Votre site PrestaShop, Laravel ou WordPress a ete pirate. Des redirections vers des sites etrangers apparaissent, Google a mis une alerte “site compromis”, vos clients signalent des messages d erreur, ou vous avez recu un message du regulateur (CNDP, hebergeur). La premiere chose a comprendre: vous etes dans une fenetre de 24 a 48 heures ou chaque heure compte. Ce guide explique comment identifier l intrusion, quelles sont les 5 premieres actions a mener, et la methode Eurastech pour nettoyer, securiser et remettre en production un site pirate. Il est destine aux DG, responsables e-commerce, DSI et agences qui doivent agir dans l urgence sur un PrestaShop, un Laravel ou un WordPress compromis.
Comment savoir si votre site a ete pirate
Les signes d une intrusion ne sont pas toujours spectaculaires. Voici les symptomes les plus frequents observes sur nos interventions d urgence au Maroc.
- Redirections suspectes quand un visiteur arrive depuis Google (site de casino, pharmacie illegale, crypto).
- Pages ou contenus inconnus crees dans votre back-office, parfois dans des langues que vous ne servez pas.
- Alerte Google Safe Browsing ou “site compromis” dans Search Console.
- Email de votre hebergeur signalant des activites suspectes ou un envoi massif de spam.
- Signal CNDP ou d un client suite a une fuite de donnees.
- Ralentissements inexpliques du site, avec consommation CPU ou RAM anormale sur le serveur.
- Fichiers modifies que vous n avez pas touches (dates de modification recente dans le FTP).
- Comptes administrateur ajoutes ou modifies sans votre autorisation.
- Emails en provenance de votre domaine marques comme spam chez des destinataires legitimes.
Si vous identifiez 2 de ces signes, un audit de securite s impose. Si 3 ou plus sont presents, vous etes probablement deja compromis et l intervention doit demarrer dans les heures qui suivent.
Les 5 premieres actions en cas d intrusion
Les 24 premieres heures sont critiques. Voici la sequence d actions qui limite les degats et prepare la remediation.
1. Ne redemarrez pas le serveur, ne supprimez rien tout de suite. Les attaquants laissent souvent des traces (logs, processus, fichiers temporaires) qui aident a identifier la vulnerabilite exploitee. Un reboot ou un nettoyage hatif detruit ces preuves.
2. Changez tous les mots de passe administrateur depuis un autre poste securise: admin back-office, acces FTP, acces base de donnees, panneau hebergeur, comptes email lies. Revoquez les tokens API.
3. Isolez le site si l attaque est active. Si le site envoie du spam ou redirige les visiteurs en continu, le mettre hors ligne (maintenance mode, htaccess de blocage par IP) est parfois plus sage que de laisser l attaque se propager.
4. Faites un snapshot complet du serveur (systeme de fichiers, base de donnees, logs Apache ou Nginx des 30 derniers jours). Ces donnees sont necessaires pour l analyse forensique et pour la declaration CNDP si des donnees personnelles ont ete exposees.
5. Contactez un specialiste en securite web applicative. Les equipes internes standard sont rarement outillees pour une remediation complete. Une intervention de 24 a 48 heures par un specialiste coute moins cher qu une recidive 15 jours plus tard.
Votre site est pirate en ce moment ? Contactez l equipe Eurastech pour une intervention d urgence. Premier contact technique sous 24h ouvrees a Casablanca, Rabat, Fes ou en remote.
La methode Eurastech: nettoyage, securisation, mise en production
Notre protocole d intervention sur site pirate se deroule en 4 phases serres dans le temps.
Phase 1 - Audit forensique (24 a 48h)
Analyse des logs web server, analyse des fichiers modifies, scan anti-malware applicatif, identification du vecteur d attaque (plugin obsolete, mot de passe faible, injection SQL, upload non filtre). Livrable: rapport avec vecteur d attaque identifie, liste des modifications malveillantes, et recommandations.
Phase 2 - Nettoyage (2 a 5 jours)
Suppression des fichiers malveillants identifies, restauration de fichiers systeme depuis une version saine de reference, nettoyage de la base de donnees (utilisateurs administrateurs injectes, articles spam, redirections), invalidation des sessions utilisateur. Mise en place de tests de verification pour s assurer que le site est clean.
Phase 3 - Securisation (5 a 15 jours)
Mise a jour du CMS (PrestaShop, Laravel, WordPress) et des plugins, patches de securite appliques, authentification a 2 facteurs sur les comptes admin, reconfiguration des droits de fichiers, mise en place d un WAF applicatif (ModSecurity ou Cloudflare), reconfiguration du backup automatique, activation de la journalisation fine.
Phase 4 - Monitoring et remise en production (continu)
Surveillance applicative en continu avec alertes sur activite suspecte. Declaration CNDP si necessaire. Documentation technique complete. Formation equipe interne. Basculement ensuite vers une maintenance applicative avec forfait Silver ou Gold incluant le volet securite.
Combien coute une intervention d urgence au Maroc
Les fourchettes 2026 pour une intervention complete (audit forensique + nettoyage + securisation + hypercare 30 jours).
| Profil site | Complexite | Duree | Budget intervention |
|---|---|---|---|
| Site vitrine WordPress simple | Simple (moins de 20 plugins) | 1 a 2 semaines | 25 a 60k MAD |
| E-commerce PrestaShop standard | Moyen (modules tiers, integrations) | 2 a 4 semaines | 60 a 180k MAD |
| Application Laravel complexe | Complexe (API, logique metier critique) | 3 a 6 semaines | 150 a 400k MAD |
| Plateforme multi-site ou multi-tenant | Tres complexe | 4 a 10 semaines | 300 a 800k MAD |
Ce que les fourchettes incluent: audit forensique complet, nettoyage, securisation technique, hypercare 30 jours avec monitoring, documentation.
Ce qu elles n incluent pas: refactoring de l application si la codebase est trop degradee (voir reprise de projets legacy), evolutions fonctionnelles post-incident, licences tierces (WAF, Sentry, monitoring).
Cout d une recidive: un site pirate 2 fois en 6 mois coute en moyenne 3 fois plus cher qu une intervention ferme + maintenance preventive. La premiere intervention doit inclure un volet securite durable, pas juste un nettoyage superficiel.
Comment prevenir une nouvelle intrusion
La remediation n est que la moitie du travail. Pour eviter la recidive, plusieurs actions durables.
- Mise a jour systematique du CMS et des plugins (PrestaShop, WordPress, Laravel). La majorite des intrusions exploitent des CVE connues corrigees depuis des mois.
- Retrait des plugins et modules non maintenus. Chaque module obsolete est une porte potentielle.
- Authentification a 2 facteurs sur les comptes administrateur, sans exception. Mots de passe forts et gestionnaire de mots de passe.
- Sauvegarde automatisee chiffree avec test de restauration regulier. Une sauvegarde jamais testee n est pas une sauvegarde.
- WAF applicatif devant le site (Cloudflare, ModSecurity, AWS WAF) pour bloquer les attaques les plus communes.
- Monitoring continu avec alerte sur activite anormale (CPU, connexions, volumes d emails sortants).
- Audit de securite annuel sur les sites critiques (e-commerce, donnees clients, traitements CNDP).
- Plan de reponse a incident documente, connu des equipes, avec contacts d urgence a jour.
Conformite CNDP apres un incident
Si votre site traite des donnees personnelles de clients marocains (commande e-commerce, compte client, formulaire de contact, CRM), l intrusion doit etre traitee sous l angle de la loi 09-08.
- Evaluer la portee de la fuite: quelles donnees, sur combien de personnes, sur quelle periode.
- Notifier la CNDP si une violation est averee et presente un risque pour les personnes concernees. Le delai recommande est de 72 heures apres constatation.
- Informer les personnes concernees quand le risque est eleve (fuite de mots de passe, cartes bancaires, donnees sensibles).
- Documenter les actions de remediation et les mesures mises en place pour eviter la recidive.
- Conserver les traces (logs, rapports forensiques) pour justifier vos actions en cas de controle ulterieur.
Le volet CNDP est souvent oublie par les prestataires techniques purs. Notre protocole l integre systematiquement quand les donnees personnelles sont en jeu.
FAQ
En combien de temps pouvez-vous intervenir sur un site pirate ?
Premier contact technique sous 24 heures ouvrees. Audit forensique demarrant dans la foulee, avec premiers findings sous 48 heures. Pour un site en cours d exploitation active par les attaquants (envoi de spam massif, redirections visibles), nous mobilisons une equipe senior le jour meme.
Peut-on continuer a exploiter le site pendant l intervention ?
Depend de la gravite. Pour un site ou l attaque est contenue (redirections partielles, deface sur une page), oui, avec un mode degrade. Pour un site qui envoie du spam, exporte des donnees en temps reel ou menace la reputation de l hebergeur, non, il doit etre isole le temps du nettoyage.
Faut-il declarer a la CNDP ?
Si l incident implique une violation de donnees personnelles (fuite, acces non autorise, alteration, perte) avec risque pour les personnes concernees, oui. Le delai recommande est de 72 heures. Nous accompagnons la redaction de la notification et la documentation associee.
Intervenez-vous sur PrestaShop, Laravel, WordPress, Node ?
Oui, sur les 4 stacks. Notre equipe a une expertise approfondie sur PrestaShop (1.6, 1.7, 8.x), Laravel (5 a 11), WordPress, et les applications Node.js ou Python. Pour les stacks plus rares, nous faisons appel a des specialistes partenaires.
Pouvez-vous recuperer les donnees perdues dans l attaque ?
Si une sauvegarde propre existe, oui, nous la restaurons proprement en excluant les elements malveillants injectes. Sans sauvegarde, la recuperation est partielle (donnees reconstructibles a partir des logs ou des commandes clients dans les emails). C est pourquoi une strategie de backup testee est la premiere ligne de defense.
Que se passe-t-il apres l intervention ?
Nous recommandons systematiquement un forfait de maintenance Silver ou Gold incluant le volet securite: monitoring continu, updates reguliers, audit trimestriel, plan de reponse a incident a jour. C est le meilleur moyen d eviter une recidive.
Combien coute une intervention si je suis petit e-commerce ?
Pour un PrestaShop e-commerce standard, le ticket d entree est entre 25 et 60k MAD pour un site vitrine WordPress, 60 a 180k MAD pour un PrestaShop avec modules tiers. Le cout augmente avec la complexite de la codebase et le nombre d integrations tierces a securiser.
Ressources complementaires
Pour approfondir: migration PrestaShop 8 si votre e-commerce tourne encore sur PrestaShop 1.6 ou 1.7, migration Laravel 11 si votre site Laravel est sur une version non supportee, et conformite CNDP loi 09-08 pour le volet legal de la notification d incident.
Votre site est pirate ou suspect ? Eurastech intervient en urgence sur PrestaShop, Laravel, WordPress et Node au Maroc et en Afrique francophone. Audit forensique, nettoyage, securisation, maintenance continue. Demander une intervention d urgence ou decouvrir le service crisis-takeover.