Repairing and securing hacked WordPress websites

Sans un suivi régulier et les sécurisations adéquates, les sites WordPress peuvent subir des piratages. En cas de hack WordPress, il y a urgence pour récupérer votre site WordPress, mais il faut garder votre calme et bien réagir. Nous intervenons pour protéger votre site WordPress et gérer le piratage WordPress efficacement. 

You need to follow a rigorous procedure pour bien nettoyer votre site and palier les failles de sécurité ayant permis ce hack pour éviter toute récidive.

The longer a hack lasts, the greater the loss of referencing and the impact on your online image. Without rapid intervention, the infection is likely to worsen and further alter the content of your site, making repair more complex if not impossible. Here's how to react effectively.

Discover the causes, consequences and solutions for regaining control.

"My WordPress site has been hacked"

Action is urgently needed. Let's fix it and make it safe!

Si une faille de sécurité est présente sur votre site, alors un pirate peut techniquement en prendre le contrôle total. On parle alors de « hack » ou de piratage de votre site.

Lorsque votre site WordPress a été piraté, les données des visiteurs et administrateurs peuvent fuiter et vos utilisateurs peuvent être redirigés vers des sites malveillants.

Your site can also be delisted, especially if it is blacklisted for malicious content or redirection. This also harms your online image and drives visitors away.

It is therefore urgent to take action to limit the damage.

Emergency hacked WordPress website

Professional repair

LRob, WordPress security expert

  • 24/7 repair
  • Analysis and security
  • Additional recommendations
  • 90-day guarantee
  • Guaranteed repaired or reimbursed
Emergency contact

Most hacked WordPress sites are repairable

Don't panic, it's probably repairable.

If your site's data is still present, then your site is certainly repairable.

Indeed, thepirates rarely delete data. Conversely, they add malicious content to your site in order to discreetly take control of it and serve fraudulent activities. Their traces can therefore be erased.

What's more, you may have a healthy backup: in that case, it's a sure-fire way to get your site back on its feet.

hacked wordpress site repair: an angel at your service

Que faire en cas de piratage de site WordPress ?

First aid :

  • Il faut réagir rapidement… Mais gardez votre calme. Votre site a besoin d’une intervention urgente, mais il est sûrement réparable. Posez-vous, respirez, prenez 15 ou 30 minutes pour vous renseigner, vous faire conseiller et ne pas faire d’erreur dans l’urgence.
  • Si votre hébergeur le permet, suspendez l’accès public (mettez le site en mode maintenance au niveau de l’hébergeur) pour empêcher toute altération supplémentaire du site ou exploitation de votre site par le pirate.
  • Faites une sauvegarde du site en l’état au cas où le piratage n’empire et pour conserver vos dernières modifications.
  • Changez vos mots de passe susceptibles d’avoir fuité, ou étant utilisé à plusieurs endroits (en particulier votre mot de passe d’administration WordPress). Si besoin, pensez à utiliser un gestionnaire de mots de passe libre et open-source pour garder vos accès bien sécurisés.
  • Restaurer une sauvegarde : Si vous disposez d’une sauvegarde saine (fichiers and base de données), restaurez-la.
  • Si vous n’avez pas de sauvegarde, il faut analyser le site en profondeur et effectuer la réparation indiquée ci-dessous.

Need help? Call in a pro.

What NOT to do in the event of a WordPress hack?

Gestures to avoid:

  • Don't log in to the administration of a hacked WordPress site, as this may transmit your logins to the hacker.
  • Don't try to update via admin access, as this not only transmits your logins to the hacker, but also does nothing to erase the malicious scripts and mask the loopholes used, making it impossible to check the precise cause of the hacking and avoid it later.
  • Ne restaurez pas une sauvegarde par simple remplacement des fichiers : cela n’efface pas les fichiers ajoutés et laisse les backdoors du hacker en place. Il faut tout supprimer avant restauration. Assurez-vous à 300% d’avoir une vraie bonne sauvegarde du site (fichiers and base de données) au préalable.

Quels sont les signes d’un piratage WordPress ?

Voici les 9 symptômes d’un site WordPress piraté les plus courants.
(click on the symptom to view details)

1. Unauthorized advertising and redirections

Unwanted ads or redirects to third-party sites appear on your site.

The hacker was able to break into the site's files and/or database to insert these ads and redirects. His aim is to steal your traffic to generate revenue.

2. Unable to log in as administrator

Your administrator password no longer works or seems to change unexpectedly after each reset.

The hacker has introduced a backdoor (code hidden in your site) enabling him to change all your passwords at will.

Il n’est pas utile de réinitialiser le mot de passe administrateur de WordPress tant que le site n’est pas réparé.

3. You receive notifications of rejected e-mails

You receive notifications of bounced e-mails (also known as "mailer-daemons") that you have not sent yourself.

The hacker is using your site to send emails, or may have compromised your email password. In some cases, they are simply using a poorly configured and insecure contact form as a platform to send emails to the recipients of their choice, which also needs to be addressed to avoid your blacklisting.

4. Google Safe Browsing or antivirus security alert

When you visit your site, your browser displays a "Dangerous or malicious site" alert, either via Google Safe Browsing or via your antivirus software. The blocked URL displayed belongs to your site or to a third-party site.

Your site contains URLs from phishing, des programmes malveillants, ou redirige vers des sites malveillants. Google tient une base de données de ces sites malveillants que tous les navigateurs web utilisent, ce qui permet de protéger les visiteurs de la sorte. Votre domain name a été blacklisté.

5. Unwanted content and foreign languages

You see additional or modified articles or pages on your site. Often in a foreign language. And often with suspicious links to other sites.

Le pirate contrôle votre site. Soit via un compte administrateur ajouté, soit via un backdoor lui permettant d’injecter du code dans la base de données. Cela lui permet notamment d’insérer tout le contenu qu’il souhaite.

Not to be confused with "spam" comments. This concern must be addressed, but does not necessarily mean that your site has been compromised.

6. Unknown users

Vous observez la présence d’un ou plusieurs utilisateurs administrateurs inconnus dans la liste d’utilisateurs WordPress. Parfois, vous observez que les détails de vos compte administrateur existants ont changé.
NB: As you don't want to log in to the site administration, you can also see this in the database table wp_users (via phpMyAdmin for example).

Le pirate contrôle votre site. Soit via un compte administrateur ajouté ou compromis, soit (et c’est le cas le plus courant) via un backdoor lui permettant d’injecter du code dans la base de données. Cela lui permet notamment de contrôler les utilisateurs du site.

Not to be confused with unwanted users registering on your site. This concern must be addressed, but does not necessarily mean that your site has been compromised.

7. Phishing pages

You may notice that some URLs or files (often .html) resemble pages from well-known sites, either through a statistics tool or when exploring your site's files.

This is called phishing. The hacker has taken control of your site and can write files of his choice into it, or write to the database. Phishing allows the hacker to lure visitors to your site whom he has previously sent false e-mails, in order to use it as a gateway and retrieve personal information from his victims.

8. Fichiers suspects ou intrus

Pour observer les fichier suspects, il faut explorer les fichiers du site via FTP ou via votre panel hébergeur. Vous remarquez ne serait-ce que un fichier ou dossier intrus dans vos fichiers WordPress. Parfois des fichiers en « .zip » et parfois dans les dossiers sous-jacents. En cas de doute comparez avec l’archive sur wordpress.org.

The hacker has been able to send unwanted files to your site and now has complete control. He can read existing files and add new ones. He will usually have taken care to hide "backdoor" files throughout the files in an attempt to retain access to the site even if you clean up the content.

9. Performances ralenties

Si votre site est particulièrement lent à charger, que vous constatez une dégradation des temps de chargement, alors cela peut être un indicateur de piratage. Si vous n’êtes pas encore hébergé chez LRob, cela pourrait également provenir d’une lenteur de votre hébergeur. En cas de doute, contactez votre hébergeur pour vérifier s’il subit une lenteur anormale.

If you spot any of these signs of a WordPress hack, don't delay in contacting me for immediate assistance.

Comment nettoyer un site WordPress infecté ?

Après un piratage, le nettoyage complet de votre site WordPress est requis. Additionnellement, il faut effectuer une vérification de sécurité approfondie pour sécuriser durablement votre site.

La réparation de WordPress nécessite une grande rigueur et une maîtrise parfaite de WordPress et des hébergements web. Cela permet d’éviter toute perte de données, de conserver les fonctionnalités de votre site et de vous protéger contre les récidives. Supprimer un malware n’est pas une tâche anodine, celui-ci pouvant avoir de multiples formes et se nicher dans des dossiers ou emplacements de base de données improbable.

Si vous ne maîtrisez pas parfaitement ces points techniques, trouvez conseil professionnel en nous appelant au : 0221 827 827 (outside working hours, emergency number : 06 27 37 44 92)

Voici nos étapes clé pour réparer et sécuriser votre site WordPress :

  1. Save the site as is (files via FTP + database via phpMyAdmin or equivalent, from the hosting panel).
  2. Duplicate the site on a controlled and secure environment containing diagnostic tools (a Plesk hosting with WordPress Toolkit and Imunify as provided in ourFrench WordPress hosting LRob is ideal).
  3. Auditing the site pour identifier les vulnérabilités utilisées par le pirate (WordPress Toolkit permet cela). Lorsque cela est possible, il procéder à l’analyse du journal d’accès (logs) pour identifier le mal inséré via une requête du pirate.
  4. Réinstaller WordPress : Remettre les fichiers originaux pour l’intégralité des scripts core WordPress, en passant par une suppression complète des fichiers core afin d’éviter les fichiers ajoutés.
  5. Effectuer une analyse complète Identifier les malwares (virus), scripts suspects et illégitimes et supprimer les fichiers malveillants. Pour cela, il faut naviguer dans tous les sous-dossiers de wp-content/ et relever les fichiers n’appartenant pas à un WordPress natif.
  6. Check that the "uploads" folder doesn't contain any suspicious HTML or PHP files (in principle, 99% files of this type in this folder are inherently suspicious).
  7. Delete any cache folders and any suspicious or apparently modified plugins or themes (check file modification dates, look at the contents of the last modified files for abnormal code).
  8. Check and clean the database for any backdoor, redirection or spam content in pages and articles.
  9. Clean up WordPress users added by the hacker (via phpMyAdmin).
  10. Secure WordPress, FTP, MySQL and SSH administrator access with new passwords. Adapt site configuration file wp-config.php.
  11. Update all scripts (WordPress core, themes, plugins).
  12. Check the integrity of all files using a plugin such as WordFence with advanced scanning.
  13. Re-audit security vulnerabilities (WordPress Toolkit) and recommend solutions to prevent recurrence.
  14. Check the various WordPress settings and .htaccess settings to prevent unsafe operation.
  15. If sensitive data may have leaked: identify this data, advise on the procedure to follow, draw up a technical file to lodge a complaint and assist law enforcement if an investigation is opened, and make the RGPD declaration.
  16. Save and archive the repaired site for 1 year
  17. Put the repaired site into production, preferably on a secure WordPress hosting like those provided by LRob, specially tailored for WordPress
  18. Mettre en place des solutions à long terme pour rester sécurisé (par exemple la mise à jour automatique et la sauvegarde automatique gérée directement par le serveur, fournie par LRob)
  19. To provide the site owner with all the information he needs to intervene and ensure the long-term future of his site.
  20. A 90-day guarantee if you keep your hosting, and an unlimited guarantee if you switch to LRob with the appropriate webmastering package.

Contact LRob, the WordPress security expert

LRob a réparé des centaines de sites internet, la sécurité WordPress est notre spécialité.

Phone

During working hours, the switchboard: 02 21 827 827
Out of working hours, on-call service: 06 27 37 44 92

Or fill in this form.

We'll be right back.

Please enable JavaScript in your browser to complete this form.
Here you can specify the clues that lead you to believe that your site has been hacked.

Frequently asked questions

Comment savoir si mon site WordPress est piraté ?

If you see any of these signs, it's likely that your site has been compromised. Please contact me immediately for a free evaluation if you have any doubts.

  1. Your administrator password no longer works or seems to change unexpectedly.
  2. Advertisements or redirections to third-party sites appear on your site.
  3. You receive notifications of rejected e-mails that you did not send, indicating unauthorized use of your site.
  4. Your site displays a security alert from Google Safe Browsing, reporting malicious content.
  5. You notice the presence of unwanted content, often in foreign languages, with links likely to promote fraudulent sites.
  6. Unknown users appear in the WordPress user list, sometimes as administrators.
  7. Your site contains phishing pages that look like institutional sites and may cause a loss of referencing.
Who are you and why should I trust you?

My name is Robin Labadie. I am a sole trader and my company details are available at the bottom of my website. Systems administrator since 2013, I've worked for web hosting companies and web agencies on hosting and maintenance of WordPress websites (CV available ici). Cela m’a amené à prendre en charge de nombreux sites WordPress qui ne bénéficiaient pas de la maintenance adéquate et avaient été piratés. J’ai ainsi développé des compétences singulières avec des méthode fiables et efficaces pour nettoyer et sécuriser les sites WordPress à long terme. Aucun site n’a jamais été piraté à nouveau sous ma supervision.

How could my site have been hacked?

The reasons behind the hacking of your site are generally linked to security vulnerabilities. The security vulnerabilities that may have enabled your site to be hacked will be indicated in my intervention report.

WordPress, as an interactive system, includes thousands of lines of code and numerous plugins, creating opportunities for security vulnerabilities. Every day, such vulnerabilities are discovered and corrected by developers.

Étant donné que WordPress est largement utilisé, il est souvent la cible d’attaques. Les pirates testent différentes failles sur divers sites WordPress jusqu’à trouver une vulnérabilité.

Reasons for intrusion may include:

  • Missing updates or obsolete scripts.
  • Weak passwords for administrator, FTP and database accounts.
  • Insufficiently secure hosting without adequate protection against attacks.

It's crucial to reinforce all aspects of security, including using secure hosting specially configured for WordPress, as well as regular maintenance, to prevent future intrusions. My offer Webmastering Critical is designed with this in mind.

Why was my site targeted?

Parce qu’il était vulnérable, vous étiez une cible « facile ».

Online attackers don't usually make distinctions: they attack all sites, including those of the self-employed, small businesses, small associations or local authorities. Truly targeted attacks are rare. That's why, if your site has security flaws, it's not a question of "if", but "when" your site will be hacked.

Whether your site is specifically targeted or not, it's essential to take all necessary measures to ensure complete security and prevent any recurrence.

I've updated my site after a hack, is that enough?

No, that's not enough, nor is it recommended. It's necessary to carry out a complete audit of the site's files and database, and to identify other potential vulnerabilities and unauthorized users.

Car la plupart des pirates laissent souvent des « backdoors » dans le code pour maintenir leur accès et ceux-ci ne sont pas effacés par une mise à jour.

Aussi, pour effectuer la mise à jour, si vous êtes passés par le back-office du site piraté, cela peut donner au pirate un accès à votre mot de passe, qu’il faudra alors changer partout où vous l’utilisez.

If you've already performed updates after an intrusion, it's important to let me know, as file modifications are an important diagnostic indicator. Also, the update may have corrected the original vulnerability, making it impossible to retroactively detect the original flaw that enabled the hack.

La sécurité est un domaine de spécialité. En cas de doute, faites appel à votre expert sécurité LRob.

Why is WordPress being hacked?

WordPress est une cible attrayante pour les pirates en raison de sa grande popularité (43% des websites) et de la disponibilité en masse d’informations sur ses vulnérabilités de sécurité.

Hackers' motivations are generally linked to illegal financial gain. They use various methods, such as data theft and resale, as well as phishing, to achieve this goal.

What is the response/recovery time?

Your site can be repaired within 24 hours, including evenings, weekends and public holidays. Such a turnaround also requires your responsiveness.

Piracy is an emergency and your request is treated as a priority.

For best results, we recommend that you fill in the form and then call us.

Pour une intervention rapide, vous devez fournir un accès aux fichiers et à la base de données du site, puis, dès que vous avez confirmation que votre site est bien réparable, passer commande.

After a preliminary diagnosis by telephone or via the contact form and payment on your part, the repair begins.

What access is required for repairs?

L’accès hébergeur complet fournit tous les accès nécessaires. Pour la réparation, j’ai seulement besoin d’accéder aux fichiers et à la base de données de votre site. Vous pouvez me fournir une archive des fichiers et base de données si vous êtes à l’aise avec cette option. Sinon, un accès FTP et phpMyAdmin est suffisant. Sur serveur dédié, un accès SSH avec des permissions suffisantes est recommandé.

What do I pay if my site can't be repaired?

I'd like to make sure that you won't be charged if your site unfortunately can't be repaired.

The diagnosis prior to the order is designed to check the feasibility of the intervention.

However, should I notice during the repair process that your site has been too severely altered and that your content is no longer available, I undertake to reimburse you by credit card or bank transfer within 7 working days. You can also opt for a credit note deducted from the amount already paid for hosting, site creation or redesign, if you prefer.

Your warranty is for 90 days, so why not longer?

A maintenance-free site starts to run a significant risk after 3 months without updates. In other words, after 3 months, what happens to your site is no longer related to the initial security.

If you opt for LRob hosting, you'll benefit from automatic updates and security alerts.
If you opt for a Webmastering package, then security is closely monitored by me, and you benefit from the "0 hack" guarantee: any hacking is taken care of free of charge on your hosted site.

How long is the downtime during the procedure?

Usually just a few seconds.

My intervention is designed not to cause any noticeable interruption.

First, the duplication of your site to my environment has no effect on it. Secondly, the return to production is done in such a way as to minimize delays. The first few seconds of interruption are due to the renaming of the hacked site folder to a new folder with the repaired site pre-sent. Finally, importing the repaired database usually takes a few seconds, during which the site may not respond. The duration of this stage depends on the size of your site's database and the performance of your hosting provider, if you haven't chosen LRob.

If you've chosen LRob hosting, then migration to the new server won't cause any downtime thanks to perfect DNS control!

Comment sécuriser un site WordPress ?
Et quelles sont les bonnes pratiques pour éviter le piratage ?

Mise à jour, suivi des failles et choix d’un hébergeur sécurisé.

S’il a subit un piratage, l’ajout d’un plugin de sécurité ou la mise à jour ne sont pas du tout suffisants. Il faut d’abord suivre les conseils de sécurité sus-cités.

Une fois toute trace de piratage retirée, les bonnes pratiques pour se prémunir des attaques sont diverses.

La première règle pour renforcer la sécurité de votre site WordPress est de le tenir (thème, core WordPress et plugins) à jour le plus fréquemment possible, avec au moins une mise à jour par mois. Cela permet de corriger les failles de sécurité dévoilées au fil du temps.

Souvent oubliée, la version de PHP faisant tourner votre site WordPress doit aussi être mise à jour au moins 1x par an pour suivre la feuille de route officielle de PHP.

Les plugins de sécurité sont coûteux en performances ne sont pas toujours très efficaces. Car pour défendre le mur de la forteresse, rien ne sert de tenir le mur avec les mains. Autrement dit, se protéger de l’intérieur n’est pas optimal, même si, lorsque votre hébergeur ne le supporte pas, cela peut protéger des attaques de brute force. Certains plugins de sécurité peuvent même parfois contenir eux-même des failles de sécurité. A la place, il vaut mieux considérer un hébergement web solide.

L’hébergement web doit bloquer les requêtes malveillantes par WAF (pare-feu applicatif), détecter les attaques par bruteforce (force brute, essai de tous les mots de passe) puis idéalement bloquer totalement les IP attaquantes au niveau du serveur. Il est également très conseillé de disposer d’un système d’alerte en cas de faille de sécurité connue dans votre site. Tous ces points sont couverts grâce aux LRob web hosting qui met un point d’honneur à vous fournir la meilleure sécurité possible.

Si votre cœur de métier n’est pas le web et que vous souhaitez vous libérer du temps et de la tranquillité d’esprit, il est préférable de choisir un webmaster WordPress professionnel.

What LRob customers say

Very satisfied with Robin's intervention

25/01/2024

My site was badly infected and I needed a complete analysis and rapid repair. Robin was very efficient, he did a preliminary analysis of the situation in order to draw up the estimate and then carried out the repair within a few hours. He sent me a detailed report the next day with all the analysis. I recommends eyes closed.

Avatar for Coralie Laurent
Coralie Laurent
Verified

Mathieu CELLUCCI - Labographic Agency

⭐⭐⭐⭐⭐ - Google reviews

I discovered LRob after my sites were hacked just over 3 years ago. Initially, I contacted him to get my sites back online, recover them and clean them of all the viruses they contained. I was blown away by his impressive responsiveness. I should point out that the hacking occurred on August 15, in the middle of summer, in the middle of the vacation season!

From our very first contact, a bond was forged. He was both ultra-responsive and extremely benevolent. He took the opportunity to host all my sites on a secure server.

I naturally chose to continue the adventure with him, and today I work hand in hand with his company. The rates are ultra-competitive, and above all, the service is top-notch. I'll never turn to another supplier again.

Of course, I recommend LRob (or Robin, for those lucky enough to work with him directly) to all small agencies... and even to the bigger ones! If you're looking for a reliable, human and responsive web host that gives you peace of mind: go for it!

Grégory CORTES - Hello & Co Agency

⭐⭐⭐⭐⭐ - Google reviews

I've been working with Robin for almost a year. LRob's service is light years ahead of the better-known hosting companies. One ring and Robin picks up the phone: "What can I do to help you?"

And that's when you realize that you're not just dealing with technical support, but with a partner you can trust. Responsive, instructive and always ready to listen, Robin finds tailor-made solutions, even in emergency situations. He knows his customers, anticipates their needs, and really takes to heart the reliability and performance of the sites he hosts.

With LRob, the days of anonymous tickets, interminable waiting times and automated responses are over. Here, you talk to a competent human being who masters his subject and keeps his promises.

In short, a human-sized, ultra-professional hosting company, and real peace of mind for me. I recommend it with my eyes closed.

Emeline JAFFRÉ - Digital Communication

⭐⭐⭐⭐⭐ - Google reviews

Robin is an expert in his field! Attentive to my needs, very responsive and educational, it's a real pleasure to work with a service provider you can trust. I can only recommend Robin's services.

Leave your opinion on this service

en_US
fr_FR en_US