Quand un site WordPress se fait pirater : analyse d’une compromission critique
Audit d’un site WordPress piraté : malwares actifs, administrateur caché, redirections SEO frauduleuses et sauvegarde exposée. Symptômes et actions.
Le 27 mai 2026, un audit de sécurité réalisé sur un site WordPress a révélé une compromission avancée : malwares actifs, accès administrateur perdu, redirections frauduleuses et mécanismes de persistance invisibles dans l’administration.
Ce type d’attaque est malheureusement fréquent sur les sites WordPress insuffisamment sécurisés ou contenant des sauvegardes accessibles publiquement.
Cet article revient sur les symptômes observés, les malwares identifiés, le point d’entrée probable et les bonnes pratiques à appliquer pour éviter ce type d’incident.
Un site totalement compromis
L’audit a confirmé que le site était sous le contrôle d’un attaquant depuis plusieurs jours.
Symptômes observés
| Élément | État |
|---|---|
| Site fonctionnel | Dégradé / page blanche |
| Accès administrateur WordPress | Perdu |
| Présence de malwares | Confirmée |
| Redirections frauduleuses | Actives |
| Compte administrateur caché | Présent |
| Sauvegarde exploitable publiquement | Oui |
Le site ne présentait pas uniquement un problème d’affichage : plusieurs mécanismes malveillants étaient encore actifs au moment de l’analyse.
Les malwares identifiés
woocommerce_TAG : détournement SEO et redirections
Le premier malware identifié avait pour objectif d’exploiter le référencement naturel du site.
Fonctionnement observé
- détection des visiteurs provenant de moteurs de recherche ;
- redirection de certains visiteurs vers des sites externes frauduleux ;
- injection de liens SEO spam ;
- communication avec des services externes.
Le malware utilisait notamment des références liées au domaine linkerboss.club.
Particularité importante : le plugin était volontairement masqué dans l’administration WordPress afin de compliquer sa détection.
wanimations_img : prise de contrôle administrateur
Le second malware permettait à l’attaquant de conserver un accès permanent au site.
Actions réalisées
- création d’un administrateur caché ;
- modification ou suppression des accès légitimes ;
- persistance après tentative de nettoyage ;
- dissimulation dans WordPress.
Le compte suivant a été identifié : admlnlx.
Ce mécanisme expliquait directement la perte d’accès au panneau d’administration.
Le point d’entrée probable
L’audit a mis en évidence une archive de sauvegarde accessible publiquement depuis Internet.
Exemple : 20200428_espacebethesda_*.zip
Ce type de sauvegarde peut contenir la configuration complète du site, les fichiers WordPress, des informations de connexion, voire des exports de base de données.
Une sauvegarde exposée dans un répertoire public représente un risque majeur.
Pourquoi les sauvegardes n’ont pas permis de restaurer le site
Le site disposait bien de snapshots de restauration.
Le problème : les sauvegardes disponibles avaient été réalisées après l’infection.
Restaurer un snapshot contaminé réinstalle simplement les fichiers malveillants.
C’est un cas fréquent lors des compromissions non détectées rapidement.
Actions d’urgence recommandées
1. Supprimer les extensions malveillantes
wp-content/plugins/woocommerce_TAG/ wp-content/plugins/wanimations_img/
2. Supprimer le compte administrateur caché
DELETE FROM bethesda_users
WHERE user_login = 'admlnlx';3. Réinitialiser l’ensemble des mots de passe
Il est recommandé de modifier les accès WordPress, FTP/SFTP, base de données, comptes email liés au site et accès hébergeur.
4. Régénérer les clés de sécurité WordPress
Les clés d’authentification doivent être renouvelées après une compromission.
5. Vérifier l’ensemble du site
Après suppression des malwares, plusieurs contrôles restent nécessaires : tâches cron malveillantes, injections SQL, fichiers PHP modifiés, comptes administrateurs inconnus et règles .htaccess suspectes.
Bonnes pratiques pour sécuriser un site WordPress
Stocker les sauvegardes hors du dossier public
Une sauvegarde ne doit jamais être accessible depuis Internet.
Maintenir WordPress et les plugins à jour
Les extensions obsolètes représentent l’une des principales causes d’infection.
Limiter le nombre de plugins installés
Chaque extension supplémentaire augmente la surface d’attaque.
Utiliser un plugin de sécurité
Des solutions comme Wordfence, Patchstack ou Sucuri Security permettent d’améliorer considérablement la détection et la protection.
Désactiver les fonctionnalités inutiles
Par exemple : XML-RPC, gestionnaires de fichiers intégrés, comptes administrateurs inutilisés et plugins abandonnés.
Conclusion
Cette compromission illustre un point essentiel : un site WordPress peut sembler simplement “bugué” alors qu’il est en réalité entièrement compromis.
Dans ce cas précis, les malwares étaient invisibles dans l’administration, les visiteurs étaient redirigés discrètement et un accès administrateur caché permettait à l’attaquant de conserver le contrôle du site.
Sans audit technique approfondi, ce type d’infection peut rester actif pendant des semaines, voire des mois.
La sécurité WordPress ne repose pas uniquement sur les mises à jour : la gestion des sauvegardes, des accès et de l’exposition des fichiers est tout aussi importante.
📡 Soutenir le labo
Sephy-Lab est un projet libre et gratuit. Si tu veux soutenir les expériences et maintenir le système en ligne, tu peux m’aider ici.
Articles similaires
Installer Windows 11 sans connexion Internet : méthode Shift + F10 et alternatives
Depuis plusieurs versions de Windows 11, Microsoft pousse fortement à l’utilisation d’un compte Microsoft lors de l’installation du système. Lors de la configuration initiale…
DISM et SFC : les commandes miracles pour réparer Windows sans tout réinstaller
Lorsque Windows commence à ralentir, afficher des erreurs étranges ou refuser certaines mises à jour, beaucoup d’utilisateurs pensent immédiatement à une réinstallation complète du…
Pourquoi j’utilise OVHcloud pour héberger certains sites de mes clients
OVHcloud est un choix stratégique pour mes projets web. Découvrez ses avantages.