Site web piraté : le problème n'est pas toujours visible sur la page d'accueil
Un site compromis ne se limite pas à une page remplacée. Beaucoup d'incidents sont plus discrets : pages de spam ajoutées dans l'index Google, redirections uniquement sur mobile, fichiers déposés dans un dossier oublié, comptes administrateurs créés, formulaires détournés, scripts injectés ou emails envoyés depuis l'hébergement.
Pour une TPE ou une PME, le vrai risque est commercial et opérationnel : perte de demandes entrantes, blocage par l'hébergeur, baisse de confiance, paiement perturbé, données clients exposées ou référencement abîmé. La réponse doit donc aller au-delà du nettoyage visuel.
Ce qu'il faut préparer pour une intervention
- le domaine concerné et les URL qui montrent le problème ;
- les symptômes : spam, redirection, alerte navigateur, pages inconnues, email hébergeur, baisse brutale de trafic ;
- les accès possibles : admin du site, hébergeur, SFTP/FTP, base de données, registrar, DNS ou Cloudflare ;
- l'existence de sauvegardes, leur date et la méthode de restauration ;
- les données concernées : formulaires, comptes clients, paiements, commandes, devis, documents ou exports.
Ces éléments permettent de qualifier rapidement si l'intervention peut se faire à distance et si l'entreprise dispose des autorisations nécessaires. Sans accès ni autorisation, la réponse reste limitée à du conseil général.
Pourquoi restaurer ne suffit pas toujours
Une restauration remet parfois le site en ligne, mais elle ne ferme pas forcément la porte utilisée. Si l'accès hébergeur est compromis, si le mot de passe admin est réutilisé, si une extension vulnérable reste active, ou si une tâche planifiée réinjecte le code, le site peut retomber quelques heures plus tard.
La bonne séquence est plus simple : préserver les traces utiles, reprendre les accès critiques, identifier les points d'entrée probables, restaurer ou nettoyer, puis vérifier que les chemins évidents de réinfection sont réduits.
Ce qui est vérifié en priorité
- comptes administrateurs, sessions actives, MFA et emails de récupération ;
- fichiers récemment modifiés, dossiers publics et scripts inconnus ;
- plugins, thèmes, dépendances, versions et composants obsolètes ;
- droits d'écriture, accès SFTP/FTP, base de données et panel hébergeur ;
- DNS, redirections, Cloudflare, origine serveur et exposition publique ;
- sauvegardes, journaux utiles et capacité à remettre le service en ligne proprement.
Quand demander un audit après l'incident
Après un incident, l'audit sert à transformer la situation en liste claire de risques. Le livrable attendu n'est pas une note globale. Il doit classer les points par gravité, avec une preuve simple et l'impact métier : critique, important, modéré ou simple.
Cette lecture aide le dirigeant à savoir quoi traiter en premier : accès admin, hébergement, sauvegardes, DNS, formulaires, données clients, paiement ou application associée. Le patch peut ensuite être cadré séparément si le périmètre et les accès le permettent.
FAQ
Faut-il fermer le site immédiatement ?
Pas automatiquement. Si le site expose des clients ou propage du contenu malveillant, l'isolation peut être nécessaire. Sinon, il faut éviter d'effacer les traces avant d'avoir compris le minimum utile.
Peut-on intervenir à distance ?
Oui si l'entreprise peut fournir des accès temporaires ou une prise en main encadrée, et si le périmètre est autorisé clairement.
Est-ce seulement pour WordPress ?
Non. WordPress est fréquent, mais un site vitrine, un CMS, une boutique, une application web ou un hébergement mutualisé peuvent aussi être traités si les accès sont disponibles.