Aller au contenu principal
Urgence

Comment savoir si votre site WordPress est infecté par un malware

1 février 2026 9 min de lecture

Points clés à retenir

  • Sommaire
  • Pourquoi la détection précoce est cruciale
  • Les types de malware qui ciblent WordPress

Publié le 13 juin 2025 · Catégorie : Urgence · Temps de lecture : 11 min

🔍 DIAGNOSTIC SÉCURITÉ — Selon Google, plus de 50 000 sites sont signalés comme dangereux chaque semaine. La majorité des propriétaires de sites ne réalisent pas qu'ils sont infectés avant que leur site soit blacklisté. Apprenez à détecter les malwares avant qu'il ne soit trop tard.

Pourquoi la détection précoce est cruciale

Un malware non détected sur votre site WordPress peut causer des dégâts considérables pendant des semaines, voire des mois. Les attaques automatisées ciblent les sites WordPress en permanence — en 2024, 94% des infections malware observées sur les sites web ciblaient WordPress (source : Sucuri WordCamp Report).

Les conséquences d'une infection non traitée :

  • Vol de données : Informations de connexion, données de clients, informations de paiement
  • Propagation de malwares : Votre site distribue des virus à vos visiteurs
  • Liste noire Google : Votre site est marqué comme dangereux, éliminant votre trafic
  • Dommages réputationnels : Votre crédibilité en ligne est détruite
  • Pertes financières : Chaque jour d'infection represents un impact sur vos revenus

Cet article vous apprendra à détecter les malwares WordPress avec les mêmes méthodes que les professionnels de la sécurité.

Les types de malware qui ciblent WordPress

Pour détecter efficacement, il faut comprendre ce que vous recherchez. Voici les principales catégories de malwares WordPress :

1. Les backdoors (portes dérobées)

Les backdoors sont les malware les plus dangereux car ils permettent aux attaquants de maintenir un accès permanent à votre site même après nettoyage.

  • Où se cachent : Fichiers PHP nommés de façon trompeuse (wp-settings.bak.php, config-temp.php)
  • Comment fonctionnent : Ils évaluent du code PHP encodé en base64 ou des fonctions WordPress habilement cachées
  • Difficulté de détection : Très élevée — souvent invisible aux scans basiques

2. Le phishing

Votre site est utilisé pour héberger des pages de phishing imitant des services légitimes (banques, réseaux sociaux, services en ligne).

  • Où se trouvent : Généralement dans des dossiers cachés comme /wp-content/uploads/random-name/
  • Comment fonctionnent : Pages HTML statiques copiant des interfaces de connexion
  • Difficulté de détection : Moyenne — détectable en vérifiant les fichiers récents

3. Le spam SEO

Votre site injecte du contenu spam dans les pages pour promouvoir des sites tiers (pharmacie, gambling, pornographie).

  • Où se trouve : Injecté dans les pages WordPress, les widgets, ou les options de la base de données
  • Comment fonctionne : Contenu invisible pour les visiteurs mais visible par les moteurs de recherche
  • Difficulté de détection : Moyenne — nécessite de vérifier le code source

4. Les défacements

Modification visible du contenu de votre site pour afficher un message de l'attaquant.

  • Où se trouvent : Fichiers de thème, page d'accueil, ou injection dans la base de données
  • Comment fonctionnent : Remplacement du contenu visible du site
  • Difficulté de détection : Faible — immédiatement visible

Vérifications manuelles à effectuer

Avant même d'installer un plugin de sécurité, vous pouvez effectuer ces vérifications manuelles gratuites :

Vérification du code source

  1. Ouvrez votre site dans votre navigateur
  2. Faites un clic droit → "Afficher le code source" (ou Ctrl+U)
  3. Recherchez les éléments suivants :
Élément recherché Danger potentiel
<script src="http://domaine-inconnu.com"> Script malveillant externe injecté
<iframe> avec display:none Iframe caché pour du code malveillant ou du tracking
eval(base64_decode(...)) Code exécuté dynamiquement — quasi certainement malveillant
Lien vers un site non reconnu Redirection ou injection de contenu tiers

Vérification des fichiers via FTP

  1. Connectez-vous en SFTP à votre serveur
  2. Naviguez vers wp-content/uploads/
  3. Règle d'or : Aucun fichier PHP ne devrait exister dans les dossiers d'upload
  4. Vérifiez la date de modification de chaque fichier — les ajouts récents sont suspects
  5. Examinez le fichier wp-config.php pour des lignes ajoutées après la dernière ligne

Vérification de la base de données

  • Connectez-vous à phpMyAdmin depuis votre panneau d'hébergement
  • Sélectionnez votre base de données WordPress
  • Examinez la table wp_posts pour des contenus suspects dans les articles
  • Vérifiez la table wp_options pour des scripts ou des URL inconnues
  • Recherchez des champs contenant du code encodé en base64

Les redirections malveillantes sont souvent cachées dans la base de données — apprenez à les identifier et les neutraliser.

Outils et plugins de scan de sécurité

Les outils automatisés sont essentiels pour une détection complète. Voici les meilleurs options :

Plugins WordPress de scan

Plugin Fonctionnalités clés Prix
Wordfence Security Scan de fichiers, pare-feu, protection contre les brute force Gratuit / Premium à partir de 99$/an
Sucuri Security Intégrité des fichiers, scans côté serveur, WAF cloud Plugin gratuit / Service complet à partir de 299$/an
iThemes Security Scanner de malware, renforcement de sécurité, 2FA Gratuit / Pro à partir de 80$/an
MalCare Security Scan cloud, nettoyage automatique, protection en temps réel Gratuit / Premium à partir de 99$/an

Scan en ligne (sans installation)

  • Sucuri SiteCheck : sucuri.net/scanner/ — Analyse免费 de votre URL pour les malwares connus
  • Quttera Web Malware Scan : Scan gratuit avec rapport détaillé
  • WPScan via ligne de commande : Pour les utilisateurs avancés avec accès SSH

Comment interpréter les résultats de scan

Lorsque votre outil de scan détecte des fichiers suspects, voici comment les évaluer :

  • ⚠️ Fichiers modifiés : Comparaison avec les fichiers originaux de WordPress — vérifiez si les modifications sont légitimes
  • 🚨 Fichiers inconnus : Fichiers qui ne font pas partie de WordPress, thèmes ou plugins — à examiner manuellement
  • 🔴 Code évalué : Présence de fonctions eval(), base64_decode() ou assert() — presque certainement malveillant
  • 🟡 Fichiers d'upload avec extension PHP : Risque élevé de backdoor
✅ Conseil d'expert : Un scan unique ne suffit pas. Les malwares sophistiqués peuvent être dormants et ne s'activer qu'à certaines conditions. Effectuez des scans réguliers et activez la surveillance en temps réel.

Google Safe Browsing et VirusTotal

Deux outils externes puissants pour vérifier la réputation de votre site :

Google Safe Browsing

  1. Allez dans Google Search Console (search.google.com/search-console)
  2. Ajoutez et vérifiez votre site si ce n'est pas déjà fait
  3. Consultez la section "Sécurité et actions manuelles"
  4. Google vous notifiera si votre site est signalé comme dangereux

Avantages : Détecte les malwares connus, les pages de phishing, et les téléchargements dangereux.

Limitations : Ne détecte pas les menaces zero-day ou les malwares très récents.

VirusTotal

  1. Allez sur virustotal.com
  2. Sélectionnez l'onglet "URL"
  3. Entrez l'URL de votre site
  4. Cliquez sur "Analyser"
  5. Examinez les résultats de plus de 70 moteurs d'antivirus

Avantages : Croise les résultats de nombreux moteurs de sécurité pour une détection large.

Limitations : Analyse statique — peut manquer les infections conditionnelles.

Autres outils de vérification

  • Google Transparency Report : transparencyreport.google.com/safe-browsing/search
  • Norton Safe Web : Vérification de réputation en un clic
  • MXToolbox : Vérification des listes noires d'email et de domaine

Signes concrets d'infection à surveiller

Au-delà des outils de scan, voici les signes comportementaux qui indiquent une infection :

Signes visibles

  • 🚨 Votre site affiche du contenu que vous n'avez pas publié
  • 🚨 Des pop-ups publicitaires apparaissent pour vos visiteurs
  • 🚨 Votre site redirige vers des sites inconnus
  • 🚨 Google affiche un avertissement de sécurité pour votre site
  • 🚨 Vous recevez des emails de plaintes de vos visiteurs

Signes techniques

  • ⚠️ Performances du site anormalement ralenties
  • ⚠️ Utilisation CPU/RAM du serveur en hausse inexplicable
  • ⚠️ Fichiers PHP dans les dossiers d'upload
  • ⚠️ Nouvelles entrées dans la table wp_options que vous n'avez pas créées
  • ⚠️ Comptes administrateur inconnus dans WordPress
  • ⚠️ Fichier .htaccess modifié sans votre intervention

Signes indirects

  • Votre hébergeur vous contacte pour activité suspecte
  • Votre site est retiré des moteurs de recherche
  • Votre trafic chute de façon inexpliquée
  • Vos emails partent en spam

Pour une liste complète des signes de piratage, consultez notre article : 12 signes que votre site WordPress est piraté.

Si vous avez déjà identifié une infection, pas de panique — notre guide site piraté : que faire en 15 minutes vous accompagne étape par étape dans la récupération d'urgence.

Scanner la base de données

La base de données est souvent la cible principale des attaquants. Voici comment la scanner manuellement :

Vérification de la table wp_options

  1. Ouvrez phpMyAdmin et sélectionnez votre base de données
  2. Cliquez sur la table wp_options
  3. Examinez la colonne "option_name" et "option_value"
  4. Recherchez des entrées contenant du code PHP, des URLs suspectes, ou du contenu encodé en base64
  5. Les champs home et siteurl doivent pointer vers votre domaine légitime

Vérification de la table wp_posts

  • Recherchez des articles contenant du code HTML ou JavaScript suspect
  • Vérifiez les dates de publication — des articles anciens modifiés récemment sont suspects
  • Examinez les champs "post_content" pour des injections

Vérification de la table wp_users

  • Comptez le nombre d'utilisateurs avec le rôle "administrator" (1-2 maximum)
  • Vérifiez les emails associés aux comptes administrateur
  • Recherchez des comptes avec des noms d'utilisateur suspects

Outils de scan de base de données

  • WP-CLI : Commande wp db check pour vérifier l'intégrité des tables
  • Plugin WP-Optimize : Nettoyage et vérification de la base de données
  • Requêtes SQL personnalisées : Pour les utilisateurs expérimentés avec accès SSH

Que faire une fois l'infection confirmée

Si vous avez confirmé la présence d'un malware, voici la marche à suivre :

Étape 1 : Isoler le site

  • Activez le mode maintenance immédiatement
  • Ne supprimez rien — préservez les preuves
  • Contactez votre hébergeur pour signaler la compromission

Étape 2 : Sauvegarder et analyser

  • Créez une sauvegarde complète (fichiers + base de données)
  • Analysez les logs du serveur pour identifier la méthode d'intrusion
  • Comparez vos fichiers avec une copie propre de WordPress

Étape 3 : Nettoyer

  • Supprimez tous les fichiers malveillants identifiés
  • Nettoyez la base de données des injections
  • Changez tous les mots de passe (WordPress, FTP, base de données, hébergement)
  • Mettez à jour WordPress, les thèmes et les plugins

Étape 4 : Sécuriser

  • Installez un plugin de pare-feu
  • Activez l'authentification à deux facteurs
  • Configurez des sauvegardes automatiques
  • Activez la surveillance en temps réel

Besoin d'une analyse professionnelle de votre site ?

L'équipe WpDefender utilise des outils avancés pour détecter même les malwares les plus cachés. Analyse complète garantie en moins de 30 minutes.

Demander une analyse de sécurité →

Ne laissez pas un malware détruire votre site

Chaque jour d'infection augmente les dégâts. Notre équipe intervient rapidement pour détecter, nettoyer et sécuriser votre site WordPress.

Protéger mon site maintenant →

📞 Urgence : appelez-nous directement · ⏱️ Analyse en moins de 30 min

Articles connexes

Votre site est compromis ? Nous nous occupons de tout.

Ne perdez plus de temps. Chaque minute compte pour votre trafic et votre référencement.

Intervention immédiate Diagnostic gratuit
Besoin d'aide urgente ? Scanner mon site

Articles similaires

Découvrez d'autres articles sur le même sujet

Urgence

Mon site WordPress a été piraté : que faire en 15 minutes
Urgence

Site WordPress piraté : 12 signes que vous ne devez pas ignorer
Urgence

Blacklist Google : comment sortir de la liste noire en 24h
Disponible maintenant — Réponse sous 30 minutes Intervention immédiate
🛡️
WpDefender Bot En ligne maintenant

Bonjour ! Je suis l'assistant WpDefender. Comment puis-je vous aider ?

Sélectionnez votre problème :