Mr.WordPress Logo
Appeler
WhatsApp
Urgence

Malware WordPress : comment détecter et supprimer le virus

Découvrez comment détecter et éradiquer les scripts malveillants injectés dans la base de données ou les fichiers d'un site WordPress.

L'équipe Mr.WordPress Mis à jour le 17 mai 2026 3 min de lecture

Résumé rapide du problème

Un malware WordPress est un script caché qui exécute des actions frauduleuses à votre insu : minage de cryptomonnaie, spam SEO ou vol de données. Il se loge dans les fichiers ou la base de données et doit être éradiqué intégralement.

Solution rapide

Scannez le site avec un outil de sécurité, remplacez tous les fichiers du cœur de WordPress, nettoyez la base de données du code injecté et sécurisez wp-config.php.

Résumer ce guide avec une IA :ChatGPTClaudeGeminiPerplexity

Comment reconnaître ce bug

  • Du code obfusqué (eval, base64_decode) apparaît dans les fichiers
  • Le site est lent, redirige, ou affiche des publicités non sollicitées
  • Un antivirus ou l'hébergeur signale une infection

Qu'est-ce que ce bug WordPress ?

Un malware est un logiciel malveillant. Sur WordPress, il prend souvent la forme de code obfusqué (illisible) injecté dans des fichiers vitaux comme index.php ou wp-blog-header.php.

Pourquoi ce problème apparaît-il ?

Mots de passe faibles

Une attaque par force brute a réussi à deviner un accès.

Faille XSS ou SQLi

Une vulnérabilité dans un plugin a permis l'injection de code.

Extension ou thème compromis

Un composant déjà infecté a été installé.

Comment réparer ce bug WordPress

1

Rechercher le code obfusqué

Cherchez les fonctions eval(), base64_decode() ou gzinflate() dans les fichiers.

2

Réinstaller le cœur de WordPress

Remplacez intégralement les fichiers du cœur par une version officielle propre.

3

Nettoyer la base de données

Supprimez les scripts injectés dans les options, articles et utilisateurs.

4

Sécuriser le serveur

Renforcez le .htaccess pour bloquer l'exécution de PHP dans les dossiers d'upload.

Comment éviter que ce bug revienne

  • Maintenez tout l'écosystème à jour
  • Mettez en place une analyse de sécurité régulière
  • Bloquez l'exécution de PHP dans wp-content/uploads
  • Limitez les permissions de fichiers au strict nécessaire

Questions fréquentes (FAQ)

Un plugin antivirus suffit-il à nettoyer un malware ?
Rarement. Les plugins de sécurité scannent bien, mais échouent souvent à nettoyer les infections complexes installées au niveau racine du serveur.
Le malware peut-il revenir après nettoyage ?
Oui, si une porte dérobée a été oubliée ou si la faille d'origine n'est pas corrigée. Le nettoyage doit être complet et suivi d'une resécurisation.

L'équipe Mr.WordPress

Experts en dépannage WordPress

Notre équipe technique intervient chaque jour sur des sites WordPress en panne — erreurs serveur, piratages, lenteurs, conflits de plugins. Chaque guide est rédigé et vérifié à partir de cas réels d'intervention.

En savoir plus sur Mr.WordPress →
Partager :XFacebookLinkedIn

Autres bugs — Sécurité & piratage