Site piraté : que faire dans les 48 premières heures ?

Ton site affiche une page bizarre, redirige vers un site de pharmacie russe, ou Chrome affiche un avertissement rouge à chaque visite. Première réaction : la panique. Deuxième réaction : ce qu'on a tendance à faire en panique, c'est rarement la bonne chose.

La question site piraté que faire est l'une des plus stressantes pour un dirigeant. Ton outil commercial principal est compromis, tes clients voient un message d'alerte, et tu ne sais pas par où commencer.

Pire : chaque heure qui passe creuse l'écart, surtout si Google a déjà détecté l'incident.

Voici la procédure qu'on applique chez Ellebay quand un client nous contacte après un piratage. Heure par heure, action par action.

Comment savoir si ton site a vraiment été piraté ?

Avant de tout débrancher, vérifie que c'est bien un piratage. Certains symptômes ressemblent à une infection mais viennent d'ailleurs (bug de plugin, problème de cache, erreur de configuration).

Les signes qui confirment un piratage :

• ton site redirige vers un autre domaine (souvent des sites de pharmacie, de paris en ligne ou de produits suspects)
• Chrome ou Firefox affiche un avertissement rouge "Site trompeur" ou "Logiciel malveillant"
• Google Search Console t'a envoyé un message d'alerte de sécurité
• des pages inconnues apparaissent dans Google avec ton domaine (souvent en japonais, russe ou avec des caractères chinois)
• ton trafic chute brutalement de 60% ou plus en quelques jours
• des comptes administrateurs que tu ne reconnais pas sont apparus dans le back-office
• ton hébergeur t'a suspendu le site pour activité suspecte

Si tu as un ou plusieurs de ces signes, c'est un piratage. Passe directement à la suite.

H+0 à H+1 : isoler le problème, ne pas faire de bêtises

La première heure est critique. Ce que tu fais (ou ne fais pas) ici détermine la suite.

Ce qu'il faut faire tout de suite

Mettre le site en maintenance ou hors ligne. Pas pour cacher le problème, mais pour éviter que tes visiteurs continuent à voir du contenu malveillant ou à se faire infecter à leur tour. Sur WordPress, un plugin de maintenance ou un fichier .htaccess qui redirige vers une page statique suffit. Sur l'hébergeur, tu peux aussi suspendre le site en quelques clics.

Changer immédiatement tous les mots de passe. Compte admin WordPress, FTP/SFTP, base de données, panneau d'hébergement, email associé au compte hébergeur. Sans exception. Utilise des mots de passe longs et différents pour chaque service.

Prendre des captures d'écran. De la home page piratée, des pages redirigées, des messages d'erreur Google. Tu en auras besoin pour la suite (réexamen Google, dépôt de plainte, déclaration CNIL si applicable).

Bloquer l'accès au back-office. Si tu peux toujours te connecter, ajoute une protection par .htpasswd sur /wp-admin/ pour empêcher le pirate de revenir pendant que tu nettoies.

Ce qu'il ne faut surtout pas faire

Ne supprime rien dans la précipitation. Les fichiers infectés contiennent des traces utiles pour comprendre comment le pirate est entré. Tu en as besoin pour boucher la faille après le nettoyage.

Ne restaure pas une sauvegarde sans réfléchir. Si l'infection date de plusieurs semaines, ta sauvegarde la plus récente est elle aussi infectée. Restaurer aveuglément ne fait que repousser le problème.

Ne paie aucune rançon. Si tu reçois un message demandant un paiement en cryptomonnaie pour récupérer ton site, c'est une arnaque. Payer ne garantit rien et te met dans la liste des cibles faciles pour les prochaines attaques.

H+1 à H+6 : diagnostiquer l'étendue des dégâts

Maintenant que la panique est passée et que le site est isolé, on évalue ce qui est touché.

Vérifier ce qui a été compromis

Scanner le site. Sucuri SiteCheck (gratuit) te dit en quelques secondes si ton site est sur une blacklist publique et quels malwares sont détectés. Pour WordPress, le plugin Wordfence en mode scan profond identifie les fichiers modifiés et les portes dérobées.

Inspecter les utilisateurs. Dans WordPress, vérifie la liste des comptes administrateurs. Un compte récent avec un nom anglo-saxon ou des caractères bizarres est presque toujours un compte créé par le pirate.

Auditer les fichiers récents. Connecte-toi en FTP et regarde les fichiers modifiés dans les dernières semaines. Les fichiers PHP avec des noms aléatoires (xkjd92.php, wp-config-old.php, index2.php) sont suspects. Idem pour les fichiers dans /wp-content/uploads/ qui ne sont pas des images.

Contrôler la base de données. Cherche des contenus injectés dans les articles, les pages, ou la table wp_options. Les injections SEO classiques ajoutent des liens cachés vers des sites pharmaceutiques ou de paris en ligne.

Identifier le vecteur d'attaque

Avant de nettoyer, comprends comment le pirate est entré. Sans ça, tu vas refaire le ménage et te faire repirater une semaine plus tard.

Les portes d'entrée les plus fréquentes sont les plugins WordPress obsolètes, les mots de passe administrateur faibles, les thèmes nulled téléchargés gratuitement sur des sites douteux, ou les attaques par force brute sur la page de connexion. Selon le rapport State of WordPress Security 2025 de Patchstack, 90% des vulnérabilités de l'écosystème WordPress proviennent des plugins. Ce sont presque toujours eux le coupable.

Pour creuser les bonnes pratiques de prévention selon ton CMS, notre guide sécuriser son site web en 2026 détaille la marche à suivre.

H+6 à H+24 : nettoyer et restaurer

C'est l'étape la plus longue. Selon l'état du site, deux options.

Option 1 : restaurer une sauvegarde propre

Si tu as une sauvegarde antérieure à l'infection (vérifie les dates, certains piratages dorment plusieurs semaines avant de se déclencher), c'est la voie la plus rapide.

Avant de restaurer :

• vérifie la sauvegarde dans un environnement de staging d'abord, jamais en prod direct
• assure-toi qu'elle contient bien la base de données ET les fichiers
• une fois restaurée, mets immédiatement à jour le core WordPress, le thème et tous les plugins
• supprime les plugins inutilisés (chaque plugin est une porte d'entrée potentielle)

Option 2 : nettoyer le site infecté

⚠️ Avant d'aller plus loin : si tu as construit ton site toi-même avec une IA, un constructeur visuel ou en suivant des tutos, et que tu n'as jamais touché à du FTP, du PHP ou une base de données, arrête-toi ici. Les étapes qui suivent demandent une vraie aisance technique. Une fausse manipulation peut effacer ton site entier ou rendre l'infection encore plus difficile à diagnostiquer. Dans ce cas, passe directement au paragraphe suivant et appelle un prestataire. Ça te coûtera moins cher qu'une catastrophe.

Si tu n'as pas de sauvegarde fiable, il faut nettoyer fichier par fichier. C'est long et technique.

Les grandes étapes :

• comparer chaque fichier WordPress core avec la version officielle (l'outil wp-cli permet de le faire en une commande)
• supprimer tous les fichiers PHP non-WordPress qui ne devraient pas être là
• nettoyer la base de données des injections (souvent dans wp_options, wp_posts et les tables de plugins)
• réinstaller proprement le thème et les plugins depuis leurs sources officielles
• changer toutes les clés de sécurité dans wp-config.php

Si tu n'es pas à l'aise avec ces manipulations, fais appel à un prestataire. Une boulette à ce stade peut rendre le site définitivement irrécupérable. Chez Ellebay, on intervient sur ce genre d'incident, mais chaque cas est différent : parfois c'est une heure de travail, parfois plusieurs jours selon l'ampleur de l'infection. On fait toujours un devis après un premier diagnostic. Notre service de maintenance inclut ce type d'intervention d'urgence.

H+24 à H+48 : sécuriser et avertir Google

Le site est propre. Il ne faut surtout pas le remettre en ligne tel quel et passer à autre chose.

Boucher la faille d'origine

Si le piratage venait d'un plugin obsolète, mets-le à jour ou remplace-le. Si c'était un mot de passe faible, active la double authentification sur tous les comptes admin. Si c'était un thème nulled, achète une licence légitime ou change de thème.

Mettre en place des protections de base :

• limiter les tentatives de connexion (plugin Limit Login Attempts Reloaded)
• activer la double authentification sur tous les comptes admin (plugin Wordfence ou Two Factor)
• masquer la page de connexion WordPress (changer /wp-admin/ en /connexion-perso/ par exemple)
• installer un firewall applicatif (Wordfence ou Cloudflare en option gratuite)
• programmer des sauvegardes quotidiennes externalisées hors-serveur

Demander un réexamen à Google

Si ton site a été blacklisté ou si Search Console affiche un avertissement de sécurité, tu dois demander un réexamen manuel.

La procédure :

• connecte-toi à Google Search Console
• va dans "Sécurité et actions manuelles" puis "Problèmes de sécurité"
• clique sur "Demander un réexamen" après avoir nettoyé le site
• explique brièvement ce qui s'est passé et ce que tu as fait pour corriger

Le délai de réexamen est généralement de quelques jours. Une fois validé, l'avertissement disparaît des résultats de recherche et de Chrome.

Vérifier les obligations légales

Si ton site stocke des données personnelles de clients (formulaire de contact, comptes utilisateurs, achats e-commerce), tu as 72 heures pour notifier la CNIL en cas de fuite de données. C'est une obligation du RGPD, et le non-respect peut coûter cher.

Dépose aussi une plainte au commissariat ou en ligne sur la plateforme THESEE. Même si l'enquête a peu de chances d'aboutir, le dépôt de plainte est nécessaire pour ton assurance professionnelle et pour les éventuelles démarches CNIL.

J+7 : suivi et bilan

Une semaine après l'incident, prends le temps d'un bilan.

Côté SEO, surveille tes positions dans Search Console et tes principales requêtes. Si tu as été blacklisté, comptez 3 à 6 semaines pour retrouver tes positions d'avant l'incident, à condition d'avoir agi vite. Pendant cette période, ne fais surtout pas de modifications massives sur le contenu, ça brouille les signaux.

Côté technique, vérifie chaque jour que le scan Sucuri ou Wordfence reste propre. Une réinfection dans les premiers jours signifie que la faille n'a pas été complètement bouchée.

Côté business, identifie ce que l'incident a coûté en CA perdu, en temps passé, en intervention externe. Cette estimation justifie l'investissement dans une maintenance préventive sérieuse. Notre article sur le coût réel de la maintenance d'un site web détaille ce que représente un contrat préventif, et c'est presque toujours moins cher que la remise en état d'un incident.

Comment éviter le prochain piratage ?

Une fois passée l'urgence, la vraie question n'est plus "site piraté que faire" mais "comment ne pas y retourner".

Les mesures qui font la différence sont connues : mises à jour régulières, sauvegardes externalisées, mots de passe forts avec double authentification, plugins limités au strict nécessaire, monitoring de disponibilité, et un prestataire qui surveille tout ça à ta place si tu n'as pas le temps.

C'est précisément l'objet d'un contrat de maintenance. Pas une assurance contre tous les risques (le risque zéro n'existe pas), mais une réduction drastique de la probabilité d'incident et un temps de remise en état beaucoup plus court si ça arrive quand même.

Si ton site vient d'être piraté ou si tu veux mettre en place une vraie protection avant que ça arrive, un appel découverte de 30 min offert est disponible. On regarde ensemble l'état de ton site et on te dit franchement ce qui doit être fait, dans quel ordre, et à quel coût. Pas de baratin.

Tu peux aussi consulter la checklist de maintenance complète pour mettre en place dès maintenant les bonnes pratiques mensuelles, ou directement notre page maintenance pour voir nos forfaits.

Aurore est co-fondatrice d'Ellebay Digital et spécialiste SEO et design UX/UI. Elle accompagne les restaurants, commerces et PME du Var, y compris sur les sujets de récupération SEO après un incident de sécurité. Tu peux demander un appel découverte de 30 min, offert, pour faire le point sur ta situation.