter, nettoyer et rétablir dans le bon ordre pour éviter une réinfection.

Première action : mettre le site en maintenance. Bloquez l’accès public le temps du nettoyage pour éviter que de nouveaux visiteurs soient exposés au contenu malveillant. Sur WordPress, un plugin de maintenance ou une règle .htaccess temporaire suffit. Prévenez votre hébergeur : il peut isoler votre compte pour éviter une contamination des autres sites hébergés sur le même serveur.

Deuxième action : sauvegarder l’état compromis. Contre-intuitif, mais essentiel. Une copie de l’état infecté permet d’analyser les fichiers malveillants, de comprendre le vecteur d’entrée et de conserver des preuves si une plainte est nécessaire. Ne restaurez pas directement depuis cette sauvegarde pour remettre le site en ligne.

Les étapes suivantes à enchaîner :

  • Réinitialiser tous les accès : changez immédiatement les mots de passe de l’hébergement, du CMS, de la base de données, du FTP, du SSH, du registrar et des emails associés. Révoquez les sessions actives si votre panneau de contrôle le permet.
  • Supprimer les comptes et accès non autorisés : comptes administrateurs inconnus, clés SSH non reconnues, comptes FTP supplémentaires.
  • Identifier et supprimer le code malveillant : utilisez un scanner comme Wordfence (WordPress) ou les commandes grep pour rechercher des patterns connus (eval, base64_decode, gzinflate). Supprimez les fichiers malveillants ou restaurez-les depuis une version saine.
  • Mettre à jour tout le CMS : core, thèmes, plugins. Supprimez les extensions non utilisées ou abandonnées.
  • Restaurer depuis une sauvegarde saine si le nettoyage manuel est trop complexe, en veillant à ce que la sauvegarde date d’avant la compromission.
  • Notifier l’hébergeur : il peut disposer d’outils de détection supplémentaires et est légalement tenu d’être informé dans certains contextes (RGPD si des données personnelles sont impliquées).
  • Demander une réévaluation à Google : si votre site affiche des avertissements dans les résultats de recherche, une fois le nettoyage terminé, soumettez une demande de réévaluation via Google Search Console. Google inspecte le site et retire l’avertissement si aucun problème n’est détecté.
  • Documenter l’incident : notez les fichiers modifiés, les IPs suspectes relevées dans les logs, les dates et les actions effectuées. Cette documentation est utile pour l’hébergeur, pour une éventuelle déclaration CNIL (en cas de fuite de données personnelles) et pour éviter de reproduire les mêmes erreurs.

Une fois le site nettoyé et les accès sécurisés, la question qui se pose immédiatement est celle de la récidive. Un site nettoyé sans renforcement de sa sécurité est un site qui sera repiraté, souvent par le même vecteur.

Prévenir la récidive: les protections qui font vraiment la différence

Un piratage nettoyé sans changement de pratiques est une opportunité manquée. Les attaquants utilisent des outils automatisés qui scannent en permanence les sites à la recherche de vulnérabilités connues. Un site remis en ligne sans mise à jour ni durcissement sera de nouveau compromis, parfois en quelques heures.

Les mises à jour sont la mesure la plus efficace, de loin. La majorité des intrusions exploitent des vulnérabilités connues et corrigées, pour lesquelles une mise à jour était disponible. Sur WordPress, activez les mises à jour automatiques pour le core et les plugins critiques. Supprimez tout thème ou plugin non utilisé : un code inactif mais présent sur le serveur reste une surface d’attaque.

Le principe du moindre privilège consiste à n’accorder à chaque compte que les droits strictement nécessaires. Un rédacteur n’a pas besoin d’un accès administrateur. Un plugin de formulaire n’a pas besoin d’accéder à la base de données entière. Sur le serveur, les permissions des fichiers PHP doivent être en 644 et les répertoires en 755 — jamais en 777.

Les protections techniques à mettre en place :

  • Authentification à deux facteurs (2FA) sur tous les comptes : hébergement, CMS, registrar, emails. C’est la mesure la plus efficace pour empêcher l’exploitation d’un mot de passe volé.
  • Pare-feu applicatif web (WAF) : un WAF filtre les requêtes malveillantes avant qu’elles n’atteignent votre application. Des solutions comme Cloudflare ou Sucuri proposent cette protection en mode cloud, sans modification serveur.
  • Sauvegardes automatiques et externalisées : une sauvegarde stockée sur le même serveur compromis ne sert à rien. Configurez des sauvegardes quotidiennes vers un stockage distant (cloud, serveur séparé) et testez régulièrement leur restauration.
  • Monitoring de l’intégrité des fichiers : des outils comme Wordfence ou AIDE alertent dès qu’un fichier est modifié, ce qui permet de détecter une intrusion en temps quasi réel plutôt que des mois après.
  • Alertes Google Search Console : activez les notifications par email pour recevoir immédiatement toute alerte de sécurité publiée par Google sur votre propriété.
  • Politique de mots de passe : mots de passe longs, uniques par service, stockés dans un gestionnaire de mots de passe dédié. Ne jamais réutiliser un mot de passe entre le CMS, l’hébergement et le registrar.
  • Durcissement du serveur : désactiver l’exécution de PHP dans les répertoires d’upload, restreindre l’accès à wp-admin par IP si possible, désactiver l’édition de fichiers depuis le tableau de bord WordPress (DISALLOW_FILE_EDIT dans wp-config.php).
  • Surveillance des DNS : des services de monitoring DNS alertent en cas de modification de vos enregistrements, ce qui peut signaler une prise de contrôle du registrar.

La sécurité d’un site n’est pas un état, c’est un processus continu. Un audit trimestriel des accès, des plugins et des logs, combiné aux protections ci-dessus, réduit drastiquement la probabilité d’une nouvelle intrusion et, surtout, réduit le délai de détection si elle se produit malgré tout.

  • Atlancube Gardien de Mots de Passe Hors Ligne, Gérer Vos Mots de Passe - Clé USB Bluetooth, Cryptage de Niveau Militaire, Fonction de Remplissage Auto, 1 000 identifiants, CP001
    Fonction de remplissage automatique : dites adieu aux tracas de la saisie manuelle des mots de passe PasswordPocket remplit automatiquement vos informations d'identification en un seul clic. Protection des données sans Internet : utilisez le Bluetooth comme support de communication avec votre appareil. Éliminer le besoin d'accéder à Internet et réduire le risque d'accès non autorisé. Cryptage de qualité militaire : utilise des techniques de cryptage avancées pour protéger vos informations sensibles, vous offrant une confidentialité et une sécurité améliorées.
    47,90 €
  • Locknest, Le gestionnaire Physique de Mots de Passe sans dépendance au Cloud - Stockage chiffré en AES 256 - Connexion USB et Bluetooth - Jusqu’à 512 entrées protégées
    Protège jusqu'à 512 entrées (titre, identifiant, mot de passe, site, description) Générateur de mots de passe intégré (TRNG matériel) Stockage chiffré en AES 256 Aucune dépendance au Cloud Connexion Bluetooth et USB (rechargeable en USB-C, câble USB-C vers USB-A fourni)
    150,00 €
  • NordPass Premium, 1 An, Gestionnaire de Mots de Passe, Code Numérique
    Remplissez automatiquement les identifiants de connexion. Gagnez du temps en ligne, laissez NordPass remplir automatiquement vos identifiants de connexion. Un simple clic suffit. Ayez toujours votre mot de passe sur vous. NordPass synchronise automatiquement vos mots de passe sur plusieurs appareils afin que vous puissiez y accéder à tout moment. Vérifiez la force de votre mot de passe. L’outil intégré Qualité des mots de passe permet d’identifier les mots de passe faibles, anciens ou réutilisés. Une sécurité de pointe. NordPass utilise un chiffrement avancé pour garantir que tout ce qui est stocké dans le coffre-fort chiffré reste sécurisé en permanence. Compatibilité multiplateforme. NordPass est disponible pour les appareils Windows, Linux, macOS, Android et iOS. En outre, NordPass fournit une fonctionnalité de coffre-fort Web, vous permettant d’accéder à votre mot de passe à partir de n’importe quel navigateur sur n’importe quel appareil.
    32,99 €

FAQ

Quel site pour savoir si on a été piraté ?

Pour un site web, commencez par Google Safe Browsing (transparencyreport.google.com/safe-browsing/search) et votre Google Search Console (section « Problèmes de sécurité »). Des scanners comme Sucuri SiteCheck ou VirusTotal analysent le code visible de votre site. Pour vérifier si vos données personnelles ont été exposées dans une fuite, Have I Been Pwned (haveibeenpwned.com) est la référence : entrez votre adresse email ou numéro de téléphone pour obtenir un rapport détaillé des fuites connues vous concernant.

Quels sont les signes indiquant que votre site a été piraté ?

Les signaux les plus courants sont : des avertissements de sécurité affichés par Google dans ses résultats (« il est possible que ce site ait été piraté », « ce site risque d’endommager votre ordinateur »), des redirections vers des sites inconnus visibles surtout sur mobile, du contenu inconnu (liens pharmaceutiques, textes en langue étrangère) dans vos pages, des comptes administrateurs que vous n’avez pas créés, des fichiers PHP dans des répertoires normalement réservés aux médias, et des pages inconnues indexées par Google lors d’une recherche site:votredomaine.com.

Quels sont les signes d’un piratage ?

Un piratage peut se manifester de façon évidente (avertissement navigateur, redirection visible, site défiguré) ou rester totalement invisible pendant des mois (SEO spam discret, backdoor dormante, page de phishing hébergée dans un sous-répertoire). Les signes indirects incluent une lenteur serveur inexpliquée, des emails envoyés depuis votre domaine sans votre action, des alertes de votre hébergeur, ou une baisse soudaine du trafic organique signalant une pénalité Google liée à du contenu malveillant détecté sur votre site.

Comment puis-je savoir si mon compte a été piraté ?

Vérifiez votre adresse email sur Have I Been Pwned pour savoir si elle figure dans des fuites de données connues. Utilisez Google Password Checkup pour identifier les mots de passe compromis ou réutilisés dans vos comptes Google. Consultez l’historique des connexions de vos comptes sensibles (hébergement, email, CMS) : des connexions depuis des pays ou des IPs inconnus sont un signal d’alerte direct. Si vous utilisez Gmail ou Outlook, la section « Activité du compte » affiche les connexions récentes avec leur localisation.

Un site piraté n’est jamais une fatalité, mais il exige une réponse structurée. Diagnostic visuel, vérification outillée, contrôle technique : chaque étape réduit le champ des hypothèses jusqu’à la certitude. Le plus dangereux reste l’inaction — ou la conviction qu’un site « trop petit » ne vaut pas la peine d’être attaqué. Les attaquants automatisent leurs scans : la taille du site ne les intéresse pas, seule la vulnérabilité compte.

Articles similaires

Commencez à saisir du texte et appuyez sur Entrée pour rechercher

Retour en haut