Découvrir que votre site WordPress a été piraté est une expérience stressante, surtout lorsque votre entreprise en dépend. Pour les entreprises belges, un site web compromis n'est pas seulement un problème technique — cela peut déclencher des obligations de notification RGPD, endommager la confiance des clients et coûter du chiffre d'affaires pour chaque heure où votre site reste hors ligne. Ce guide de récupération étape par étape vous accompagne dans l'identification de la brèche, le nettoyage de votre site et son renforcement contre les attaques futures.
Signes que votre site WordPress a été piraté
De nombreux piratages passent inaperçus pendant des jours ou des semaines. Connaître les signes d'alerte vous permet d'agir rapidement et de limiter les dégâts :
- Redirections inattendues — les visiteurs sont envoyés vers des sites de spam, de phishing ou pharmaceutiques à votre insu. C'est l'un des symptômes de piratage les plus courants.
- Comptes administrateur inconnus — de nouveaux comptes utilisateurs avec des privilèges administrateur que vous n'avez pas créés. Vérifiez immédiatement votre panneau Utilisateurs.
- Fichiers modifiés — les fichiers du cœur WordPress, les fichiers de thème ou les fichiers de plugins ont été altérés. Vous pouvez remarquer des fichiers PHP inconnus dans votre répertoire uploads.
- Avertissements Google — Google Search Console signale votre site pour malware ou contenu trompeur, ou votre site affiche "Ce site a peut-être été piraté" dans les résultats de recherche.
- Performance lente ou utilisation élevée des ressources — des cryptomineurs ou des scripts de spam fonctionnant sur votre serveur consomment CPU et mémoire, causant des ralentissements notables.
- Contenu spam injecté — des liens cachés, des pages ou des articles apparaissent sur votre site pour promouvoir des produits ou services qui ne vous concernent pas.
- Problèmes de délivrabilité des emails — votre domaine est mis sur liste noire parce que le pirate a utilisé votre serveur pour envoyer des emails de spam.
Un scan de vulnérabilités régulier peut détecter bon nombre de ces indicateurs avant qu'ils ne se transforment en brèche complète.
Actions immédiates après la découverte d'un piratage
La rapidité compte. Plus longtemps le malware reste actif, plus il cause de dégâts. Suivez ces étapes dans l'ordre :
- Ne paniquez pas et ne supprimez rien pour l'instant — vous avez besoin de preuves pour comprendre le vecteur d'attaque et évaluer l'étendue de la brèche.
- Mettez votre site hors ligne — activez le mode maintenance ou bloquez temporairement l'accès public. Cela empêche les visiteurs d'être exposés au malware et arrête l'attaquant de causer davantage de dommages.
- Changez tous les mots de passe immédiatement — mots de passe admin WordPress, identifiants FTP/SFTP, mots de passe de base de données, mots de passe du panneau d'hébergement et toutes les clés API connectées.
- Documentez tout — notez la date et l'heure de la découverte, les symptômes observés et prenez des captures d'écran. Cette documentation est essentielle pour le signalement de violation RGPD et pour toute analyse forensique.
- Contactez votre hébergeur — il peut disposer de journaux au niveau serveur, aider à identifier le point d'entrée et avoir des sauvegardes propres disponibles.
- Évaluez si des données personnelles ont été compromises — si votre site WordPress stocke des données clients via des formulaires de contact, des commandes WooCommerce ou des inscriptions utilisateurs, vous avez peut-être une violation déclarable au titre du RGPD.
Identification et suppression des malwares
La suppression systématique des malwares nécessite de vérifier chaque couche de votre installation WordPress :
Nettoyage au niveau des fichiers
- Comparez les fichiers du cœur — téléchargez une copie propre de votre version WordPress et comparez chaque fichier dans wp-admin et wp-includes avec les originaux. Remplacez tout fichier modifié.
- Inspectez wp-content — vérifiez vos répertoires themes, plugins et uploads pour des fichiers PHP inconnus. Les pirates cachent souvent des portes dérobées dans des fichiers nommés pour paraître légitimes, comme
wp-cache.phpouclass-wp.phpdans votre dossier uploads. - Vérifiez wp-config.php — recherchez du code inconnu injecté au-dessus ou en dessous de vos paramètres de configuration. Régénérez vos clés de sécurité et sels WordPress.
- Scannez .htaccess — des règles de redirection malveillantes sont fréquemment insérées dans les fichiers .htaccess. Comparez avec le .htaccess WordPress par défaut.
- Recherchez le code obfusqué — cherchez
base64_decode,eval,str_rot13,gzinflateet des fonctions similaires couramment utilisées pour masquer les charges malveillantes.
Nettoyage de la base de données
- Vérifiez la table wp_users — supprimez tout compte administrateur non autorisé.
- Inspectez wp_options — recherchez des entrées suspectes dans siteurl, home et tout nom d'option inconnu qui pourrait être une configuration de porte dérobée.
- Scannez le contenu des articles — parcourez wp_posts à la recherche de liens spam injectés, d'iframes ou de JavaScript. Portez une attention particulière aux articles avec des dates de modification récentes que vous ne reconnaissez pas.
- Vérifiez les tâches planifiées — examinez les entrées wp_cron pour des événements planifiés malveillants qui pourraient réinfester votre site après le nettoyage.
Suivre les bonnes pratiques de sécurité des applications web pendant le nettoyage garantit que vous n'introduisez pas accidentellement de nouvelles vulnérabilités en corrigeant celles existantes.
Renforcement de votre site après la récupération
Le nettoyage du malware n'est que la moitié du travail. Sans renforcement, votre site sera probablement re-compromis. Implémentez ces mesures immédiatement après la récupération :
- Mettez tout à jour — le cœur WordPress, tous les thèmes et tous les plugins à leurs dernières versions. Supprimez les thèmes ou plugins que vous n'utilisez pas activement.
- Installez un plugin de sécurité — Wordfence ou Sucuri Security fournit un firewall applicatif web, un scan de malware et une protection de connexion.
- Activez l'authentification à deux facteurs — ajoutez la 2FA à chaque compte administrateur et éditeur.
- Restreignez les permissions de fichiers — définissez les répertoires à 755, les fichiers à 644 et wp-config.php à 600.
- Désactivez l'édition de fichiers — ajoutez
define('DISALLOW_FILE_EDIT', true);dans wp-config.php. - Implémentez des sauvegardes régulières — automatisez des sauvegardes quotidiennes stockées hors site pour toujours avoir un point de restauration propre.
- Mettez en place la surveillance — configurez la surveillance de l'intégrité des fichiers et les alertes de disponibilité pour détecter rapidement toute future compromission.
Pour une liste de vérification complète de renforcement, lisez notre guide dédié sur le renforcement de la sécurité WordPress.
Obligations de notification de violation de données RGPD en Belgique
Si votre site WordPress piraté stockait des données personnelles — et la plupart des sites d'entreprise en stockent, via des formulaires de contact, des inscriptions à la newsletter, des comptes utilisateurs ou des commandes e-commerce — vous avez des obligations légales en vertu du RGPD :
- Fenêtre de notification de 72 heures — vous devez notifier l'Autorité de protection des données belge dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles, sauf si la violation est peu susceptible d'engendrer un risque pour les droits des personnes.
- Évaluez le risque — déterminez quelles données personnelles ont été exposées (noms, adresses email, mots de passe, informations de paiement) et combien de personnes sont affectées.
- Notifiez les personnes concernées — si la violation présente un risque élevé pour les droits et libertés des personnes, vous devez également informer directement les personnes affectées.
- Documentez la violation — que vous la signaliez ou non, le RGPD exige que vous teniez un registre interne de toutes les violations de données, incluant les faits, les effets et les mesures correctives prises.
Comprendre l'intersection entre cybersécurité et conformité est essentiel. Notre guide sur les coûts d'audit de sécurité en Belgique peut vous aider à budgétiser des mesures proactives qui préviennent les violations en amont.
Quand faire appel à des professionnels
Bien que les piratages mineurs puissent parfois être résolus en interne, plusieurs situations justifient de faire appel à des professionnels de la cybersécurité :
- Vous ne pouvez pas identifier le point d'entrée — si vous ne savez pas comment l'attaquant est entré, vous ne pouvez pas être certain que la vulnérabilité est corrigée.
- Le piratage se reproduit — une réinfection persistante signifie généralement qu'une porte dérobée a été manquée lors du nettoyage.
- Des données personnelles ont été compromises — les situations de violation RGPD nécessitent un traitement et une documentation soignés qui bénéficient de l'expertise professionnelle.
- Votre site traite des transactions financières — les sites WooCommerce ou de traitement de paiement exigent une analyse forensique pour déterminer si des données de paiement ont été exfiltrées.
- Vous manquez d'expertise technique — tenter un nettoyage sans connaissances suffisantes peut détruire des preuves et potentiellement aggraver la situation.
Avant d'engager un cabinet de sécurité, apprenez comment préparer un test d'intrusion pour planifier une évaluation post-récupération approfondie.
Comment ICTLAB peut vous aider
L'équipe cybersécurité d'ICTLAB fournit une récupération d'urgence après piratage WordPress et une analyse forensique pour les entreprises belges. Nous identifions le vecteur d'attaque, supprimons tout le code malveillant, nettoyons votre base de données, renforçons votre installation et vous aidons à remplir vos obligations de notification RGPD. Après la récupération, nous effectuons un audit de sécurité complet pour garantir que votre site est protégé contre les attaques futures.