Pratique

Supprimer efficacement un site Web malveillant étape par étape

admin 8 heures

Supprimer les logiciels malveillants d’un site WordPress piraté, ce n’est pas une promenade de santé. Surtout depuis que Google a durci le ton avec une interdiction de 30 jours sur les examens de sites récidivistes, histoire de freiner net la distribution de malwares. Désinfecter son site en profondeur n’a donc jamais pesé aussi lourd dans la balance.

Suppression de logiciels malveillants WordPress

Pour débarrasser un site WordPress des logiciels malveillants, difficile de faire plus direct que le plugin MalCare, développé par ceux qui ont pensé BlogVault. Gratuit ou payant selon le besoin, mais si vous gardez la main sur le tableau de bord WordPress, l’installation du plugin reste la voie la plus rapide et économique. La version premium s’élève à 99 $ par an, un tarif en deçà de bien des offres concurrentes. À l’arrière-plan, une équipe veille à la sécurité comme une sentinelle n’abandonne pas son poste.

Qu’est-ce qui fait que MalCare tire son épingle du jeu ?

  • L’analyse se fait sur des serveurs cloud dédiés, sans entamer les performances de votre site.
  • Pas de configuration fastidieuse : on installe, on active et aussitôt, le plugin bloque les attaques par force brute, ajoute un pare-feu, chiffre et sauvegarde le site pour des contrôles réguliers.
  • Suppression du malware en un clic, restauration possible si besoin.
  • Inspection poussée des fichiers et de la base de données, avec un algorithme affuté pour débusquer des menaces subtiles.
  • Le nombre de faux positifs est proche de zéro.

Testez par vous-même et n’hésitez pas à partager vos retours en commentaire. Chaque expérience compte dans la lutte contre ces attaques.

Services de suppression de logiciels malveillants

Si le tableau de bord WordPress vous est coupé à cause d’une compromission, mieux vaut activer la carte d’un professionnel solide. Jim Walker, connu comme Hack Repair Guy, reste une de mes ressources sûres tout comme l’équipe de Sucuri, reconnue pour sa base de documentation sur la sécurité web, les vulnérabilités et leurs analyses poussées. Les personnes à qui j’ai recommandé Jim en sont revenues satisfaites, son sérieux n’est plus à démontrer.

Pour les téméraires qui veulent gérer la remise en état eux-mêmes, voici la séquence d’actions à suivre :

Étapes pour supprimer les logiciels malveillants d’un site WordPress

Étape 1 : Sauvegarder fichiers et base de données

Aucune opération ne devrait commencer sans une copie intègre du site. Voici les options courantes :

  • Choisissez l’option « instantané » de l’hébergeur, si disponible. Ce type de sauvegarde globale peut demander du temps au téléchargement selon la taille du site.
  • Si WordPress répond encore, passer par un plugin de sauvegarde. Si tout est verrouillé ou si la base de données semble suspecte, il est sage de faire appel à un spécialiste.
  • Prévoyez aussi une sauvegarde séparée de la base de données.
  • Quand c’est faisable, passez par Outils > Exporter pour générer un fichier XML de tout le contenu.

Plus le site est volumineux, plus le dossier wp-content prend de l’ampleur : thèmes, plugins, médias, ce dossier concentre toute la richesse et doit devenir la cible de vos efforts. Quand les outils automatiques ne suffisent plus, archivez wp-content via le gestionnaire de fichiers de l’hébergeur, puis téléchargez l’ensemble. Plusieurs sites partagent le même hébergement ? Sauvegardez chaque instance séparément, et procédez un par un.

À propos du fichier .htaccess : Ce fichier, souvent caché, mérite votre attention. Affichez les fichiers invisibles, renommez-le pour l’extraire facilement, puis copiez-le en local. Ce petit fichier contrôle de nombreux réglages et cachent parfois de mauvaises surprises. Certains hébergeurs s’en servent aussi pour régler la version PHP. Ne le perdez pas, il vous servira pour l’analyse postérieure.

Étape 2 : Télécharger et examiner la sauvegarde

Une fois la sauvegarde récupérée, décompressez-la et repérez les éléments suivants :

  • Les fichiers WordPress Core. Comparez-les avec ceux du site officiel pour identifier d’éventuelles modifications. Pas toujours cruciaux pour la réinstallation, mais utiles pour remonter la trace du hack.
  • wp-config.php, contenant les accès à la base de données. Gardez bien ces précieuses informations pour la suite.
  • .htaccess, un fichier qui aime se cacher, mais qu’un client FTP ou un affichage des fichiers cachés saura révéler.
  • Le dossier wp-content. À l’intérieur, vérifiez la présence et l’intégrité des répertoires themes, uploads et plugins. Ce contenu central, allié à la base SQL, suffit à repartir sur un nouveau socle.
  • La base de données. Le fichier SQL, mémoire de tout le site, n’est pas à négliger. Empaquetez-le soigneusement.

Étape 3 : Nettoyer le dossier public_html

Une fois la sauvegarde faite, supprimez tout ce qui se trouve dans public_html, à l’exception du dossier cgi-bin et d’éventuels répertoires clairement identifiés comme sains. Passez par le gestionnaire de fichiers de l’hébergeur pour plus de rapidité, ou bien par SSH si vous avez l’habitude. Ouvrez bien l’œil, certains fichiers cachés comme .htaccess traînent des scripts indésirables.

Si l’hébergement héberge plusieurs sites, agissez systématiquement sur chacun : traiter seulement le plus visible, c’est prendre le risque d’une contamination rapide. Le piratage ne fait pas dans le détail, alors il faut agir sans concession.

Étape 4 : Réinstaller WordPress

Utilisez l’assistant d’installation de l’hébergeur pour rétablir WordPress à la racine ou au dossier adéquat. Ensuite, modifiez le nouveau wp-config.php avec les informations de la base de données sauvegardée. Mieux vaut repartir d’un fichier propre, doté de nouveaux sels de sécurité, que de reprendre l’ancien à l’identique : la prudence prime sur la nostalgie.

Étape 5 : Réinitialiser mots de passe et permaliens

Une fois connecté, changez tous les identifiants et tous les mots de passe. Passez au crible la liste des utilisateurs : la découverte d’un intrus signale probablement une base compromise, il est donc temps de requérir l’avis d’un pro pour traquer toute trace de code parasite. Pour les partisans de la remise à zéro, un guide « Nuke it From Orbit » détaille la démarche.

Dans Réglages > Permaliens, cliquez sur « Enregistrer les modifications » pour générer un nouveau .htaccess et restaurer la structure des URL. Enfin, vérifiez bien que plus aucun fichier caché oublié ne traîne à la racine.

Et pour parfaire l’opération, modifiez tous les mots de passe FTP et d’accès à l’hébergement.

Étape 6 : Réinstaller les plugins

Ne restaurez les extensions qu’à partir du dépôt WordPress officiel, ou demandez une archive propre au développeur de vos plugins premium. Exit les plugins plus maintenus ou suspects.

Étape 7 : Réinstaller les thèmes

Récupérez une version indemne du thème, puis, si vous aviez des personnalisations, comparez avec l’ancienne sauvegarde pour reporter les changements utiles à la main. Ne faites pas l’erreur de restaurer un thème potentiellement vérolé sans vérification.

Étape 8 : Restaurer les images depuis la sauvegarde

Ici, pas de précipitation. Il faut replacer les fichiers images dans wp-content/uploads, en s’assurant qu’aucun fichier indésirable (PHP, JS malicieux) ne s’est glissé dans les sous-dossiers. Contrôlez soigneusement chaque dossier, année par année, puis transférez uniquement le nécessaire.

Étape 9 : Analyser votre ordinateur

Passez votre poste au crible avec un antivirus bien actualisé. Un ordinateur compromis permet souvent aux pirates de reprendre pied sur le site à la moindre occasion.

Étape 10 : Installer et configurer des plugins de sécurité

Installez Shield WordPress Security d’iControlWP, prenez le temps de régler ses options, puis activez l’audit le temps de surveiller les activités durant quelques mois. Effectuez un scan avec le plugin Anti-Malware Security and Brute-Force Firewall, puis passez le site au détecteur d’anomalies avec Sucuri Sitecheck. Vous pouvez retirer Anti-Malware une fois le site sain : Shield assurera la veille sur les fichiers critiques retouchés à l’avenir.

Réparation rapide et efficace d’un site piraté

Sucuri délivre un guide détaillé pour supprimer un hack, détaillant les atouts de leur solution, notamment le module dédié au suivi « Post Hack ». En voici les aspects remarquables :

  • Scan exhaustif des fichiers du core
  • Signalement immédiat des erreurs détectées
  • Outils pour réinitialiser l’ensemble des mots de passe utilisateurs
  • Restauration automatique de tous les plugins gratuits
  • Régénération des clés de sécurité en une instruction

Pour alléger la restauration, il est possible d’enchaîner plusieurs actions structurées :

  1. Scanner tous les fichiers de base avec le plugin Sucuri et remplacer ou supprimer ceux qui semblent suspects ou modifiés.
  2. Utiliser les onglets Post Hack et Audit pour remettre à jour les plugins gratuits, réinitialiser les mots de passe et les clés de sécurité.
  3. Installer chaque plugin premium séparément, avec un contrôle renforcé.
  4. Passer en revue chaque dossier de wp-content, hors plugins déjà restaurés.
  5. Inspecter individuellement chaque fichier de thème.
  6. Supprimer tous les thèmes et plugins inutilisés, sans compromis.
  7. Examiner avec minutie le dossier uploads.
  8. Vérifier manuellement le .htaccess ainsi que l’ensemble des fichiers résiduels dans public_html.

Cette approche vise à traquer les éléments suspects qu’une restauration globale aurait pu manquer. Si la structure de WordPress et votre thème n’ont pas de secrets pour vous, ce nettoyage de précision permet une reprise au cordeau, sans trace d’anciens débris.

Identifier la cause du piratage

Remonter à la racine d’un piratage WordPress n’est pas réservé aux développeurs chevronnés. Avec une bonne méthodologie et un œil attentif, il est souvent possible de repérer la porte d’entrée. Un article bien documenté détaille les modes d’infection les plus fréquents : à la lecture, on comprend vite les points faibles de nombreuses installations. Repérer le point de départ facilite la correction mais reste parfois secondaire, sauf lorsque l’origine se situe sur votre propre machine.

Un exemple vécu me revient : un utilisateur dont chaque modification d’article injectait du JavaScript malveillant dans l’éditeur. Invisible côté éditeur visuel, indétectable sans switcher en mode texte. Même après un nettoyage complet du site, une simple édition réactivait l’injection : après enquête sur le code inséré, le coupable s’est révélé être une extension du navigateur, confirmée par une recherche en ligne et la lecture attentive d’un rapport d’expert. La désinfection de l’ordinateur a réglé le souci.

Remettre en ligne un plugin ou thème vulnérable sans s’assurer qu’il n’est pas la source même du piratage, c’est s’exposer à une retombée immédiate. Savoir d’où vient le problème, c’est préserver son site du retour de flammes après tous ces efforts.

Pour aller plus loin dans vos investigations, voici quelques actions à envisager :

  • Fouillez la sauvegarde pour repérer des fichiers suspects : noms étranges, dates de modification trop récentes, code à la syntaxe douteuse. Certains éditeurs comme BBEdit ou Coda facilitent ce repérage, grâce à la coloration du code.
  • Effectuez une recherche sur les noms de fichiers, classes CSS ou extraits de code décelés dans les fichiers suspects.
  • Passez au peigne fin les journaux d’accès bruts depuis le cPanel : ciblez principalement les requêtes POST, source classique d’intrusion, et les adresses IP anormales.
  • Vérifiez vos plugins et thèmes : la grande majorité des brèches provient de versions anciennes ou non mises à jour d’extensions populaires (Gravity Forms, Revolution Slider, timthumb.php…).
  • Analysez la base de données : cherchez la présence de comptes utilisateurs cachés ou de contenu indésirable. Avant toute manipulation, double voire triplez la sauvegarde de la base au cas où.

Surveiller son site après restauration

Une fois le travail terminé, gardez les yeux ouverts sur l’espace Search Console pour les éventuelles alertes, sur les logs d’erreurs du serveur et sur l’archivage des journaux d’accès pour détecter tout mouvement suspect, en particulier les tentatives de POST. Les plugins de sécurité comme Shield WordPress permettent d’avoir l’œil sur tout changement dans les fichiers ou accès inhabituels.

Redonner vie à un WordPress piraté exige méthode, constance et sang-froid. Mais après la tempête, c’est la vigilance qui fait toute la différence. Écarter la menace, combler les failles, suivre son site au quotidien : c’est la garantie de nuits plus sereines, loin des agitateurs du web.