Besoin d'un module encore plus spécifique ?
Partagez votre besoin pour découvrir la création du module qui vous correspond. Si besoin de formation en direct par visio, n'hésitez pas à utiliser le formulaire de contact.
Votre site WordPress est piraté : les signes concrets à connaître absolument
Quand un site WordPress est piraté, les symptômes ne sont pas toujours évidents. Certains sont très subtils, d’autres ne s’affichent que pour les visiteurs externes. Pourtant, il existe des signaux extrêmement fiables et mesurables, basés sur des constatations réelles sur des sites compromis.
Voici les signes les plus concrets, ceux que les administrateurs découvrent trop tard… mais qui permettent d’identifier une compromission bien avant la panne totale.
1. Une base de données qui gonfle soudainement
C’est l’un des signes les plus fiables.
Les malwares injectent très souvent :
- du contenu invisible
- des liens encodés
- des chaînes base64
- du spam
- des redirections stockées dans
wp_options,wp_postsouwp_postmeta
Comment vérifier
- OVH : section Base de données → Taille
- o2switch : phpMyAdmin + aperçu taille
- SiteGround : Site Tools → MySQL
Exemple réel :
| Date | Taille BDD |
|---|---|
| 1er mai | 60 Mo |
| 15 mai | 195 Mo |
Si la base double ou triple sans intervention, il y a un problème.
2. Des connexions FTP ou SFTP à des heures impossibles
Les pirates se connectent souvent :
- entre 2h et 5h du matin
- le week-end
- depuis des pays improbables pour votre trafic
Vérifier
- OVH : Logs FTP
- o2switch : cPanel → Raw FTP logs
- SiteGround : Statistics → Access logs
Une seule connexion FTP que vous n’avez pas initiée = alerte.
3. Des redirections aléatoires, surtout sur mobile
C’est l’un des symptômes les plus répandus.
Les redirections se déclenchent :
- uniquement sur smartphone
- uniquement en navigation privée
- jamais quand vous êtes connecté en tant qu’admin
- de manière aléatoire
Les scripts sont conçus pour ne pas être visibles par l’administrateur.
Test simple
- Ouvrir une fenêtre privée
- Depuis un téléphone
- Naviguer sur 4 ou 5 pages
- Voir si vous êtes redirigé sur des pages suspectes (e-commerce frauduleux, pubs, faux antivirus, etc.)
4. Apparition de nouveaux comptes administrateurs
Un pirate crée souvent :
- un compte admin “discret”
- un compte au nom très banal
- un compte caché uniquement dans la base de données
Exemples de noms réels trouvés :
wpbackupsystemuseradmin2wpservice
Vérifier
- WordPress → Utilisateurs
- Si rien → vérifier dans
wp_usersetwp_usermeta
5. Des fichiers PHP modifiés sans raison
Un fichier modifié à une date où vous n’avez rien touché = signe d’infection.
Fichiers très souvent modifiés :
index.phpwp-config.phpfunctions.phpdu thème- fichiers PHP isolés (
ini.php,tmp.php,fonts.php, etc.) - fichiers dans
/wp-includesou/wp-admin
Vérifier
Dans FileZilla → trier les fichiers par date de modification.
6. Apparition de dossiers bizarres dans /wp-content
Certains malwares créent des dossiers très crédibles mais totalement faux.
Exemples :
/wp-content/cache-old//wp-content/fonts/(faux)/wp-content/.well-known/(non officiel)/wp-content/temp//uploads/2025/01/cache/
Ces dossiers contiennent souvent :
- des centaines de fichiers
.php - des fichiers
.icoen réalité exécutables - des scripts encodés
7. Une hausse anormale du CPU ou des ressources serveur
Très courant.
Les scripts malveillants envoient du spam, effectuent du minage ou exécutent des tâches répétitives.
Signes typiques
- CPU saturé
- I/O très élevée
- mémoire utilisée anormalement
- processus PHP en rafale
Où regarder
- OVH : Onglet Ressources
- o2switch : CPU & Concurrent connections
- SiteGround : Site Tools → Statistics
8. Search Console détecte des URL fantômes
Search Console est souvent le premier outil à détecter l’infection.
Exemples d’URL fantômes :
- pages HTML qui n’existent pas
- pages de produits WooCommerce alors que vous n’utilisez pas WooCommerce
- pages dans
/wp-content/* - fausses pages d’actualités
- répertoires inventés
Exemple réel :
| URL détectée | Type |
|---|---|
| /news-update-45.html | fantôme |
| /shop/cart/?session=xxxxx | faux |
| /wp-content/uploads/2024/12/offer.html | injecté |
9. Google Ads bloque le site pour contenu dangereux
Même si vous n’avez pas de campagne active, Google Ads peut :
- suspendre votre domaine
- refuser vos futures annonces
- désactiver l’URL pour cause de risque
Motifs fréquents :
- “Contenu malveillant détecté”
- “Logiciel indésirable”
- “Tentative de hameçonnage”
Ce signal est généralement très fiable.
10. Vos sauvegardes automatiques explosent en taille
Les sauvegardes OVH, o2switch ou SiteGround enregistrent la totalité du site.
Quand un site est infecté, elles grossissent très vite :
- fichiers supplémentaires
- injections de milliers de lignes dans la base
- contenus générés automatiquement
Exemple réel :
| Sauvegarde | Taille |
|---|---|
| Semaine 1 | 290 Mo |
| Semaine 2 | 700 Mo |
| Semaine 3 | 1,4 Go |
C’est un signal clair.
Conclusion
Un site piraté ne se résume pas à un écran noir ou à un message d’erreur.
En réalité, les signes les plus fiables sont souvent subtils.
Les symptômes concrets qui doivent alerter sont :
- une base de données qui gonfle
- des fichiers modifiés récemment
- des comptes administrateurs inconnus
- des redirections aléatoires
- une charge serveur anormale
- des dossiers suspects dans /wp-content
- des URL fantômes dans Search Console
- des sauvegardes inhabituellement volumineuses
- un blocage Google Ads pour contenu dangereux
Si vous en voyez un seul, il faut agir immédiatement.
