Créa-blog

#100JoursPourCoder
Projet Créa-code

Ressources pour développeur web

Théme de la semaine : Découvrir node.js

Comment savoir si son site web a été piraté : Guide complet

Temps de lecture estimé : 11 minutes
Accueil Sécurité Comment savoir si son site web a été piraté : Guide complet

Découvrir que son site web a été piraté est un moment que personne ne souhaite vivre. Pourtant, cela arrive plus souvent qu’on ne l’imagine. Beaucoup pensent que seuls les grands sites sont visés, ou que leur petit blog personnel “n’intéresse personne”. La réalité est différente : les attaques automatisées ciblent chaque jour des millions de sites, sans distinction. Si votre site existe, il peut être piraté. Et si vous lisez ce guide, vous êtes sans doute dans l’une des situations suivantes : vous avez un doute, quelqu’un vous l’a suggéré, ou vous avez remarqué un comportement étrange. Dans tous les cas, vous êtes au bon endroit.

L’objectif de ce guide est de vous apprendre à détecter, avec méthode et en douceur, si votre site web a été piraté. Nous partirons de zéro, avec des explications claires et des exemples concrets. Vous apprendrez également pourquoi un site peut être piraté, comment réagir, et comment réduire le risque à l’avenir. Même si vous débutez, vous serez capable de comprendre ce qui se passe et de prendre les bonnes décisions.

Comprendre ce que signifie « site web piraté »

Avant de vouloir détecter une intrusion, il faut savoir ce qu’est réellement un piratage. On pourrait imaginer un pirate avec une capuche, un clavier mécanique qui cliquète très fort, une musique stressante en fond… La vérité est beaucoup plus banale. Dans la majorité des cas, un piratage est effectué automatiquement, par des robots programmés pour scanner des milliers de sites à la recherche de failles connues.

Un site web piraté est un site dont une partie du fonctionnement ou des fichiers a été modifiée sans votre autorisation. Cela peut toucher son apparence, son contenu, ses données, ou même la façon dont il répond aux visiteurs.

Cela signifie qu’un piratage ne se voit pas toujours immédiatement. Il peut être discret, caché, silencieux. Parfois même, il ne se révèle que plusieurs semaines plus tard.

Pourquoi un pirate voudrait-il s’en prendre à votre site ?

Il est important de comprendre la motivation derrière ces attaques, car cela vous aidera à interpréter les signes.

Un pirate ne cherche pas forcément à saboter votre travail ou à voler votre identité. Dans la majorité des cas, votre site web représente une ressource. Une ressource qui peut être utilisée pour :

  • Diffuser de la publicité illégale sans que vous le sachiez, par exemple en ajoutant des liens cachés vers des sites douteux.
  • Rediriger vos visiteurs vers d’autres sites frauduleux.
  • Envoyer des spams à partir de votre serveur, ce qui peut mettre votre nom de domaine sur liste noire.
  • Installer des fichiers malveillants pour infecter les internautes.
  • Utiliser votre serveur comme point relais pour d’autres attaques.

On peut comparer cela à une maison. Même si elle n’a rien de “précieux” à l’intérieur, si la porte est mal fermée, quelqu’un peut entrer pour dormir, entreposer des objets ou utiliser votre boîte aux lettres. Dans le numérique, c’est pareil.

Les 10 failles de sécurité les plus courantes.

Les premiers signes visibles d’un site web piraté

Passons maintenant aux choses sérieuses. Comment reconnaître qu’il se passe quelque chose d’anormal ? Un piratage peut se manifester de nombreuses façons, certaines évidentes, d’autres subtiles. Nous allons les explorer en détail.

Le site change d’apparence sans raison

Vous visitez votre site, et soudain, la page d’accueil affiche un message étrange. Il peut s’agir d’un texte en anglais ou dans une autre langue, d’un logo inconnu, voire d’une revendication. Par exemple, vous pourriez tomber sur une page affichant “Hacked by Xx_Anonymous_xX”.

Quand ce type de message apparaît, il n’y a aucun doute : le site web a été piraté. C’est une attaque “visible”. Mais elle est finalement assez rare, car les pirates préfèrent aujourd’hui rester discrets pour exploiter le site plus longtemps.

Votre site redirige les visiteurs ailleurs

Voici un cas beaucoup plus courant et plus dangereux. Vous naviguez normalement, puis soudain, vous êtes redirigé vers un site douteux : casino en ligne, contrefaçon, crypto-monnaie, pharmacie illégale, etc. Parfois la redirection ne s’applique que sur téléphone, ou seulement quand l’utilisateur vient de Google. Cela rend le problème difficile à détecter.

Ce type de piratage est conçu pour voler votre trafic.

Google signale que votre site n’est plus sûr

Si vous voyez un message du type “Ce site risque d’endommager votre ordinateur”, ou si la page de résultats indique que votre site web est potentiellement piraté, c’est un signal très sérieux. Google scanne régulièrement les sites, et lorsqu’il détecte des fichiers malveillants ou du code suspect, il agit rapidement.

Ce message signifie que le piratage est confirmé.

Votre site devient lent, instable ou plante régulièrement

Une performance dégradée peut être le signe d’une infection. Si un pirate utilise votre serveur pour envoyer des spams ou héberger du contenu caché, cela consomme des ressources. Votre site web devient alors lent, parfois au point de ne plus répondre.

Bien sûr, un site lent ne signifie pas automatiquement qu’il a été piraté, mais cela doit éveiller l’attention, surtout si cela se produit soudainement.

L’histoire d’un fleuriste en ligne

Un petit fleuriste avait un site web vitrine simple. Il ne s’en occupait pas souvent, car son activité était surtout locale. Un jour, un client lui rapporte qu’en cliquant sur son site via Google, il est redirigé vers une page de paris sportifs. Le fleuriste n’y comprenait rien.

Après analyse, on découvre que son site utilisait une version ancienne de WordPress, jamais mise à jour. Un script malveillant avait été injecté. Le site était piraté depuis plusieurs mois, mais la redirection ne s’appliquait qu’aux utilisateurs venant de Google, d’où la difficulté à s’en rendre compte. Ce cas est malheureusement très courant.

Approfondir les signes plus subtils d’un site web piraté

Certains piratages sont discrets. Ils ne modifient pas l’apparence du site web et ne provoquent pas d’erreurs visibles. Pourtant, ils sont bien présents. Pour les repérer, il faut apprendre à observer ce qui se passe « derrière ».

Cela peut sembler intimidant si vous débutez, mais pas d’inquiétude : nous allons tout expliquer pas à pas, clairement et sans vocabulaire compliqué.

Vos fichiers ont été modifiés récemment, sans mise à jour de votre part

Chaque site web est constitué de fichiers. Si l’un ou plusieurs d’entre eux ont été modifiés récemment et que vous n’avez ni changé, ni mis à jour votre site, il y a une forte probabilité qu’une intrusion ait eu lieu.

Pour vérifier cela, il existe plusieurs méthodes. La plus simple consiste à passer par votre espace d’hébergement et explorer les fichiers avec l’outil « Gestionnaire de fichiers ». Chaque fichier possède une date de modification. Si vous repérez des fichiers modifiés un jour où vous n’avez rien fait, cela peut être suspect.

Par exemple, si votre fichier index.php a été modifié hier à 3h du matin alors que vous dormiez, ce n’est probablement pas vous. Un pirate modifie souvent ce fichier pour injecter du code malveillant.

Apparition de nouveaux fichiers à l’intérieur de votre site

Un pirate peut aussi créer des fichiers supplémentaires. Souvent, ces fichiers portent des noms qui semblent légitimes, mais qui ne le sont pas. Parfois même, ils utilisent des noms comme system.php, plugin-updater.php ou license-checker.php pour tromper l’œil.

Pour débuter, l’important n’est pas de comprendre tout ce que le fichier contient. Il suffit de reconnaître qu’il ne devrait pas être là.

Une anecdote fréquente dans les dépannages de sites : on trouve parfois des fichiers avec des noms complètement absurdes comme qsd8s7d67s.php ou test47.php. Cela arrive lorsqu’un pirate génère automatiquement des fichiers avec des noms aléatoires pour éviter qu’on les repère facilement. Si vous voyez ce type de nom, c’est clairement suspect.

Une consommation anormale de ressources sur votre hébergement

Votre hébergeur propose souvent un tableau de bord avec des statistiques. Vous pouvez y retrouver l’utilisation du processeur, de la mémoire et de l’espace disque. Si vous constatez une hausse brutale et sans raison, il se peut qu’un script malveillant s’exécute en arrière-plan.

Par exemple, un site piraté peut soudain consommer dix fois plus de bande passante qu’avant. Cela peut venir de l’envoi massif de mails, du minage de cryptomonnaie ou de l’hébergement de fichiers illégaux.

Un hébergeur peut même envoyer un message automatique du type « Votre compte dépasse les ressources autorisées ». Quand cela arrive, il ne faut jamais ignorer l’alerte.

Utiliser des outils gratuits pour vérifier si votre site web est piraté

Heureusement, vous n’êtes pas seul. Il existe des outils simples, gratuits, qui permettent de vérifier l’intégrité d’un site.

Google Search Console

Si votre site web est indexé sur Google, vous pouvez utiliser la Search Console. Dans la section Sécurité, Google indique si des fichiers malveillants ont été détectés. Si Google signale une menace, il est important de prendre la situation au sérieux : cela signifie que le piratage est confirmé.

Si vous n’avez jamais configuré la Search Console, il est temps de le faire. Même s’il n’y a pas de piratage, c’est un outil essentiel pour surveiller l’état de votre site sur la durée.

Analyse antivirus en ligne

Certains services analysent votre site web en quelques secondes. Par exemple, des scanners externes peuvent parcourir vos pages et détecter du code malveillant, des redirections ou des scripts inconnus. Ce type de scan peut être utile pour faire un premier état des lieux.

Cependant, il faut comprendre que ces outils n’ont pas accès à tout. Ils ne voient que la « façade » du site. Ils peuvent donc manquer des attaques profondes, cachées dans la base de données ou dans le serveur. C’est pour cela qu’ils ne remplacent pas une vérification interne.

Journal des erreurs du serveur (logs)

Votre hébergeur stocke des journaux d’activité. Ce sont des fichiers contenant des traces de tout ce qui se passe sur votre site : connexions, erreurs, tentatives d’accès. Ils peuvent vous aider à comprendre si quelqu’un a essayé, ou réussi, à entrer illégalement.

Par exemple, si vous voyez une série de connexions provenant d’une adresse étrangère à des heures inhabituelles, cela peut être un signe. Ou encore, si vous voyez des tentatives répétées pour accéder à votre tableau de bord administrateur, cela peut indiquer un « brute force », c’est-à-dire une tentative de deviner votre mot de passe.

Lire ce type de fichier peut sembler difficile la première fois, mais avec le temps, on comprend vite ce qu’il faut surveiller.

GoAccess : analyser et interpréter les logs d’un serveur web

Formation web et informatique - Alban Guillier - Formateur

Des formations informatique pour tous !

Débutant ou curieux ? Apprenez le développement web, le référencement, le webmarketing, la bureautique, à maîtriser vos appareils Apple et bien plus encore…

Formateur indépendant, professionnel du web depuis 2006, je vous accompagne pas à pas et en cours particulier, que vous soyez débutant ou que vous souhaitiez progresser. En visio, à votre rythme, et toujours avec pédagogie.

Découvrez mes formations Qui suis-je ?

Vérifier la base de données du site web

Beaucoup de piratages se cachent dans la base de données, car c’est là que sont stockés le contenu, les utilisateurs, et parfois même des paramètres essentiels. Si votre site web est construit avec un système comme WordPress ou Joomla, la base de données joue un rôle central.

Un pirate peut injecter du code directement à l’intérieur des articles, dans les menus, ou dans les paramètres, souvent sous la forme de scripts Javascript discrets.

Par exemple, il est possible que du code soit ajouté à la fin de chaque article, mais qu’il soit invisible dans l’éditeur. Une seule ligne peut suffire à rediriger les visiteurs vers un site malveillant.

Pour vérifier cela, vous pouvez accéder à la base de données via phpMyAdmin (souvent fourni avec votre hébergement). Vous n’avez pas besoin de tout comprendre pour repérer quelque chose d’étrange. Ce que vous cherchez, ce sont des fragments de code qui ne devraient pas être là, comme du script, du base64 ou des longues chaînes de caractères incompréhensibles.

Si vous voyez ce type de contenu, c’est un signe fort que votre site web est piraté.

Pensez à sécuriser votre site web des Injections SQL.

Que faire si votre site web a été piraté : les étapes pour réparer proprement

Découvrir un piratage peut susciter du stress. C’est normal. Beaucoup de personnes ont le réflexe de paniquer, de supprimer des fichiers au hasard ou de restaurer des sauvegardes trop anciennes. Cela peut aggraver la situation. L’idée ici est d’agir calmement, étape par étape, pour reprendre le contrôle du site web.

Première étape : mettre le site en maintenance

L’objectif de cette étape est double. D’abord éviter que les visiteurs soient redirigés vers des sites dangereux. Ensuite empêcher les moteurs de recherche de continuer à indexer du contenu piraté.

Il existe plusieurs façons de mettre un site en maintenance. Si vous êtes sur WordPress, vous pouvez utiliser un simple fichier .htaccess pour bloquer l’accès au public tout en gardant l’accès au tableau d’administration. Vous pouvez aussi activer un mode maintenance via votre hébergeur.

Même si cette étape peut sembler « couper » votre site, elle est nécessaire. Un site piraté laissé en ligne continue de causer des dommages, parfois même invisibles.

Deuxième étape : changer tous les mots de passe

Avant de toucher au code, on sécurise l’accès. Cela évite que le pirate continue de se connecter pendant que vous réparez.

Il faut changer les mots de passe :

  • De l’interface d’administration du site
  • De l’espace d’hébergement
  • Du FTP
  • De phpMyAdmin (ou équivalent)
  • Du compte de messagerie lié au site (si vous en avez un)

Un mot de passe sécurisé doit être long, unique, et ne pas contenir de mots simples. Il peut paraître fastidieux de tout modifier, mais c’est indispensable, car un site web piraté signifie souvent que l’accès a été compromis.

Troisième étape : faire une sauvegarde complète avant toute modification

On pourrait croire qu’il est logique de supprimer tout ce qui semble suspect immédiatement. Pourtant, il est crucial de faire une sauvegarde avant de nettoyer.

Pourquoi ? Parce qu’en cas d’erreur, une suppression mal placée peut casser le fonctionnement du site et compliquer la réparation. Une sauvegarde sert également de preuve si vous devez demander de l’aide ou faire analyser les fichiers.

La sauvegarde doit inclure :

  • Tous les fichiers du site
  • La base de données complète

Même piratée, cette sauvegarde vous servira de référence.

Quatrième étape : comparer les fichiers avec une version saine

Pour comprendre ce qui a été modifié, il faut comparer. Si vous avez accès à une version ancienne de votre site, ou à une version vierge du CMS (par exemple WordPress), vous pouvez vérifier quels fichiers diffèrent.

Ce qui doit attirer votre attention :

  • Les fichiers qui ne devraient pas exister
  • Les fichiers récemment modifiés
  • Les lignes de code ajoutées à l’intérieur d’un fichier existant

Une ligne suspecte contient souvent :

Du code encodé en base64
Du JavaScript obscur et compacté
Des appels à eval(), preg_replace() avec des expressions étranges
Une redirection vers une URL inconnue

Même si vous ne comprenez pas le code, le repérer est déjà un grand pas.

Cinquième étape : analyser la base de données

Comme expliqué plus haut, la base de données n’est pas à négliger. Si votre site web utilise WordPress, les pirates ajoutent souvent du code dans les champs textuels, en particulier dans les tables wp_posts ou wp_options.

Pour analyser correctement, il faut :

  • Parcourir quelques articles récents
  • Regarder les widgets, menus et pages enregistrées
  • Rechercher dans toute la base des mots-clés comme script, iframe, base64

Une seule ligne de script peut être à l’origine du piratage.

Sixième étape : restaurer une version propre du site web (si possible)

Parfois, il est plus sûr de restaurer une sauvegarde créée avant le piratage, puis de mettre à jour les composants obsolètes. Cette solution est idéale si le piratage est profond ou difficile à nettoyer.

Cependant, il faut être certain que la sauvegarde est saine. Restaurer une sauvegarde infectée revient à réinstaller le piratage dans son état d’origine.

Septième étape : mettre à jour tous les éléments du site

Dans une grande majorité de cas, un piratage provient d’un composant non mis à jour. Cela peut être :

  • Un CMS (WordPress, Joomla, Drupal)
  • Un thème
  • Une extension
  • Un script externe
  • Un plugin abandonné

Une mise à jour corrige des failles de sécurité. C’est l’équivalent numérique du vaccin.

Comment éviter que votre site web soit piraté à nouveau

Réparer un site piraté est déjà difficile. Mais le plus dur est de s’assurer que cela ne se reproduise pas. Beaucoup de sites sont piratés une deuxième fois car des portes d’accès restent ouvertes.

Voici les actions essentielles pour renforcer la sécurité de votre site web dans le temps.

Mettre en place des mises à jour automatiques

Il ne s’agit pas d’une option, mais d’une nécessité. Un site non mis à jour est vulnérable.

Changer l’URL de la page d’administration (si possible)

Par exemple, sur WordPress, l’URL /wp-admin/ est trop connue et souvent la première cible des attaques. La modifier rend votre site moins exposé aux robots.

Utiliser une extension de sécurité

Certaines extensions surveillent le comportement du site, détectent des modifications suspectes ou bloquent les attaques automatisées. Ce n’est pas une solution parfaite, mais c’est une couche de sécurité supplémentaire.

Choisir un hébergeur fiable

Un hébergement bas de gamme, mal configuré ou surchargé peut être une porte ouverte aux attaques. Parfois, investir quelques euros de plus par mois évite de très gros problèmes.

Effectuer des sauvegardes régulières

L’idéal est d’avoir une sauvegarde automatique quotidienne ou hebdomadaire. Ainsi, si un piratage se produit, vous avez toujours une issue de secours.

Tableau récapitulatif

Élément à vérifierSignes possibles de piratageAction recommandée
Apparence du siteChangement d’affichage, messages inconnusAnalyse immédiate des fichiers
Redirection des visiteursRedirection vers sites douteuxVérification du code injecté
Google Search ConsoleAlerte de contenu dangereuxInspection des fichiers + demande de révision à Google
Fichiers du siteNouveaux fichiers ou modifications anormalesComparer avec version saine + suppression ou réparation
Base de donnéesScripts cachés dans les articles ou optionsNettoyage manuel + suppression des injections
Performances du serveurSite lent, surconsommation de ressourcesAnalyse logs + suppression de scripts parasites
Sécurité globaleMots de passe faibles, plugins obsolètesMise à jour + renforcement sécurité

Reprendre confiance, pas seulement réparer

Découvrir que son site web a été piraté peut donner l’impression que tout s’écroule. On se sent impuissant, parfois même coupable, comme si l’on avait mal fait quelque chose. Pourtant, un piratage ne signifie pas que vous êtes incompétent ou négligent. Même les plus grands sites du monde ont déjà été victimes d’attaques.

L’important est la réaction. Plus on comprend comment fonctionne un site web, plus on devient capable de le protéger. Au fil du temps, on apprend à reconnaître les signaux, à mettre en place de bonnes pratiques, à anticiper. Ce qui semblait effrayant devient compréhensible.

Et surtout, n’oubliez jamais : dans le numérique, rien n’est définitif. Un site web peut être réparé. Une sécurité peut être renforcée. Votre expérience s’améliore, et votre autonomie aussi. Ce qui était une épreuve devient parfois une étape dans votre progression.

Articles relatifs

  1. Attribut sandbox HTML5 : Sécurité et contrôle. Guide complet
    Découvrez comment l’attribut sandbox en HTML5 renforce la sécurité de vos iframes. Apprenez à l’utiliser efficacement, ses valeurs, ses limites et les meilleures pratiques pour protéger vos sites web….
  2. DNS : comprendre les enregistrements A, AAAA, CNAME, MX …
    Découvrez le fonctionnement du DNS, les enregistrements A, AAAA, CNAME, MX, et apprenez à configurer, diagnostiquer et sécuriser votre domaine facilement. Un guide complet et clair pour tous les débutants….
  3. Le Sniffing : comprendre, détecter et se protéger
    Lorsque nous naviguons sur Internet, nous avons souvent l’impression que nos échanges sont privés. Pourtant, dans certaines conditions, nos données peuvent être interceptées sans que nous le sachions. Ce procédé…
  4. Tutoriel nmap : Scan des ports, audit, test et intrusion
    Ce guide synthétise, étape par étape, une initiation à l’utilisation de nmap. Vous y apprendrez à utiliser ces différentes commandes, comprendre à quoi sert le scan de ports, tester les…