Comment sécuriser un site WordPress victime d’un piratage et de spam ?

Si comme moi vous gérez quelques sites Internet sous WordPress, vous avez peut-être déjà reçu l’alerte suivante :

En tapant “site:nomdusite.fr”, il est alors facile de repérer certaines pages douteuses :

Sur la page d’accueil du site, tout est normal. Cela renseigne sur la stratégie des pirates : ne pas dégrader mais rajouter “discrètement” leurs contenus pour générer du trafic vers des liens mis en place sur ces nouvelles pages (spamdexing).

Les pages en question sont générées automatiquement à partir de mots clés populaires. Elles n’ont aucun sens mais bénéficient de l’autorité du site existant et peuvent ainsi tromper Google et obtenir un peu de succès dans ses classements.

D’ailleurs, peu après l’apparition de ces contenus, le site a connu une hausse de trafic phénoménale :

… mais Google a ensuite corrigé le tir et le site est à nouveau proche de son trafic initial.

Par contre, il est repéré en tant que site “spammé” et Google ne lui accordera plus le même crédit avant qu’il ne soit réparé et signalé comme sain à nouveau (demande de réexamen).

Google est d’ailleurs assez vague sur la méthode à employer pour sécuriser son site :

En attendant un nettoyage, l’ajout massif de pages sature le serveur et bloque/ralentit votre site, d’où l’alerte de l’hébergeur qui indique un “dépassement de ressources” :

Comment sortir de cette spirale et reprendre la main ?

1/ Mettre à jour son site.

Lancer les mises à jour :

  1. De WordPress.
  2. Des plugins (supprimer ceux non utilisés).
  3. Des thèmes (supprimer ceux non utilisés).
  4. De la version PHP dans votre espace hébergement.

2/ Modifier son mot de passe.

Surtout si vous utilisez celui fournit avec la démo du thème :].

3/ Faire une sauvegarde de son site.

Sur OVH par exemple, rendez-vous sur Hébergement / Base de données et cliquez sur “créer une sauvegarde” :

4/ Scanner son site.

Installer et programmer un scan avec le plugin Wordfence : https://fr.wordpress.org/plugins/wordfence/

Le plugin va proposer une liste de fichiers à traiter. Il faudra soit nettoyer soit supprimer les fichiers infectés. Wordfence propose une option de réparation des fichiers.

Vérifiez que le site fonctionne toujours après chaque fichier effacé. Vous pouvez alors lancer un nouveau scan pour confirmer que l’ordre est rétabli.

Faites alors une demande réexamen auprès de Google s’il vous a signalé le piratage via Search Console.

Si certaines de ces démarchés vont semblent délicates ou que vous manquez de temps, pourquoi ne pas faire appel à une agence wordpress pour sécuriser son site ?

5/ Quelques conseils pour éviter tout nouveau désagrément.

a/ Favoriser les mises à jour automatiques.

Si vous avez suivi les précédents paragraphes, votre site est maintenant à jour, avec un nouveau mot de passe plus robuste.

Savez-vous qu’il est possible de permettre à vos plugins/modules de se mettre automatiquement à jour sous WordPress ?

C’est l’une des pistes à privilégier pour garder son site en sécurité si n’accédez pas régulièrement au Dashboard. Rendez-vous sur l’onglet “Extensions” puis cliquez sur “Activer les mises à jour auto” :

b/ Utiliser une application dédiée à la sécurité.

plugins populaires sécurité wordpress

WordPress propose notamment 3 plugins populaires pour favoriser votre sérénité :

  1. Wordfence : firewall, scanner de fichiers, sécurité renforcée lors du login… Un peu limité en version gratuite ?
  2. All In One WP Security & Firewall : le plus complet d’après son descriptif. Noté 5 étoiles par la communauté. Gratuit apparemment, les développeurs vendent surtout des produits de monétisation de site WordPress.
  3. Sucuri Security : insiste particulièrement sur le nettoyage après piratage, l’enlèvement des fichiers malicieux et le retour à la normale. Prix assez élevé en “premium”, à partir de 200€/an.

Besoin d’aide pour un site WordPress piraté ? N’hésitez pas à cliquer sur le lien pour consulter un exemple d’intervention en 24h pour 250€. De quoi retrouver le sommeil et réactiver votre campagne Google Ads suspendue ;).

J'ai engrangé mes premiers revenus sur le web en 2012 en développant et en monétisant le trafic de mes sites (AdSense...).


Depuis 2013 et mes premières prestations professionnelles, j'ai eu l'opportunité de participer à la progression de plus de 450 sites de plus de +20 pays.

A lire aussi sur le blog

Voir tous les articles
No Comments

Un commentaire ?