Nettoyage d'un site WordPress piraté avec une intervention en 4h par un expert SEO
Votre site WordPress est piraté ? Je vous remets en ligne sous 4 heures avec garantie de re-intervention 14 jours. Consultant SEO WordPress depuis 2017, prix fixe à partir de 290 € HT.
Délais et horaires précisés par offre dans le tableau ci-dessous. Intervention Express conditionnée à la disponibilité des accès WordPress, FTP et hébergeur.
Intervention <4h, 7j/7
Garantie de re-intervention 14 jours
Expert SEO WordPress depuis 2017
1 mois de maintenance offert
Détection
Comment reconnaître que votre site WordPress a été piraté ?
Six symptômes cliniques qui confirment un piratage actif. Si vous en observez ne serait-ce qu’un seul, votre site est compromis et l’intervention doit démarrer immédiatement pour limiter l’impact SEO.
Baisse brutale du trafic organique
Chute soudaine du trafic dans Search Console ou Google Analytics, sans action marketing ni mise à jour récente qui puisse l’expliquer. Signal d’un délisting en cours ou de pages légitimes déclassées au profit de pages spam.
À vérifier : Search Console → Performances → fenêtre 7 jours glissants, à comparer à la même semaine du mois précédent.
Pages en langues étrangères indexées
Search Console révèle des centaines ou milliers d’URLs en japonais, chinois ou russe liées à votre domaine, que vous n’avez jamais créées.
À vérifier : Search Console → Pages → inspecter les requêtes inattendues.
Site inaccessible ou erreur 500
Le site tombe en écran blanc, erreur 500 ou message d’hébergeur (compte suspendu, dépassement CPU, fichiers bloqués en quarantaine).
À vérifier : accès direct URL + e-mail hébergeur ces 48 dernières heures.
Plugins ou thèmes inconnus installés
Un nouveau plugin apparaît avec un nom étrange (wp-feed, wp-vcd, wp-upd8) ou un fichier unique non lié à un plugin légitime.
À vérifier : Extensions → Installées → tri par date, liste incohérente.
E-mail d'un visiteur ou client alertant
Un internaute, un client ou un partenaire vous signale que votre site redirige vers un contenu étrange, affiche une page en japonais ou déclenche une alerte antivirus sur son appareil. Un regard extérieur voit souvent ce que l’administrateur connecté ne voit pas.
À vérifier : ouvrez votre site en navigation privée, depuis un résultat Google, sur un appareil mobile différent du vôtre.
Comptes administrateurs inconnus
Un utilisateur admin avec un pseudo aléatoire ou une adresse e-mail jetable apparaît dans la liste des utilisateurs WordPress.
À vérifier : Utilisateurs → Tous → filtre « Administrateur ».
Vous observez au moins un de ces symptômes ? Votre site est compromis. Chaque heure d’attente dégrade votre visibilité Google.
Que se passe-t-il, heure par heure, si vous ne faites rien ?
Un site piraté se dégrade à vitesse croissante. Voici l’horloge de l’infection sur 72 heures, avec l’impact SEO cumulé à chaque palier.
Injection initiale
L'attaquant installe un ou plusieurs backdoors, crée un compte administrateur discret et ajoute du contenu spam. À ce stade, le visiteur lambda ne remarque rien.
Googlebot crawle les nouvelles URLs
Le sitemap et les liens internes parasites sont découverts. Google commence à indexer les pages spam. Les premières URLs polluées entrent dans les résultats de recherche.
Première chute de positions organiques
Vos pages légitimes perdent 10 à 30% de leur visibilité sur les requêtes concurrentielles. Les signaux de qualité site-wide commencent à se dégrader.
Chute significative du trafic organiqueAlerte Search Console déclenchée
Google vous envoie un e-mail « Problèmes de sécurité détectés sur votre site ». Au-delà de ce point, Chrome peut afficher l'avertissement rouge et les taux de clic s'effondrent.
Effondrement du CTR GoogleBlacklistage Safe Browsing
Le site est signalé comme dangereux par Google Safe Browsing. Chrome, Firefox, Safari et la plupart des antivirus bloquent l'accès. Le trafic organique chute vers zéro.
Trafic organique quasi nulHébergeur suspend le compte
L'hébergeur détecte l'utilisation anormale de ressources (spam sortant, scans automatisés) et suspend le site sans préavis. Le nettoyage devient plus complexe car l'accès FTP peut être coupé.
Site hors ligne totalDéclaration CNIL obligatoire
Si des données personnelles ont été exposées ou exfiltrées, l'article 33 du RGPD impose une notification à la CNIL dans les 72 heures après connaissance de la violation. Au-delà : sanctions administratives possibles.
Risque RGPD : jusqu'à 4% du CACoût cumulé moyen d’une attente de 48h : perte de 3 à 9 mois de SEO (temps moyen de récupération post-délisting). Intervenir dans les 4 premières heures divise ce délai par 4.
Qu'est-ce qui est inclus dans le nettoyage ? Les 4 couches d'intervention.
Un piratage WordPress laisse des traces dans quatre couches techniques distinctes. Contrairement à la plupart des prestataires, j’interviens sur les quatre, y compris la couche SEO que les développeurs ignorent généralement.
Fichiers
- Suppression des backdoors et webshells
- Nettoyage
wp-config.php - Nettoyage
.htaccess - Restauration core WordPress officiel
- Scan récursif de tous les dossiers
- Vérification empreintes MD5 plugins
Base de données
- Purge des posts et pages spam
- Nettoyage
wp_optionssuspectes - Suppression entrées injectées en BDD
- Purge révisions parasites
- Renommage préfixe tables
- Optimisation post-nettoyage
Comptes & accès
- Suppression des comptes admin pirates
- Reset de tous les mots de passe admin
- Invalidation des sessions actives
- Régénération des clés SALTs WordPress
- Suppression comptes e-mail parasites hébergeur
- Activation double authentification
SEO & index Google
- Inventaire URLs spam dans Search Console
- HTTP 410 Gone sur URLs compromises
- Outil de suppression d’URL Search Console
- Soumission sitemap propre
- Demande ré-examen Safe Browsing
- Suivi délisting post-intervention
La couche 04 (SEO & index Google) reste un grand angle mort du marché des prestataires WordPress. Sans elle, votre site reste visuellement propre mais Google continue d’afficher les URLs spam pendant des semaines, voire des mois, et votre trafic organique ne revient jamais.
Ce que je ne fais pas, et pourquoi
Un cadre de mission clair protège mes clients. Voici ce qui est explicitement exclu du forfait de nettoyage, pour éviter les malentendus et les déceptions.
Je ne refais pas votre site web
Si votre site était déjà mal conçu ou utilisait des plugins obsolètes, je les sécurise mais ne les remplace pas. La refonte est un autre métier, à traiter après remise en sécurité.
Je ne récupère pas les données effacées par le pirate
Si des contenus légitimes ont été supprimés sans sauvegarde de votre côté, je ne peux pas les reconstituer. Je restaure à partir d’une sauvegarde que vous fournissez, ou d’une version antérieure de votre hébergeur si disponible.
Cas particulier : si la Wayback Machine (archive.org) a indexé votre contenu légitime à une date antérieure à la compromission, une reconstitution manuelle est envisageable moyennant un supplément, à qualifier en amont.
Je ne gère pas les démarches juridiques ou CNIL
Je fournis les éléments techniques (logs, snapshot forensique, RCA) nécessaires à votre DPO ou à votre avocat. Les dépôts de plainte et les déclarations CNIL restent de votre responsabilité.
Je ne garantis pas la récupération complète du trafic
La récupération SEO post-nettoyage dépend de la durée d’exposition, du type d’attaque et de l’autorité initiale du domaine. Je m’engage sur l’exécution technique, pas sur un résultat de trafic.
Les infections massives multi-sites passent en devis
Plus de 3 sites compromis simultanément sur le même hébergeur, panel mutualisé avec contamination croisée, réseau en marque blanche : ces cas sortent des forfaits Standard et Express, et relèvent d’un devis sur mesure.
Je ne prends pas en charge les coûts d'hébergeur ou de licences tiers
Si votre plan d’hébergement doit être upgradé (passage à une offre supérieure, RAM ou CPU supplémentaires, WAF hébergeur activé) ou si des licences de plugins et thèmes premium doivent être rachetées au nom du client, les frais restent à votre charge. Je vous préviens toujours en amont, jamais de facturation surprise.
Votre cas n’entre pas dans le forfait ? Je vous oriente vers une solution adaptée plutôt que d’accepter une mission que je ne peux pas tenir. Aucun engagement, aucun frais de qualification.
Quels accès me transmettre pour démarrer l'intervention ?
L’intervention Express sous 4 heures est conditionnée à la disponibilité complète de ces accès techniques. Plus vous les transmettez vite et de façon complète, plus je peux démarrer vite.
Compte administrateur WordPress
Compte admin personnel (pas partagé), avec les droits complets de gestion.
Créez-moi un compte depuis Utilisateurs → Ajouter avec le rôle Administrateur. Je supprimerai le compte en fin de mission.
Accès hébergeur ou FTP/SFTP
Accès au panel hébergeur (OVH, Hostinger, o2switch, PlanetHoster, etc.) ou directement aux identifiants FTP/SFTP.
Panel avec accès fichiers et BDD, ou hôte + port + login + mot de passe SFTP/FTP.
Accès base de données
Identifiants phpMyAdmin ou Adminer, ou accès SSH pour export direct.
Souvent disponibles dans wp-config.php. Envoyez les identifiants via un outil de partage sécurisé (Bitwarden Send, 1Password).
Google Search Console
Ajout en tant qu’utilisateur Propriétaire sur la propriété domain ou url-prefix du site.
Search Console → Paramètres → Utilisateurs et autorisations → Ajouter kentin.canelas@upleeft.fr en Propriétaire.
Dernière sauvegarde saine connue
Date estimée de la dernière version propre (avant piratage). Utile pour comparer les dates de fichiers modifiés et accélérer le diagnostic.
Aucune action requise : répondez simplement « semaine du 14 avril » ou « 20 mars environ ». Fourchette suffisante.
Historique du site et contexte
Thème utilisé, plugins e-commerce ou multilingue installés, version PHP, interventions techniques récentes.
Un court message suffit : « thème Divi, WooCommerce, WPML, PHP 8.1, mise à jour du plugin X hier ».
Délai de transmission des accès : dans les 30 minutes suivant la confirmation pour démarrer l’intervention Express sous 4h. Au-delà, le délai de 4h repart de la réception des accès complets.
Quelle offre de nettoyage choisir selon l'urgence de votre piratage WordPress ?
Je propose deux forfaits à prix fixe. Vous choisissez selon votre niveau d’urgence et vos horaires de disponibilité. Pas de devis à attendre : le prix est connu à l’avance et le paiement s’effectue via Stripe après qualification de votre dossier.
Standard
Sous 24h, Lun-Ven 9h-19h
Site WordPress simple, hack classique
- Diagnostic complet
- Désinfection fichiers + base
- Reset comptes administrateurs
- Hardening SecuPress Pro
- Délisting Google (Search Console + HTTP 410)
- Rapport de cause racine
- 1 mois de maintenance Essentielle offert
- Garantie de re-intervention 14 jours
Express
Sous 4h, 7j/7 9h-22h
Site WordPress simple, accès techniques disponibles
- Diagnostic complet
- Désinfection fichiers + base
- Reset comptes administrateurs
- Hardening SecuPress Pro
- Délisting Google (Search Console + HTTP 410)
- Rapport de cause racine
- 1 mois de maintenance Essentielle offert
- Garantie de re-intervention 14 jours
Paiement sécurisé Stripe après qualification du dossier. Le formulaire prend 2 minutes à remplir, réponse qualifiée sous 1 heure en jour ouvré. L’intervention Express sous 4 heures est conditionnée à la réception des accès WordPress, FTP et hébergeur.
Pourquoi me choisir plutôt qu'un autre prestataire ?
Trois alternatives existent quand votre site WordPress est piraté. Voici comment elles se comparent à mon offre, point par point.
| Intervention Kentin | Dév WordPress généraliste | Plateforme automatisée (Sucuri / Wordfence) | Vous-même, avec un tuto | |
|---|---|---|---|---|
| Délai d'intervention | Sous 4 h (Express) ou 24 h (Standard), 7j/7 9h-22h | 48 h à 5 jours en moyenne, jours ouvrés uniquement | Automatique sous 12-48h, mais surveillance humaine limitée | Variable selon votre disponibilité et votre expertise |
| Nettoyage des fichiers infectés | Oui, scan profond manuel et restauration core officiel | Oui, mais souvent via restauration d'une sauvegarde sans diagnostic | Oui, automatisé, avec un risque de faux négatifs sur les obfuscations sophistiquées | Possible, mais risque élevé de manquer des backdoors cachés |
| Nettoyage de la base de données | Oui, purge manuelle des posts, de wp_options et des comptes admin pirates | Rarement traité en profondeur, focus sur les fichiers | Partiellement automatisé, limité aux injections connues | Très risqué sans expertise BDD |
| Délisting Google / index Google | Oui, via HTTP 410, outil suppression URL et ré-examen Safe Browsing | Non, car c'est hors-périmètre pour la plupart des développeurs | Non, aucun prestataire automatisé ne gère Search Console | Non documenté dans les tutos standards |
| Rapport de cause racine (RCA) | Oui, document détaillé livré en fin de mission | Rarement, sauf si facturé en supplément | Rapport automatisé générique, non personnalisé | Non |
| Hardening post-intervention | Oui, avec SecuPress Pro, blocages, 2FA et headers HTTP | Variable selon le prestataire, souvent basique | Oui, mais via leur propre plugin, avec un enfermement dans leur écosystème | Limité à ce que le tuto recommande |
| Garantie de re-intervention | 14 jours sur les marqueurs documentés | Rarement explicite, au cas par cas | Oui, sous conditions d'abonnement annuel | Aucune |
| Prix | 290€ Standard / 490€ Express, forfait fixe, une seule fois | Devis 500-2500€ selon le prestataire et le délai | 199-499€/an en abonnement récurrent | Gratuit en apparence, très coûteux en temps et en risque SEO |
| Interlocuteur unique | Oui, Kentin directement, joignable par téléphone | Variable, souvent agence avec plusieurs intervenants | Support par ticket, escalade interne opaque | Vous-même |
Grille établie à partir de l’observation du marché français du nettoyage WordPress (avril 2026). Les tarifs indiqués pour les alternatives sont des moyennes déclarées, hors offres premium ou packages multi-sites.
Comment se déroule la désinfection de votre site WordPress piraté ?
Chaque intervention suit un processus en 5 étapes documentées. Aucune étape n’est sautée, y compris sur les offres Standard et Express.
-
01
Diagnostic de l'étendue du piratage
Scan complet des fichiers, de la base de données et des logs serveur. Identification du type d'attaque, du vecteur d'entrée probable et de l'étendue de la compromission. Le site est mis en mode maintenance pour éviter la propagation pendant l'intervention.
-
02
Mise en quarantaine et snapshot forensique
Sauvegarde de l'état infecté à des fins forensiques (utile en cas de fuite de données à déclarer auprès de la CNIL). Blocage de l'accès public, réinitialisation immédiate de tous les mots de passe administrateurs, invalidation des sessions actives pour éjecter un attaquant éventuellement connecté en temps réel.
-
03
Désinfection profonde du site WordPress
Suppression des backdoors, webshells et fichiers modifiés. Nettoyage de
wp-config.php,.htaccesset des fichiers core WordPress. Purge de la base de données : posts spam, révisions, entrées suspectes dewp_options, comptes administrateurs pirates. Suppression des comptes emails parasites éventuellement créés sur l'hébergement. -
04
Durcissement de la sécurité post-intervention
Installation et configuration de SecuPress Pro, blocage de
xmlrpc.php, renommage du préfixe de base de données, activation de la double authentification sur tous les comptes administrateurs, mise en place des headers HTTP de sécurité (CSP, HSTS, X-Frame-Options), régénération des clés SALTs WordPress. -
05
Délisting Google et rapport de cause racine
Inventaire des URLs spam indexées via Google Search Console. Configuration de HTTP 410 Gone sur les URLs compromises (statut adapté aux pages supprimées définitivement) et usage de l'outil de suppression d'URL Search Console pour accélérer la disparition visible. Soumission d'un sitemap propre pour accélérer le recrawl. Demande de ré-examen Safe Browsing si le site a été blacklisté. Rédaction du rapport de cause racine (RCA) détaillant le vecteur d'attaque identifié, les actions menées et les recommandations personnalisées.
Critères de sortie d'intervention
Je ne clôture pas un dossier tant que les 9 critères suivants ne sont pas validés. Ces critères sont documentés dans le rapport final et vérifiables côté client.
- Aucun compte administrateur WordPress inconnu
- Aucune URL spam en statut 200 sur le site
- Tous les fichiers core WordPress identiques aux versions officielles
- Base de données exempte de posts spam et de métadonnées suspectes
- Aucune alerte Search Console section « Problèmes de sécurité »
- Scan post-remédiation SecuPress Pro validé
- Mots de passe administrateurs et clés SALTs régénérés
- Double authentification activée sur tous les comptes admin
- Rapport RCA livré avec vecteur d’attaque identifié
Ce qu'est, et ce que n'est pas, une intervention forensique sur WordPress
La désinfection suit un protocole documenté : chaque action est tracée, chaque fichier modifié est journalisé, chaque snapshot horodaté. Cette rigueur a deux usages : garantir qu’aucune porte dérobée ne survit à l’intervention, et fournir un dossier exploitable si vous devez déclarer un incident auprès de la CNIL.
Snapshot initial horodaté avant toute modification
Le site infecté est sauvegardé intégralement avant la moindre action corrective. Cette copie conservée 90 jours est la référence forensique en cas de procédure.
- Archive fichiers + dump SQL horodatés UTC
- Hash SHA-256 de chaque fichier suspect
- Export logs serveur sur 30 jours glissants
- Capture DNS, WHOIS, certificat SSL
Identification du vecteur d'entrée et de l'étendue
Recherche du patient zéro : quel fichier a été compromis en premier, par quel vecteur (plugin vulnérable, mot de passe faible, RCE serveur), et jusqu’où la propagation est allée.
- Corrélation logs Apache/Nginx + access WP
- Analyse différentielle vs. version saine officielle
- Détection webshells, eval() obfusqué, backdoors
- Cartographie complète des fichiers modifiés
Désinfection chirurgicale plutôt que restauration aveugle
Je ne restaure pas une sauvegarde ancienne par défaut : elle peut elle-même être compromise, et fait perdre tout travail récent. Je nettoie les fichiers infectés et reconstruis les core/plugins à partir des sources officielles.
- Remplacement core WordPress par ZIP officiel
- Réinstallation plugins depuis sources vérifiées
- Nettoyage base de données (users, options, posts)
- Reset comptes admin + invalidation sessions
Critères de sortie objectifs, pas au doigt mouillé
L’intervention n’est terminée que quand six marqueurs techniques sont verts. Si un seul échoue, je reste sur le dossier sans supplément de prix pendant 14 jours.
- Scan Wordfence + Patchstack propre
- Aucun user admin non légitime restant
- Pages Google Search Console conformes
- Hash core = hash officiel WordPress.org
Usage CNIL · si vos données clients sont concernées
Le snapshot forensique conservé 90 jours est structuré pour accompagner une déclaration d’incident auprès de la CNIL sous 72h (art. 33 RGPD). Je ne suis pas DPO et ne remplace pas votre conseil juridique, mais le dossier technique est exploitable tel quel par votre DPO ou avocat.
Pourquoi nettoyer l'index Google après une désinfection WordPress ?
La plupart des prestataires s’arrêtent au nettoyage serveur. Problème : Google maintient son index séparément de votre site. Même après désinfection complète, les URLs spam injectées par les pirates restent présentes dans les résultats Google pendant plusieurs mois.
Sans traitement de l'index Google
- Votre site continue d’apparaître sur des requêtes pharmaceutiques, casino ou adultes
- Google Search Console affiche toujours ces pages dans « Pages indexées »
- Votre trafic naturel ne remonte pas tant que l’index n’est pas purgé
- Votre réputation de marque reste associée à des contenus frauduleux dans les résultats
- Inventaire exhaustif des URLs compromises dans Google Search Console
- Configuration du statut HTTP 410 Gone sur les URLs fantômes, statut adapté pour indiquer à Google qu’une page a été supprimée définitivement sans remplacement prévu
- Suppression d’URL via l’outil dédié de Search Console (désindexation temporaire immédiate, environ 6 mois)
- Soumission d’un sitemap propre pour accélérer le recrawl des bonnes URLs
- Demande de ré-examen Safe Browsing si votre site a été blacklisté
- Suivi de la désindexation sur 30 jours, documenté dans le rapport final
Cette étape repose directement sur mon parcours SEO de terrain : lire Search Console en profondeur, qualifier les URLs fantômes et piloter leur désindexation sont des compétences du métier de consultant SEO, rarement du métier de webmaster WordPress classique.
Les outils professionnels utilisés lors de l'intervention
Aucune boîte noire. Voici les outils avec lesquels je travaille au quotidien sur vos interventions. Les licences premium sont à ma charge et vous récupérez à la fin un site protégé par SecuPress Pro pendant un mois offert, plus un scan externe multi-blacklist validé.
SecuPress Pro
Plugin WordPress premium français. Hardening automatique (.htaccess, wp-config, permissions fichiers), scan anti-malware, blocage force brute. Installé en finition et offert 1 mois.
WPScan CLI
Scanner officiel WPScan. Base CVE WordPress mise à jour en permanence, détection des plugins et thèmes vulnérables installés, identification du vecteur d’entrée probable d’un piratage.
Google Search Console
Outil officiel Google. Suppression URL, demande de réexamen après piratage, remontée du statut « site sain » dans l’index.
WP-CLI
Interface ligne de commande officielle WordPress. Utilisée pour les opérations de masse : reset plugins, regeneration salts, cleanup revisions, requêtes SQL sécurisées.
Maldet (LMD)
Linux Malware Detect, scanner antivirus serveur-side open source. Complète le scan plugin-side de SecuPress en inspectant tous les fichiers de l’hébergement, y compris hors-WordPress. Indispensable sur les hébergements mutualisés et dès qu’une contamination dépasse le périmètre applicatif WordPress pour atteindre le niveau uid Linux.
Cloudflare
Pare-feu applicatif et rate-limiting mis en place pendant et après l’intervention pour bloquer brute-force, scans automatisés et bots malveillants. Purge du cache CDN une fois la désinfection validée. Plan Free suffisant pour la majorité des dossiers.
Sucuri SiteCheck + VirusTotal
Scans externes indépendants pour valider que le site n’est plus flaggé sur aucune blacklist publique (Google Safe Browsing, Norton, McAfee, Spamhaus).
Le rapport post-intervention que vous recevez par email
À la clôture de l’intervention, vous recevez un PDF de 8 à 14 pages qui documente tout ce qui a été fait, ce qui a été trouvé, et ce qui doit être surveillé dans les prochains mois. Ce rapport est votre preuve de diligence en cas d’audit, d’incident ultérieur ou de question client.
Synthèse exécutive 1 page
Diagnostic, périmètre de compromission, actions menées, statut de sortie, en 400 mots pour vos dirigeants ou votre conseil juridique.
Cartographie des indicateurs de compromission (IOC)
Liste exhaustive des fichiers infectés, URLs d’exfiltration détectées, IPs d’attaque identifiées dans les logs, hash SHA-256 des malwares.
Hypothèse du vecteur d'entrée
Plugin vulnérable identifié (CVE référencé), mot de passe faible compromis, ou RCE serveur. Avec niveau de certitude (confirmé / probable / possible).
Journal des actions correctives
Chaque action horodatée UTC : fichiers supprimés, core remplacé, plugins réinstallés, comptes purgés, tables SQL nettoyées. Reproductible et auditable.
État de sortie vs. 6 critères objectifs
Scan Wordfence, Patchstack, Sucuri, hash core, users admin, Search Console. Chacun validé explicitement ou documenté si partiel.
Recommandations priorisées P1 / P2 / P3
Actions critiques à faire sous 7 jours, améliorations importantes sous 30 jours, optimisations long terme. Chacune avec justification.
Annexe forensique (si usage CNIL)
Archive ZIP séparée : snapshot avant intervention, logs exportés, métadonnées horodatées, hash. Exploitable par votre DPO ou avocat.
Attestation signée d'intervention
Document PDF signé Upleeft daté et numéroté. Preuve de diligence recevable en interne, auprès d’un assureur cyber ou d’un auditeur.
Quels sont les types de piratage WordPress les plus fréquents ?
Connaître la famille de hack qui vous touche aide à comprendre les mécaniques à l’œuvre. La démarche d’intervention reste la même quel que soit le type : diagnostic, isolement, nettoyage des 3 couches (applicatif, base, index Google), puis durcissement.
Japanese Keyword Hack
Injection massive de pages en japonais promouvant de faux produits électroniques. Visible dans les résultats Google sous votre domaine. L’un des types les plus répandus sur WordPress depuis plusieurs années, documenté par Verisign et par la documentation Google sur les spams SEO.
Vietnamese Keyword Hack
Pages en vietnamien ciblant les requêtes de paris sportifs, de casino ou d’emprunts frauduleux. Moins connu que le Japanese hack mais tout aussi destructeur pour le SEO.
Pharma Hack
Injection de liens vers des pharmacies frauduleuses dans le contenu ou dans les redirections conditionnelles. L’attaquant monétise votre trafic vers ses sites illégaux, souvent via du cloaking (Google voit un contenu, les visiteurs un autre).
Defacement
Remplacement de votre page d’accueil par un message politique, religieux ou un simple pavé signé. Visible immédiatement, souvent motivé par de l’hacktivisme ou du sabotage ciblé.
Injection SQL
Modification directe de la base de données MySQL. Peut corrompre les options WordPress, créer des comptes administrateurs pirates, injecter du contenu dans tous les articles simultanément, ou déclencher des redirections au niveau du thème actif.
Backdoor persistante
Fichier PHP malveillant déguisé en fichier WordPress légitime, qui re-crée l’infection après chaque nettoyage superficiel. C’est le type de compromission le plus dangereux : il rend les nettoyages antivirus classiques inefficaces et explique pourquoi certains sites se font « re-hacker » tous les 15 jours malgré plusieurs interventions.
Quel que soit le type de piratage identifié, la démarche reste la même : diagnostic forensique, isolement du site, nettoyage complet des 3 niveaux (applicatif, base, index Google), puis durcissement. Le forfait à choisir dépend de l’ampleur de la compromission, pas de la famille de hack.
Comment j'ai traité un piratage WordPress massif sur 12 sites
Récit anonymisé d’un dossier d’infogérance de crise mené sur 10 jours, partagé avec l’accord du client sous conditions d’anonymisation. Illustre la rigueur forensique en cas de compromission système profonde.
Contexte client
Compte d’hébergement mutualisé sur un hébergeur français majeur, 12 sites WordPress exposés par un même identifiant Linux, infection héritée du client précédent.
Chronologie reconstituée par l'analyse forensique
- Indices forensiques de compromission système remontant à septembre 2019 (binaires au timestamp 2019-09-09)
- Backdoor système persistante active sur une période estimée de plusieurs années
- Hack japonais documenté (injection massive de pages spam) depuis octobre 2023
- Cinq tentatives de nettoyage par d’autres prestataires, toutes infructueuses
Découvertes après analyse forensique approfondie
- 27 backdoors actifs manqués par les antivirus ImunifyAV et ClamAV, dont 3 webshells stealth sophistiqués (
templates.phpdéguisé en page 404,en_GB_l10n.phpavec encodage octal,young.phpcamouflé dans un plugin légitime) - RAT GSocket au niveau système Linux (hors scope WordPress) : configuration dans
.config/htop, shell backdoors dans.bashrcet.zshrc, marqueurs crontab - 2 comptes administrateurs rogues re-créés automatiquement après chaque nettoyage via backdoor PHP contournant l’authentification WordPress
- 14 backups Updraft eux-mêmes infectés (environ 8 Go à purger)
- 1 364 pages spam indexées dans Google Search Console, liées à de faux produits e-commerce injectés sur un seul des sites de l’hébergement, purgées via HTTP 410 Gone et suppression d’URL en masse dans Search Console
Mission
10 jours d’intervention répartis sur 5 phases : forensique exhaustive, remédiation chirurgicale, durcissement infrastructure, scans post-intervention à J+1, J+7 et J+30.
Résultat
Infection éradiquée sur 3 niveaux (Linux système, WordPress, base de données), vecteur d’entrée identifié et comblé, 1 364 pages spam désindexées de Google, aucune réinfection détectée depuis.
Que couvre la garantie de re-intervention 14 jours ?
Si les marqueurs de compromission identifiés lors de l’intervention initiale réapparaissent dans les 14 jours qui suivent, je refais le nettoyage sans frais. Cette garantie s’appuie sur une logique technique : une backdoor résiduelle non détectée lors du premier nettoyage se réactive dans la majorité des cas sous 14 jours. Au-delà, une nouvelle infection est presque toujours liée à une nouvelle cause, indépendante de l’intervention initiale.
Ce que la garantie couvre
- Réapparition des backdoors, webshells ou fichiers malveillants documentés dans le rapport initial
- Ré-ouverture du vecteur d’entrée identifié et colmaté lors de l’intervention
Ce que la garantie exclut
- Compromission liée à une action de votre côté après l’intervention : mot de passe administrateur partagé, plugin ou thème nulled installé par vos soins, compromission de vos accès FTP ou de votre hébergement
- Attaque via un nouveau vecteur non documenté lors de la première intervention
- Interventions effectuées sur un site que vous avez modifié (ajout de plugin, thème, refonte) entre la date de clôture et la nouvelle infection
En cas d’exclusion, l’intervention est facturée au tarif ponctuel de 80€ HT par heure.
Précision juridique : cette garantie constitue une obligation de moyens renforcée, pas une obligation de résultat absolue. Le détail complet figure dans les conditions générales de vente.
Pourquoi choisir mon intervention plutôt qu'une autre ?
Expert SEO avant tout
Consultant SEO depuis septembre 2017 avec une spécialisation WordPress. Je sais comment les pirates utilisent votre site pour leurs campagnes de spam SEO, je sais lire Google Search Console en profondeur, je sais rédiger un rapport de cause racine exploitable par un assureur ou une autorité, et je sais restaurer votre référencement naturel après incident. Ce profil double SEO et WordPress reste rare sur le marché français.
Sauvegardes hébergées en Europe
Vos sauvegardes sont stockées sur pCloud, datacenter Luxembourg, avec une rétention de 90 jours. Hébergement UE conforme aux exigences RGPD, sans exposition au CLOUD Act américain. C’est l’architecture que j’utilise en production pour mes clients soumis à des audits de sécurité fournisseurs.
Prix fixe, pas de devis à attendre
290€ ou 490€ HT selon l’urgence, 990€ pour les cas complexes. Vous savez ce que vous payez avant de payer. Paiement sécurisé par Stripe. Pas de rallonge en cours d’intervention, pas de facturation surprise.
1 mois de maintenance Essentielle offert
Pour que la désinfection tienne dans le temps, je surveille votre site pendant 30 jours après l’intervention : monitoring de disponibilité, sauvegardes hebdomadaires, mises à jour mensuelles. Vous pouvez poursuivre en maintenance récurrente ou arrêter à l’issue du mois, sans engagement.
Un seul interlocuteur, de la demande à la clôture
Pas de sous-traitance offshore, pas de plateau d’intervenants anonymes. Les interventions sont menées personnellement par Kentin Canelas, consultant SEO Senior freelance basé en France, entreprise individuelle exerçant sous le nom commercial Upleeft.
Kentin Canelas
Consultant SEO depuis septembre 2017 (j’ai commencé sur des sites persos et pour des amis), je gère un réseau personnel de sites WordPress et accompagne les dirigeants de TPE, PME et ETI dans leur croissance organique.
J’interviens principalement sur WordPress et maîtrise le SEO technique sur Shopify, WooCommerce, Webflow, Next.js et sites custom. Les interventions de nettoyage post-piratage sont une extension naturelle de ce travail : en 8 ans, j’ai vu et récupéré plusieurs dizaines de sites compromis.
Parcours
Spécialités techniques
Retours clients sur les interventions de nettoyage
Les témoignages ci-dessous concernent les interventions de récupération post-piratage. Identités et données business sont anonymisées (confidentialité client standard sur ce type de dossier).
Site remis en ligne en moins de 4h un dimanche soir. Rapport forensique fourni le lundi matin, exploitable directement par notre DPO pour la notification CNIL. Prestation à la hauteur de l’urgence.
Piratage Japanese SEO spam sur site e-commerce B2B, 400 URLs pirates indexées, déréférencement Google en cours. Intervention Express dimanche 20h → 23h45.
J. M., Directeur Technique
E-commerce B2B industriel · 12 pers. · Lyon
Diagnostic clair, devis fixe, pas de surprise. On savait exactement ce qui serait fait et combien ça coûterait avant de payer.
Redirections malveillantes iGaming découvertes un mardi matin, clients perdus. Intervention Standard sous 20h.
C. P., Gérant
Cabinet conseil RH · 8 pers. · Paris
Le plus utile : les 6 critères de sortie objectifs. On n’a pas eu à se demander si le site était vraiment propre, c’était documenté.
Webshell persistant détecté après tentative de désinfection maison ratée. Intervention Standard + hardening renforcé.
L. D., CTO
Plateforme SaaS B2B · 25 pers. · Nantes
Délai moyen de remise en ligne sur dossiers Express éligibles
Taux de validation des 6 critères de sortie sur dossiers clôturés 2025
Re-piratage constaté sous 14 jours sur interventions 2024-2025
Sites WordPress récupérés depuis 2017
Récapitulatif des deux forfaits avant de remplir le formulaire
Prix fixe TTC au format forfait. Pas de devis long à obtenir, pas de coût qui dérape. Le paiement s’effectue via Stripe après qualification de votre dossier par email ou téléphone sous 1 heure en jour ouvré.
Express sous 4h conditionnée à la réception des accès WordPress, FTP et hébergeur dans l’heure suivant la validation. Sans ces accès, l’intervention bascule automatiquement sur le délai Standard sans frais supplémentaires. La TVA à 20 % s’ajoute pour les clients français non assujettis ; les clients UE hors France à numéro TVA valide bénéficient de l’autoliquidation.
Certains dossiers sortent des deux forfaits : voici lesquels et comment on procède
Les forfaits Standard et Express couvrent ~85 % des dossiers de piratage WordPress. Les 15 % restants relèvent soit du sur-mesure, soit de situations que je redirige explicitement vers d’autres compétences. Je préfère le dire en amont plutôt qu’accepter un dossier que je ne peux pas mener correctement.
Dossiers complexes pris en charge sur devis
Ces dossiers dépassent le cadre du forfait mais restent dans mon domaine de compétence. Devis sous 4h ouvrées après qualification.
- Multi-sites infectés simultanément (réseau > 3 sites)
- Site multisite WordPress (réseau en sous-dossiers ou sous-domaines)
- E-commerce WooCommerce > 500 produits avec base volumineuse
- Installation custom sur hébergement non standard (Docker single-container, VPS ou serveur dédié atypique)
- Piratage récurrent : 3e incident ou plus sur le même site
- Intervention coordonnée avec votre DPO ou votre avocat, appui technique et livrables forensiques fournis, sans conseil juridique de ma part
Devis sur mesurePrix selon complexitéDevis ferme sous 4h ouvrées après qualification téléphonique
Dossiers que je redirige explicitement
Ces situations nécessitent des compétences spécifiques que je ne propose pas. Je préfère l’annoncer et orienter plutôt qu’accepter un dossier que je ne peux pas mener correctement.
- Réponse à incident majeur avec exfiltration massive de données clients (> 50 000 fiches)
- Récupération après ransomware avec chiffrement système ou base de données
- Infrastructure orchestrée Kubernetes, clusters multi-nodes ou environnements cloud-native complexes
- Investigation pénale ou dossier judiciaire en cours (ANSSI, police)
- Sites non-WordPress : Drupal, Joomla, Magento, PrestaShop, Typo3
- Audit de conformité RGPD complet (je ne suis pas DPO ni avocat)
- Gestion de crise communication et RP en cas d’incident public
- Pentest offensif ou red team sur infrastructure
Redirections recommandées
cybermalveillance.gouv.fr · prestataires PASSI/PRIS ANSSI (Almond, Intrinsec, Synacktiv, Orange Cyberdefense) · DPO externalisé · expert spécialisé selon CMS
Comment éviter une récidive après la désinfection ?
Après un piratage WordPress, la désinfection ne suffit pas. Sans mesures de prévention, un site déjà compromis a une probabilité élevée d’être piraté à nouveau dans les mois qui suivent, généralement via les mêmes familles de failles que l’attaque initiale.
Mettre à jour WordPress, thèmes et plugins chaque semaine pour corriger les failles utilisées par les attaques courantes
Utiliser des mots de passe forts, uniques, stockés dans un gestionnaire
Activer la double authentification sur tous les comptes administrateurs
Limiter le nombre de comptes admin (idéalement 1 ou 2 maximum)
Installer un plugin de sécurité reconnu et correctement configuré (SecuPress Pro, Wordfence)
Ne jamais installer de plugins ou thèmes nulled. Une grande partie des infections WordPress que je traite en proviennent
Sauvegarder quotidiennement le site sur un stockage externe à l’hébergement
Besoin d'une surveillance continue sans gérer ça vous-même ?
Je propose 3 forfaits de maintenance WordPress qui couvrent les mises à jour, les sauvegardes souveraines, la sécurité active et le support en cas d’incident.
Questions fréquentes sur les interventions de nettoyage WordPress
Les questions sont classées par thématique via l’étiquette colorée à gauche de chaque intitulé. Cliquez sur une question pour dérouler la réponse détaillée avec références techniques et liens utiles.
Les signes les plus fréquents sont visibles sans outil technique : redirections vers des sites de casino ou de pharmacie, pages apparues en japonais ou vietnamien dans Google, avertissement « site trompeur » dans le navigateur, impossibilité d’accéder à l’administration, ralentissement soudain, plugins inconnus installés automatiquement. Si un seul de ces symptômes se manifeste, votre site est probablement compromis. Une vérification rapide via Google Search Console, section « Problèmes de sécurité », confirme généralement le diagnostic.
Le tarif dépend de la complexité du dossier. Pour un site WordPress unique et non-multisite, l’intervention se fait à prix fixe : 290€ HT (Standard, sous 24h) ou 490€ HT (Express, sous 4h 7j/7), paiement sécurisé via Stripe après qualification. Pour les cas plus lourds (WooCommerce avec fuite de données, hack remontant à plus de 30 jours, site volumineux), un forfait Complexe à 990€ HT est proposé. Pour les scénarios multi-sites ou hébergement compromis, je démarre par un diagnostic approfondi à 590€ HT (entièrement déductible du montant de l’intervention), avec une fourchette typique entre 2 500 et 15 000€ HT selon le scope réel constaté.
Pour un site WordPress simple, le nettoyage complet prend entre 4 et 24 heures selon l’urgence et l’étendue des dégâts. Les cas complexes (multisite, hébergement compromis, hack remontant à plus de 30 jours) nécessitent plusieurs jours d’intervention. Le délisting complet de Google peut prendre entre quelques jours et quelques semaines selon le volume d’URLs à purger et la fréquence de crawl de votre site.
Cela dépend des garanties de votre contrat. De plus en plus de contrats d’assurance professionnelle intègrent une garantie cyber couvrant la remédiation technique, la notification RGPD et la restauration des données. Mon intervention inclut systématiquement un rapport de cause racine détaillé, exploitable directement par votre assureur pour justifier la prise en charge. Je vous recommande de contacter votre courtier dès que vous avez identifié le piratage, avant même de démarrer l’intervention.
La récupération dépend de trois facteurs : la rapidité du nettoyage, la rapidité du délisting des pages spam dans Google, et la présence éventuelle d’une pénalité manuelle Google. Pour un site nettoyé sous 48 heures avec un délisting propre, la remontée du trafic naturel intervient généralement en 2 à 6 semaines. Pour un site blacklisté Safe Browsing, comptez 1 à 2 semaines supplémentaires pour le ré-examen Google. Pour un site compromis depuis plusieurs mois avec un volume important d’URLs spam indexées, la récupération complète peut prendre 3 à 6 mois, avec une remontée progressive au fil du recrawl.
C’est un signe classique de compromission. Un script malveillant a été injecté dans votre code ou votre base de données. Ne touchez pas à votre site et contactez un professionnel : manipuler un site infecté sans précaution peut aggraver la situation, propager l’infection vers vos sauvegardes ou rendre la restauration future impossible.
Le réflexe « je supprime les fichiers suspects et je répare » est la cause principale des réinfections rapides. La bonne démarche : conserver une image de l’état infecté avant toute modification, identifier d’abord le vecteur d’entrée (plugin vulnérable, mot de passe compromis, fichier nulled), supprimer toutes les backdoors simultanément, régénérer les clés d’authentification WordPress, puis seulement appliquer les mises à jour et le durcissement. Sans identification du vecteur initial, le malware reviendra souvent en quelques jours.
Un site sans sauvegarde saine peut quand même être récupéré. La démarche change : au lieu de restaurer, on désinfecte chirurgicalement en place. Les fichiers core WordPress sont restaurés depuis les sources officielles WordPress.org, les thèmes et plugins depuis leur éditeur légitime, et seuls vos fichiers personnalisés (uploads, contenus, configurations spécifiques) sont conservés après scan approfondi. L’intervention est plus longue qu’avec une sauvegarde de référence mais reste réalisable dans le cadre des forfaits Standard, Express ou Complexe selon la complexité.
Plusieurs causes possibles : saturation serveur due à du spam automatisé, fichier core modifié de manière destructive, erreur PHP fatale provoquée par un backdoor mal codé, blocage par l’hébergeur après détection d’activité suspecte. Une analyse forensique permet de distinguer un bug technique d’un piratage en quelques minutes.
Si un attaquant a changé votre mot de passe administrateur, la récupération passe par la base de données (phpMyAdmin) ou par FTP, et constitue la première étape de mon offre Express. Je force la réinitialisation de vos accès en base de données et sécurise immédiatement la porte d’entrée utilisée par le pirate. Reprendre la main sans nettoyer les backdoors mène à un nouveau blocage dans les heures ou jours qui suivent.
Une fois le site désinfecté, vous devez soumettre une demande de ré-examen via Google Search Console (section « Problèmes de sécurité »). Cette demande est généralement traitée en 24 à 72 heures. Le ré-examen n’aboutit que si toutes les compromissions sont réellement supprimées, sinon Google re-blackliste immédiatement. D’où l’importance d’une désinfection complète avant la demande.
Pas toujours. Dans la majorité des cas, une désinfection chirurgicale suffit : suppression des fichiers modifiés, restauration des fichiers core depuis les sources officielles WordPress.org, nettoyage ciblé de la base de données. La réinstallation complète n’est nécessaire que dans les cas de compromission profonde où l’intégrité du code ne peut plus être garantie.
Google maintient son index séparément de votre serveur. Même après désinfection, les URLs compromises restent indexées plusieurs mois tant qu’elles ne sont pas explicitement supprimées. Mon intervention inclut le nettoyage complet de l’index via Google Search Console, le statut HTTP 410 Gone sur les URLs fantômes et la demande de ré-examen. Vos pages spam disparaissent des résultats Google en quelques jours à quelques semaines selon le volume à purger et la fréquence de crawl de votre site.
Les 4 engagements fermes qui encadrent chaque intervention
Je m’engage contractuellement sur quatre points qui sont matérialisés dans le devis signé et l’attestation post-intervention. Aucun de ces engagements n’est en petites lettres en bas de page.
Prix fixe, pas de dépassement
Le forfait annoncé est le prix final. Aucun supplément caché, aucune heure additionnelle facturée à la sortie.
Matérialisé : devis ferme signé avant paiement
Garantie 14 jours post-intervention
Si un marqueur de compromission documenté réapparaît, je réinterviens sans supplément. Garantie contractuelle, pas commerciale.
Matérialisé : clause au devis + attestation signée
Paiement sécurisé Stripe après qualif.
Paiement uniquement après qualification du dossier et envoi du devis ferme. Pas d’acompte anticipé demandé sans dossier validé.
Matérialisé : lien Stripe 3DSecure post-qualif
Rapport PDF + attestation signée
Chaque intervention se clôture par un livrable documenté. Vous disposez d’une preuve de diligence opposable en audit, assurance ou notification CNIL.
Matérialisé : PDF signé 8-14 pages + annexe ZIP
Prêt à décrire votre situation ? Le formulaire est juste en dessous.
Réponse qualifiée sous 1 heure en jour ouvré. Si votre dossier relève d’un des cas redirigés §16, je vous oriente directement sans facturation. Aucune qualification ne coûte rien ni n’engage à rien.
Votre site est compromis. Agissez maintenant.
Chaque heure compte. Plus l’infection reste active, plus les pages spam s’accumulent dans Google, plus votre trafic naturel s’effondre, plus le nettoyage devient long et coûteux. Le formulaire ci-dessous prend moins de 2 minutes à remplir. Vous recevez une réponse qualifiée sous 1 heure en jour ouvré, puis un lien de paiement Stripe une fois le dossier validé.
Coordonnées directes
Ligne directe Kentin Canelas
Réponse sous 1h en jour ouvré
Rappel des garanties
Kentin Canelas
Consultant SEO depuis septembre 2017, je gère un réseau personnel de sites WordPress et accompagne les dirigeants de TPE, PME et ETI dans leur croissance organique. J’interviens principalement sur WordPress et maîtrise le SEO technique sur Shopify, WooCommerce, Webflow, Next.js et sites custom.
Parcours
- Bac+5 Startup Management & E-commerce (HETIC puis Digital College)
- 3 ans de conseil SEO en alternance chez Eskimoz
- Ex-Directeur SEO & R&D de L&D (2,5 j/sem., de sept. 2021 à mars 2026)
- Intervenant SEO en enseignement supérieur depuis octobre 2020
Spécialités
- SEO technique WordPress
- Récupération post-incident
- Infogérance de crise multi-sites
- Netlinking
- Audits techniques et sémantiques