Le scénario catastrophe : Vous avez reçu un email fatidique de votre hébergeur : « Votre hébergement a été désactivé pour des raisons de sécurité ». Ou pire, vos clients vous appellent car votre site WordPress redirige vers des publicités douteuses ou affiche une page blanche.
Le problème technique : Comme 90% des propriétaires de sites WordPress, vous êtes sur un hébergement mutualisé.
Vous n’avez pas d’accès SSH (commande Root) pour lancer des antivirus puissants côté serveur.
Vous n’avez que vos accès FTP et une base de données.
La solution d’expert : Pas de panique. Je désinfecte des dizaines de sites WordPress dans cette configuration chaque mois. Voici ma méthodologie « chirurgicale » pour sauver votre outil de travail via FTP, sans perdre vos données.
Le problème technique : Comme 90% des propriétaires de sites WordPress, vous êtes sur un hébergement mutualisé.
Vous n’avez pas d’accès SSH (commande Root) pour lancer des antivirus puissants côté serveur.
Vous n’avez que vos accès FTP et une base de données.
La solution d’expert : Pas de panique. Je désinfecte des dizaines de sites WordPress dans cette configuration chaque mois. Voici ma méthodologie « chirurgicale » pour sauver votre outil de travail via FTP, sans perdre vos données.
Le « Tri Sélectif » via FTP (Diagnostiquer le hack WordPress)
Sur un serveur mutualisé limité en ressources, on ne peut pas scanner tout le disque dur en une seconde. Il faut ruser. Les pirates sont souvent paresseux : ils modifient des fichiers existants ou en déposent de nouveaux à des dates précises.
La Méthode « Time-Stamp » (Horodatage) :
- Connectez-vous à votre serveur via un client comme FileZilla.
- Naviguez dans les dossiers sensibles de WordPress :
/wp-content/uploads,/wp-includeset la racine/. - Triez les fichiers par la colonne « Dernière modification ».
- Si un fichier
.phpa été modifié hier à 3h du matin alors que vous dormiez et ne faisiez aucune mise à jour, c’est une Backdoor (porte dérobée).
Attention : Ne supprimez pas aveuglément ! Si vous supprimez un fichier vital du cœur de WordPress (comme
webmaster67wp-settings.php) qui est juste « infecté », votre site crashera totalement (Erreur 500). L’objectif est de nettoyer le code malveillant à l’intérieur du fichier, ou de le remplacer par une copie saine officielle.
Le Scanner PHP « Maison » (L’Astuce pour contourner les limites du Mutualisé)
Puisque votre hébergeur mutualisé ne vous donne pas d’accès au terminal (SSH), nous allons utiliser le moteur PHP de votre site WordPress pour scanner les fichiers à notre place.
Voici un script léger que j’utilise lors de mes audits d’urgence. Il liste tous les fichiers
Voici un script léger que j’utilise lors de mes audits d’urgence. Il liste tous les fichiers
.php modifiés ces 7 derniers jours.(Bloc Code Block Pro – Syntaxe PHP)
PHP
<?php
// Copiez ce code dans un fichier nommé 'scan-urgence.php'
// Uploadez-le à la racine de votre installation WordPress via FTP
// Lancez-le via votre navigateur : www.votre-site.com/scan-urgence.php
header('Content-Type: text/plain');
echo "--- DÉBUT DU SCAN WORDPRESS (Fichiers modifiés < 7 jours) ---\n\n";
$path = realpath('.');
$objects = new RecursiveIteratorIterator(new RecursiveDirectoryIterator($path));
foreach($objects as $name => $object){
// On ne cherche que les fichiers PHP (vecteurs d'attaque principaux sur WP)
if (pathinfo($name, PATHINFO_EXTENSION) == 'php') {
// Modifié il y a moins de 7 jours (604800 secondes)
if ($object->getMTime() > (time() - 604800)) {
echo "[SUSPECT] : " . $name . "\n";
echo "MODIFIÉ LE : " . date("d/m/Y H:i:s", $object->getMTime()) . "\n";
echo "---------------------------------\n";
}
}
}
echo "\n--- FIN DU SCAN ---";
// N'oubliez pas de SUPPRIMER ce fichier après usage !
?>L’Exfiltration de la Base de Données (SQL)
Le pirate ne s’arrête pas aux fichiers FTP. Il se cache souvent dans la base de données MySQL de votre WordPress pour recréer un compte administrateur fantôme ou injecter des scripts.
Ma check-list via phpMyAdmin (disponible sur tous les hébergements mutualisés) :
- Vérifier la table
wp_users: Triez par ID. Voyez-vous un administrateur que vous n’avez pas créé ? (Souvent nommésystem,support_wp,admin123). Action : Supprimez la ligne immédiatement. - Inspecter la table
wp_options: C’est ici que se cachent souvent les redirections (Malware JavaScript). Cherchez dans la colonneoption_valuedes chaînes de caractères suspectes commeeval(base64_decodeou des balises<script>pointant vers des domaines russes ou chinois.
SOS Site WordPress Piraté
Intervention Webmaster67
Je prends le relais immédiatement sur votre hébergement (OVH, Ionos, etc.) :
Audit Forensic des fichiers et logs.
Nettoyage manuel complet (Fichiers & Base SQL).
Sécurisation post-hack pour éviter la récidive.
Garantie de remise en ligne sous 24h.
Audit Forensic des fichiers et logs.
Nettoyage manuel complet (Fichiers & Base SQL).
Sécurisation post-hack pour éviter la récidive.
Garantie de remise en ligne sous 24h.
Le Blindage Final de votre WordPress
Une fois le site propre, le remettre en ligne sans protection, c’est laisser la porte grande ouverte au retour du pirate. Sur un hébergement mutualisé, vos ressources sont comptées, il ne faut pas installer 50 plugins.
Ma stratégie « Performance & Sécurité » pour WordPress :
- Régénération des Sels (Salts) : Modifiez les clés de sécurité dans votre fichier
wp-config.php. Cela déconnectera instantanément tous les utilisateurs (y compris le pirate s’il est encore connecté). - Mise à jour PHP : Forcez le passage à PHP 8.2 ou 8.3 dans votre panel hébergeur. Les vieux scripts de piratage sont souvent incompatibles avec les versions récentes de PHP.
- Pare-feu Applicatif (WAF) : Installez un pare-feu léger qui se charge avant WordPress, comme NinjaFirewall.
