SG SiteGarde
Connexion Essai gratuit
Retour au blog Sécurité WordPress - 8 min

Défacement de site web : signes d'alerte et procédure de réponse rapide

Un défacement de site remplace votre contenu par un message pirate. Reconnaître les signes, réagir vite et remettre votre site en ligne proprement — voici la méthode.

Le défacement (ou "defacement") est la forme d'attaque web la plus visible : votre site est remplacé par un message des pirates, souvent politique, idéologique ou simplement une démonstration de force technique. Contrairement aux attaques SEO discrètes, le défacement est immédiatement apparent — ce qui le rend moins dangereux à long terme mais nécessite une réponse très rapide.

Qu'est-ce qu'un défacement ?

Un défacement se caractérise par le remplacement de votre contenu normal par :

  • Un message politique ou revendicatif des pirates
  • Une image ou une page "hacké par [pseudo]"
  • Un contenu obscène ou choquant
  • Parfois une page vide ou un message d'erreur volontaire

Qui cible les défacements ?

Les auteurs sont souvent des "script kiddies" (hacktivistes débutants) qui exploitent des vulnérabilités connues via des outils automatisés. Ils ne ciblent pas spécifiquement votre site — ils scannent massivement Internet pour trouver des sites vulnérables, souvent par catégorie (tous les WordPress avec une version précise de plugin).

Important : Un défacement n'est pas "juste" une dégradation visuelle. Il révèle que l'attaquant a obtenu un accès suffisant pour modifier vos fichiers ou votre base de données. D'autres actions (vol de données, installation de backdoor) ont peut-être eu lieu en même temps.

Signaux d'alerte précoces

Certains signes précèdent parfois le défacement visible :

Activité inhabituelle dans les logs

```bash
# Vérifier les dernières connexions wp-admin
grep "POST.*wp-login" /var/log/apache2/access.log | tail -50

# Vérifier les uploads récents suspects
find /var/www/html/wp-content/uploads -newer /var/www/html/wp-config.php -name "*.php"
```

Alertes de votre plugin de sécurité

Wordfence ou Sucuri peuvent alerter sur :

  • Tentatives de connexion répétées (brute force)
  • Modification de fichiers core WordPress
  • Création de nouveaux utilisateurs administrateurs

Monitoring externe

Un outil de surveillance comme SiteGarde détecte un défacement dès le premier check suivant l'attaque — bien avant qu'un client ne vous appelle.

Procédure de réponse au défacement

Minute 0 à 5 : Isolation immédiate

Ne paniquez pas. Agissez méthodiquement.

  1. Activez une page de maintenance (503) pour stopper l'affichage du contenu dégradé
  2. Prenez des screenshots du site défacé — utile pour les déclarations et analyses
  3. Notifiez votre hébergeur immédiatement

Minutes 5 à 30 : Analyse initiale

Sans rien modifier encore :

  • Consultez les logs d'accès récents pour identifier l'IP et le vecteur d'attaque
  • Vérifiez les derniers fichiers modifiés (find /var/www -newer /var/www/wp-config.php)
  • Vérifiez les utilisateurs WordPress — de nouveaux comptes admin ont-ils été créés ?
  • Recherchez des backdoors PHP (eval, base64_decode, system, exec)

Heure 1 à 4 : Nettoyage et restauration

Option A : Restauration depuis une sauvegarde propre (recommandée)

Si vous disposez d'une sauvegarde récente antérieure à l'attaque, restaurez-la. C'est la solution la plus rapide et la plus sûre.

Option B : Nettoyage manuel si pas de sauvegarde

  1. Réinstallez WordPress core depuis les fichiers officiels
  2. Supprimez et réinstallez tous les plugins depuis wordpress.org
  3. Restaurez le thème depuis sa version officielle
  4. Changez tous les mots de passe (admin, FTP, BDD, cPanel)
  5. Révoquez toutes les sessions actives

Heures 4 à 8 : Durcissement et retour en ligne

  • Activez l'authentification à deux facteurs
  • Changez les préfixes de table de base de données si possible
  • Installez Wordfence avec firewall actif
  • Supprimez la page de maintenance et testez exhaustivement le site

Après l'incident : vérifications indispensables

Avant de déclarer l'incident résolu :

  1. Vérifiez qu'il n'y a pas de backdoor persistante (consultez notre guide détaillé)
  2. Scannez avec Sucuri SiteCheck depuis l'extérieur
  3. Vérifiez Safe Browsing Google pour votre domaine
  4. Auditez les accès FTP et base de données des 30 derniers jours
  5. Testez toutes les fonctionnalités : formulaires, paiements, espaces client

Déclaration CNIL : Si le défacement a exposé des données personnelles de vos utilisateurs (formulaires de contact, comptes client), vous avez 72 heures pour le déclarer à la CNIL. Ne négligez pas cette obligation légale.

Prévenir les futurs défacements

La prévention est infiniment moins coûteuse que la récupération :

  • Mises à jour automatiques de WordPress core activées
  • Plugins maintenus à jour (consultez les plus ciblés en 2026)
  • Authentification à deux facteurs sur tous les comptes admin
  • Sauvegardes quotidiennes testées mensuellement
  • Monitoring permanent pour une détection en moins de 24 heures

Articles connexes : Casino hack | Nettoyer un WordPress infecté | Plugins WordPress vulnérables

Surveiller mes URL