Des pages bizarres apparaissent sur votre site, Google affiche « Ce site peut avoir été piraté », ou votre hébergeur vient de suspendre votre compte pour envoi de spam. Pas de panique - c'est grave, mais c'est rattrapable, et la plupart des piratages de sites de PME sont l'œuvre de robots automatiques, pas de hackers qui vous en veulent. Voici quoi faire, dans l'ordre.
Étape 1 : coupez l'accès, pas le courant
Le réflexe à avoir : mettre le site en maintenance ou demander à votre hébergeur de l'isoler. Le réflexe à éviter : tout supprimer dans la panique. Le site compromis contient les indices qui permettront de comprendre comment l'attaquant est entré - et vos données à récupérer.
Étape 2 : changez tous les mots de passe
Tous, depuis un appareil sain : hébergeur, FTP, administration du site (WordPress…), base de données, et la boîte email associée au site. Si vous réutilisiez le même mot de passe ailleurs (soyons honnêtes : c'est souvent le cas), changez-le partout, et activez la double authentification où c'est possible.
Étape 3 : prévenez qui doit l'être
- Votre hébergeur : il a souvent des sauvegardes, des logs, et une procédure dédiée.
- La CNIL, sous 72 h, si des données personnelles (clients, formulaires, comptes) ont pu être consultées - c'est une obligation légale pour les entreprises.
- Vos clients, si leurs données sont concernées. Désagréable, mais beaucoup moins que s'ils l'apprennent autrement.
Étape 4 : évaluez les dégâts
Trois questions : depuis quand (les logs et la Search Console aident à dater), qu'est-ce qui a été touché (pages modifiées, fichiers ajoutés, comptes administrateurs créés), et qu'est-ce qui a fui (base de données clients ?). C'est l'étape où un œil professionnel fait gagner beaucoup de temps - et évite de passer à côté d'une porte dérobée laissée par l'attaquant.
Étape 5 : nettoyez - ou repartez d'une base saine
Deux écoles, selon la gravité :
- Le nettoyage : retirer les fichiers malveillants, les portes dérobées, les comptes pirates. Efficace si la compromission est limitée et bien comprise.
- La réinstallation propre : repartir d'un système neuf et y restaurer uniquement les données vérifiées (contenus, base nettoyée). Plus radical, souvent plus sûr - un fichier piégé oublié et tout recommence.
Dans les deux cas, la restauration d'une sauvegarde antérieure au piratage est précieuse… à condition d'avoir des sauvegardes, et de connaître la date d'intrusion.
Étape 6 : fermez la porte d'entrée
C'est l'étape que tout le monde saute, et c'est pour ça que les sites se font repirater en huit jours. Les portes d'entrée classiques :
- Un plugin ou un thème obsolète (la cause n°1 sur WordPress, de très loin)
- Un mot de passe faible essayé en boucle par des robots
- Un serveur jamais durci : ports ouverts, logiciels non à jour
- Un compte FTP ou admin d'un ancien prestataire, jamais révoqué
Tant que la cause n'est pas identifiée et corrigée, le nettoyage n'est qu'un sursis.
Étape 7 : durcissez pour la suite
Une fois sain, le site doit être plus difficile à attaquer qu'avant : mises à jour automatisées, pare-feu, bannissement des tentatives répétées (fail2ban), sauvegardes automatiques externalisées et testées, certificats SSL propres. C'est exactement le périmètre de ma prestation de sécurisation de serveur - qui inclut, justement, une option de nettoyage post-piratage.
Et Google dans tout ça ?
Une fois le site nettoyé, demandez un réexamen dans la Search Console (section « Problèmes de sécurité »). L'avertissement rouge disparaît généralement sous quelques jours. Vos positions peuvent avoir souffert ; elles se rétablissent dans la plupart des cas en quelques semaines si le site est réellement propre.
Votre site est compromis là, maintenant ? Coupez les accès (étapes 1-2) et contactez-moi : analyse, nettoyage ou réinstallation propre, et durcissement pour que ça ne se reproduise pas. Et si votre site va bien, c'est le moment idéal pour le sécuriser avant - quelques heures de configuration coûtent toujours moins cher qu'un piratage.