Sécurité Web

Site WordPress hacké : les 7 signes qui ne trompent pas (et comment réagir)

Publié le 11 March 2026 · Mis à jour le 30 March 2026 — 5 min de lecture
En bref

Votre site WordPress a un comportement étrange ? Redirections, lenteurs, spam… Voici les 7 signes d'un piratage et la marche à suivre pour reprendre le contrôle.

Chaque jour, plus de 30 000 sites WordPress sont piratés dans le monde. La plupart des propriétaires ne s’en rendent compte que des semaines plus tard, quand Google affiche déjà un avertissement “Ce site peut être dangereux” dans les résultats de recherche. À ce stade, le mal est fait : perte de trafic, perte de confiance, et parfois perte de données.

Voici les 7 signaux d’alerte à surveiller — et surtout, quoi faire concrètement si votre site est compromis.

1. Des redirections vers des sites suspects

C’est le signe le plus visible : vos visiteurs sont redirigés vers des sites de casino, de pharmacie en ligne ou de contenus pour adultes. Cette redirection peut être intermittente (elle ne se déclenche qu’une fois sur deux, ou uniquement pour les visiteurs venant de Google), ce qui la rend difficile à détecter quand vous naviguez directement sur votre site.

Comment vérifier : ouvrez une fenêtre de navigation privée, allez sur Google et cherchez site:votredomaine.com. Cliquez sur plusieurs résultats. Si vous êtes redirigé, votre site est infecté. Vous pouvez aussi utiliser l’outil URL Inspection de Google Search Console pour voir ce que Google voit réellement.

2. Des pages ou articles que vous n’avez jamais créés

Vous découvrez dans votre back-office des centaines de pages avec des titres en anglais, en chinois ou bourrées de mots-clés pharmaceutiques. Ces pages fantômes sont créées par des scripts malveillants pour exploiter l’autorité SEO de votre domaine. Elles ciblent des mots-clés lucratifs et redirigent les visiteurs vers des sites de vente frauduleux.

Comment vérifier : dans votre tableau de bord WordPress, allez dans Articles > Tous les articles et Pages > Toutes les pages. Triez par date de création. Si vous voyez des contenus que vous n’avez pas publiés, c’est un signe clair de compromission.

3. Une chute brutale de trafic organique

Si votre trafic Google chute de 50 % ou plus en quelques jours sans raison apparente (pas de mise à jour d’algorithme, pas de changement de votre part), c’est souvent parce que Google a détecté du contenu malveillant sur votre site et vous a pénalisé. Vérifiez immédiatement Google Search Console : un message d’avertissement dans la section “Problèmes de sécurité” confirme le diagnostic.

La bonne nouvelle : une fois le site nettoyé et la demande de réexamen soumise, Google rétablit généralement le trafic sous 2 à 4 semaines.

4. Un site devenu anormalement lent

Votre site mettait 2 secondes à charger et maintenant il en met 15 ? Un script de minage de cryptomonnaie ou un bot de spam pourrait tourner sur votre serveur. Ces scripts consomment les ressources CPU et mémoire, ralentissant drastiquement votre site pour tous les visiteurs.

Comment vérifier : connectez-vous à votre hébergeur et vérifiez la consommation CPU. Si elle est anormalement élevée alors que votre trafic n’a pas augmenté, c’est suspect. Un outil comme PageSpeed Insights peut aussi révéler des scripts tiers inconnus.

5. Des comptes administrateurs inconnus

Allez dans Utilisateurs > Tous les utilisateurs dans votre back-office WordPress. Si vous voyez des comptes administrateurs que vous n’avez pas créés, votre site a été compromis. Les attaquants créent souvent un compte admin de secours pour pouvoir revenir même si vous changez votre mot de passe.

Action immédiate : supprimez tous les comptes suspects, changez le mot de passe de tous les administrateurs légitimes, et activez l’authentification à deux facteurs (2FA).

6. Votre hébergeur a suspendu votre site

Les hébergeurs surveillent les activités suspectes. Si votre site est utilisé pour envoyer du spam, héberger du phishing ou lancer des attaques, votre hébergeur peut le suspendre sans préavis. Vous recevrez un email expliquant la raison de la suspension.

C’est une situation urgente : tant que le site est suspendu, il est inaccessible et votre SEO se dégrade rapidement.

7. Des emails de spam envoyés depuis votre domaine

Vos contacts vous signalent recevoir des emails étranges provenant de votre adresse ? Les hackers utilisent souvent les serveurs compromis comme relais de spam. Résultat : votre domaine se retrouve sur des listes noires (blacklists), et même vos emails légitimes finissent en spam.

Comment vérifier : testez votre domaine sur MXToolbox Blacklist Check. Si votre domaine apparaît sur une ou plusieurs blacklists, il faut agir vite.

Que faire si votre site est hacké ?

La panique est naturelle, mais suivez cette procédure méthodique :

  1. Ne supprimez rien tout de suite — gardez une copie de l’état actuel pour analyse forensique
  2. Mettez le site en maintenance — pour protéger vos visiteurs
  3. Changez tous les mots de passe — WordPress admin, FTP, base de données, hébergeur
  4. Scannez les fichiers — avec Wordfence, Sucuri Scanner ou manuellement via SSH
  5. Identifiez la faille d’entrée — plugin obsolète, thème vulnérable, mot de passe faible ?
  6. Nettoyez ou restaurez — supprimez le code malveillant ou restaurez un backup sain
  7. Mettez tout à jour — WordPress, thèmes, plugins, PHP
  8. Soumettez un réexamen Google — via Search Console si vous avez reçu un avertissement

La meilleure protection : la prévention

Un site WordPress bien sécurisé ne se fait quasiment jamais pirater. Les mesures essentielles :

  • Mises à jour automatiques de WordPress, thèmes et plugins
  • Mots de passe forts + authentification 2FA
  • Plugin de sécurité (Wordfence, iThemes Security)
  • Sauvegardes automatiques quotidiennes
  • Hébergement de qualité avec pare-feu WAF
  • Suppression des plugins et thèmes inutilisés

Vous avez un doute sur la sécurité de votre site ? Nous réalisons des audits de sécurité WordPress complets. Contactez-nous pour un diagnostic.

Besoin d’un expert ? Nettoyage site WordPress piraté →

Questions fréquentes

Comment savoir avec certitude si mon site WordPress a été piraté ?

Méthodes de vérification : Sucuri SiteCheck (scan gratuit en ligne, pas d’installation requise), Google Search Console (onglet Sécurité), vérification manuelle des fichiers PHP récemment modifiés (via FTP : triez par date de modification et cherchez des fichiers PHP dans des dossiers d’upload ou des fichiers système modifiés récemment).

Peut-on nettoyer soi-même un site WordPress piraté ?

Pour les infections simples (redirection malveillante, spam SEO) : oui, avec Wordfence ou Malcare qui détectent et suppriment les fichiers infectés. Pour les infections avancées (backdoor dans le core WordPress, base de données compromise, serveur root compromis) : faites appel à un professionnel. La restauration d’une sauvegarde propre est souvent plus rapide et plus fiable qu’un nettoyage manuel.

W
Rédigé par
WebEngine
Développeur web freelance à Paris spécialisé WordPress, WooCommerce et SEO technique depuis 2010. 13 avis vérifiés · Note 5/5. Chaque site livré atteint un score PageSpeed mobile supérieur à 90.

Articles associés

Sécurité Web

Sécuriser un site WordPress en 2026 : la checklist complète en 15 points

Brute force, plugins vulnérables, xmlrpc.php — WordPress est la cible numéro 1 des hackers. La checklist complète pour…

Lire l'article
Sécurité Web

Sécuriser un site WordPress en 10 étapes concrètes (2026)

Guide pratique pour sécuriser WordPress en 2026 : mises à jour, 2FA, Cloudflare WAF, sauvegardes hors-site, changement de…

Lire l'article
Sécurité Web

Sécurité PHP : les 10 failles à éviter absolument en 2026

Les failles PHP sont la porte d'entrée des hackers sur des millions de sites. Ce guide couvre les…

Lire l'article

Un projet en tête ?

Devis gratuit sous 48h, sans engagement.

Demander un devis gratuit