Site WordPress piraté : son site de plomberie renvoyait vers un casino en ligne
Site WordPress piraté, redirection vers un casino, chute du référencement, perte de confiance client : c’est exactement ce qui est arrivé à Marc, artisan plombier en région lyonnaise.
Un site WordPress piraté peut sembler fonctionner normalement pendant des semaines. Pas de message d’erreur. Pas d’alerte visible. Pas de page cassée. Tout paraît en ordre… jusqu’au jour où un client tombe sur une redirection douteuse à la place de votre site.
Ce n’est pas un cas isolé. Des sites vitrines de TPE et PME françaises sont compromis chaque année à cause de plugins non mis à jour, de thèmes abandonnés, de mots de passe faibles ou d’une maintenance insuffisante. Pendant ce temps, Google peut signaler le site, le référencement naturel chute, les visiteurs perdent confiance, et la réputation numérique de l’entreprise s’abîme.
Le site de Marc a vécu exactement cela. Et il ne l’a découvert que parce qu’un client l’a appelé.
Site WordPress piraté : l’appel client qui change tout
Marc possède un site vitrine simple : cinq pages, ses coordonnées, ses zones d’intervention, quelques photos de chantiers. Il l’a fait réaliser trois ans plus tôt par une agence web locale. Depuis, il ne s’en occupe plus vraiment. Le site est là, il tourne, il rassure les clients.
Un mercredi matin, à 8h15, un client l’appelle :
“Marc, j’ai tapé votre nom dans Google pour vous envoyer un devis à signer. Je suis tombé sur un site de jeux d’argent. C’est normal ?”
Non. Ce n’est pas normal.
L’agence vérifie. Le site fonctionne sous WordPress, avec un thème et plusieurs plugins qui n’ont pas été mis à jour depuis longtemps. Six semaines plus tôt, une faille connue dans un plugin de formulaire de contact a été exploitée par un bot.
Les attaquants ont injecté du code qui redirige certains visiteurs — notamment ceux qui arrivent depuis Google — vers un site de casino en ligne.
Google avait déjà détecté le problème. La Search Console affichait des alertes depuis plusieurs jours. Mais Marc ne consultait jamais cet outil.
Dans le cas d’un site WordPress piraté, ces alertes sont souvent le premier indice visible avant même que les clients ne signalent le problème.
Pourquoi un site WordPress piraté peut passer inaperçu
Les attaquants ne visaient pas Marc personnellement. Ils ne cherchaient pas forcément ses données clients, ni ses devis, ni ses factures.
Ils cherchaient surtout un site web légitime, déjà référencé, pour y placer des redirections frauduleuses. Un site de plombier bien indexé, avec un historique propre, devient alors une ressource utile pour leurs opérations de spam, de fraude ou de SEO malveillant.
Un site WordPress piraté n’est donc pas toujours le résultat d’une attaque ciblée. Le plus souvent, il s’agit d’une compromission automatisée, exploitant une faille déjà connue.
WordPress est très répandu dans le monde. Cette popularité en fait une cible fréquente pour les robots automatisés qui scannent Internet à la recherche de failles connues dans les plugins, les thèmes ou les anciennes versions du CMS.
Le problème ne vient pas forcément de WordPress lui-même. Il vient surtout de l’absence de maintenance : plugins oubliés, thème obsolète, sauvegardes inexistantes, absence de supervision ou accès administrateur mal protégés.
Source : W3Techs – Usage statistics of WordPress
L’ANSSI rappelle que les sites web sont des éléments très exposés du système d’information et que leur sécurisation doit être traitée sérieusement, y compris pour les petites structures.
Site WordPress piraté : les 5 signes d’alerte à surveiller
La plupart des compromissions pourraient être repérées plus tôt. Voici cinq signaux simples à surveiller, même sans être technicien.
1. Des alertes dans Google Search Console
Si vous avez un site internet, vous devriez avoir accès à Google Search Console. L’outil peut signaler des problèmes de sécurité, des pages suspectes ou des anomalies d’indexation.
Si vous n’avez pas accès à cet outil, demandez-le à votre agence ou à votre prestataire web. Un site sans Search Console, c’est un peu comme un local professionnel sans détecteur de fumée.
Source : Google Search Console – Security issues report
2. Des mises à jour WordPress en attente
Connectez-vous au tableau de bord WordPress. Si vous voyez de nombreuses mises à jour en attente pour le cœur WordPress, les plugins ou le thème, c’est un signal d’alerte.
Plus une faille connue reste ouverte longtemps, plus elle a de chances d’être exploitée par des robots automatisés.
3. Un comportement étrange depuis Google
Recherchez le nom de votre entreprise depuis un autre appareil, idéalement en navigation privée ou depuis un téléphone. Cliquez sur le résultat Google.
Si vous êtes redirigé vers un autre site, une publicité, une page en langue étrangère ou un contenu inattendu, faites vérifier votre site immédiatement.
4. Des emails ignorés de l’hébergeur
Les hébergeurs envoient parfois des alertes lorsqu’ils détectent des fichiers suspects, des envois anormaux ou une activité inhabituelle.
Ces messages finissent souvent dans les spams ou restent non lus. Ils peuvent pourtant être le premier avertissement avant qu’un incident ne devienne visible pour vos clients.
5. Des contenus que vous n’avez jamais publiés
Texte en anglais, liens vers des sites inconnus, publicités étranges, pages nouvelles dans Google, fichiers inconnus dans votre hébergement : ces signes indiquent souvent une compromission déjà active.
Plus ces signaux sont détectés tôt, plus il est simple de nettoyer un site WordPress piraté et de limiter l’impact sur votre image, votre référencement et la confiance de vos clients.
Que faire après la découverte d’un site WordPress piraté ?
L’agence de Marc a nettoyé le site, supprimé le code malveillant, mis à jour WordPress, les plugins et le thème. Elle a ensuite demandé un réexamen auprès de Google via la Search Console, une fois les problèmes corrigés.
Marc a perdu plusieurs semaines de visibilité. Certains prospects qui ont vu la redirection vers le casino n’ont jamais rappelé. Deux avis clients mentionnaient même que “le site semblait bizarre”.
Depuis, Marc a mis en place une maintenance mensuelle : mises à jour, sauvegardes, surveillance de base et vérifications régulières. Le coût annuel de cette prévention reste inférieur au prix d’une intervention d’urgence après compromission.
Marc a surtout compris une chose : un site vitrine n’est pas un panneau publicitaire immobile. C’est un logiciel connecté à Internet. Et un logiciel doit être maintenu.
Un site WordPress piraté ne se résume pas à un problème technique. C’est aussi un problème de confiance, de visibilité et de réputation.
Site WordPress piraté ou simplement vulnérable : comment vérifier ?
Vous n’avez pas besoin d’attendre qu’un client vous signale une redirection étrange pour agir. Un site WordPress piraté se détecte souvent trop tard, alors qu’un contrôle préventif peut déjà révéler plusieurs signaux faibles.
Le Contrôle Technique Web Eur’Net CTW permet d’analyser l’exposition visible de votre site internet : HTTPS, SSL, DNS, en-têtes HTTP, réputation du domaine, fichiers sensibles accessibles et signaux techniques pouvant fragiliser votre sécurité ou votre référencement.
Le diagnostic CTW est non intrusif : il observe ce que votre site expose déjà publiquement, sans modifier votre infrastructure, sans accès administrateur et sans interrompre votre activité.
Si vous craignez d’avoir un site WordPress piraté, ou simplement un doute sur son niveau de sécurité, un diagnostic CTW peut vous aider à identifier les premiers signaux d’exposition.
Site WordPress piraté ou vulnérable : vérifiez les signaux d’exposition avant qu’ils ne deviennent visibles pour vos clients.
Faire aussi le point avec MonAideCyber
MonAideCyber, programme porté par l’ANSSI, propose un accompagnement pour aider les structures à faire le point sur leur posture numérique, au-delà du seul site internet.
C’est une approche complémentaire : MonAideCyber aide à évaluer les pratiques internes de cybersécurité, tandis que le CTW Eur’Net se concentre sur l’exposition technique visible de votre site depuis Internet.
Je fais le point avec MonAideCyber pour compléter le diagnostic de l’exposition visible de mon site.
Contact Eur’Net
Eur’Net – Contactez-nous – info@eurenet.com – 04.15.63.00.00
Le1313, c’est :
- Une idée claire chaque mardi
- Une pause utile dans votre semaine
- Un format court pour tous les niveaux
- Un ton pédagogique, jamais moralisateur
Eur'Net est référencée Cybermalveillance.gouv.fr, activatrice France Num et partenaire Gold Kaspersky depuis 1997. À titre personnel et bénévole, je suis également engagé comme Aidant MonAideCyber via l'association Assistic. Mon credo : un sinistre cyber, ce n'est plus "si" mais "quand". La question, c'est : vous regardez le tsunami arriver depuis la plage, ou vous apprenez à surfer et vous préparez vos plans A, B, C ?
Entre deux diagnostics, j'élève aussi des IA bio au grand air.
