Un site WordPress infecté par des logiciels malveillants peut nuire à votre réputation, impacter votre référencement naturel et compromettre les données de vos visiteurs. Les attaques par malware, souvent discrètes au début, peuvent se propager rapidement et causer des dégâts irréversibles si elles ne sont pas traitées à temps. Que vous soyez débutant ou administrateur expérimenté, savoir détecter et éliminer ces menaces est une compétence essentielle pour maintenir la sécurité de votre plateforme.
Dans ce guide, nous vous expliquons étape par étape comment identifier un site infecté, supprimer les logiciels malveillants de manière efficace et sécuriser votre installation WordPress contre les futures attaques. Vous découvrirez les outils indispensables, les bonnes pratiques à adopter et les erreurs à éviter pour garantir une protection optimale de votre site.
Pourquoi votre site WordPress peut être infecté par des logiciels malveillants
Les sites WordPress sont des cibles privilégiées pour les cybercriminels en raison de leur popularité et de leur structure parfois vulnérable. Plusieurs facteurs peuvent exposer votre site à des attaques par malware :
- Des plugins ou thèmes obsolètes : Les extensions et thèmes non mis à jour contiennent souvent des failles de sécurité exploitées par les pirates.
- Des mots de passe faibles : Un mot de passe simple ou réutilisé sur plusieurs comptes facilite l’accès non autorisé.
- Des téléchargements de sources non fiables : Installer des plugins ou thèmes piratés ou provenant de sites tiers expose votre site à des codes malveillants intégrés.
- Des vulnérabilités dans le cœur de WordPress : Même les versions officielles peuvent présenter des failles si elles ne sont pas corrigées rapidement.
- Des attaques par force brute : Les bots tentent systématiquement de deviner vos identifiants d’administration.
Les conséquences d’une infection peuvent être graves : redirection vers des sites frauduleux, affichage de publicités indésirables, vol de données sensibles, ou même suppression complète du contenu. Une détection précoce est donc cruciale pour limiter les dommages.
Comment détecter un logiciel malveillant sur votre site WordPress
Avant de procéder à la suppression, il est essentiel de confirmer la présence d’un malware. Voici les signes révélateurs et les méthodes pour le détecter :
Signes visibles d’une infection
- Le site affiche des publicités ou des pop-ups inattendus.
- Les pages se chargent lentement ou affichent des erreurs.
- Votre hébergeur a bloqué votre site pour activité suspecte.
- Google affiche un avertissement « Ce site peut endommager votre ordinateur » dans les résultats de recherche.
- Vous recevez des alertes de sécurité de la part de vos visiteurs ou d’outils comme Sucuri.
Outils pour scanner votre site
Plusieurs solutions gratuites et payantes permettent de détecter les malwares :
- Plugins de sécurité WordPress :
- Sucuri Security : Analyse complète et surveillance en temps réel.
- Wordfence : Détection des vulnérabilités et firewall intégré.
- MalCare : Scanner automatisé et suppression des malwares.
- Services externes :
- Sucuri SiteCheck : Scan gratuit en ligne.
- VirusTotal : Analyse des fichiers et URLs par plusieurs moteurs antivirus.
- Quttera : Détection avancée des malwares et backdoors.
- Analyse manuelle :
- Vérifiez les fichiers
.htaccess,wp-config.phpetindex.phppour détecter des modifications suspectes. - Recherchez des fichiers inconnus dans les dossiers
/wp-content/ou/wp-includes/. - Utilisez un client FTP pour comparer les fichiers avec une version propre de WordPress.
- Vérifiez les fichiers
Une fois l’infection confirmée, passez à l’étape suivante : la suppression des logiciels malveillants.
Étapes détaillées pour supprimer les malwares de votre site WordPress
La suppression d’un malware nécessite une approche méthodique pour éviter d’endommager votre site ou de laisser des traces de l’infection. Suivez ces étapes dans l’ordre pour une éradication complète :
1. Mettre votre site en mode maintenance
Avant toute manipulation, isolez votre site pour éviter que les visiteurs ne soient exposés à des contenus malveillants ou que l’infection ne se propage :
- Utilisez un plugin comme WP Maintenance Mode pour afficher une page de maintenance.
- Si vous avez accès au fichier
.htaccess, ajoutez la ligne suivante pour bloquer l’accès :
Deny from allN’oubliez pas de retirer cette restriction une fois la désinfection terminée.
2. Sauvegarder votre site et votre base de données
Une sauvegarde récente est indispensable avant toute suppression de malware. Utilisez un plugin comme UpdraftPlus ou BackWPup pour créer une copie complète de votre site et de votre base de données. Stockez la sauvegarde hors de votre serveur, sur un cloud ou un disque dur externe.
3. Supprimer les fichiers infectés
La méthode la plus sûre consiste à supprimer tous les fichiers et à les remplacer par des versions propres. Voici comment procéder :
- Supprimer les fichiers suspects :
- Connectez-vous à votre site via FTP (FileZilla) ou SSH.
- Supprimez les fichiers inconnus ou modifiés récemment dans les dossiers
/wp-content/,/wp-includes/et/wp-admin/. - Vérifiez les fichiers
.phpdans le dossier racine qui ne devraient pas y être (ex :wp-vcd.php,wp-feed.php).
- Remplacer les fichiers du cœur de WordPress :
- Téléchargez une version propre de WordPress depuis wordpress.org.
- Supprimez les dossiers
/wp-admin/et/wp-includes/de votre site. - Uploadez les nouveaux fichiers en conservant votre dossier
/wp-content/intact.
- Vérifier les permissions des fichiers :
- Les fichiers doivent avoir les permissions
644et les dossiers755. - Exécutez la commande suivante via SSH (si disponible) :
find /chemin/vers/votre/site -type d -exec chmod 755 {} ; find /chemin/vers/votre/site -type f -exec chmod 644 {} ; - Les fichiers doivent avoir les permissions
4. Nettoyer la base de données
Les malwares peuvent s’infiltrer dans votre base de données, notamment dans les tables wp_options, wp_posts ou wp_users. Utilisez phpMyAdmin ou un plugin comme WP-Optimize pour :
- Supprimer les entrées suspectes (mots-clés, liens ou scripts malveillants).
- Vérifier les utilisateurs non autorisés dans la table
wp_users. - Rechercher des chaînes de caractères comme
eval(base64_decodeougzinflate(base64_decode, souvent utilisées par les malwares.
5. Réinstaller les plugins et thèmes
Les extensions et thèmes infectés doivent être désinstallés et réinstallés depuis des sources officielles :
- Supprimez tous les plugins et thèmes via l’interface WordPress.
- Téléchargez les dernières versions depuis le répertoire officiel ou les sites des développeurs.
- Évitez les thèmes ou plugins piratés, même s’ils semblent fonctionnels.
6. Modifier tous les mots de passe et clés de sécurité
Après une infection, vos identifiants peuvent avoir été compromis. Changez immédiatement :
- Le mot de passe de l’administrateur WordPress.
- Les mots de passe FTP, base de données et hébergement.
- Les clés de sécurité dans le fichier
wp-config.php(générez-en de nouvelles via WordPress.org).
7. Vérifier les redirections et backdoors
Les pirates laissent souvent des portes dérobées (backdoors) pour réinfecter le site. Recherchez :
- Des redirections vers des sites externes dans le fichier
.htaccess. - Des injections de code dans les fichiers
header.php,footer.phpoufunctions.php. - Des connexions suspectes dans les logs de votre hébergeur (fichiers
access.logouerror.log).
Sécuriser votre site WordPress après la suppression des malwares
Une fois votre site nettoyé, il est crucial de renforcer sa sécurité pour éviter de futures infections. Voici les mesures à mettre en place :
1. Mettre à jour WordPress, plugins et thèmes
Les mises à jour corrigent les failles de sécurité. Activez les mises à jour automatiques pour le cœur de WordPress et les plugins critiques via wp-config.php :
define('WP_AUTO_UPDATE_CORE', true);2. Installer un plugin de sécurité
Choisissez un plugin offrant une protection complète :
- Wordfence : Pare-feu, scanner de malwares et blocage des attaques.
- Sucuri Security : Surveillance en temps réel et nettoyage post-infection.
- iThemes Security : Protection contre les attaques par force brute et les vulnérabilités.
3. Configurer un pare-feu et un scanner
Un pare-feu applicatif (WAF) bloque les requêtes malveillantes avant qu’elles n’atteignent votre site. Les solutions populaires incluent :
- Cloudflare : Gratuit pour la protection de base, avec options avancées payantes.
- Sucuri Website Firewall : Protection contre les DDoS et les malwares.
- ModSecurity : Module Apache pour une protection serveur.
4. Limiter les accès et renforcer les mots de passe
Appliquez ces bonnes pratiques :
- Utilisez des mots de passe complexes (12+ caractères, mélange de lettres, chiffres et symboles).
- Activez l’authentification à deux facteurs (2FA) via un plugin comme Google Authenticator.
- Limitez les tentatives de connexion avec un plugin comme Limit Login Attempts.
- Désactivez l’édition de fichiers depuis l’interface WordPress en ajoutant dans
wp-config.php:
define('DISALLOW_FILE_EDIT', true);5. Sauvegardes automatiques et régulières
Configurez des sauvegardes quotidiennes ou hebdomadaires avec un plugin comme BackWPup ou UpdraftPlus. Stockez les sauvegardes hors site (Google Drive, Dropbox, Amazon S3).
6. Surveillance et alertes
Mettez en place un système de surveillance pour détecter les anomalies :
- Utilisez des outils comme Defender ou MalCare pour des scans automatiques.
- Recevez des alertes en cas de modification de fichiers via des plugins comme File Integrity Monitor.
- Surveillez les logs de votre hébergeur pour détecter les activités suspectes.
Que faire si la suppression manuelle échoue ?
Dans certains cas, l’infection est trop complexe ou profonde pour être résolue manuellement. Voici les alternatives :
1. Faire appel à un professionnel
Des experts en sécurité WordPress, comme ceux de Sucuri ou Wordfence, proposent des services de nettoyage et de restauration. Leurs tarifs varient entre 150€ et 500€ selon la complexité de l’infection.
2. Réinstaller WordPress depuis zéro