Si votre site WordPress a été piraté, pas de panique ! Comme pour tout ce qui concerne l'informatique, résoudre ce problème consiste simplement à suivre les bonnes étapes. Le guide suivant vous aidera à réparer votre site Web WordPress piraté.
À propos des hacks WordPress
Il est important de garder à l'esprit que la plupart des hacks WordPress ne sont pas ciblé :il est très peu probable que vous ayez été spécifiquement ciblé et attaqué. Le scénario le plus probable est qu'un grand botnet (souvent des milliers d'ordinateurs sous le contrôle d'une seule personne ou d'un groupe de piratage) dispose d'un outil automatisé qui recherche les vulnérabilités dans les sites WordPress et tente de les exploiter de manière automatisée.
Pourquoi font-ils cela ? Quelques raisons possibles :
- Pour une réplication ultérieure (diffusion) en utilisant votre site Web pour infecter également d'autres sites Web.
- Pour envoyer des quantités massives de spam depuis le serveur de votre site Web
- Pour créer un site d'hameçonnage, par exemple une imitation du site Web d'une banque, afin d'inciter les internautes à donner à ces pirates leurs identifiants de connexion bancaire.
- Pour obtenir une liste d'adresses e-mail à ajouter à leurs bases de données de spam (de la part de vos utilisateurs WordPress, en particulier avec des sites d'abonnement ou de commerce électronique)
Bien qu'il soit possible qu'ils recherchent des données de carte de crédit, c'est très peu probable car presque toutes (sinon toutes) les solutions de commerce électronique utilisant WordPress ont tendance à utiliser des processeurs de carte de crédit qui ne stockent pas les détails de la carte de crédit dans votre base de données WordPress. Les pirates le savent et ont tendance à éviter de tenter de collecter automatiquement ce type de données.
Si vous n'êtes pas à l'aise de terminer ce processus de réparation en 6 étapes, c'est tout à fait compréhensible. Nous avons un service "nous allons le réparer pour vous" qui varie de 79 $ à 149 $ CAD selon l'étendue du piratage. Nous adapterons même le prix en fonction du nombre de réparations que vous avez effectuées vous-même, alors n'hésitez pas à commencer et à nous faire prendre le relais en partie - assurez-vous simplement de nous dire tout ce que vous avez déjà fait. Contactez-nous pour en savoir plus !
1. Désactiver le site pour protéger sa réputation
Si vous n'êtes pas en mesure de résoudre ce problème immédiatement, il est impératif que vous désactiviez votre site dans Plesk maintenant. Comme indiqué ci-dessus, de nombreux hacks tentent activement de diffuser des copies d'eux-mêmes ou d'en attaquer d'autres, et vous voudrez arrêter cela immédiatement jusqu'à ce que vous puissiez effectuer les réparations.
Il peut parfois être difficile de dire si le hack attaque activement les autres. Si c'est le cas, et que vous n'arrêtez pas ce comportement immédiatement, vous pouvez nuire à la réputation de votre site Web pendant des semaines, voire des mois. Les moteurs de recherche (comme Google) et les logiciels antivirus comme TrendMicro et McAfee bloqueront alors votre site Web, entraînant une baisse massive du nombre de visiteurs et potentiellement une baisse du classement des moteurs de recherche. C'est très mauvais , et c'est exactement pourquoi vous ne devriez pas autoriser votre site à continuer à fonctionner jusqu'à ce que le piratage soit nettoyé.
2. Faire une sauvegarde
Commencez toujours par sauvegarder votre site Web en utilisant votre méthode préférée. Pourquoi voulez-vous sauvegarder si cela va inclure les fichiers piratés ? Étant donné que vous ajusterez et supprimerez manuellement (et automatiquement des outils comme WordFence) des fichiers, il est important d'avoir une sauvegarde de tout au cas où vous auriez besoin de restaurer un fichier ou deux.
Assurez-vous que lorsque vous créez la sauvegarde, vous l'étiquetez clairement comme "piraté" afin de ne pas la restaurer à l'avenir, pensant que c'est un point de restauration OK. OU supprimez simplement la sauvegarde lorsque vous êtes sûr que le site fonctionne bien.
3. Réparer l'accès administrateur au site Web
La première étape consiste à voir si vous pouvez accéder au front-end du site et à l'administrateur WordPress avec vos informations d'identification habituelles. Si ce n'est pas le cas, découvrez ce qui empêche l'accès. Voici quelques scénarios potentiels qui pourraient vous empêcher d'accéder à l'administrateur de votre site Web. Si vous *pouvez* accéder à votre administrateur, vous pouvez ignorer cette étape.
Vous avez un écran blanc de la mort ?
C'est le nom de ce qui se passe lorsque vous essayez d'accéder à votre site Web ou à votre administrateur de site Web et que vous obtenez un écran purement blanc sans rien dessus, plutôt que votre page d'accueil ou votre page de connexion d'administrateur. L'écran blanc de la mort se produit lorsqu'une erreur sous-jacente se produit, mais elle est uniquement enregistrée et non affichée à l'écran. C'est en fait un bon comportement, malgré ce que cela peut sembler en ce moment, car de nombreux plugins et thèmes enregistreront des avertissements et des avis que vous ne voulez pas voir pour vos utilisateurs. Cependant, lorsqu'il s'agit d'une erreur critique, vous n'obtenez rien à l'écran :d'où l'écran blanc !
Consultez notre article sur la réparation de l'écran blanc de la mort pour savoir comment résoudre ce problème, puis revenez ici pour continuer à nettoyer le hack.
Un hack que nous avons vu récemment, falsifié avec le fichier principal de WordPress index.php en ajoutant une ligne "include" pour inclure un autre fichier. Malheureusement (ou heureusement), le fichier qu'il essayait d'inclure était manquant, provoquant une erreur. Le journal des erreurs indiquait quelque chose du genre « impossible de trouver le fichier ». Par conséquent, la suppression de la ligne "include" de index.php a résolu le problème et a remis le site Web en ligne. Cela dit, cela n'a pas clarifié tout le hack, alors assurez-vous de ne pas corriger cette seule chose et de dire "J'ai terminé!" - il y a probablement beaucoup plus.
Une fois que vous avez résolu ce problème, essayez de visiter le site et/ou de vous reconnecter à l'administrateur. Si vous ne parvenez toujours pas à accéder à la page d'accueil ou à la page de connexion, après avoir corrigé l'erreur trouvée dans les journaux, vous avez probablement simplement rencontré une autre erreur différente. Il faudra souvent répéter ce processus plusieurs fois, en ajustant chaque fois différents fichiers en fonction de l'erreur fournie dans les journaux, avant de pouvoir retrouver un accès complet.
Mot de passe ne fonctionne pas ?
Si votre mot de passe administrateur ne fonctionne pas, le pirate (ou plus probablement l'outil de piratage automatisé) a changé le mot de passe administrateur. La prochaine étape consiste donc à réinitialiser votre mot de passe administrateur ! Voici comment réinitialiser votre mot de passe administrateur WordPress pour retrouver l'accès.
4. Mesures d'administration WordPress
- Analyses de logiciels malveillants WordFence : Installez WordFence et lancez une analyse. WordFence n'est peut-être pas toujours le meilleur pour empêcher une attaque, mais il peut être décent pour aider à en nettoyer une.
- Mot de passe administrateur : Modifiez tous les mots de passe des utilisateurs "administrateurs" de WordPress en sécurisé valeurs. Cela signifie qu'au moins 20 caractères et générés de manière aléatoire sont préférables. Si vous demandez "comment vais-je m'en souvenir?" alors vous n'utilisez probablement pas un gestionnaire de mots de passe comme LastPass, et vous devriez absolument l'être. Ne négligez pas cela ; les mots de passe faibles sont probablement la principale raison pour laquelle les sites sont piratés.
- Mettre à jour tous les plug-ins et thèmes : Si vous avez des plugins et des thèmes commerciaux qui ne se mettent pas à jour à l'aide du programme de mise à jour WordPress intégré (ce n'est pas bon), assurez-vous de les mettre à jour manuellement, puis définissez une tâche récurrente pour vous-même pour les mettre à jour tous les mois et demandez au développeur la fonctionnalité de mise à jour automatique. ! Si vous ne voulez pas le travail supplémentaire d'une mise à jour manuelle, remplacez le thème ou le plug-in par un thème qui se met à jour automatiquement.
- Inspection visuelle : Parcourez les pages de l'administrateur WordPress pour voir si quelque chose ne va pas. Recherchez les thèmes et les plugins qui pourraient avoir été téléchargés de manière inattendue. Recherchez des choses dont vous ne vous souvenez pas d'avoir existé auparavant; ils peuvent vous donner un indice sur l'endroit où se trouve la vulnérabilité ou sur ce qui a été changé par le piratage. Si, par exemple, vous constatez un comportement étrange d'un plugin particulier, soyez agressif et supprimez entièrement le plugin, puis réinstallez une nouvelle copie à partir de Plugins> Ajouter un nouveau. Cela garantit que si les fichiers du plug-in étaient également infectés, ils seront remplacés par des fichiers sains.
5. Réinitialiser les fichiers principaux
Tout d'abord, téléchargez une nouvelle copie de WordPress sur votre ordinateur et extrayez-la, si votre système ne l'a pas fait automatiquement. Connectez-vous ensuite à Plesk et accédez à "Fichiers" OU connectez-vous via FTP pour obtenir une liste de fichiers en direct de votre site Web. (Le gestionnaire de fichiers Plesk est plus facile à moins que vous ne soyez déjà familiarisé avec l'utilisation de FTP).
Option A : Inspection visuelle/Trouvez la différence
Comparez la liste des fichiers en direct via FTP ou dans le gestionnaire de fichiers Plesk avec ce que vous voyez à partir du jeu de fichiers WordPress fraîchement téléchargé sur votre ordinateur. (Ces fichiers ressembleront à wp-config.php, wp-settings.php, etc.).
Notez que vous n'avez pas besoin d'ouvrir les fichiers; nous vérifions simplement s'il y a des fichiers supplémentaires que le hack a pu mettre en place et qui n'ont pas besoin d'être là.
Si vous repérez quelque chose de différent, téléchargez-le sur votre ordinateur* (dans le cas où ce n'est pas vraiment malveillant, vous aurez une copie enregistrée que vous pourrez restaurer) et supprimez-le du serveur. Répétez cette opération jusqu'à ce que vous soyez sûr que l'installation de WordPress ne contient aucun fichier superflu non essentiel.
Option B :Remplacement de fichier (plus rapide)
Une tactique extrêmement efficace consiste simplement à supprimer tous les fichiers et dossiers commençant par "wp-" sauf wp-config.php et wp-content. Assurez-vous de ne pas supprimer ces deux éléments car ils contiennent une bonne partie de ce qui donne à votre site l'apparence qu'il a. Une fois que vous avez supprimé les fichiers wp-*, téléchargez les nouvelles copies à partir de votre ensemble de fichiers WordPress téléchargé. Assurez-vous de tous les télécharger et de ne pas écraser wp-content ni wp-config.php !
Cela garantit que si des fichiers principaux de WordPress ont été infectés, ils ne le seront certainement plus.
Il est ensuite recommandé de répéter ce processus avec chaque dossier de plug-in trouvé dans wp-content/plugins/ et chaque dossier de thème trouvé dans wp-content/themes (remarque :vous n'en trouverez probablement pas pour * chaque * thème) également, juste assurez-vous d'abord de faire une sauvegarde, au cas où vous auriez besoin de les restaurer. Si votre développeur a bien fait son travail, toutes les personnalisations qu'il a implémentées sont dans les thèmes enfants et ne seront donc pas affectées par une mise à jour du thème principal ou une mise à jour du plugin.
Une fois que vous avez fait cela avec les fichiers principaux de WordPress et chaque dossier de plugin et de thème, les choses deviennent un peu plus délicates. Nous ne pouvons pas simplement remplacer le reste des fichiers par de nouvelles copies car il n'y a pas de nouvelles copies :il ne reste que le contenu unique et les éléments de conception qui composent votre site !
Le mieux que vous puissiez faire à partir d'ici est de parcourir manuellement le reste des dossiers wp-content pour voir si vous repérez quelque chose qui ne devrait pas être là. Voici quelques conseils :
- wp-content/uploads ne doit contenir que des dossiers, des images et des documents. Vous ne devriez pas y trouver de fichiers .php ou .js ou tout autre type de fichiers de code, à l'exception peut-être du HTML brut.
- Si vous ou votre développeur avez utilisé un thème enfant sous wp-content/themes/
lors de la création de votre site, vous devrez (ou votre développeur devra) inspecter chacun des fichiers de l'enfant dossier de thème pour voir si du code malveillant y a été inséré.
En tant que version non concluante mais rapide de ceci… la plupart des hacks ont tendance à injecter du code en haut ou en bas des fichiers, donc 99% du temps, il sera sûr de simplement vérifier au début et à la fin de chaque fichier dans le thème enfant.
*Dans tous les cas de sites Web piratés que nous avons vus, vous n'avez pas à vous soucier des fichiers de piratage qui infectent votre ordinateur. Ces fichiers infectés doivent presque toujours être exécutés sur un serveur Web pour pouvoir faire quoi que ce soit. Cela dit, assurez-vous de ne pas double-cliquer/exécuter au cas où !
6. Maintenance finale
Maintenant que vous avez nettoyé le hack
- Modifier les clés de sécurité dans wp-config.php pour forcer toutes les sessions connectées à se terminer
- Réinitialisez votre mot de passe FTP dans Plesk, juste au cas où.
- Modifier le mot de passe de votre base de données. Commencez par le modifier dans votre panneau de contrôle. Voici comment procéder dans Plesk. Ensuite, une fois que vous avez votre nouveau mot de passe de base de données, vous devez informer WordPress du changement en le mettant à jour dans wp-config.php.
- Supprimez tous les plugins qui permettent un accès direct facile aux fichiers depuis WordPress, comme le plugin "wp-file-uploader" que nous avons vu utilisé dans de nombreux hacks.
- Suivez les étapes ici pour renforcer votre installation WordPress, qui, si vous restez au courant de tout ce qui est décrit dans cet article, empêchera votre site d'être à nouveau piraté.
- Demandez à votre hébergeur WordPress d'effectuer une analyse des logiciels malveillants pour tout fichier infecté supplémentaire que vous auriez pu manquer. Si vous êtes hébergé chez Websavers, vous pouvez consulter nos analyses hebdomadaires de logiciels malveillants dans Plesk ! Connectez-vous simplement à Plesk, sous l'onglet Sites Web et Domaines par défaut, recherchez Imunify360 dans le coin supérieur droit et cliquez dessus pour examiner tous les logiciels malveillants détectés.
- Assurez-vous de faire une sauvegarde de votre site fraîchement nettoyé !
- Consultez les listes noires courantes des sites Web pour vous assurer que vous ne vous êtes pas retrouvé pris dans l'une d'entre elles. Si vous l'avez fait, suivez leurs instructions pour vous faire retirer. Consultez la section "Attention aux listes noires de sites Web" de la FAQ sur le piratage de WordPress ici pour plus de détails.
Ressources
- FAQ WordPress :"Mon site a été piraté"