Le contenu actuel traite de la sécurisation WordPress plutôt que de la réaction à un piratage de compte personnel (Gmail, Facebook, Instagram, banque, mobile money) comme l’annonce le titre. Une refonte est en cours. En attendant, consultez les ressources en bas de page.
Pourquoi savoir réagir vite à un piratage est crucial ?
Les 60 premières minutes après un piratage déterminent si vous limitez les dégâts ou si vous perdez tout. Un compte WhatsApp piraté permet à l’attaquant d’envoyer des demandes Wave/OM frauduleuses à 500 contacts en moins de 30 minutes. Un compte Gmail piraté donne accès aux réinitialisations de mots de passe de tous vos services. Connaître la procédure de réponse à incident avant que cela arrive vous fait gagner ces minutes critiques.
Sécurité WordPress : votre site est une cible
WordPress propulse 43% du web mondial. Cette popularité en fait la cible préférée des hackers. Des milliers de sites WordPress sont piratés chaque jour, souvent à cause de failles évitables.
Les 4 causes principales de piratage WordPress
- Plugins obsolètes (52% des cas) — les failles connues sont exploitées en masse
- Mots de passe faibles (16%) — « admin/admin » est encore trop courant
- Thème vulnérable (11%) — thèmes piratés = souvent infectés
- Hébergement non sécurisé (8%) — serveur partagé mal configuré
Les 15 mesures de sécurité essentielles
Niveau 1 : Les bases (faites-le maintenant)
- Mettez à jour tout : WordPress core, thèmes, plugins
- Supprimez les plugins/thèmes inutilisés (même désactivés)
- Changez le nom d’utilisateur admin (pas « admin »)
- Mot de passe de 14+ caractères unique
- Activez le 2FA avec le plugin WP 2FA ou Wordfence
Niveau 2 : Renforcement
- Installez Wordfence (firewall + scanner gratuit)
- Limitez les tentatives de connexion (Limit Login Attempts)
- Changez l’URL de connexion (/wp-admin → URL personnalisée avec WPS Hide Login)
- Désactivez l’éditeur de fichiers dans wp-config.php
- Protégez wp-config.php
// wp-config.php — désactiver l’éditeur
define(‘DISALLOW_FILE_EDIT’, true);
// .htaccess — protéger wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Niveau 3 : Avancé
- Headers de sécurité (CSP, X-Frame-Options, HSTS)
- Désactivez XML-RPC si vous ne l’utilisez pas
- Sauvegarde automatique quotidienne (UpdraftPlus vers cloud)
- Monitoring : Sucuri ou Wordfence scan planifié
- Certificat SSL avec forçage HTTPS
Plugin de sécurité : Wordfence vs Sucuri
| Critère | Wordfence | Sucuri |
|---|---|---|
| Firewall | Au niveau WordPress (endpoint) | Au niveau DNS (cloud) |
| Scanner | Complet, détecte les malwares | Externe + plugin |
| Prix | Gratuit / Premium 119$/an | Gratuit scanner / Firewall 199$/an |
| Recommandation | Meilleur choix gratuit | Si vous voulez un WAF cloud |
Que faire si votre site est piraté
- Mettez le site en maintenance immédiatement
- Changez tous les mots de passe (WP, FTP, base de données, hébergeur)
- Scannez avec Wordfence pour identifier les fichiers infectés
- Restaurez depuis une sauvegarde saine
- Mettez à jour tout (core, plugins, thèmes)
- Installez un firewall pour prévenir les récidives
- Vérifiez Google Search Console pour d’éventuelles pénalités
Exercice pratique
Sécurisez votre WordPress en 30 minutes
- Mettez à jour WordPress, plugins et thèmes
- Supprimez les plugins et thèmes inutilisés
- Installez Wordfence et lancez un scan
- Activez le 2FA sur votre compte admin
- Configurez UpdraftPlus pour des sauvegardes automatiques
- Changez l’URL de connexion avec WPS Hide Login
Erreurs fréquentes (réaction au piratage)
1. Tenter de récupérer le compte avant de couper l’accès
Cause : on essaie de se reconnecter à WhatsApp/Gmail piraté pour « voir ce qui se passe » pendant que l’attaquant est en session. Pendant ce temps, il vide votre compte ou en exfiltre les données.
Solution : ordre strict : (1) déconnecter toutes les sessions actives via le service ou l’app officielle, (2) changer le mot de passe, (3) activer la 2FA, (4) vérifier les emails/SMS reçus pour annuler tout changement d’email de récupération.
2. Oublier de prévenir ses contacts
Cause : on récupère son WhatsApp mais on n’avertit pas. L’attaquant a déjà demandé 50 000 FCFA à 30 contacts ; certains paient encore après votre récupération.
Solution : dès la récupération, message dans tous les groupes WhatsApp + status + post Facebook : « Mon compte a été piraté entre [date] et [heure]. Toute demande d’argent reçue dans cette fenêtre est frauduleuse. Ne payez rien. »
3. Ne pas changer les autres comptes liés
Cause : on récupère Gmail mais on garde le même mot de passe sur Facebook, Twitter, banque, etc. L’attaquant a peut-être collecté ces credentials et les utilise sur d’autres services.
Solution : changez les mots de passe de TOUS les comptes critiques (banque, mobile money, réseaux sociaux, autres emails) depuis un appareil propre. Et activez la 2FA partout.
4. Pas de plainte = pas de remboursement bancaire
Cause : en cas de fraude Wave/OM/banque, sans dépôt de plainte au commissariat, l’opérateur refuse souvent le remboursement.
Solution : dépôt de plainte sous 48h au commissariat le plus proche ou à la Division Spéciale de Cybersécurité (DSC). Conservez le récépissé et toutes les captures d’écran (transactions, messages, dates).
5. Réutiliser le téléphone/PC compromis sans nettoyage
Cause : on récupère le compte mais on continue à utiliser l’appareil potentiellement compromis. Un keylogger ou spyware capture le nouveau mot de passe.
Solution : scan complet (Malwarebytes + Windows Defender), changement des comptes depuis un AUTRE appareil sain, et reset usine du téléphone si suspicion forte.
Pour creuser ce sujet
- Protéger votre compte WhatsApp — vecteur n°1 de piratage compte au Sénégal.
- Sécuriser vos comptes de réseaux sociaux — Facebook/Instagram/X.
- Sécuriser vos transactions bancaires en ligne — réaction fraude bancaire.
- Configurer la 2FA partout — la 2FA bloque 99% des piratages futurs.
- Pages officielles : facebook.com/hacked, Google Account Recovery.
- Numéros utiles SN : Wave 33 869 65 65 — Orange Money 145 — Police DSC.
Pour appliquer ce tutoriel sur un vrai serveur
Hostinger reste l’option la plus simple pour démarrer. Lien partenaire — votre achat soutient le blog sans surcoût.
Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.
Étape 1 — Cartographier l’exposition réelle de votre site
Avant de durcir quoi que ce soit, posez une carte claire de ce qui est attaqué. Sur un site WordPress hébergé chez Hostinger, LWS, OVH ou un VPS Contabo facturé en euros (1 EUR = 655,957 FCFA), les vecteurs d’entrée sont presque toujours les mêmes : un compte administrateur faible, un thème nulled, un plugin abandonné, une version PHP obsolète ou un FTP laissé ouvert.
Ouvrez un terminal SSH et lancez la première reconnaissance.
wp core version
wp plugin list --status=active --format=table
wp theme list --status=active --format=table
wp user list --role=administrator --fields=ID,user_login,user_email,user_registeredVous devez voir une seule version de WordPress, la liste exacte de vos extensions actives et tous les comptes administrateurs. Si une ligne vous est inconnue dans wp user list, c’est un signal fort : un compte fantôme a été créé. Notez les ID suspects, vous les supprimerez à l’étape 6.
Étape 2 — Mettre à jour tout le socle en une passe contrôlée
Les correctifs critiques de WordPress, de WooCommerce et d’Elementor sortent souvent dans la même semaine que les exploits publics. Faire tourner du core 6.0 en 2026 revient à laisser la porte ouverte. Sauvegardez d’abord, puis mettez à jour core, plugins et thèmes en une commande.
wp db export sauvegarde-pre-update.sql
wp core update
wp plugin update --all
wp theme update --all
wp core update-dbVous devez voir la mention « Success » pour chaque ligne. Si un plugin payant ne se met pas à jour automatiquement, téléchargez la dernière version depuis le compte officiel de l’éditeur, jamais depuis un site qui propose du « GPL gratuit » — ces archives contiennent presque systématiquement une backdoor.
Étape 3 — Forcer l’authentification forte sur tous les comptes
Le brute force sur /wp-login.php reste le scénario d’intrusion numéro un en Afrique de l’Ouest francophone, surtout sur les sites e-commerce qui acceptent Wave, Mixx by Yas ou Orange Money via plugin tiers. La parade tient en trois actions : mot de passe long unique, 2FA, et limitation des tentatives.
Activez d’abord la 2FA via une extension maintenue (par exemple WP 2FA ou Two Factor). Puis verrouillez les tentatives de connexion :
wp plugin install limit-login-attempts-reloaded --activate
wp option update limit_login_attempts 3
wp option update limit_login_lockout 1800Trois échecs déclenchent un blocage de 30 minutes. Vous devez recevoir, dans la console WP-Admin, le message confirmant la nouvelle politique. Demandez ensuite à chaque administrateur de régénérer son mot de passe via un gestionnaire (Bitwarden ou KeePassXC, gratuits).
Étape 4 — Durcir le serveur et le système de fichiers
WordPress n’est sécurisé que si la couche en dessous l’est aussi. Les permissions Linux laxistes (777 sur wp-content) sont le deuxième vecteur d’incident le plus fréquent observé sur les VPS chez Contabo, Hetzner ou Scaleway. Réinitialisez-les proprement.
cd /var/www/html
find . -type d -exec chmod 755 {} ;
find . -type f -exec chmod 644 {} ;
chmod 600 wp-config.php
chown -R www-data:www-data .Aucune erreur ne doit s’afficher. Ajoutez ensuite, dans wp-config.php, la ligne qui désactive l’éditeur de code intégré, principal point d’injection après vol de session admin :
define('DISALLOW_FILE_EDIT', true);Rafraîchissez le menu Apparence : l’entrée « Éditeur de thème » doit avoir disparu.
Étape 5 — Mettre en place un scan automatisé hebdomadaire
Sans scan régulier, une backdoor peut rester dormante des mois. Installez un moteur léger qui tourne en cron, sans alourdir votre mutualisé à 30 EUR par an.
wp plugin install wordfence --activate
wp eval 'wfConfig::set("scheduledScansEnabled", 1);'Lancez ensuite un scan complet manuel, puis programmez-le tous les dimanches à 03h00 UTC depuis Wordfence > Scan > Scan Options. Vous devez voir, dans le tableau de bord, le rapport listant fichiers modifiés, signatures connues, requêtes suspectes. Si Wordfence remonte des fichiers PHP dans /wp-content/uploads/, c’est un indicateur fort de compromission : passez immédiatement à l’étape 7.
Étape 6 — Bloquer XML-RPC et les énumérations d’utilisateurs
Deux endpoints fuitent encore trop d’informations en 2026 : xmlrpc.php (utilisé pour amplifier les attaques par dictionnaire) et l’API REST /wp-json/wp/v2/users qui révèle les logins. Ajoutez ces lignes dans le .htaccess à la racine, juste avant # BEGIN WordPress :
<Files xmlrpc.php>
Require all denied
</Files>Et dans le functions.php du thème enfant :
add_filter('rest_endpoints', function($endpoints){
if (isset($endpoints['/wp/v2/users'])) unset($endpoints['/wp/v2/users']);
if (isset($endpoints['/wp/v2/users/(?P<id>[\d]+)'])) unset($endpoints['/wp/v2/users/(?P<id>[\d]+)']);
return $endpoints;
});Testez ensuite dans le navigateur : https://votresite.com/wp-json/wp/v2/users doit renvoyer une erreur 401 ou un tableau vide. Si vous voyez encore des logins, le filtre n’est pas chargé.
Étape 7 — Réagir si le site est déjà piraté
Symptômes typiques : redirection vers un faux site de paris, pop-ups en russe, comptes admin inconnus, baisse brutale du trafic Google avec mention « Ce site peut être piraté » dans les SERP. Ne cédez pas à la panique, suivez la séquence.
wp maintenance-mode activate
wp db export incident-$(date +%F).sql
tar czf incident-$(date +%F).tgz wp-content/Vous gelez ainsi le site et conservez une preuve forensique. Listez ensuite les fichiers modifiés depuis sept jours :
find /var/www/html -type f -mtime -7 -name "*.php" | grep -v wp-includesExaminez chaque résultat. Les fichiers PHP récemment modifiés dans uploads/ ou aux noms aléatoires (wp-vcd.php, radio.php, class-wp-cache.php hors de wp-content/cache) sont des web shells. Supprimez-les, puis comparez votre core à l’original :
wp core verify-checksumsTout fichier « modified » du core qui n’est pas wp-config.php doit être réinstallé via wp core download --force. Réactivez le site avec wp maintenance-mode deactivate.
Étape 8 — Restaurer la confiance Google et les sauvegardes
Une fois nettoyé, demandez la révision de sécurité depuis Google Search Console > Sécurité et actions manuelles > Demander un examen. Joignez un court rapport décrivant la cause (par exemple plugin Backup Migration non patché, CVE 2023-6553), les actions correctives, la date du nettoyage. Le délai moyen de re-validation est de 48 à 72 heures.
Mettez en place enfin une sauvegarde automatique externalisée — sur Backblaze B2, environ 6 USD par To et par mois, soit moins de 4000 FCFA pour 100 Go — via le plugin UpdraftPlus :
wp plugin install updraftplus --activate
wp option update updraft_interval daily
wp option update updraft_interval_database dailyVérifiez sous Réglages > UpdraftPlus que la première sauvegarde s’est exécutée et a bien atterri sur le stockage distant. Une copie locale ne protège de rien si le serveur entier est compromis.
Étape 9 — Tableau de bord mensuel de vérification
La sécurité n’est pas un état, c’est un processus. Inscrivez ces quatre vérifications dans votre calendrier mensuel : revue des comptes admin, test de restauration d’une sauvegarde sur un environnement de staging, contrôle des journaux Wordfence, vérification de la version PHP (cible PHP 8.3 ou 8.4 fin 2026, plus aucune version 7.x acceptée). Pour l’installation initiale ou un audit de sécurité plus large, gardez le même réflexe : commencez par cartographier, terminez par la sauvegarde testée.