Pas de panique, mais réagir vite ! Bon, on va dire les choses franchement : voir son site WordPress piraté, ça peut foutre un vrai coup au moral. On a tous cette petite angoisse en ouvrant notre site et en découvrant une page étrange, des pubs bizarres ou – le pire – la fameuse page blanche. Mais, et j’insiste là-dessus, ce n’est pas la fin du monde. Avant de tout casser ou de paniquer, prenez deux minutes, respirez. On va voir ce qu’on peut faire.
Commencer par tout sauvegarder (oui, même le hack…)
Ça peut paraître bizarre, mais la première chose : faites une copie de votre site dans l’état où il est. Pourquoi ? Parce que parfois, l’hébergeur ou une agence spécialisée comme ProxiDesign va avoir besoin de voir ce qui s’est passé, de comprendre la faille. Vous pouvez utiliser FTP, ou un plugin comme UpdraftPlus (honnêtement, il m’a sauvé plusieurs fois dans des situations tendues).
Mettre le site hors ligne (autant limiter la casse)
Franchement, laissez pas vos visiteurs tomber sur du contenu piraté, ça fait mauvaise impression. Le mieux, c’est de mettre le site temporairement en maintenance. Un plugin tout simple du type WP Maintenance Mode (rien de bien sorcier) et hop. Vous limitez déjà les dégâts.
Changer tous les accès (et plus vite que ça !)
Pas subtil, mais tellement efficace : changez tous les mots de passe. Le vôtre, ceux de vos coéquipiers (si vous êtes plusieurs sur le site), mais aussi ceux du FTP et de la base de données. Faites-le avant de commencer à tout nettoyer. Pour aller plus loin, changez même la clé secrète dans le fichier wp-config.php (les AUTH_KEY, SECURE_AUTH_KEY, etc.).
Nettoyer le site… mais sans tout casser
Vous n’avez pas idée du nombre de sites où je suis intervenu : la personne a tout effacé, tout réinstallé « par sécurité », et résultat, on se retrouve parfois avec un site vide, voire perdu. Avant de sortir l’artillerie lourde, scannez le site. Un plugin comme Sucuri, Wordfence ou MalCare peut vraiment rendre service. Ils vous montrent les fichiers suspects, le code modifié, et souvent même d’où est venue l’infection.
Ensuite, supprimez tout ce qui vous semble louche. Les thèmes ou extensions que vous ne connaissez pas ? Dehors. Un fichier qui traîne dans /wp-content/uploads et qui n’a rien de banal ? Pouf.
Restaurer une sauvegarde propre (si vous en avez une)
Là, tout dépend si vous aviez une routine de maintenance site WordPress… Sérieusement, c’est LA clé pour dormir tranquille. Si oui, alors restaurez la dernière version « saine » de votre site. Là encore, au risque de radoter : UpdraftPlus ou Duplicator, ça marche du tonnerre. Faites bien attention à remplacer à la fois les fichiers et la base de données, sinon l’infection risque de revenir, comme un cheveu sur la soupe.
Mettre à jour tout le bazar
Piraté ou pas, il faut le faire. Mais là, c’est vital : mettez à jour WordPress, toutes les extensions, les thèmes… Même s’ils venaient de sortir d’une mise à jour, rebelote. Souvent, c’est une faille dans un plugin obsolète qui amène un hack. (Petit conseil d’ami : supprimez ce que vous n’utilisez pas, vraiment, y’a pas de raison de garder 3 thèmes en plus…)
Renforcer la sécurité globale
Une fois sorti de la galère, profitez-en pour durcir la maintenance site WordPress. Par exemple :
- Installez un firewall (Wordfence fait bien le taff).
- Activez la double authentification sur vos comptes admin.
- Changez le préfixe de la base (
wp_), ça limite les scripts automatisés. - Faites des sauvegardes automatiques toutes les semaines (ou plus, selon votre activité).
Bref, on ne relâche pas la surveillance une fois que c’est passé !
Prévenir Google et les visiteurs (histoire d’éviter le pire…)
Vous voyez les avertissements « Ce site peut être piraté » sur Google ? Pour ne pas que ça reste ad vitam, connectez-vous à la Search Console, demandez une révision dès que tout est clean. Et prévenez vos visiteurs, aussi. Un petit message honnête sur la maintenance site WordPress : ça rassure, franchement. Parfois, la transparence vaut mieux qu’un silence radio.