Que faire si mon site héberge une page de phishing ?

Durée de lecture : 6 minutes
Sucuri Blog
© Guide Hébergeur - Que faire si mon site héberge une page de phishing ?
Montrer le sommaire Cacher le sommaire

Se réveiller avec un avertissement navigateur ou un mail d’abus qui vous dit que votre domaine demande des identifiants Apple ou des logins PayPal est toujours un choc. Quand un site légitime est transformé en plateforme de phishing, il faut agir vite mais intelligemment : identifier la page piégée, conserver des preuves, éradiquer la porte d’entrée et restaurer la réputation sans rouvrir la brèche.

Comment repérer rapidement une page de phishing sur mon site

Le signe le plus fréquent n’est pas visible sur votre page d’accueil. Les pages de phishing sont souvent cachées dans des répertoires au nom trompeur, déposées dans wp-content/uploads ou planquées dans des sous-domaines oubliés. Vous pouvez détecter l’anomalie en vérifiant :

Comment créer des vidéos animées avec l’IA sur Renderforest ?
Comment transformer votre boîte mail en présentations et tableaux de bord visuels avec Manus?

  • les alertes dans Google Search Console et les messages de votre hébergeur ;

  • les nouveaux répertoires et fichiers modifiés récemment ;

  • les fichiers .php dans les dossiers d’uploads ;

  • l’activité d’envoi d’emails depuis le serveur.

Un autre indicateur courant est une chute soudaine de trafic ou un pic d’erreurs 4xx/5xx dans les logs. Si un utilisateur signale une page frauduleuse, notez exactement l’URL et prenez une capture écran avant toute modification.

Quelles traces regarder pour comprendre comment l’attaquant est entré

Avant de supprimer quoi que ce soit, il faut chercher la racine de l’intrusion. Les vecteurs récurrents sont : plugins ou thèmes obsolètes, mots de passe compromis, comptes FTP/SFTP exposés, installations oubliées et plugins piratés. Les logs sont votre meilleur ami.

Parmi les fichiers à inspecter en priorité : wp-config.php, .htaccess, les fichiers modifiés récemment et tout script PHP dans uploads. Recherchez aussi des tâches cron inconnues et des comptes administrateurs créés sans autorisation.

Que faire en urgence pour contenir l’incident

Contenir d’abord puis nettoyer. Si vous supprimez immédiatement les fichiers sans isoler le site, l’attaquant pourrait réinstaller le kit depuis un accès persistant.

Actions immédiates à réaliser

Effectuez ces étapes sans perdre de temps

  • mettre la page hors ligne en renommant le répertoire ou en bloquant l’accès web ;

  • prendre une sauvegarde complète de l’état infecté pour preuves et analyse ;

  • changer tous les identifiants possibles : comptes WordPress, FTP, panneau d’hébergement, base de données, clés API ;

  • révoquer les sessions actives et désactiver les clés SSH inconnues.

Si le site est critique, mettez-le en maintenance visible pour les utilisateurs pendant la phase d’intervention afin d’éviter que d’autres victimes tombent dans le piège.

Comment nettoyer sans réintroduire la faille

Le nettoyage exige méthode et minutie. Supprimer la page de phishing n’est qu’un début. Les kits laissent souvent des backdoors et des scripts mailer pour envoyer des leurres depuis votre domaine.

Procédez ainsi

  1. Supprimez définitivement les fichiers malveillants et les répertoires associés.

  2. Reposez l’intégralité du noyau WordPress, des plugins et des thèmes à partir des sources officielles.

  3. Recherchez les signatures d’obfuscation PHP comme base64_decode, gzinflate et eval.

  4. Supprimez les comptes administrateurs inconnus et révisez les rôles utilisateurs.

  5. Vérifiez et purgez les tables de la base si des formulaires ont stocké des données de victimes.

Ne réactivez pas les plugins ou thèmes avant d’être sûr qu’ils ne sont pas compromis. Enfin, testez le site en environnement isolé avant de le remettre en production.

Comment prouver que votre site est propre pour supprimer les avertissements

Les navigateurs et services de sécurité exigent une preuve sérieuse avant de lever un avertissement. Avant de demander une révision, assurez-vous que :

  • la page de phishing est définitivement supprimée ;

  • les backdoors ont été neutralisées ;

  • tous les accès compromis ont été révoqués.

Ensuite, demandez une révision via Google Search Console et la plateforme Microsoft Security Intelligence. Joignez des notes précises sur ce qui a été fait et fournissez des captures d’écran et des horodatages issus de vos backups et logs. Si des e‑mails ont été envoyés depuis votre domaine, vérifiez les listes noires comme Spamhaus et Barracuda avant la demande.

Que conserver comme preuves et quand impliquer des tiers

Conservez une copie de l’état infecté, des logs web et mail, des exports de base de données et des captures d’écran. Ces éléments servent à prouver la chronologie et facilitent les demandes de retrait des blocklists.

Impliquer votre hébergeur est souvent indispensable pour obtenir des logs serveur ou pour isoler un compte en cas d’hébergement mutualisé. Si l’attaque a des implications légales ou a exposé des données personnelles, signalez l’incident aux autorités compétentes et informez les personnes concernées conformément au RGPD si nécessaire.

Quelles routines mettre en place pour réduire fortement le risque

Après nettoyage, transformez l’incident en opportunité d’amélioration. Les efforts efficaces combinent mise à jour, contrôle d’accès et surveillance.

Action Fréquence Bénéfice
Updates core, plugins, thèmes Hebdomadaire ou automatique Réduit les vulnérabilités connues
Revue des comptes et MFA Mensuelle Limite l’impact des identifiants volés
Backups testés hors site Quotidien/hebdomadaire Restauration rapide sans compromis
Surveillance d’intégrité des fichiers Continue Détection rapide des changements non autorisés

Autres bonnes pratiques utiles : utiliser un gestionnaire de mots de passe, appliquer le principe du moindre privilège, installer un WAF et activer des scans automatiques. La formation des collaborateurs à repérer les phishing est également souvent négligée mais très efficace pour prévenir le vol d’identifiants.

Erreurs courantes observées et nuances à connaître

Sur le terrain, voici ce que l’on voit trop souvent

  • supprimer la page visible sans chercher la backdoor ;

  • changer seulement le mot de passe admin sans révoquer les clés FTP ou SSH ;

  • demander une révision aux moteurs alors que des traces du kit existent encore ;

  • reposer des plugins gratuits douteux au lieu d’utiliser des sources officielles.

Une nuance importante : tous les fichiers suspects ne sont pas forcément malveillants. Certains frameworks ou plugins génèrent des fichiers temporaires. Conservez toujours une sauvegarde avant suppression et, si possible, analysez un fichier inconnu dans un environnement isolé ou avec un outil de sandboxing.

Comment prioriser les actions selon l’impact

Si votre site envoie des emails frauduleux ou collecte des identifiants, la priorité est d’isoler le vecteur d’envoi et de vérifier les bases de données pour des traces d’adresses compromises. Si c’est un simple piège hébergé sans données exfiltrées, la priorité est la suppression et la révision des accès.

Voici une checklist rapide pour prioriser

  • stopper l’accès public à la page frauduleuse ;

  • sauvegarder l’état infecté ;

  • changer les identifiants critiques ;

  • faire un scan complet et réinstaller les composants depuis des sources fiables.

FAQ

Mon site est blacklisté par Google que faire?

Nettoyez le site, vérifiez qu’il n’y a plus de traces de phishing, puis demandez une révision via Google Search Console. Fournissez des preuves temporelles et gardez des sauvegardes.

Comment savoir si le phishing a volé des données?

Analysez les logs d’accès, les logs d’envoi d’emails et les tables qui stockent des formulaires. Si le formulaire redirigeait vers un script externe, il est possible que les données aient été exfiltrées.

Faut-il réinstaller tout le site après une compromission?

Pas toujours. Si vous pouvez prouver que tous les fichiers ont été nettoyés et que les accès compromis ont été révoqués, une réinstallation complète n’est pas obligatoire, mais c’est souvent la solution la plus sûre.

Combien de temps pour être retiré des listes noires?

Cela varie. Pour Google Safe Browsing cela peut prendre de quelques heures à quelques jours après la demande de révision, tant que la page malveillante est complètement éradiquée.

Qui contacter si je suis hébergé en mutualisé?

Contactez immédiatement votre hébergeur pour isoler le compte et obtenir des logs. En mutualisé, le risque de contamination croisée est réel et votre hébergeur peut aider à contenir l’impact.

Comment choisir et optimiser un logiciel GED pour une gestion électronique de documents efficace ?
Fongibilité des cryptomonnaies : définition, enjeux et impact sur la confidentialité

Donnez votre avis

Soyez le 1er à noter cet article
ou bien laissez un avis détaillé

Publiez un commentaire

Vous êtes ici : Accueil » Sécurité » Que faire si mon site héberge une page de phishing ?
Publier un commentaire