Qu'est-ce qu'un malware WordPress ?
Un malware WordPress est tout code malveillant introduit dans votre installation à l'insu du propriétaire. Contrairement à ce que l'on croit souvent, la majorité des infections ne visent pas à détruire votre site — elles cherchent à l'exploiter discrètement : envoi de spam, redirection de trafic, vol d'identifiants, ou utilisation de votre serveur comme relais pour attaquer d'autres cibles.
Selon les données WordPress.org, plus de 70 % des installations WordPress compromises résultent de plugins ou thèmes vulnérables, 8 % de mots de passe faibles, et seulement 2 % d'une faille dans WordPress core lui-même.
Les 4 types de malwares WordPress les plus fréquents
1. Webshell
Un webshell est un script PHP (parfois JS ou Python) déposé dans votre installation qui donne un accès terminal complet à votre serveur via une simple requête HTTP. Les webshells les plus répandus (c99, r57, WSO) sont camouflés en fichiers images ou nommés de façon anodine comme "cache.php" ou "wp-update.php". Une fois en place, l'attaquant peut lire n'importe quel fichier, modifier des entrées en base de données, ou installer d'autres malwares.
2. Backdoor
Une backdoor (porte dérobée) est un mécanisme d'accès persistant ajouté au code de WordPress, d'un plugin, ou d'un thème. Contrairement à un webshell évident, une backdoor est souvent obfusquée dans du code PHP apparemment légitime via eval(base64_decode(...)). Elle permet à l'attaquant de revenir même après un changement de mot de passe. C'est pourquoi le simple changement de credentials ne suffit pas à nettoyer un WordPress infecté.
3. Injector / SEO spam
Un injector modifie le contenu affiché par WordPress pour y ajouter des liens cachés vers des sites de spam pharmaceutique, de jeux d'argent, ou de phishing. Ces injections ciblent directement votre référencement — Google blackliste les sites qui diffusent ce type de contenu, souvent sans avertissement préalable. L'effet sur le classement peut être immédiat et sévère.
4. Cryptominer
Moins fréquent mais très coûteux, le cryptominer utilise les ressources CPU de votre serveur (et parfois du navigateur de vos visiteurs) pour miner des cryptomonnaies. Les symptômes : latence inhabituelle, facture hébergement augmentée, et alertes de votre hébergeur pour consommation excessive de ressources.
Comment détecter un malware WordPress de façon fiable ?
Il existe trois grandes approches de détection, avec des niveaux de fiabilité très différents :
Analyse par signature YARA
YARA est le standard industriel pour la détection de malwares par pattern matching. Un moteur YARA compare chaque fichier à une base de règles décrivant des patterns connus (chaînes d'obfuscation, noms de fonctions caractéristiques, séquences d'octets). C'est la méthode la plus rapide — recall > 96 % sur les malwares connus.
Vérification des checksums (WordPress.org)
WordPress.org publie les empreintes MD5 de tous les fichiers core pour chaque version. Comparer le checksum de votre fichier wp-login.php à la valeur officielle permet de détecter immédiatement toute modification — même une seule ligne ajoutée. Cette méthode est infaillible pour les fichiers core mais ne couvre pas les fichiers ajoutés par les attaquants.
Analyse PHP AST (Abstract Syntax Tree)
L'analyse AST parse le code PHP sans l'exécuter et construit une représentation arborescente du programme. Elle permet de détecter des patterns suspects indépendamment de l'obfuscation : appels à eval(), combinaisons base64_decode + preg_replace, création dynamique de fonctions, accès à $_SERVER[HTTP_USER_AGENT] pour contourner les scans. C'est la méthode la plus résistante aux variantes obfusquées.
Pourquoi l'analyse externe est supérieure à un plugin WordPress ?
Un plugin de sécurité WordPress (Wordfence, MalCare, etc.) s'exécute à l'intérieur de WordPress. Si l'infection a compromis WordPress lui-même, le plugin analyse depuis un environnement potentiellement contaminé — il peut être aveuglé ou désactivé par le malware. Un scanner externe comme WP Security analyse vos fichiers depuis des serveurs indépendants, sans jamais exécuter le moindre code suspect. Le malware ne peut pas interférer avec l'analyse.
Que faire après avoir détecté un malware ?
La réponse à une infection WordPress suit toujours le même protocole : isoler d'abord, analyser ensuite, nettoyer en dernier. Consultez notre guide Comment nettoyer un WordPress hacké pour le processus complet de remédiation.
Lancez un scan complet maintenant
WP Security analyse vos fichiers PHP, JS et .htaccess avec YARA + checksums + PHP AST en moins de 2 minutes. Premier scan gratuit, sans carte bancaire.
Démarrer l'audit gratuit →