Pop-ups et publicités spam injectées sur WordPress

Résumé rapide du problème

Les pop-ups et publicités spam sur WordPress sont injectées par un piratage : un code malveillant ajoute des fenêtres et des bannières frauduleuses aux pages. Ces publicités, souvent trompeuses ou dangereuses, génèrent des revenus pour le pirate au détriment de votre site.

Solution rapide

Recherchez le JavaScript injecté dans les fichiers du thème et la base de données, supprimez-le, vérifiez les extensions installées, réinstallez le cœur et supprimez la porte dérobée.

Résumer ce guide avec une IA :ChatGPT Claude Gemini Perplexity

Comment reconnaître ce bug

Des pop-ups publicitaires s'ouvrent à l'arrivée sur le site
Des bannières ou liens publicitaires inconnus apparaissent dans les pages
Les publicités ciblent surtout les visiteurs mobiles ou non connectés
Du JavaScript étranger figure dans l'en-tête du site ou dans wp_options

Qu'est-ce que ce bug WordPress ?

L'injection de publicités est un piratage à but lucratif : le pirate insère du code JavaScript qui affiche des pop-ups et des bannières publicitaires sur votre site. Ces publicités, souvent liées à des arnaques ou du contenu douteux, s'ajoutent sans votre accord. Le code se loge dans le thème, la base de données ou un faux plugin.

Pourquoi ce problème apparaît-il ?

Code JavaScript injecté

Un script malveillant ajoute les publicités, souvent dans l'en-tête ou le pied de page du thème.

Faux plugin publicitaire

Une extension cachée déposée par le pirate génère les pop-ups.

Injection en base de données

Le code publicitaire est stocké dans wp_options ou injecté dans les articles.

Thème ou plugin nulled

Une version piratée intègre dès l'installation du code de monétisation frauduleuse.

Comment réparer ce bug WordPress

Repérer le code publicitaire

Inspectez le code source des pages pour identifier les scripts publicitaires inconnus et leur origine.

Nettoyer le thème et la base

Supprimez le JavaScript injecté dans les fichiers du thème (header, footer) et dans wp_options.

Contrôler les extensions

Vérifiez la liste des plugins et les mu-plugins, supprimez toute extension inconnue ou suspecte.

Réinstaller et resécuriser

Réinstallez le cœur de WordPress, supprimez la porte dérobée, corrigez la faille et changez les mots de passe.

Comment éviter que ce bug revienne

Mettez à jour WordPress, thèmes et extensions sans délai
N'installez jamais de thèmes ou plugins « nulled »
Surveillez le code source de vos pages pour détecter les scripts étrangers
Mettez en place une analyse de sécurité régulière

Questions fréquentes (FAQ)

Pourquoi je ne vois pas les pop-ups en étant connecté ?

Le code est souvent conditionnel : il épargne les administrateurs connectés et cible surtout les visiteurs mobiles ou anonymes. Testez votre site en navigation privée sur smartphone.

Ces publicités sont-elles dangereuses pour mes visiteurs ?

Oui : elles renvoient fréquemment vers des arnaques, de faux logiciels ou des sites de phishing. Elles dégradent aussi la confiance dans votre site et peuvent déclencher une alerte de Google.

Un plugin de blocage de publicités suffit-il ?

Non. Bloquer l'affichage ne supprime ni le code injecté ni la porte dérobée. Il faut éliminer la source dans les fichiers et la base de données.

Les publicités reviennent après nettoyage, pourquoi ?

Une porte dérobée ou la faille d'origine permet la réinjection du code. Le nettoyage n'est complet qu'avec la suppression de tous les accès cachés et la correction de la vulnérabilité.

L'équipe Mr.WordPress

Experts en dépannage WordPress

Notre équipe technique intervient chaque jour sur des sites WordPress en panne — erreurs serveur, piratages, lenteurs, conflits de plugins. Chaque guide est rédigé et vérifié à partir de cas réels d'intervention.

En savoir plus sur Mr.WordPress →

Partager :X Facebook LinkedIn