Les sites WordPress sont plus souvent victimes d'attaques de phishing que la plupart des propriétaires de sites ne le pensent. Les pirates exploitent votre nom de domaine, votre image de marque et la confiance de vos utilisateurs pour dérober des identifiants, des informations de paiement et des données personnelles.
Ce guide couvre tous les types d'attaques de phishing ciblant les sites WordPress, comment les reconnaître avant qu'elles ne causent des dommages et comment les stopper précisément.
Les attaques de phishing ciblant WordPress sont des tentatives de vol d'informations sensibles par des pirates informatiques qui usurpent l'identité de votre site, de votre marque ou des services de confiance utilisés par vos utilisateurs. Elles incluent de fausses pages de connexion, des notifications par e-mail frauduleuses, des formulaires de collecte d'identifiants et des pages malveillantes injectées dans des sites WordPress compromis. Leur détection et leur neutralisation nécessitent une combinaison de mesures de sécurité techniques, de sensibilisation des utilisateurs et d'une surveillance active.
Types d'attaques de phishing ciblant les sites WordPress
Les attaques de phishing sur les sites WordPress suivent des schémas prévisibles. Connaître les différents types d'attaques permet de les identifier plus rapidement et de corriger les vulnérabilités spécifiques qu'elles exploitent.

- Attaques par fausse page de connexion : les attaquants créent des copies convaincantes de votre page de connexion WordPress pour capturer les identifiants d’administrateur des propriétaires de sites ou des utilisateurs qui ne remarquent pas la différence d’URL.
- Attaques par usurpation d'identité par courriel : des courriels frauduleux envoyés au nom de votre marque redirigent les destinataires vers de fausses pages de connexion ou des formulaires malveillants conçus pour capturer des identifiants ou des informations de paiement.
- Hameçonnage sur site compromis : les attaquants qui accèdent à votre site WordPress y injectent des pages de phishing cachées ciblant les utilisateurs d’autres marques, en utilisant la crédibilité de votre domaine et vos ressources d’hébergement.
- Usurpation d'identité de plugins et de thèmes : de fausses notifications de mise à jour de plugins ou des pages de téléchargement de thèmes frauduleuses trompent les administrateurs et les incitent à installer des logiciels malveillants déguisés en mises à jour logicielles légitimes.
- Hameçonnage de paiement WooCommerce : De fausses pages de paiement ou de faux e-mails de confirmation de paiement collectent les informations de carte de crédit et les données personnelles des visiteurs des boutiques WooCommerce.
- Hameçonnage par réinitialisation de mot de passe : de faux courriels de réinitialisation de mot de passe, identiques aux notifications légitimes de WordPress, redirigent les utilisateurs vers des pages de collecte d’identifiants conçues pour capturer les nouveaux mots de passe.
- Hameçonnage par notification d'administrateur : des courriels imitant le noyau WordPress, des fournisseurs d'hébergement ou des plugins de sécurité notifient les administrateurs de faux problèmes critiques nécessitant une connexion immédiate via un lien frauduleux.
Comment reconnaître une attaque de phishing WordPress ?
Détecter rapidement les attaques de phishing permet de limiter considérablement les dégâts. Voici les signaux d'alerte.
Fichiers ou pages inhabituels sur votre serveur
Si vous découvrez sur votre site des pages que vous n'avez pas créées, en particulier celles qui imitent les pages de connexion d'autres marques ou qui contiennent des formulaires demandant des informations sensibles, votre site a été compromis et est utilisé à des fins d'hameçonnage.
Effectuez une analyse complète de vos fichiers avec Wordfence ou Sucuri et recherchez les fichiers récemment créés ou modifiés, notamment dans les dossiers wp-content, wp-includes et celui de votre thème. Les pirates dissimulent fréquemment des pages d'hameçonnage dans des répertoires d'apparence légitime, avec des noms de fichiers anodins.
Courriels suspects utilisant votre domaine
Si des clients signalent avoir reçu des courriels provenant de votre domaine que vous n'avez pas envoyés, ou si votre fournisseur de messagerie détecte une activité d'envoi inhabituelle, il est possible que des pirates aient accédé à vos identifiants de messagerie ou usurpent votre domaine pour envoyer des messages d'hameçonnage.
Vérifiez immédiatement vos journaux d'envoi d'emails. Configurez les enregistrements DMARC, DKIM et SPF sur votre domaine s'ils ne le sont pas déjà. Ces normes d'authentification des emails compliquent considérablement la tâche des attaquants qui tentent d'envoyer des emails d'hameçonnage convaincants semblant provenir de votre domaine.
Avertissements de navigation sécurisée de Google
Si Google signale votre site comme dangereux, ou si les visiteurs voient une page d'avertissement rouge avant le chargement de votre site, cela signifie que Google a détecté du contenu d'hameçonnage sur votre domaine. Consultez votre compte Google Search Console pour les alertes de sécurité et vérifiez votre URL à l'aide du rapport de transparence de navigation sécurisée de Google.
Un avertissement de navigation sécurisée signifie que Google a détecté des pages d'hameçonnage, des logiciels malveillants ou du contenu trompeur sur votre domaine. Cela nécessite une investigation immédiate, un nettoyage et une demande de réexamen avant que Google ne supprime l'avertissement et ne rétablisse l'accès normal à votre site.
Pics de trafic inattendus vers des pages inconnues
Une augmentation soudaine du trafic vers des pages que vous ne reconnaissez pas dans vos données Google Analytics est un indicateur fort que des attaquants ont injecté des pages d'hameçonnage et y dirigent du trafic via des courriels d'hameçonnage ou d'autres canaux.
Consultez votre rapport Google Analytics en temps réel et votre rapport de couverture Search Console pour identifier les URL inconnues. Toute page apparaissant dans vos analyses et que vous n'avez pas créée nécessite une investigation immédiate.
Comment stopper les attaques de phishing sur WordPress : guide étape par étape
Pour stopper les attaques de phishing, il faut à la fois empêcher que votre site ne soit compromis dès le départ et le renforcer contre les vecteurs spécifiques utilisés par les attaquants pour injecter du contenu de phishing.

Étape 1 : Sécurisez votre accès d’administration WordPress
La méthode la plus courante utilisée par les pirates pour injecter du contenu malveillant dans les sites WordPress consiste à exploiter des comptes d'administrateur compromis. Sécurisez chaque compte d'administrateur avec un mot de passe fort et unique et activez l'authentification à deux facteurs pour tous les utilisateurs disposant de droits d'administrateur.
Modifiez le nom d'utilisateur administrateur par défaut si ce n'est pas déjà fait. Activez la limitation des tentatives de connexion pour bloquer les attaques par force brute. Envisagez de restreindre l'accès à WP-Admin à des adresses IP spécifiques si votre équipe se connecte depuis des emplacements géographiques récurrents. Chaque amélioration de la sécurité des comptes administrateur réduit directement le risque de compromission réussie permettant l'injection de contenu d'hameçonnage.
Étape 2 : Maintenez WordPress, les plugins et les thèmes à jour
Les extensions et thèmes obsolètes constituent le point d'entrée le plus fréquent pour les pirates informatiques cherchant à compromettre les sites WordPress à des fins d'hameçonnage. Les failles de sécurité des extensions populaires sont régulièrement découvertes et corrigées rapidement, mais votre site n'est protégé que si vous appliquez les mises à jour.
Activez les mises à jour automatiques pour le noyau WordPress et les extensions de sécurité. Vérifiez votre liste d'extensions et supprimez celles que vous n'utilisez pas. Chaque extension inactive présentant une vulnérabilité non corrigée constitue une porte d'entrée pour les pirates, même si vous n'utilisez pas ses fonctionnalités.
Étape 3 : Installez un plugin de sécurité WordPress avec analyse des logiciels malveillants
Un plugin de sécurité qui analyse activement vos fichiers à la recherche de signatures de logiciels malveillants connus et de contenu d'hameçonnage constitue l'une des défenses les plus efficaces contre le phishing sur les sites compromis. Wordfence et Sucuri analysent tous deux les modèles de pages d'hameçonnage connus et signalent les modifications de fichiers suspectes.
Configurez votre extension de sécurité pour qu'elle effectue des analyses quotidiennes et envoie des alertes par e-mail en cas de détection de fichiers suspects. Activez la surveillance en temps réel des modifications de fichiers afin d'être immédiatement averti(e) lorsqu'un nouveau fichier est créé ou qu'un fichier existant est modifié de manière inattendue. La détection précoce des pages d'hameçonnage injectées limite considérablement les dommages qu'elles peuvent causer avant leur suppression.
Étape 4 : Configurer les enregistrements d’authentification de messagerie
Si des attaquants usurpent votre domaine pour envoyer des courriels d'hameçonnage au nom de votre marque, les enregistrements d'authentification des courriels constituent votre principale défense. Les enregistrements SPF, DKIM et DMARC indiquent aux serveurs de messagerie destinataires que les courriels prétendant provenir de votre domaine ne doivent être considérés comme fiables que s'ils sont envoyés par vos sources d'envoi autorisées.
Ajoutez un enregistrement SPF à votre DNS qui répertorie tous les serveurs autorisés à envoyer des e-mails en votre nom. Configurez la signature DKIM auprès de votre fournisseur de messagerie pour signer cryptographiquement les messages sortants. Configurez une politique DMARC qui indique aux serveurs de réception de rejeter ou de mettre en quarantaine les e-mails qui échouent aux vérifications SPF ou DKIM. Ces trois enregistrements, combinés, rendent votre domaine beaucoup plus difficile à usurper lors de campagnes d'hameçonnage.
Étape 5 : Activer un pare-feu d’application Web
Un pare-feu applicatif web (WAF) se place entre votre site WordPress et le trafic entrant, bloquant les attaques connues avant qu'elles n'atteignent votre site. Wordfence et Cloudflare proposent tous deux des solutions WAF intégrant des règles spécifiquement conçues pour détecter et bloquer les attaques de phishing.
Activez votre pare-feu applicatif web (WAF) et veillez à ce que ses règles soient toujours à jour. Configurez-le pour bloquer le trafic provenant de plages d'adresses IP malveillantes connues et pour vous alerter en cas de détection de schémas d'attaque. Un WAF ne remplace pas les autres mesures de sécurité, mais il constitue une protection essentielle qui bloque de nombreuses attaques automatisées avant qu'elles ne puissent s'infiltrer sur votre site.
Étape 6 : Surveillez votre site pour détecter les modifications non autorisées
La surveillance active détecte plus rapidement les injections de contenu d'hameçonnage que toute mesure réactive. Configurez votre extension de sécurité pour qu'elle surveille l'intégrité des fichiers et vous alerte immédiatement en cas d'ajout, de modification ou de suppression inattendue de fichiers.
Mettez en place une surveillance de la disponibilité qui vérifie non seulement l'accessibilité de votre site, mais aussi le bon affichage du contenu attendu sur chaque page. Un service de surveillance capable de détecter les modifications inattendues du contenu des pages peut vous alerter de l'ajout de pages de phishing quelques minutes seulement après leur implantation, au lieu d'attendre des jours ou des semaines, lorsque les clients se plaignent.
Étape 7 : Implémenter les en-têtes de politique de sécurité du contenu
L'en-tête Content Security Policy (CSP) indique aux navigateurs quelles sources de contenu sont dignes de confiance sur vos pages. Une CSP bien configurée empêche les attaquants d'injecter des scripts externes ou de rediriger vos utilisateurs vers des pages externes malveillantes, même s'ils parviennent à injecter du code malveillant sur votre site.
Ajoutez des en-têtes CSP à votre site WordPress via votre extension de sécurité ou la configuration de votre serveur. Commencez par une politique de rapport uniquement afin d'identifier les ressources actuellement chargées par votre site, puis appliquez-la. Renforcez progressivement cette politique pour limiter le chargement du contenu aux seules sources réellement nécessaires à votre site.
Comment protéger les clients WooCommerce contre le phishing ?
Les boutiques WooCommerce sont des cibles privilégiées pour le phishing car elles traitent les informations de paiement et stockent les données des comptes clients. Vos clients ont besoin d'une protection renforcée, au-delà de la sécurité standard des sites WordPress.
Utilisez HTTPS sur chaque page
Chaque page de votre boutique WooCommerce doit être chargée via HTTPS. Un certificat SSL valide est le minimum requis pour que les clients vérifient qu'ils se trouvent sur un site légitime. Une page HTTP ou un avertissement de contenu mixte signale un problème aux clients soucieux de leur sécurité et ne les protège pas contre l'interception de leurs identifiants.
Redirigez tout le trafic HTTP vers HTTPS au niveau du serveur et configurez les paramètres d'adresse de WordPress et WooCommerce pour utiliser HTTPS. Vérifiez et corrigez les erreurs de contenu mixte qui chargent des ressources via HTTP. Un site entièrement sécurisé en HTTPS avec un certificat valide complique considérablement la tâche des pirates informatiques qui tentent de créer des copies convaincantes de vos pages de paiement.
Ajouter des signaux de confiance aux pages de paiement
Des indicateurs de confiance visibles sur vos pages de paiement permettent aux clients de vérifier qu'ils se trouvent bien sur votre site légitime et non sur une copie frauduleuse. Affichez le badge de votre certificat SSL, les logos de sécurité des paiements reconnus et une URL claire et cohérente que les clients peuvent vérifier comme correspondant à votre véritable domaine.
Envoyez des e-mails de confirmation de commande contenant des informations vérifiables que les clients peuvent comparer à leur commande. Les clients qui savent à quoi ressemble une communication légitime de votre part sont bien mieux armés pour reconnaître les e-mails d'hameçonnage qui usurpent votre identité.
Informer les clients des tentatives d'hameçonnage
Si vous constatez que des pirates envoient des courriels d'hameçonnage au nom de votre marque, informez immédiatement vos clients. Une communication claire et directe expliquant à quoi ressemblent ces courriels, ce que vous ne demanderez jamais à vos clients par courriel et comment signaler les messages suspects permet de limiter le nombre de clients victimes.
Publiez un avis sur votre site, envoyez un courriel à votre liste de clients et mettez à jour vos profils sur les réseaux sociaux. La rapidité est essentielle. Plus vous avertissez rapidement vos clients après avoir découvert une campagne d'hameçonnage utilisant votre marque, moins l'attaque fera de victimes
Site WordPress compromis ou utilisé pour du phishing ?
Notre équipe de sécurité supprime les contenus d'hameçonnage, ferme tous les points d'entrée utilisés par les attaquants et met en œuvre la surveillance et le renforcement nécessaires pour assurer la sécurité de votre site à l'avenir.
Que faire si votre site WordPress a été utilisé pour du phishing ?
Si vous constatez que votre site a été compromis et utilisé pour héberger du contenu d'hameçonnage, agissez immédiatement. Chaque heure passée en ligne sur ces pages d'hameçonnage nuit davantage à votre réputation et à vos utilisateurs.

Supprimez immédiatement le contenu d'hameçonnage
Identifiez et supprimez toutes les pages d'hameçonnage et tous les fichiers injectés sur votre serveur. Utilisez l'outil d'analyse de fichiers de votre extension de sécurité pour identifier tous les fichiers suspects et examinez-les attentivement avant de les supprimer. Sauvegardez votre configuration actuelle avant toute modification afin de conserver une trace des éléments détectés à des fins d'enquête.
Après avoir supprimé le contenu malveillant, vérifiez chaque fichier de votre installation WordPress afin de détecter d'éventuelles portes dérobées. Les attaquants qui injectent du contenu d'hameçonnage installent presque systématiquement des portes dérobées pour conserver le contrôle après le nettoyage. Si vous ne détectez pas de porte dérobée, le contenu d'hameçonnage réapparaîtra quelques jours après le nettoyage.
Demande de retrait de la navigation sécurisée de Google
Si Google a signalé votre site, soumettez une demande de réexamen via Google Search Console après avoir effectué le nettoyage. Expliquez ce que vous avez trouvé, ce que vous avez supprimé et les mesures de sécurité que vous avez mises en place pour éviter que cela ne se reproduise.
Google examine manuellement les demandes de réexamen. Les délais de réponse varient de quelques jours à quelques semaines. Pendant cette période, surveillez quotidiennement vos alertes de sécurité Search Console et traitez immédiatement toute nouvelle alerte. Un nettoyage complet et documenté permet généralement un rétablissement plus rapide qu'une solution superficielle.
Avertir les utilisateurs concernés
Si des données d'utilisateurs ont été compromises par le biais de pages d'hameçonnage sur votre site, vous avez l'obligation légale et déontologique d'informer rapidement les utilisateurs concernés. Selon votre juridiction et la nature des données en cause, vous pouvez également être soumis à des obligations de déclaration légales en vertu de réglementations telles que le RGPD ou le CCPA.
Communiquez clairement sur les faits, les données potentiellement consultées, les mesures prises pour remédier à la situation et les précautions à prendre par les utilisateurs concernés. Une communication transparente et rapide limite les risques juridiques et préserve la confiance des clients, contrairement aux notifications tardives ou vagues.
Erreurs courantes à éviter en matière de prévention du phishing sur WordPress
Ces erreurs exposent inutilement les sites WordPress et leurs utilisateurs à des attaques de phishing.
- Absence d'authentification à deux facteurs : les comptes d'administrateur sans authentification à deux facteurs constituent le point d'entrée le plus facile pour les attaquants souhaitant injecter du contenu d'hameçonnage. Activez-la pour tous les utilisateurs administrateurs sans exception.
- Extensions et thèmes obsolètes : chaque vulnérabilité non corrigée dans votre liste d’extensions constitue un point d’entrée potentiel pour l’injection de contenu malveillant. Mettez à jour régulièrement toutes vos extensions et supprimez celles que vous n’utilisez pas.
- Absence d'enregistrements d'authentification de messagerie : sans enregistrements SPF, DKIM et DMARC, votre domaine peut être usurpé dans des courriels d'hameçonnage ciblant vos clients avec un minimum d'efforts techniques de la part des attaquants.
- Absence de surveillance de l'intégrité des fichiers : sans surveillance active, les pages d'hameçonnage injectées dans votre site peuvent rester indétectées pendant des semaines, nuisant à votre réputation et à vos utilisateurs.
- Ignorer les alertes de sécurité : les alertes des plugins de sécurité concernant les modifications de fichiers suspectes ou les tentatives de connexion sont des signaux d’alerte précoce. Les ignorer, c’est rater l’occasion de stopper une attaque avant la diffusion du contenu d’hameçonnage.
- Absence de plan de communication client : lorsqu’une campagne d’hameçonnage cible votre marque ou vos utilisateurs, une communication tardive ou inexistante peut aggraver considérablement les dégâts, contrairement à une réponse rapide et transparente.
Meilleurs outils pour protéger les sites WordPress contre le phishing
Ces outils couvrent tous les niveaux de prévention contre le phishing, de la détection des logiciels malveillants à l'authentification des e-mails et à la surveillance en temps réel.
| Outil | Idéal pour | Avantage |
|---|---|---|
| Sécurité Wordfence | Analyse des logiciels malveillants et WAF | Détecte les fichiers d'hameçonnage injectés. |
| Sécurité Sucuri | Nettoyage et surveillance du site | Détection et suppression des pages d'hameçonnage. |
| WAF Cloudflare | Filtrage du trafic | Bloque les schémas d'attaques de phishing connus. |
| Google Search Console | Alertes de navigation sécurisée | Signale les contenus d'hameçonnage sur votre domaine. |
| MXToolbox | configuration de l'authentification par e-mail | Vérifie les enregistrements SPF, DKIM et DMARC. |
Conclusion : Protégez votre site, votre marque et vos utilisateurs contre le phishing
Les attaques de phishing sur WordPress ne se limitent pas à votre site web. Elles nuisent simultanément à la confiance de vos utilisateurs, à la réputation de votre marque et à votre visibilité dans les résultats de recherche.
Sécurisez vos comptes d'administrateur. Maintenez votre système à jour. Installez une extension de sécurité avec analyse active. Configurez l'authentification des e-mails. Surveillez votre site pour détecter toute modification non autorisée. Et prévoyez un plan d'intervention avant même d'en avoir besoin.
Les sites qui se remettent le plus rapidement des attaques de phishing sont ceux qui ont mis en place les mesures de prévention les plus efficaces avant même qu'une attaque ne survienne.
Questions fréquentes sur les attaques de phishing WordPress
Comment savoir si mon site WordPress est utilisé à des fins d'hameçonnage ?
Vérifiez la présence de pages non créées sur votre site, les pics de trafic inhabituels vers des URL inconnues dans Google Analytics, les avertissements de navigation sécurisée de Google dans Search Console et les signalements de clients concernant des e-mails suspects prétendant provenir de votre marque. Lancez immédiatement une analyse antivirus avec Wordfence ou Sucuri si vous soupçonnez une compromission.
Comment les pirates informatiques injectent-ils des pages d'hameçonnage dans les sites WordPress ?
Les points d'entrée les plus courants sont les comptes d'administrateur compromis, les extensions ou thèmes vulnérables présentant des failles de sécurité non corrigées, et les identifiants d'hébergement faibles. Une fois à l'intérieur du système, les attaquants téléchargent des fichiers de phishing sur votre serveur, souvent dissimulés dans des répertoires d'apparence légitime afin d'échapper à la détection lors de vérifications de fichiers classiques.
Les attaques de phishing peuvent-elles entraîner le blacklistage de mon site WordPress par Google ?
Oui. Le système de navigation sécurisée de Google analyse activement les sites à la recherche de contenu d'hameçonnage. Si des pages d'hameçonnage sont détectées sur votre domaine, Google affiche une page d'avertissement rouge aux visiteurs et retire votre site des résultats de recherche classiques jusqu'à ce que vous le nettoyiez et soumettiez une demande de réexamen acceptée.
Comment empêcher les courriels d'hameçonnage d'utiliser mon domaine ?
Configurez les enregistrements SPF, DKIM et DMARC sur votre domaine via vos paramètres DNS. Ces normes d'authentification des e-mails vérifient que les e-mails prétendant provenir de votre domaine sont bien envoyés depuis vos sources autorisées. Les e-mails qui échouent à ces vérifications sont rejetés ou mis en quarantaine par les serveurs de messagerie avant d'atteindre vos clients.
Que dois-je faire si mon site WordPress a été utilisé pour du phishing ?
Supprimez immédiatement tout contenu d'hameçonnage et tous les fichiers contenant des portes dérobées. Après le nettoyage, soumettez une demande de réexamen à Google Search Console. Informez les utilisateurs concernés de la faille de sécurité et des mesures à prendre. Revoyez et renforcez toutes les mesures de sécurité de votre site afin d'éviter toute récidive. Envisagez de faire appel à un service de sécurité professionnel pour une analyse approfondie après l'incident.