Comment vérifier un site web pour les virus et les logiciels malveillants : un guide complet de sécurité
La sécurité du site web n’est pas facultative — c’est une exigence fondamentale pour toute présence en ligne. Que vous gériez un blog personnel, une boutique e-commerce ou une plateforme d’entreprise, les infections par malware peuvent détruire votre réputation, compromettre les données des utilisateurs et faire chuter vos classements dans les moteurs de recherche du jour au lendemain. Ce guide complet vous guide à travers chaque méthode disponible pour détecter, analyser et éliminer les virus et malware de votre site web, afin que vous puissiez maintenir votre plateforme sécurisée, fiable et entièrement opérationnelle.
Qu’est-ce que les virus et les malwares de site web ?
Le malware de site web désigne tout logiciel malveillant intentionnellement injecté dans les fichiers, la base de données ou l’environnement serveur d’un site web. Contrairement aux virus de bureau, le malware basé sur le web fonctionne souvent silencieusement en arrière-plan — volant des données, redirigeant les visiteurs ou transformant votre serveur en relais de spam sans aucun signe évident.
Comprendre les types de malware les plus courants est la première étape vers une protection efficace :
- Backdoors — Points d’entrée cachés qui permettent aux attaquants d’accéder à votre serveur à distance, même après avoir changé les mots de passe ou corrigé les vulnérabilités.
- Trojan Horses — Scripts malveillants déguisés en plugins, thèmes ou packages logiciels légitimes qui exécutent du code nuisible une fois installés.
- Ransomware — Chiffre vos fichiers de site web et exige un paiement en échange de la clé de déchiffrement, mettant effectivement votre site en otage.
- Adware — Injecte des publicités non autorisées dans vos pages web, générant des revenus pour les attaquants tout en dégradant l’expérience utilisateur.
- Phishing Pages — Pages cachées créées sur votre serveur pour récolter les identifiants de connexion ou les informations financières de visiteurs sans méfiance.
- SEO Spam — Code malveillant qui injecte des liens cachés ou du contenu bourré de mots-clés pour manipuler les classements de recherche de sites tiers.
- Cryptominers — Scripts qui détournent les ressources CPU de votre serveur pour miner des cryptomonnaies, causant une dégradation sévère des performances.
Chacune de ces menaces peut causer des dommages durables à l’intégrité de votre site, ses performances SEO et la confiance des visiteurs. La détection précoce est essentielle.
Signes d’avertissement que votre site Web peut être infecté
Avant de vous plonger dans les outils de numérisation et les vérifications manuelles, vous devez connaître les signaux d’alerte qui indiquent souvent qu’une infection par malware est déjà en cours :
- Modifications de contenu inattendues — De nouvelles pages, publications ou liens apparaissent que vous n’avez pas créés.
- Redirections suspectes — Les visiteurs sont envoyés vers des sites Web tiers non liés ou malveillants.
- Avertissements de sécurité du navigateur — Google Chrome, Firefox ou Safari affichent un avertissement « Ce site peut être piraté » ou « Site trompeur à venir ».
- Alertes Google Search Console — Google vous notifie des problèmes de sécurité ou des actions manuelles dans votre compte.
- Mise en liste noire — Votre domaine apparaît sur des listes noires de spam ou de malware, causant des échecs de livraison d’e-mails ou des baisses de classement de recherche.
- Dégradation des performances — Ralentissements inexpliqués, utilisation élevée du CPU ou pics de charge serveur inhabituels.
- Suspension du fournisseur d’hébergement — Votre compte d’hébergement est suspendu en raison d’une activité malveillante détectée sur votre serveur.
Si vous remarquez l’un de ces symptômes, traitez-le comme une urgence et commencez à numériser immédiatement.
Méthode 1 : Utiliser des scanners de sécurité en ligne
Les scanners de sécurité en ligne sont le moyen le plus rapide d’obtenir une évaluation initiale de la santé de votre site web. Ils analysent vos pages accessibles au public pour détecter les signatures de malware connues, le statut de liste noire et les vulnérabilités courantes.
Étape 1 : Choisir le bon scanner
Chaque outil a des forces différentes. Utilisez plusieurs scanners pour les résultats les plus complets :
| Scanner | Fonction principale | Coût |
|---|---|---|
| Sucuri SiteCheck | Scan de malware, liste noire et vulnérabilités CMS | Gratuit |
| VirusTotal | Analyse d’URL et de fichiers contre 70+ moteurs antivirus | Gratuit |
| Qualys SSL Labs | Vérification de la configuration SSL/TLS et des vulnérabilités de certificat | Gratuit |
| SiteGuarding | Scan approfondi de malware et de vulnérabilités | Gratuit / Payant |
| Google Safe Browsing | Vérifier si Google a signalé votre site | Gratuit |
| MXToolbox | Surveillance de la liste noire et de la réputation des e-mails | Gratuit |
Étape 2 : Entrer l’URL de votre site web
Accédez au site web du scanner de votre choix et entrez l’URL complète de votre domaine (par exemple, https://www.yourdomain.com) dans le champ de saisie. Assurez-vous d’inclure le protocole correct (https:// ou http://) pour des résultats précis.
Étape 3 : Lancer le scan
Cliquez sur le bouton Scan, Vérifier ou Analyser pour démarrer le processus. Selon l’outil et la taille de votre site, le scan peut prendre de quelques secondes à plusieurs minutes.
Étape 4 : Interpréter les résultats
Une fois le scan terminé, examinez attentivement la sortie. Prêtez une attention particulière à :
- Malware détecté — Tout code malveillant identifié, scripts injectés ou fichiers suspects.
- Statut de liste noire — Si votre domaine apparaît sur Google, McAfee, Spamhaus ou d’autres listes noires majeures.
- Logiciels obsolètes — Signalements pour les versions CMS obsolètes, les plugins ou les thèmes présentant des vulnérabilités connues.
- Problèmes SSL/TLS — Suites de chiffrement faibles, certificats expirés ou paramètres HTTPS mal configurés.
> Conseil professionnel : Les scanners en ligne n’analysent que vos pages visibles au public. Ils ne peuvent pas accéder aux fichiers au niveau du serveur ou au contenu de la base de données. Effectuez toujours un scan au niveau du serveur pour une couverture complète.
Méthode 2 : Inspection manuelle des fichiers et du code
Pour une investigation plus approfondie, l’inspection manuelle de vos fichiers serveur est essentielle. Cette approche nécessite un accès à votre environnement d’hébergement et une compréhension de base des structures de fichiers web.
Étape 1 : Accédez à vos fichiers serveur
Connectez-vous à votre serveur en utilisant l’une des méthodes suivantes :
- Client FTP/SFTP — Utilisez FileZilla ou Cyberduck pour parcourir votre système de fichiers à distance.
- Panneau de contrôle d’hébergement — Accédez au gestionnaire de fichiers via cPanel, Plesk ou un panneau similaire. Si vous recherchez un environnement géré avec un accès intuitif au panneau de contrôle, VPS avec cPanel offre une solution puissante et conviviale.
- Terminal SSH — Pour les utilisateurs avancés, l’accès SSH offre les capacités d’inspection les plus puissantes.
Étape 2 : Identifiez les fichiers récemment modifiés
Les attaquants modifient généralement les fichiers existants ou en ajoutent de nouveaux lors d’une infection. Utilisez la commande SSH suivante pour lister les fichiers modifiés au cours des 7 derniers jours :
find /var/www/html -type f -mtime -7Ajustez le chemin pour correspondre à votre répertoire racine web. Tous les fichiers principaux récemment modifiés (en particulier les fichiers PHP dans les répertoires wp-includes ou wp-admin de WordPress) que vous n’avez pas intentionnellement modifiés doivent être traités comme suspects.
Étape 3 : Recherchez les modèles de malware courants
Utilisez grep pour rechercher les modèles de code malveillant connus dans tout votre répertoire web :
# Search for base64 encoded payloads (common obfuscation technique)
grep -r "base64_decode" /var/www/html --include="*.php"
# Search for eval() with encoded content
grep -r "eval(base64" /var/www/html --include="*.php"
# Search for common backdoor functions
grep -r "exec|system|passthru|shell_exec" /var/www/html --include="*.php"
# Search for hidden iframe injections
grep -r "<iframe" /var/www/html --include="*.html" --include="*.php"Étape 4 : Examinez les fichiers source HTML et PHP
Ouvrez vos fichiers de modèle principaux — en particulier header.php, footer.php, index.php et .htaccess — et recherchez :
- Code obfusqué — Longues chaînes de caractères apparemment aléatoires, souvent codées en base64 ou hexadécimal.
- Iframes cachées — Balises
<iframe>pointant vers des domaines externes, souvent avec un styledisplay:none. - Redirections non autorisées — Appels PHP
header()ou redirections JavaScriptwindow.locationvers des URL inconnues. - Appels
eval()suspects — Exécution de code dynamique qui traite les charges utiles codées ou chiffrées.
Étape 5 : Vérifiez votre fichier .htaccess
Le fichier .htaccess est une cible fréquente pour l’injection de malware. Ouvrez-le et vérifiez qu’il contient uniquement votre configuration attendue. Recherchez les directives RewriteRule inattendues qui redirigent le trafic vers des sites externes, en particulier les règles qui ciblent spécifiquement les utilisateurs mobiles ou les robots des moteurs de recherche.
Étape 6 : Inspectez votre base de données
Pour les plateformes CMS comme WordPress, les malwares sont fréquemment stockés dans la base de données. Utilisez phpMyAdmin ou une requête MySQL directe pour rechercher du contenu suspect :
SELECT * FROM wp_posts WHERE post_content LIKE '%base64%';
SELECT * FROM wp_options WHERE option_value LIKE '%eval(%';Méthode 3 : Analyse antivirus au niveau du serveur
Pour une détection de malware la plus complète, exécutez un scanner antivirus dédié directement sur votre serveur. C’est particulièrement important si vous avez un VPS Hosting ou un Dedicated Server, où vous avez un accès root pour installer et exécuter des outils de sécurité.
ClamAV — Antivirus open source pour Linux
ClamAV est le moteur antivirus open source le plus largement utilisé pour les serveurs Linux. Voici comment l’installer et l’utiliser :
Installer ClamAV sur Ubuntu/Debian :
sudo apt update
sudo apt install clamav clamav-daemon -y
sudo systemctl stop clamav-freshclam
sudo freshclam
sudo systemctl start clamav-freshclamExécuter une analyse complète de votre répertoire Web :
sudo clamscan -r /var/www/html --infected --remove --log=/var/log/clamav_scan.log-r — Analyse récursive de tous les sous-répertoires
--infected — Afficher uniquement les fichiers infectés
--remove — Supprimer automatiquement les menaces détectées
--log — Enregistrer les résultats dans un fichier journal pour examen
Examiner le journal d’analyse :
cat /var/log/clamav_scan.log
Maldet (Linux Malware Detect)
Linux Malware Detect (LMD) est spécifiquement conçu pour détecter les menaces couramment trouvées dans les environnements d’hébergement partagé et est très efficace contre les malwares basés sur le web :
# Download and install LMD
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzf maldetect-current.tar.gz
cd maldetect-*/
sudo ./install.sh
# Run a scan
sudo maldet -a /var/www/html
Méthode 4 : Plugins de sécurité spécifiques au CMS
Si votre site Web fonctionne sur un système de gestion de contenu, les plugins de sécurité dédiés fournissent une protection continue et automatisée sans nécessiter d’intervention manuelle.
Sécurité WordPress
Wordfence Security — Fournit un Web Application Firewall (WAF), un scanner de malware en temps réel, une sécurité de connexion et une surveillance du trafic. La version gratuite est très capable pour la plupart des sites.
Sucuri Security — Offre une surveillance de l’intégrité des fichiers, un audit des activités de sécurité et des actions de sécurité post-piratage.
MalCare — Propose une suppression de malware en un clic et une analyse approfondie qui n’impacte pas les performances du serveur.
iThemes Security — Se concentre sur le renforcement de WordPress contre les attaques par force brute et l’accès non autorisé.
Sécurité Joomla
RSFirewall! — Suite de sécurité complète avec vérification du système et capacités de pare-feu.
Akeeba Admin Tools — Fournit un WAF, un renforcement de la sécurité et une optimisation .htaccess.
Sécurité Drupal
Security Review — Vérifications automatisées des erreurs de configuration de sécurité courantes.
Paranoia — Restreint l’exécution de PHP dans certains répertoires pour prévenir l’injection de code.
Méthode 5 : Surveillance de Google Search Console
Google Search Console est une ressource gratuite et inestimable pour détecter les problèmes de sécurité que Google a déjà identifiés sur votre site.
Connectez-vous à Google Search Console.
Accédez à Sécurité et actions manuelles → Problèmes de sécurité.
Examinez tous les problèmes signalés, y compris le contenu piraté, les malwares ou les pages trompeuses.
Après avoir nettoyé votre site, utilisez la fonction Demander un examen pour demander à Google de réévaluer votre site et de supprimer tous les avertissements.
Que faire si un malware est détecté
Découvrir un malware sur votre site web nécessite une action immédiate et systématique. Suivez ce plan de réponse :
1. Mettez votre site hors ligne temporairement
Mettez votre site en mode maintenance pour prévenir d’autres dommages aux visiteurs et arrêter la propagation du malware. Cela signale également aux moteurs de recherche que vous traitez activement le problème.
2. Changez tous les identifiants immédiatement
Mots de passe FTP/SFTP
Mot de passe du panneau de contrôle d’hébergement
Mots de passe administrateur CMS
Mots de passe de base de données
Clés SSH
3. Restaurez à partir d’une sauvegarde propre
Si vous disposez d’une sauvegarde récente antérieure à l’infection, la restaurer est souvent le chemin le plus rapide vers un site propre. C’est pourquoi les sauvegardes régulières et automatisées sont non négociables. Les plans AlexHost VPS Hosting incluent des options de sauvegarde pour assurer que vos données sont toujours récupérables.
4. Supprimez manuellement le code malveillant
Si une sauvegarde propre n’est pas disponible, supprimez manuellement tout code malveillant identifié. Remplacez les fichiers CMS principaux par des téléchargements frais de la source officielle et auditez individuellement chaque fichier personnalisé.
5. Identifiez et corrigez le point d’entrée
Nettoyer le malware sans corriger la vulnérabilité qui a permis l’infection est inutile — les attaquants réinfecteront simplement votre site. Les points d’entrée courants incluent :
Plugins ou thèmes obsolètes avec des vulnérabilités connues
Mots de passe faibles ou réutilisés
Identifiants FTP compromis
Logiciel serveur vulnérable (PHP, Apache, Nginx)
Permissions de fichiers non sécurisées
6. Demandez la suppression de la liste noire
Si votre site a été mis en liste noire par Google ou d’autres services, soumettez une demande d’examen après le nettoyage :
Google — Utilisez la section Problèmes de sécurité de Google Search Console.
McAfee SiteAdvisor — Soumettez via le site web McAfee.
Spamhaus — Utilisez le formulaire de demande de suppression Spamhaus.
Meilleures pratiques de sécurité proactive
La prévention est toujours plus efficace que la correction. Mettez en œuvre ces pratiques pour réduire considérablement votre surface d’attaque :
Maintenez tout à jour
Les logiciels obsolètes sont la cause la plus courante d’infections de sites Web. Maintenez votre CMS, plugins, thèmes et logiciels serveur à jour en permanence. Activez les mises à jour automatiques si possible.
Utilisez des mots de passe forts et uniques et l’authentification 2FA
Appliquez des politiques de mots de passe forts pour tous les comptes associés à votre site Web. Activez l’authentification à deux facteurs (2FA) sur votre panneau d’administration CMS, panneau de contrôle d’hébergement et tout autre point d’accès.
Implémentez les permissions de fichiers correctes
Les permissions de fichiers incorrectes constituent un risque de sécurité critique. Utilisez ce qui suit comme base :
# Directories: 755
find /var/www/html -type d -exec chmod 755 {} ;
# Files: 644
find /var/www/html -type f -exec chmod 644 {} ;
# wp-config.php (WordPress): 400 or 440
chmod 400 /var/www/html/wp-config.php
Installez et configurez un pare-feu d’application Web (WAF)
Un WAF filtre le trafic malveillant avant qu’il n’atteigne votre application. Les options incluent Cloudflare (basé sur le cloud), ModSecurity (au niveau du serveur) ou les WAF basés sur des plugins comme Wordfence.
Sécurisez votre configuration SSL/TLS
Un certificat SSL actif et correctement configuré est essentiel pour la sécurité et la confiance des utilisateurs. Il chiffre les données en transit et est un facteur de classement Google confirmé. Vous pouvez facilement sécuriser votre domaine avec un Certificat SSL pour protéger vos visiteurs et renforcer la crédibilité de votre site.
Planifiez des sauvegardes automatisées régulières
Configurez des sauvegardes automatiques quotidiennes ou hebdomadaires stockées dans un emplacement distinct de votre serveur principal. Cela garantit que vous disposez toujours d’un point de restauration propre.
Renforcez votre configuration serveur
Si vous gérez votre propre serveur, appliquez ces mesures de renforcement :
Désactivez les fonctions PHP inutilisées (exec, system, passthru) dans php.inifail2ban pour bloquer les tentatives de connexion par force bruteSurveillez votre réputation de domaine et d’e-mail
Les infections par des logiciels malveillants peuvent compromettre votre réputation d’envoi d’e-mails. Si vous dépendez de communications professionnelles par e-mail, envisagez d’utiliser un service d’Hébergement d’e-mail dédié pour maintenir votre infrastructure de messagerie isolée et sécurisée.
Choisir le bon environnement d’hébergement pour la sécurité
Votre environnement d’hébergement joue un rôle fondamental dans la posture de sécurité de votre site web. Toutes les solutions d’hébergement n’offrent pas le même niveau de contrôle et de protection.
- Hébergement Web Partagé — Idéal pour les petits sites web avec peu de trafic. Les plans d’hébergement partagé d’AlexHost incluent des fonctionnalités de sécurité essentielles et sont gérés pour assurer un environnement sécurisé pour vos fichiers.
- Hébergement VPS — Fournit des ressources dédiées et un accès root, vous permettant de mettre en œuvre des configurations de sécurité personnalisées, d’exécuter des outils antivirus au niveau du serveur et de contrôler chaque aspect de votre environnement. Hautement recommandé pour les sites web professionnels.
- Serveurs Dédiés — Le plus haut niveau d’isolation et de performance. Avec un serveur dédié, vos ressources ne sont jamais partagées avec d’autres utilisateurs, éliminant le risque de contamination croisée provenant des comptes voisins. Les serveurs dédiés d’AlexHost incluent la protection DDoS et le stockage NVMe pour une fiabilité maximale.
Pour les applications haute performance nécessitant des ressources GPU, l’hébergement GPU offre une infrastructure puissante avec le même engagement envers la sécurité et la disponibilité.
Référence rapide : Liste de contrôle de la sécurité du site Web
Utilisez cette liste de contrôle pour maintenir un site Web constamment sécurisé :
- [ ] Exécuter une analyse de malware en ligne (Sucuri, VirusTotal) hebdomadairement
- [ ] Examiner Google Search Console pour les alertes de sécurité mensuellement
- [ ] Mettre à jour CMS, plugins et thèmes immédiatement après leur sortie
- [ ] Vérifier que les sauvegardes automatisées s’exécutent et sont restaurables
- [ ] Auditer les permissions de fichiers trimestriellement
- [ ] Examiner les journaux d’accès au serveur pour les activités suspectes mensuellement
- [ ] Confirmer que le certificat SSL est valide et correctement configuré
- [ ] Tester tous les mots de passe d’administration pour la force et l’unicité
- [ ] Vérifier que WAF est actif et que les règles sont à jour
- [ ] Vérifier le statut de liste noire du domaine mensuellement
Conclusion
La sécurité des sites web est un processus continu, non une tâche ponctuelle. Les menaces de malware évoluent constamment, et les attaquants découvrent continuellement de nouvelles vulnérabilités à exploiter. En combinant les scanners en ligne automatisés, l’inspection manuelle des fichiers, les outils antivirus au niveau du serveur et les mesures de durcissement proactives, vous créez plusieurs couches de défense qui rendent votre site web beaucoup plus difficile à compromettre.
Les points clés de ce guide sont clairs : scannez régulièrement, mettez à jour tout, sauvegardez régulièrement et choisissez un environnement d’hébergement qui soutient vos objectifs de sécurité. Que vous exécutiez un petit blog sur Shared Web Hosting ou que vous gériez une application à fort trafic sur un Dedicated Server, AlexHost fournit l’infrastructure, les performances et la protection dont vous avez besoin pour maintenir votre présence en ligne sécurisée et fiable.
Commencez votre audit de sécurité dès aujourd’hui — car le meilleur moment pour trouver des malwares est avant que vos visiteurs ne les découvrent.
sur tous les services d'hébergement