Mon site web a été hacké : que faire étape par étape
Le coût moyen d'une violation de données en France atteint 4,45 millions d'euros en 2024. Ce chiffre suffit à comprendre pourquoi la réponse à un piratage de site web devrait figurer en haut de votre liste de priorités.
La bonne nouvelle ? La plupart des mesures préventives coûtent une fraction de ce montant.
Sophie Mercier
Analyste SOC, CEH
Sommaire
Les signes d'un piratage : comment savoir si votre site est compromis
Avant de paniquer, vérifiez si votre site présente ces symptômes caractéristiques : redirections vers des sites suspects, pages modifiées ou inconnues, alertes Google Safe Browsing, chute brutale du trafic ou envoi de spam depuis votre serveur.
Certains piratages sont discrets : le hacker peut avoir injecté du code malveillant invisible pour les visiteurs mais actif pour les moteurs de recherche (cloaking SEO). Vérifiez vos résultats Google avec la commande site:votredomaine.com.
Urgence : Si vous constatez un de ces signes, ne touchez à rien avant d'avoir lu la suite. Chaque action précipitée peut détruire des preuves essentielles.
Étape 1 : Isoler le site immédiatement
La première action est de couper l'accès au site pour empêcher la propagation de l'attaque et protéger vos visiteurs.
# Mettre le site en maintenance
echo '<h1>Maintenance en cours</h1>' > /var/www/html/index.html
# Ou bloquer tout le trafic temporairement
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j DROPChangez immédiatement tous les mots de passe : hébergement, FTP, base de données, CMS, email. Utilisez un appareil non compromis pour le faire.
Étape 2 : Préserver les preuves
Avant de nettoyer quoi que ce soit, faites une copie forensique complète du site et des logs. Ces preuves seront essentielles pour comprendre l'attaque et éventuellement porter plainte.
# Copie complète du site
tar -czf /backup/site-compromis-$(date +%Y%m%d).tar.gz /var/www/
# Copie des logs serveur
cp -r /var/log/apache2/ /backup/logs-incident/
cp -r /var/log/auth.log /backup/logs-incident/Notez la date et l'heure exacte de découverte, les symptômes observés et toute action déjà entreprise. Ce journal d'incident sera précieux.
Étape 3 : Identifier le vecteur d'attaque
Analysez les logs d'accès pour identifier l'origine de la compromission. Cherchez des requêtes suspectes, des accès à des fichiers inhabituels ou des connexions depuis des IP inconnues.
# Rechercher des fichiers modifiés récemment
find /var/www/ -mtime -7 -type f -name "*.php" | head -50
# Chercher du code malveillant courant
grep -r "eval(base64_decode" /var/www/
grep -r "system(" /var/www/html/*.phpLes vecteurs les plus fréquents : plugin/thème vulnérable, mot de passe faible, injection SQL, upload de webshell via un formulaire non sécurisé.
Étape 4 : Nettoyer et restaurer
Deux options s'offrent à vous : restaurer une sauvegarde saine (recommandé) ou nettoyer manuellement le site compromis.
Si vous restaurez une sauvegarde, assurez-vous qu'elle date d'avant la compromission. Ensuite, appliquez immédiatement les correctifs de sécurité pour colmater la faille exploitée.
Conseil pro : Ne vous contentez pas de supprimer les fichiers malveillants. L'attaquant a probablement installé des backdoors. Sans nettoyage complet, il reviendra.
Étape 5 : Sécuriser et prévenir la récidive
Une fois le site nettoyé, c'est le moment de renforcer la sécurité pour éviter que ça ne se reproduise. Mettez à jour tous les composants, activez le 2FA, installez un WAF et configurez une surveillance continue.
Demandez la réévaluation de votre site à Google via la Search Console si vous avez été flaggé. Le processus prend généralement 24 à 72 heures.
Quand faire appel à un expert
Faites appel à un professionnel si : vous ne trouvez pas le vecteur d'attaque, le nettoyage n'est pas concluant (réinfection), des données sensibles ont été exfiltrées ou si vous devez notifier la CNIL (obligation RGPD sous 72h).
Chez WebGuard Agency, notre équipe CERT intervient sous 4 heures pour les incidents critiques. Nous avons traité plus de 150 incidents de sécurité en 2024.
Besoin d'aide ? Demandez un audit gratuit
Nos experts certifiés analysent votre situation et vous proposent un plan d'action personnalisé.
Outils recommandés
Wordfence CLI
Scanner de malware en ligne de commande
ClamAV
Antivirus open source pour scanner le serveur
Google Search Console
Vérifier le statut de sécurité et demander réévaluation
VirusTotal
Analyser les fichiers suspects en ligne
Erreurs courantes à éviter
Supprimer des fichiers sans copie forensique
Ne pas changer les mots de passe de la base de données
Restaurer une sauvegarde sans patcher la faille
Ignorer les obligations RGPD de notification
Penser que le nettoyage d'un seul fichier suffit
Checklist récapitulative
- Isoler le site (mode maintenance)
- Changer tous les mots de passe
- Faire une copie forensique complète
- Analyser les logs pour identifier le vecteur
- Nettoyer ou restaurer depuis une sauvegarde saine
- Patcher la vulnérabilité exploitée
- Scanner les malwares avec un outil spécialisé
- Demander la réévaluation Google si nécessaire
- Notifier la CNIL si données personnelles compromises
- Mettre en place une surveillance continue
Sophie Mercier
Analyste SOC, CEH chez WebGuard Agency
Analyste SOC Level 3 et Certified Ethical Hacker. Sophie supervise la détection de menaces pour un portefeuille de 80 entreprises.
Besoin d’un audit de sécurité ?
Nos experts identifient vos vulnérabilités avant qu’elles ne soient exploitées.
Ce que disent nos clients
Découvrez pourquoi plus de 200 entreprises font confiance à WebGuard Agency pour leur cybersécurité.
« En tant que PME, nous pensions la cybersécurité hors de portée. WebGuard nous a prouvé le contraire avec des solutions adaptées à notre budget. »
« L'accompagnement de WebGuard Agency a été déterminant pour sécuriser notre infrastructure. Leur expertise technique est remarquable. »
Demandez votre devis gratuit
Recevez une proposition personnalisée sous 24h. Sans engagement.
En soumettant ce formulaire, vous acceptez d’être contacté par WebGuard Agency. Vos données restent confidentielles.
Questions fréquentes
Vous ne trouvez pas la réponse à votre question ?
Articles associés
Comment choisir un prestataire en cybersécurité
Critères essentiels pour choisir le bon prestataire cybersécurité : certifications, méthodologies, références et questions à poser.
Comment sécuriser un site WordPress : guide complet 2025
Guide complet pour sécuriser votre site WordPress en 2025 : plugins, configuration, headers, mises à jour et bonnes pratiques anti-piratage.
Comment former ses employés à la cybersécurité
Programme de sensibilisation cybersécurité : phishing simulé, e-learning, exercices pratiques et mesure de l'efficacité pour réduire le risque humain.
Veille cybersécurité
Recevez chaque semaine les dernières menaces, vulnérabilités et bonnes pratiques directement dans votre boîte mail.
Pas de spam. Désinscription en un clic. Environ 1 email par semaine.
Prêt à renforcer votre cybersécurité ?
Rejoignez les entreprises qui font confiance à WebGuard Agency pour protéger leurs actifs numériques. Premier audit offert.