Backdoor (porte dérobée) sur WordPress

Résumé rapide du problème

Une backdoor WordPress est un script caché qui permet à un pirate de reprendre le contrôle du site même après un nettoyage. Souvent dissimulée dans les dossiers uploads, mu-plugins ou les fichiers du cœur, elle est la cause principale des réinfections.

Solution rapide

Recherchez les fichiers PHP suspects ou récemment modifiés, inspectez uploads et mu-plugins, supprimez tout script d'accès caché, réinstallez le cœur et changez les clés de sécurité.

Résumer ce guide avec une IA :ChatGPT Claude Gemini Perplexity

Comment reconnaître ce bug

Le site est repiraté peu après un nettoyage apparemment réussi
Des fichiers PHP inconnus apparaissent dans uploads, mu-plugins ou la racine
Du code obfusqué (eval, base64_decode, gzinflate) figure dans des fichiers
De nouveaux comptes administrateurs sont créés sans intervention

Qu'est-ce que ce bug WordPress ?

Une backdoor (porte dérobée) est un point d'accès clandestin installé par un pirate. Elle prend la forme d'un fichier PHP qui exécute des commandes à distance, crée des comptes administrateurs ou réinjecte du malware. Tant qu'elle subsiste, le site reste sous contrôle de l'attaquant, d'où l'importance de l'éradiquer entièrement.

Pourquoi ce problème apparaît-il ?

Faille initiale non corrigée

Le pirate exploite la même vulnérabilité pour réinstaller un accès.

Nettoyage incomplet

Une seule backdoor oubliée suffit à reprendre le contrôle du site.

Thème ou plugin nulled

Les versions piratées intègrent fréquemment des portes dérobées dès l'installation.

Fichier déguisé

La backdoor est camouflée sous un nom anodin (wp-cache.php, class.php) pour passer inaperçue.

Comment réparer ce bug WordPress

Lister les fichiers récents

Repérez les fichiers PHP modifiés ou ajoutés récemment, surtout dans uploads, mu-plugins et la racine.

Détecter le code suspect

Cherchez les fonctions eval(), base64_decode(), gzinflate(), assert() ou system() typiques des backdoors.

Réinstaller le cœur et les extensions

Remplacez tous les fichiers du cœur et réinstallez thèmes et plugins depuis des sources officielles.

Couper tous les accès du pirate

Supprimez les comptes inconnus, changez tous les mots de passe et régénérez les clés de sécurité de wp-config.php.

Comment éviter que ce bug revienne

Bloquez l'exécution de PHP dans wp-content/uploads
Surveillez l'intégrité des fichiers avec un outil de monitoring
N'installez jamais de thèmes ou plugins « nulled »
Limitez les permissions d'écriture aux dossiers strictement nécessaires

Questions fréquentes (FAQ)

Comment savoir si une backdoor est encore présente ?

Si le site est repiraté après nettoyage, une backdoor subsiste presque à coup sûr. Une analyse comparant chaque fichier à une version officielle permet de repérer les ajouts suspects.

Où se cachent le plus souvent les backdoors ?

Dans wp-content/uploads, wp-content/mu-plugins, les dossiers de thèmes et plugins inactifs, ou parmi les fichiers du cœur sous des noms qui imitent ceux de WordPress.

Un plugin de sécurité détecte-t-il toutes les backdoors ?

Pas toujours. Les backdoors récentes ou très obfusquées échappent aux scanners. Une inspection manuelle des fichiers reste le moyen le plus fiable.

Faut-il tout réinstaller pour être sûr ?

Réinstaller le cœur, les thèmes et plugins depuis des sources officielles, et ne conserver de l'ancien site que le contenu vérifié, est la méthode la plus sûre pour éliminer toute backdoor.

L'équipe Mr.WordPress

Experts en dépannage WordPress

Notre équipe technique intervient chaque jour sur des sites WordPress en panne — erreurs serveur, piratages, lenteurs, conflits de plugins. Chaque guide est rédigé et vérifié à partir de cas réels d'intervention.

En savoir plus sur Mr.WordPress →

Partager :X Facebook LinkedIn