Aller au contenu principal
Urgence

Redirections vers des sites malveillants : pourquoi et comment arrêter

20 février 2026 8 min de lecture

Points clés à retenir

  • Sommaire
  • Comprendre les redirections malveillantes
  • Pourquoi vos visiteurs sont redirigés

Publié le 13 juin 2025 · Catégorie : Urgence · Temps de lecture : 12 min

🚨 ALERTE REDIRECTION — Vos visiteurs sont redirigés vers des sites de gambling, de pornographie ou de pharmacy en ligne ? C'est une compromission active de votre site. Agissez immédiatement.

Comprendre les redirections malveillantes

Les redirections malveillantes sont l'un des symptômes de piratage les plus courants et les plus visibles. Selon le rapport Q2 2024 de Sucuri, les redirections représentent 32% de toutes les infections malware détectées sur WordPress.

Ce type d'attaque est particulièrement dangereux car :

  • Il est immédiatement visible : Vos visiteurs constatent le problème et quittent votre site
  • Il détruit votre réputation : Les visiteurs associent votre marque aux sites malveillants
  • Il affecte votre SEO : Google pénalise les sites qui redirigent vers du contenu dangereux
  • Il propage des malwares : Les sites de destination peuvent infecter les ordinateurs de vos visiteurs

En 2024, les redirections malveillantes ont touché environ 15 à 20% des sites WordPress piratés. Les attaquants injectent du code dans votre site pour rediriger vos visiteurs vers des pages dangereuses, volant ainsi votre trafic et votre réputation. Plus grave encore, Google peut blacklister votre site si des redirections malveillantes sont détectées.

Pourquoi vos visiteurs sont redirigés

Les redirections malveillantes ne sont pas un accident — elles sont le résultat d'une compromise délibérée de votre site. Voici les causes principales :

1. Fichier .htaccess compromis

C'est la méthode la plus courante. L'attaquant ajoute des règles de réécriture dans votre fichier .htaccess pour rediriger les visiteurs.

  • Mécanisme : Ajout de règles RewriteRule qui interceptent les requêtes
  • Cible : Tous les visiteurs, ou uniquement les visiteurs de moteurs de recherche
  • Détection : Examinez le contenu de votre fichier .htaccess

Le code injecté ressemble souvent à :

RewriteEngine On
RewriteCond %{HTTP_HOST} ^votresite\.com$
RewriteRule ^(.*)$ http://site-malveillant.com/$1 [L,R=301]

2. JavaScript injecté dans les pages

Des scripts malveillants sont ajoutés à vos fichiers de thème ou à vos articles.

  • Mécanisme : Injection de balises <script> dans le header ou le footer
  • Cible : Tous les visiteurs ou uniquement les visiteurs mobiles
  • Détection : Vérifiez le code source de vos pages

Ces scripts détectent souvent le navigateur de l'utilisateur et le redirigent vers un site différent, parfois en ignorant les robots de Google pour éviter la détection.

3. Plugin ou thème compromis

Un plugin ou thème contenant une faille de sécurité a été exploité.

  • Mécanisme : Code malveillant intégré dans le plugin/thème lui-même
  • Cible : Variable selon le plugin compromis
  • Détection : Scannez vos plugins avec un outil de sécurité

4. Base de données injectée

Des redirections sont stockées directement dans les options de la base de données WordPress.

  • Mécanisme : Modification des options siteurl, home ou ajout de nouvelles options
  • Cible : Variable selon l'option modifiée
  • Détection : Examinez la table wp_options dans phpMyAdmin

5. Backdoor avec redirection conditionnelle

L'attaquant a planté une porte dérobée qui active les redirections selon des conditions spécifiques.

  • Mécanisme : PHP qui vérifie le navigateur, l'IP, ou le referer
  • Cible : Souvent uniquement les bots de Google (pour le spam SEO)
  • Détection : Nécessite une expertise pour identifier les backdoors cachées

Types de redirections malveillantes

Comprendre le type de redirection vous aide à trouver et supprimer la source :

Redirections côté serveur

Type Fichier modifié Visibilité
.htaccess .htaccess Visible via FTP
PHP header() Fichiers PHP divers Caché dans le code
Meta refresh Fichiers PHP ou HTML Dans le <head>

Redirections côté client

Type Mécanisme Détection
JavaScript redirect window.location ou location.href Dans le code source
Iframe hidden <iframe> avec display:none Dans le code source
Inline script Script injecté dans le contenu Dans le code source

Comment identifier la source

Avant de pouvoir supprimer les redirections, vous devez trouver leur source. Voici la méthodologie :

Étape 1 : Examinez le code source

  1. Ouvrez votre site dans Chrome ou Firefox
  2. Faites un clic droit → "Afficher le code source"
  3. Recherchez ces éléments suspects :
  • <script> avec des URLs inconnues
  • window.location ou location.href pointant vers un autre domaine
  • <iframe> avec display:none ou width="0"
  • meta http-equiv="refresh" avec une URL externe
  • Code encodé en base64 (eval(base64_decode(...)))

Étape 2 : Vérifiez le fichier .htaccess

  1. Connectez-vous en SFTP
  2. Téléchargez le fichier .htaccess à la racine de votre site
  3. Ouvrez-le avec un éditeur de texte
  4. Recherchez les règles suspectes :
# Exemple de règle malveillante :
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.*
RewriteRule ^(.*)$ http://malware-site.com/redir [R=301,L]

Étape 3 : Scannez vos fichiers

  • Utilisez Wordfence ou Sucuri pour scanner tous les fichiers de votre site
  • Recherchez les fichiers modifiés récemment
  • Vérifiez les dossiers wp-content/uploads/ et wp-content/themes/
  • Examinez les plugins pour du code suspect

Étape 4 : Vérifiez la base de données

  • Connectez-vous à phpMyAdmin
  • Examinez la table wp_options pour des URLs suspectes
  • Vérifiez les options siteurl et home
  • Recherchez des entrées contenant du code encodé en base64

Étape 5 : Utilisez les outils en ligne

  • Google Safe Browsing : transparencyreport.google.com/safe-browsing/search
  • VirusTotal : Analyse multi-moteurs de votre URL
  • Sucuri SiteCheck : Scanner de malware en ligne gratuit

Étapes pour supprimer les redirections

Une fois la source identifiée, voici les étapes de nettoyage :

Étape 1 : Sauvegardez votre site

Avant toute intervention, faites une sauvegarde complète de vos fichiers et de votre base de données. En cas de problème, vous pourrez revenir à l'état actuel.

Nettoyage du fichier .htaccess

  1. Téléchargez une copie du fichier .htaccess
  2. Supprimez toutes les règles suspects
  3. Remplacez le contenu par le .htaccess standard WordPress :
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
  1. Rechargez le fichier sur le serveur
  2. Vérifiez que votre site fonctionne correctement

Nettoyage des fichiers PHP

  • Identifiez les fichiers contenant du code de redirection
  • Supprimez les lignes malveillantes (ou restaurez les fichiers originaux)
  • Vérifiez les fichiers header.php, footer.php, et functions.php du thème
  • Examinez les plugins pour des injections de code

Réinstallez WordPress core

Allez dans Dashboard → Mises à jour → Réinstaller pour remplacer tous les fichiers WordPress corrompus par des versions propres.

Changez tous les mots de passe

Changez immédiatement :

  • Votre mot de passe administrateur WordPress
  • Le mot de passe de votre base de données
  • Les mots de passe FTP/SSH
  • Les clés d'authentification dans wp-config.php
⚠️ Important : Ne vous contentez pas de supprimer les redirections. Vous devez trouver et combler la faille qui a permis l'intrusion. Sinon, les redirections reviendront.

Nettoyage de la base de données

Si les redirections sont stockées dans la base de données, voici comment les nettoyer :

Options WordPress à vérifier

  1. Connectez-vous à phpMyAdmin
  2. Sélectionnez votre base de données WordPress
  3. Ouvrez la table wp_options
  4. Vérifiez ces options critiques :
Option Valeur attendue
siteurl URL de votre domaine (ex: https://votresite.com)
home URL de votre domaine (identique à siteurl)
template Nom de votre thème actif
stylesheet Nom de votre thème actif

Recherche de code injecté dans les posts

  • Exécutez cette requête SQL dans phpMyAdmin :
SELECT * FROM wp_posts WHERE post_content LIKE '%eval(%' OR post_content LIKE '%base64_decode(%' OR post_content LIKE '%http-equiv%refresh%';

Cette requête recherche les articles contenant du code potentiellement malveillant. Utilisez également un plugin comme Advanced Database Cleaner pour un nettoyage plus approfondi.

Nettoyage des options malveillantes

  • Supprimez les options que vous n'avez pas créées
  • Remplacez les URLs suspectes par vos URLs légitimes
  • Supprimez les entrées contenant du code encodé en base64
  • Vérifiez les widgets et les menus pour des contenus injectés

Prévenir les futures infections

Après le nettoyage, vous devez sécuriser votre site pour éviter que le problème ne se reproduise :

Sécurité immédiate

  1. Changez tous les mots de passe : WordPress, FTP, base de données, hébergement
  2. Mettez à jour tout : WordPress, tous les thèmes et tous les plugins
  3. Supprimez les plugins/thèmes inutilisés : Moins de composants = moins de failles
  4. Installez un pare-feu : WAF pour bloquer les attaques futures

Sécurité à long terme

  • Scanner régulier : Effectuez des scans de sécurité hebdomadaires
  • Sauvegardes automatiques : Sauvegardes quotidiennes stockées hors serveur
  • Monitoring : Surveillance 24/7 des modifications de fichiers
  • 2FA : Authentification à deux facteurs pour tous les administrateurs
  • Mises à jour automatiques : Activez les mises à jour mineures automatiques
  • Limitez les permissions : Les fichiers doivent être en 644 et les dossiers en 755

Protéger le fichier .htaccess

  • Ajoutez ces lignes à votre .htaccess pour le protéger :
<Files .htaccess>
order allow,deny
deny from all
</Files>
  • Activez les notifications de modification de fichier sur votre serveur
  • Vérifiez régulièrement le contenu de votre .htaccess

Quand appeler un professionnel

Certains scénarios nécessitent une expertise professionnelle :

Appelez un expert si :

  • Les redirections reviennent après nettoyage
  • Vous ne trouvez pas la source de la compromission
  • Votre site est sur la liste noire de Google
  • Des backdoors persistent malgré vos efforts de nettoyage
  • Vous n'êtes pas à l'aise avec les manipulations de fichiers ou de base de données

Pourquoi un expert est nécessaire :

  • Backdoors cachées : Les attaquants sophistiqués plantent des portes dérobées qui reviennent après chaque nettoyage
  • Infections multiples : Votre site peut avoir plusieurs points de compromission simultanés
  • Cause racine : Sans comprendre comment l'intrusion a eu lieu, le problème se reproduira
  • Outils avancés : Les professionnels disposent de scanners et d'outils que les particuliers n'ont pas
  • Rapport détaillé : Un expert vous fournit un rapport complet des actions entreprises

Des redirections persistent sur votre site ?

Notre équipe spécialisée identifie et supprime toutes les sources de redirection malveillante, y compris les backdoors cachées.

Demander une intervention urgente →

Protégez votre site des redirections malveillantes

WpDefender surveille votre site 24/7 pour détecter et bloquer les tentatives de redirection avant qu'elles n'atteignent vos visiteurs.

Sécuriser mon site maintenant →

📞 Urgence : appelez-nous directement · ⏱️ Nettoyage en moins de 30 min

Articles connexes

Votre site est compromis ? Nous nous occupons de tout.

Ne perdez plus de temps. Chaque minute compte pour votre trafic et votre référencement.

Intervention immédiate Diagnostic gratuit
Besoin d'aide urgente ? Scanner mon site

Articles similaires

Découvrez d'autres articles sur le même sujet

Urgence

Mon site WordPress a été piraté : que faire en 15 minutes
Urgence

Site WordPress piraté : 12 signes que vous ne devez pas ignorer
Urgence

Comment savoir si votre site WordPress est infecté par un malware
Disponible maintenant — Réponse sous 30 minutes Intervention immédiate
🛡️
WpDefender Bot En ligne maintenant

Bonjour ! Je suis l'assistant WpDefender. Comment puis-je vous aider ?

Sélectionnez votre problème :