Résumé rapide du problème
Un malware WordPress est un script caché qui exécute des actions frauduleuses à votre insu : minage de cryptomonnaie, spam SEO ou vol de données. Il se loge dans les fichiers ou la base de données et doit être éradiqué intégralement.
Solution rapide
Scannez le site avec un outil de sécurité, remplacez tous les fichiers du cœur de WordPress, nettoyez la base de données du code injecté et sécurisez wp-config.php.
Comment reconnaître ce bug
- Du code obfusqué (eval, base64_decode) apparaît dans les fichiers
- Le site est lent, redirige, ou affiche des publicités non sollicitées
- Un antivirus ou l'hébergeur signale une infection
Qu'est-ce que ce bug WordPress ?
Un malware est un logiciel malveillant. Sur WordPress, il prend souvent la forme de code obfusqué (illisible) injecté dans des fichiers vitaux comme index.php ou wp-blog-header.php.
Pourquoi ce problème apparaît-il ?
Mots de passe faibles
Une attaque par force brute a réussi à deviner un accès.
Faille XSS ou SQLi
Une vulnérabilité dans un plugin a permis l'injection de code.
Extension ou thème compromis
Un composant déjà infecté a été installé.
Comment réparer ce bug WordPress
Rechercher le code obfusqué
Cherchez les fonctions eval(), base64_decode() ou gzinflate() dans les fichiers.
Réinstaller le cœur de WordPress
Remplacez intégralement les fichiers du cœur par une version officielle propre.
Nettoyer la base de données
Supprimez les scripts injectés dans les options, articles et utilisateurs.
Sécuriser le serveur
Renforcez le .htaccess pour bloquer l'exécution de PHP dans les dossiers d'upload.
Comment éviter que ce bug revienne
- Maintenez tout l'écosystème à jour
- Mettez en place une analyse de sécurité régulière
- Bloquez l'exécution de PHP dans wp-content/uploads
- Limitez les permissions de fichiers au strict nécessaire
Questions fréquentes (FAQ)
Un plugin antivirus suffit-il à nettoyer un malware ?
Le malware peut-il revenir après nettoyage ?
L'équipe Mr.WordPress
Experts en dépannage WordPress
Notre équipe technique intervient chaque jour sur des sites WordPress en panne — erreurs serveur, piratages, lenteurs, conflits de plugins. Chaque guide est rédigé et vérifié à partir de cas réels d'intervention.
En savoir plus sur Mr.WordPress →