Site Joomla piraté ? Récupération d'urgence et suppression de malware

Votre page d'accueil redirige vers un site de pharmacie. Google affiche « Ce site a peut-être été piraté » sous votre annonce. D'étranges pages en langues étrangères apparaissent dans les résultats de recherche pour votre domaine. Votre hébergeur vous a envoyé une alerte malware — ou a carrément suspendu votre compte. Quelle que soit la raison de votre présence ici : un site Joomla piraté se récupère, et plus il est pris en charge correctement et rapidement, moins les dégâts sont importants.

Nous sommes des spécialistes Joomla européens. Récupérer des installations Joomla compromises — des reliques Joomla 1.5 laissées à l'abandon jusqu'aux sites Joomla 5 et 6 activement maintenus — fait partie de notre quotidien, chaque semaine. Nous nettoyons l'infection, trouvons et refermons le point d'entrée, restaurons votre réputation auprès de Google et des opérateurs de listes noires, et vous laissons sur une plateforme sécurisée et maintenue pour que cela ne se reproduise plus.

Obtenir une aide d'urgence maintenant →

Les signes que votre site Joomla a été piraté

Certaines compromissions s'annoncent ; les plus rentables se cachent. Les symptômes les plus fréquents que nous observons sur les sites Joomla :

  • Redirections — les visiteurs (souvent uniquement depuis Google, ou uniquement sur mobile) sont envoyés vers des sites de spam, d'arnaque ou pour adultes, alors que le site vous paraît normal.
  • Avertissements du navigateur et des moteurs de recherche — écrans rouges « Site trompeur en vue », mentions « Ce site a peut-être été piraté » ou « Ce site risque d'endommager votre ordinateur » dans les résultats Google.
  • Spam SEO — des milliers de pages que vous n'avez jamais créées apparaissent dans les résultats de recherche pour votre domaine : mots-clés pharmaceutiques, contrefaçons de marques, jeux d'argent, ou pages en japonais (le classique « piratage par mots-clés japonais »).
  • Défaçage — votre page d'accueil remplacée par la carte de visite d'un pirate. Grossier, mais au moins honnête.
  • Comptes administrateurs inconnus — de nouveaux Super Utilisateurs dans le gestionnaire d'utilisateurs Joomla que personne dans votre équipe n'a créés.
  • E-mails de spam depuis votre domaine — votre serveur se met soudain à envoyer des milliers de messages ; la délivrabilité s'effondre et votre IP atterrit sur des listes noires d'e-mail.
  • Fichiers inexpliqués et ralentissements — d'étranges fichiers PHP dans votre installation, des pics d'utilisation CPU, ou l'hébergeur qui se plaint d'un abus de ressources (souvent du cryptominage ou des scripts de spam).
  • Outils de sécurité désactivés — votre extension de sécurité est mystérieusement coupée, ou vous êtes exclu de votre propre administration.

Plusieurs de ces signes peuvent être actifs en même temps. Les attaquants masquent régulièrement leurs modifications — affichant des pages propres aux administrateurs connectés et l'infection uniquement aux robots des moteurs de recherche — c'est pourquoi « il me paraît normal » n'a jamais prouvé qu'un site était sain.

Premières mesures : que faire dès maintenant

Avant l'intervention d'un spécialiste, certaines choses peuvent être faites sans danger dès la première heure — et d'autres sont à éviter absolument.

  1. Mettez le site hors ligne ou en mode maintenance. Chaque heure où un site compromis reste public, il infecte les visiteurs, envoie du spam et enfonce un peu plus votre réputation de recherche. Le mode hors ligne de Joomla est le minimum ; bloquer le site au niveau de l'hébergement est préférable.
  2. Changez tous les mots de passe — comptes Super Utilisateur Joomla, panneau de contrôle de l'hébergement, FTP/SFTP et utilisateur de la base de données. Utilisez des mots de passe longs et uniques. Si votre propre ordinateur est peut-être à l'origine du vol d'identifiants, analysez-le avant de saisir les nouveaux.
  3. Préservez les preuves — ne supprimez rien. Effectuez une sauvegarde complète du site et de la base de données en l'état actuel, infecté, et téléchargez les journaux d'accès du serveur (ils tournent et disparaissent vite). Ces journaux permettent de retrouver le point d'entrée. Supprimer des fichiers suspects avant analyse détruit la piste et laisse généralement la porte dérobée en place.
  4. Ne vous contentez pas de restaurer la sauvegarde de la semaine dernière pour continuer. Une restauration sans diagnostic remet en place la même extension vulnérable, les mêmes identifiants volés, le même Joomla non corrigé — et très souvent la sauvegarde elle-même contient déjà la porte dérobée. Les sites restaurés sont à nouveau piratés en quelques jours ; nous le constatons en permanence.
  5. Notez la chronologie. Quand les symptômes ont-ils commencé ? Qu'est-ce qui a changé récemment — nouvelles extensions, nouveaux utilisateurs, une migration d'hébergement ? Chaque détail raccourcit l'enquête.

Ensuite, faites appel à une aide compétente. Transmettez-nous ce que vous savez via notre page de contact — y compris « mon hébergeur a suspendu le compte » si c'est votre cas — et nous prenons le relais.

Pourquoi les sites Joomla se font pirater

Les attaques contre les sites de petites entreprises ne sont presque jamais personnelles. Des bots scannent l'ensemble d'Internet en continu à la recherche de logiciels vulnérables connus, et compromettent tout ce qu'ils trouvent — une boulangerie de village et une multinationale subissent exactement le même traitement. Sur les sites Joomla, le point d'entrée est presque toujours l'une de ces quatre choses :

Une version de Joomla en fin de vie

Joomla 3 a reçu son ultime correctif de sécurité en 2023 ; Joomla 4 a atteint sa fin de vie en octobre 2025. Toute faille découverte depuis ces dates reste ouverte de façon permanente sur les sites qui les utilisent encore — et les détails des vulnérabilités sont publics, si bien que l'exploitation est automatisée quelques jours après leur divulgation. Une grande part des récupérations que nous réalisons concerne des sites Joomla 1.5, 2.5 et 3 qui « fonctionnaient très bien » jusqu'au moment où ils ne fonctionnaient plus. Si c'est votre cas, la récupération et une mise à niveau vers une version maintenue constituent un seul et même projet.

Des extensions vulnérables ou abandonnées

Le point d'entrée unique le plus fréquent. De vieux éditeurs, gestionnaires de fichiers, composants de formulaire et plugins de slider présentant des failles connues — souvent des extensions que le site n'utilise même plus, installées et oubliées. Chaque extension est du code PHP qui s'exécute avec les privilèges de votre site ; une extension abandonnée est une porte de service laissée ouverte.

Des identifiants volés ou faibles

Des mots de passe réutilisés et captés dans des fuites de données sans rapport, des « admin/admin123 », des comptes partagés, l'absence d'authentification multifacteur, et des malwares sur l'ordinateur d'un administrateur qui récoltent les mots de passe FTP enregistrés. L'attaquant ne force pas l'entrée ; il se connecte.

L'environnement d'hébergement

Sur un hébergement mutualisé mal isolé, un voisin vulnérable peut devenir votre problème : un seul compte compromis sert à infecter tous les sites que l'attaquant peut atteindre sur le même serveur. C'est précisément ce risque de contamination croisée qui explique pourquoi notre hébergement Joomla infogéré n'héberge que des sites que nous avons nous-mêmes construits ou mis à niveau — nous maîtrisons ce qui se trouve sur le serveur, aucun voisin inconnu ne peut donc vous faire tomber.

Anatomie d'une compromission type

Comprendre comment ces incidents se déroulent explique pourquoi une récupération correcte ressemble à ce qu'elle est. Le schéma que nous reconstituons à partir des journaux serveur est remarquablement constant :

Des semaines avant que vous ne remarquiez quoi que ce soit, un scanner automatisé identifie votre site comme exécutant un logiciel exploitable et un script l'exploite — en téléversant un petit « webshell », un fichier qui donne à l'attaquant le contrôle à distance. Rien de visible ne change. L'attaquant (ou, le plus souvent, son automatisation) s'installe ensuite discrètement : portes dérobées supplémentaires à différents endroits, utilisateur admin pirate, parfois des tâches planifiées qui recréent la porte dérobée si elle est supprimée. La redondance est volontaire — c'est pourquoi supprimer le seul fichier suspect trouvé ne met jamais fin à un incident.

Puis vient la monétisation, et c'est généralement là que vous l'apprenez : des pages de spam inondent l'index de Google, les redirections s'activent pour le trafic de recherche, ou le serveur se met à débiter des e-mails de phishing. Au moment où les symptômes apparaissent, la compromission a généralement plusieurs semaines — ce qui explique aussi pourquoi « restaurer la sauvegarde de la semaine dernière » restaure si souvent la porte dérobée en même temps que le site.

Les journaux racontent l'histoire. Les journaux d'accès du serveur web enregistrent la requête d'exploitation, les téléversements et chaque visite ultérieure de la porte dérobée. C'est pourquoi préserver les journaux immédiatement compte autant, et pourquoi notre processus commence par une analyse forensique plutôt que par la suppression de fichiers : les journaux identifient le point d'entrée, le point d'entrée détermine la correction, et c'est la correction qui maintient le site propre après notre départ.

Notre processus de récupération

La récupération Joomla est un travail forensique, pas une simple suppression de fichiers. Le processus que nous appliquons à chaque site compromis :

1. Tri et confinement

Nous évaluons la situation, mettons le site hors ligne en toute sécurité s'il ne l'est pas déjà, sécurisons une copie forensique des fichiers, de la base de données et des journaux, et verrouillons les accès — nouveaux identifiants partout, sessions terminées, comptes admin inconnus désactivés.

2. Investigation

À l'aide des journaux serveur, des horodatages de fichiers et du malware lui-même, nous établissons comment l'attaquant est entré, quand, et ce qu'il a touché. Cette étape est ce qui distingue une vraie récupération d'un nettoyage cosmétique : si le point d'entrée n'est pas identifié et refermé, le site sera réinfecté.

3. Nettoyage

Les fichiers du cœur de Joomla sont intégralement remplacés par des versions propres de la bonne version. Chaque extension est auditée — les extensions légitimes réinstallées depuis des sources propres, les extensions abandonnées et vulnérables supprimées. Nous traquons les webshells, les portes dérobées et le code injecté dans le système de fichiers, dans les templates et les overrides, dans le fichier .htaccess, et au sein même de la base de données, où les attaquants dissimulent redirections, liens de spam et utilisateurs admin pirates dans les tables de contenu et de configuration.

4. Durcissement

Nouveaux identifiants et clés de sécurité partout, authentification multifacteur sur les comptes administrateurs, permissions de fichiers correctes, restrictions d'accès à l'administration, un pare-feu applicatif web, et suppression de tout installateur résiduel, archive de sauvegarde et script orphelin traînant à la racine web.

5. Récupération de la réputation

Une fois le site vérifiablement propre, nous demandons une réévaluation via Google Search Console pour lever les avertissements « site trompeur » et « site piraté », soumettons des demandes de retrait aux listes noires concernées, gérons les séquelles du spam SEO (suppression des pages injectées de l'index), et vérifions les listes noires d'e-mail si le serveur envoyait du spam.

6. Rapport et plan de suivi

Vous recevez un rapport en langage clair : comment ils sont entrés, ce qu'ils ont fait, ce que nous avons supprimé, ce que nous avons modifié, et ce qui doit se passer ensuite. À des fins de protection des données (voir ci-dessous), cette documentation compte autant que le nettoyage lui-même.

Combien de temps prend la récupération ?

Le confinement intervient dès le premier jour — le site cesse de nuire aux visiteurs et à votre réputation dans les heures qui suivent notre intervention. Le nettoyage complet et le durcissement d'un site Joomla de PME type prennent un à trois jours selon la taille du site, la profondeur de l'infection et l'état de la version de Joomla sous-jacente. La réévaluation de Google après une demande de nettoyage lève généralement les avertissements du navigateur quelques jours après la soumission ; le spam SEO résiduel dans les résultats de recherche peut mettre plus de temps à sortir de l'index, et nous le surveillons jusqu'à ce qu'il disparaisse.

Les sites sur des versions de Joomla en fin de vie prennent plus de temps, car une récupération honnête inclut votre passage sur une plateforme maintenue — inutile de polir un site qui sera de nouveau compromis le mois prochain via le même cœur non corrigé.

Le compte à rebours RGPD : 72 heures

Pour les entreprises européennes, un site piraté n'est pas seulement un incident technique — il peut s'agir d'une violation de données à caractère personnel. Si votre site détient des données clients (comptes utilisateurs, soumissions de formulaires, commandes, inscriptions à la newsletter) et que ces données ont pu être consultées, l'article 33 du RGPD impose une notification à votre autorité de contrôle dans les 72 heures suivant la prise de connaissance de la violation, sauf si celle-ci est peu susceptible d'engendrer un risque pour les personnes concernées. Lorsque le risque pour les individus est élevé, ces personnes doivent elles-mêmes être informées.

C'est là que le volet forensique de notre processus prouve sa valeur : notre investigation établit quelles données l'attaquant pouvait réellement atteindre, et notre rapport vous fournit les faits documentés dont vous (et votre conseil juridique) avez besoin pour décider si une notification est requise et la formuler avec exactitude. Se tromper dans un sens comme dans l'autre — espérer en silence que rien n'a été pris, ou notifier en panique des clients pour une violation qui n'a jamais touché de données personnelles — sont deux erreurs coûteuses. Notre service de conformité RGPD couvre le volet préparation, de sorte que, s'il y a une prochaine fois, l'inventaire des données et le plan de réponse existent déjà.

Nettoyer, reconstruire ou mettre à niveau ?

Tous les sites compromis ne méritent pas une restauration à l'identique, et nous vous dirons honnêtement dans quel cas vous vous trouvez :

  • Joomla maintenu, violation isolée — on nettoie, on durcit, c'est réglé. Le site continue sur sa version actuelle avec de meilleures défenses.
  • Joomla en fin de vie (1.x, 2.5, 3, 4) — on nettoie et on met à niveau, en un seul projet. Nous récupérons votre contenu et vos données, puis reconstruisons sur Joomla 5 ou 6 via notre processus de mise à niveau structuré. Nettoyer un site non maintenu sans le mettre à niveau revient à vous facturer deux fois le même piratage.
  • Profondément infecté, très ancien ou irréparable économiquement — une reconstruction neuve sur Joomla 6 réutilisant votre contenu vérifié comme propre est parfois plus rapide et moins coûteuse que l'archéologie. Nous chiffrons les deux options et vous laissons choisir.

Rester sécurisé par la suite

Presque tous les sites piratés que nous récupérons partagent la même histoire : personne ne le mettait à jour, personne ne le surveillait, et l'hébergement était ce qu'il y avait de moins cher en 2017. La solution est structurelle, pas héroïque :

  • Plans de maintenance — mises à jour appliquées rapidement, surveillance de sécurité, sauvegardes quotidiennes hors serveur et contrôles de disponibilité, pour que les failles soient corrigées avant que les bots ne les trouvent.
  • Hébergement européen infogéré — un environnement serveur maîtrisé sans voisins inconnus, une surveillance proactive et une infrastructure gérée par les mêmes personnes qui maintiennent votre site.
  • Bonnes pratiques de durcissement — MFA sur chaque compte admin, utilisateurs au moindre privilège et une empreinte d'extensions minimale. Notre guide de sécurité Joomla décrit à quoi ressemble une bonne configuration.

Les clients de récupération qui passent sur un plan de maintenance bénéficient de la période de surveillance post-piratage incluse — les tentatives de réinfection sont les plus probables dans les premières semaines, et nous les guettons.

Combien coûte la récupération d'un piratage Joomla ?

Cela dépend de trois facteurs : la taille et la complexité du site, la profondeur de la compromission, et le fait que la version de Joomla sous-jacente soit maintenue ou en fin de vie. Une infection circonscrite sur un site Joomla 5 maintenu se situe dans le bas de la fourchette ; un site Joomla 2.5 tentaculaire, avec des années d'extensions accumulées, une injection de spam au niveau de la base de données et une mise à niveau de plateforme requise, est un projet plus important. Nous évaluons d'abord, puis chiffrons un prix fixe avant le démarrage des travaux — pas de facturation horaire ouverte pendant que vous saignez, et aucun frais pour l'évaluation initiale.

Pour situer les choses : le coût d'une récupération professionnelle est presque toujours inférieur au coût de l'alternative — des semaines de trafic perdu sous un avertissement Google, un serveur de messagerie blacklisté, des clients perdus, et dans le pire des cas un régulateur demandant pourquoi un site non corrigé détenait des données clients.

Ce dont nous avons besoin pour démarrer

La récupération avance le plus vite quand les accès arrivent en même temps que la demande. Préparez ce que vous pouvez — et ne vous inquiétez pas de ce que vous n'avez pas ; nous commençons régulièrement avec bien moins :

  • Un accès au panneau de contrôle de l'hébergement (ou le nom de votre hébergeur et un contact avec qui nous pouvons échanger — indispensable si le compte est suspendu).
  • Des identifiants SFTP/FTP et de base de données, ou la possibilité de les créer dans le panneau.
  • Un identifiant Super Utilisateur Joomla, si vous en avez encore un qui fonctionne.
  • Toutes les sauvegardes existantes, même anciennes — même une copie vieille de plusieurs années est précieuse comme référence propre pour comparer les fichiers.
  • Un accès à Google Search Console (ou nous nous ajoutons pendant la mission) pour la réévaluation des avertissements et le retrait des pages de spam.
  • La chronologie — quand les symptômes ont commencé, les changements récents, tout e-mail de votre hébergeur ou de Google.

Tout est traité dans le cadre d'un accord de confidentialité, les identifiants sont renouvelés à la fin de la mission, et — en tant qu'entreprise européenne travaillant sur une infrastructure européenne — vos données n'ont jamais besoin de quitter la juridiction européenne pour que le travail se fasse.

La checklist de prévention

Si votre site n'a pas été piraté et que vous comptez bien le garder ainsi, ces huit points referment les portes par lesquelles passent les attaques décrites plus haut. Ce sont exactement les éléments que nous vérifions dans l'audit gratuit :

  1. Cœur de Joomla sur une version maintenue (5.x ou 6.x) avec des mises à jour appliquées dans les jours suivant leur sortie, pas des mois.
  2. Chaque extension activement maintenue par son développeur — et chaque extension inutilisée désinstallée, pas seulement désactivée.
  3. Authentification multifacteur imposée sur tous les comptes administrateurs.
  4. Des mots de passe uniques et robustes pour Joomla, l'hébergement, le FTP et la base de données — aucune réutilisation d'identifiants nulle part.
  5. Des sauvegardes automatiques quotidiennes stockées hors serveur, avec une restauration réellement testée.
  6. Un pare-feu applicatif web devant le site et un accès à l'administration restreint.
  7. PHP sur une version maintenue et des permissions de fichiers correctement définies.
  8. Quelqu'un de responsable de la surveillance de tout ce qui précède — une personne nommée, pas un vœu pieux.

Le point huit est celui qui fait défaut le plus souvent, et c'est toute la raison d'être des plans de maintenance.

Foire aux questions

Puis-je simplement restaurer une sauvegarde et passer à autre chose ?

Restaurer fait disparaître les symptômes visibles tout en conservant la vulnérabilité — et souvent la porte dérobée, si la sauvegarde est postérieure à la compromission initiale (les attaquants restent fréquemment tapis des semaines avant d'agir de manière visible). Sans trouver et refermer le point d'entrée, la réinfection est une question de jours. La méthode « restaurer et prier » est la raison la plus fréquente pour laquelle des sites arrivent chez nous piratés une deuxième ou une troisième fois.

Pourquoi quelqu'un piraterait-il mon petit site web ?

Personne ne vous a choisi — un bot vous a trouvé. Les sites compromis sont des marchandises : ils sont monétisés pour l'hébergement de spam, l'injection de liens SEO, les pages de phishing, la distribution de malwares et le cryptominage. La valeur de votre site pour un attaquant tient à sa réputation propre et à ses ressources serveur gratuites, pas à votre contenu.

L'avertissement Google disparaîtra-t-il après le nettoyage ?

Oui — après un nettoyage vérifié, nous demandons une réévaluation via Google Search Console, et les avertissements sont généralement levés sous quelques jours. Les pages de spam injectées peuvent persister un peu plus longtemps dans les résultats de recherche pendant que Google réexplore le site ; nous gérons les demandes de retrait et surveillons jusqu'à ce que vos annonces soient propres.

Mon hébergeur a suspendu mon compte. Pouvez-vous quand même m'aider ?

Oui. C'est une situation courante : nous échangeons avec l'hébergeur, obtenons les fichiers, les journaux et la base de données (les hébergeurs coopèrent quand un nettoyage professionnel est en cours), effectuons la récupération et fournissons à l'hébergeur la confirmation dont il a besoin pour rétablir le service. Si l'incident révèle que l'hébergement lui-même fait partie du problème, basculer vers notre hébergement infogéré est alors simple.

Le site est très ancien — Joomla 1.5 / 2.5. Est-il seulement récupérable ?

Récupérable, oui — votre contenu et vos données peuvent toujours être sauvés. Mais il ne peut pas être rendu sûr sur sa plateforme d'origine, car il n'existe plus aucun correctif de sécurité pour celle-ci. Pour les sites aussi anciens, la récupération consiste à extraire et nettoyer votre contenu, puis à reconstruire sur un Joomla moderne. Vous retrouvez votre site, plus rapide et maintenu, plutôt qu'un risque rafistolé.

Dois-je déclarer le piratage au titre du RGPD ?

Uniquement si des données à caractère personnel ont probablement été compromises et que la violation présente un risque pour les personnes concernées — ce qui dépend de ce que votre site stocke et de ce que l'attaquant a atteint. Notre rapport forensique vous donne la base factuelle de cette décision ; la fenêtre de 72 heures rend la rapidité essentielle. En cas de doute, prenez conseil tôt plutôt que tard.

Récupérez votre site

Plus une compromission est prise en charge correctement et tôt, plus les dégâts sont limités — pour vos visiteurs, votre référencement et votre réputation. Dites-nous ce que vous observez et nous vous répondrons avec une évaluation et un devis à prix fixe.

Contactez-nous pour une récupération d'urgence →

Pas piraté — juste inquiet ? Notre audit gratuit de site vérifie votre version de Joomla, les vulnérabilités connues et votre posture de sécurité avant que quelqu'un d'autre ne le fasse.

Vous pourriez aussi être intéressé par