Vous vous connectez à votre tableau de bord pour écrire un article ou vérifier vos commandes, et en jetant un œil à la liste de vos utilisateurs, votre sang ne fait qu’un tour. Des comptes que vous n’avez jamais créés, avec des noms étranges (comme support_admin, wp_update ou des suites de lettres), possèdent le rôle « Administrateur ». Vous êtes face à l’une des intrusions les plus dangereuses sur WordPress : un pirate s’est octroyé les clés de votre maison. Il a désormais le pouvoir de tout modifier, de tout effacer, ou de voler les données de vos clients. Il faut agir immédiatement.
Vérification rapide : La présence de comptes administrateurs « fantômes » signifie qu’un pirate a exploité une faille critique (souvent via une extension obsolète) pour forcer la création d’un profil. Même si vous supprimez ce compte, le pirate a très certainement caché un script (une porte dérobée) pour le recréer automatiquement la nuit suivante.
Étape 1 : Supprimer l’intrus et bloquer les nouvelles inscriptions
La première urgence est de couper l’accès immédiat du pirate pour l’empêcher de faire plus de dégâts pendant que vous nettoyez.
- Dans votre tableau de bord, allez dans Comptes > Tous les comptes.
- Cochez la case à côté des administrateurs suspects.
- Dans le menu déroulant « Actions groupées », choisissez Supprimer et validez.
- Attention : WordPress vous demandera que faire du contenu publié par ces utilisateurs. Choisissez impérativement Attribuer tout le contenu à (et sélectionnez votre propre compte) pour ne pas effacer accidentellement des pages du site.
- Allez ensuite dans Réglages > Général. Assurez-vous que la case Tout le monde peut s’enregistrer est bien décochée (sauf si vous avez une boutique e-commerce, auquel cas le rôle par défaut doit strictement être « Client », jamais Administrateur).
Vous avez supprimé l’intrus mais il réapparaît le lendemain ? Le pirate a dissimulé un code de réinfection dans votre serveur. Ne laissez pas un inconnu manipuler votre entreprise.Confiez-nous la réparation immédiate de votre WordPresspour un nettoyage complet de votre base de données.
Étape 2 : Traquer les administrateurs cachés dans la base de données
Parfois, les pirates sont plus vicieux. Ils créent un compte administrateur, puis modifient le code de WordPress pour que ce compte n’apparaisse pas dans votre tableau de bord. Il faut donc vérifier la source : votre base de données.
- Connectez-vous à l’interface de votre hébergeur et ouvrez phpMyAdmin.
- Cliquez sur votre base de données à gauche, puis sur la table
wp_users. - Observez la liste. Si vous voyez des noms d’utilisateurs (
user_login) ou des adresses e-mails que vous ne connaissez pas, le pirate est là. - Cochez la ligne du pirate et cliquez sur Supprimer (l’icône en forme de croix rouge).
- Vous devez ensuite aller dans la table
wp_usermeta, chercher toutes les lignes associées à l’ID (le numéro) de ce pirate, et les supprimer également.
Étape 3 : Trouver et détruire la porte dérobée (Backdoor)
Si vous ne bouchez pas la faille, le pirate reviendra. Il faut trouver comment il parvient à créer ces comptes automatiquement.
- Vérifiez le fichier functions.php : C’est la cachette préférée des pirates. Allez dans
wp-content/themes/votre-theme/via FTP et éditezfunctions.php. Cherchez des fonctions contenantwp_create_userouwp_insert_user. Si elles ne sont pas de vous, supprimez-les. - Scannez le site : Installez l’extension de sécurité Wordfence. Lancez un scan complet (High Sensitivity). Il détectera les fichiers malveillants cachés dans vos dossiers d’extensions.
- Mettez tout à jour : L’intrusion a probablement été rendue possible par une extension non mise à jour. C’est le moment de tout passer à la dernière version.
Vol de données et impact sur votre entreprise
Un administrateur fantôme a accès à absolument toute votre base de données. Si vous gérez une boutique WooCommerce ou un site d’adhésion, ce pirate a pu exporter la liste complète de vos clients, leurs adresses et leurs e-mails. Au-delà de l’impact catastrophique sur votre référencement naturel (SEO) (si le pirate décide de cacher des liens illégaux sur vos pages), c’est votre responsabilité pénale face au RGPD qui est engagée. Une intrusion de ce niveau ne doit jamais être prise à la légère.
Vous craignez qu’il reste des failles invisibles ?
Supprimer un utilisateur est facile, mais garantir qu’il n’y a plus aucun script malveillant sur votre serveur demande une expertise poussée. Une création de site internet professionnelle intègre des pare-feux pour empêcher ce type de manipulation de la base de données. Si votre site actuel est une passoire, il est temps d’agir.
Ne jouez pas à la roulette russe avec les données de vos clients. Faites appel à notre service expert en maintenance WordPress. Nous révoquons toutes les sessions actives, purgeons le code source de vos thèmes et plugins, et sécurisons les protocoles d’inscription pour bloquer définitivement toute tentative d’intrusion.
Foire Aux Questions (FAQ)
Le pirate a-t-il pu voir les mots de passe de mes clients ?
Non. Par mesure de sécurité, WordPress ne stocke jamais les mots de passe en texte clair, mais sous forme d’empreintes cryptées (hash). Le pirate ne connaît donc pas les mots de passe de vos utilisateurs. En revanche, il a pu voir toutes les autres données en clair (Noms, e-mails, adresses, historique de commandes).
Comment le pirate a-t-il contourné mon mot de passe très fort ?
Il ne l’a pas fait. Il n’a pas piraté votre compte. Il a utilisé une faille dans le code d’une de vos extensions vulnérables pour injecter une commande directement dans la base de données (SQL Injection), lui demandant de créer un tout nouveau profil administrateur sans jamais avoir eu besoin de s’authentifier.
Dois-je changer mon propre mot de passe administrateur ?
Oui, absolument. Même si votre compte n’était pas la porte d’entrée, il est recommandé de réinitialiser tous les mots de passe (votre profil, votre accès FTP, et le mot de passe de votre base de données MySQL) après ce type d’incident.
