WordPress piraté !

Votre WordPress s’est fait pirater. Comment faire ?

Votre site WordPress a été piraté. Voici la procédure à suivre :

> Rechercher et supprimer les fichiers à l’origine du piratage de WordPress

1- Récupérez l’ensemble de vos fichiers sur votre PC
Utilisez un client FTP (Filezila par exemple) pour télécharger tous vos fichiers WordPress sur votre machine, afin de pouvoir les analyser en local sur votre ordinateur.

2- Recherchez dans vos fichiers PHP des instructions “à risque”
Généralement, les fichiers utilisés par les hackers contiennent l’une des commandes suivantes :
– base64_decode / $b64 / eval / root / shell / fopen / $GLOBALS[$GLOBALS[

3- Recherchez des chaînes de caractères “bizarroïdes”
Recherchez des fichiers PHP composés d’une suite de caractères indéchiffrables comme ceci : eNptfVmSZLGR3FX0rxraww6cZaj7X0OJcHcsgTbTUOxkVeNptfVmSZLGR3FX0rxraww6cZaj7X0OJcHcOxkV
ou x00\x00\xe9\xd0\xff\xff\xff\xff\xa3\x14\x00\x00\x00/0\xff\xff\xff\xff\xa3\/0\xff\xff\xff\xff\xa3\

Remarques
Dans certain fichier CSS, on peut trouver ce type de chaîne “bizarroïdes”, mais qui sont sans danger. Il n’est pas nécessaire de les supprimer.

Pour rechercher des chaînes de caractères dans vos fichiers, vous pouvez utiliser la commande CTRL-F de Word ou Notepad de Microsoft.
Certains logiciels professionnels comme Dreamweaver d’Adobe sont capables de rechercher une chaîne dans un site sans être obligé d’ouvrir tous les fichiers. Cette fonctionnalité est indispensable lorsqu’on travaille sur un WordPress composé de plus de 5.000 fichiers !

4- Supprimez les fichiers corrompus
Si l’un de vos fichiers PHP contient une instruction base64_decode ou $b64 ou eval – ET – une suite de caractères indéchiffrables comme eNptfVmSZLGR3FX0rxraww6cZaj7X0OJcHcsgTbTUOxkV, alors vous êtes en présence d’un fichier dangereux (backdoor) qui permet à un pirate de prendre le contrôle de votre site Un conseil : Supprimez-le immédiatement !

5- Désinstallez les plugins à l’origine du piratage
Si vous avez détecté des fichiers corrompus dans le répertoire wp-content / plugins / mon plugin installé alors il est fortement probable que le plugin présente une faille de sécurité. Nous vous conseillons de désinstaller ce plugin.

6- Sécurisez votre WordPress (voir procédure)

7- Remettez votre site en exploitation

 

> Quelques conseils

Prévoir beaucoup de patience et une bonne journée de travail pour décontaminer un WordPress hacké.

N’installez que des plugins “contrôlés et validés” par WordPress, au risque de voir votre site se transformer en boutique de produits de luxe contrefaits !!!

Surveillez régulièrement la structure de votre WordPress afin de détecter tout nouveaux fichiers parasites.

Quelques conseils pour sécuriser un site WordPress

 

> Pus d’information


Rémi PASCAUD est dirigeant / fondateur de la société CYBERSITE. Après 20 ans d’expérience dans le développement de site internet, il s’est spécialisé dans la sécurité informatique des sites internet.
Contactez-nous pour tout complément d’information : remi.pascaud@cybersite.fr – http://www.cybersite.fr –  Fiche DATAGONES