Vous avez le bon compte administrateur, le bon mot de passe mais vous n’accédez plus à votre backend. Votre site est redirigé vers des sites suspects, vos clients se plaignent de popups intempestives suspectes. Vous avez constaté la présence de fichiers parasites dans vos répertoires de site…
Le piratage est confirmé, maintenant il faut nettoyer et mettre le pirate à la porte.
Sommaire
I. Nettoyer ou restaurer votre site WordPress?
Souvent face à un site piraté, je lis des conseils de restauration du site piraté … mais savez-vous depuis quand le pirate est là? De plus, à part une restauration système complète à partir de votre interface d’hébergement, une restauration n’écrase pas tous les fichiers parasites en trop. Et faut-il encore avoir récupéré son accès à l’interface d’administration pour effectuer une restauration applicative.
Donc, non, une restauration ne sert à rien, il faut commencer par nettoyer.
II. Nettoyer votre espace d’hébergement
Le nettoyage d’un site WordPress compromis n’est pas si complexe que cela si vous êtes prudent et méthodique. Il s’agit principalement de remettre en place les fichiers core, thème et plugins originaux et de changer les mots de passe.
II.1 Nettoyer les fichiers du noyau WordPress
Pour nettoyer les fichiers du noyau de WordPress, rien de plus simple, vous pouvez télécharger une version propre à partir de la bibliothèque officielle.
Dézippez le fichier obtenu, vous aller avoir besoin des fichiers racines, du répertoire wp-admin et du répertoire wp-includes.
Au niveau de votre site, récupérez votre wp-config.php et votre htaccess, voire les fichiers de validation des moteurs de recherche, adsense etc. qui sont des fichiers html. Vérifiez que ces fichiers sont sains, le cas échéant les nettoyer n’est pas bien difficile (nota: certains hébergeur utilises des .ini, mettez les de coté aussi).
Sur votre hébergement, supprimez les fichiers en racine, supprimez les répertoires wp-admin et wp-includes. Envoyez les fichiers originaux et vos fichiers wp-config et htaccess …
II.2 Nettoyer les fichiers Thème et Plugins
Comme pour le CMS, vous devez récupérer les fichiers originaux de votre thème et de vos plugins à la source, bibliothèque officielle, ou développeurs pour les versions payantes…
Décompactez les fichiers récupérés.
Dans votre hébergement , inspectez le répertoire wp-content, et les fichiers qui sont directement dedans.
Supprimez le dossier plugins, le recréer et remettre les copies des plugins en place.
Dans le répertoire themes , vérifiez les fichiers présents, supprimez les répertoires sauf celui de votre thème enfant.
Remettre en place votre thème parent et un thème basic twentyxxxx à partir des originaux.
Vérifiez les fichiers contenus dans votre child theme.
Il vous faudra aussi vérifier les fichiers dans le répertoire et les sous-répertoires uploads.
A partir de là, si le virus n’est pas plus rapide que vous vous devriez avoir récupéré la main sur votre site, mais ce n’est pas terminé.
Au passage si vous avez repéré un thème ou un plugins plus mis à jours depuis un moment, la faille vient peut-être de lui donc ne pas le remettre.
III. Mettre tout le monde dehors
Le but est de déconnecter tout le monde, et d’obliger à se reconnecter en redemandant un nouveau mot de passe.
Commencez par vérifier qu’il n’y a aucun compte suspect dans votre site.
Puis, il va vous falloir changer ou réinitialiser tous les mots passe des comptes WordPress, changer les clés de salt, changer le mot de passe de la base de données (ne pas oublier de le changer aussi dans le wp-config) , changer le mot de passe ftp…
Videz et supprimez les répertoires de cache (ils se récréeront).
IV. Vérifier votre base de données
Pour cette étape, pas de moyen miracle, faites une extraction sql et vérifiez le fichier à l’oeil .
Même si les injections en base de données ne sont pas les plus fréquents des piratages systémiques par les bots, il faut tout de même vérifier.
V. Scanner votre site et plus
Un fois la maîtrise du site reprise, installez un anti virus ou un scanner et lancez un scan profond. Répertoires uploads et images comprises, et même les répertoires extérieurs à WordPress s’ils sont accessibles. Vous pouvez aussi vérifier à l’oeil via ftp les fichiers au-dessus de votre installation si ils sont accessibles.
Certains hébergeurs proposent aussi des outils de scan, n’hésitez pas à les utiliser aussi.
VI. Sécuriser votre site WordPress
Une fois le site propre, sécurisez le. Plugins firewall, déport de page login, contrôle des connexions, blocage xmlrpc …
VII. Surveillance continue et maintenance
Une fois nettoyé et sécurisé, pendant une quinzaine de jours exercez une surveillance renforcée, mais ensuite ne relâchez pas la surveillance de votre site.
Etablissez un plan de maintenance et de sécurité.
Soyez conscient que vous n’êtes jamais protégé à 100%, que vous ne devez jamais relâcher votre vigilance, sinon les pirates en profiteront.
PS: Comme le signale mon ami Sébastien Schaffhauser, si vous soupçonnez une compromission des données des comptes clients, prévenez vos clients et la CNIL. (plus de détails ici )
Vous avez besoin d’aide pour nettoyer votre site WordPress ?
Votre site a été piraté, vous ne savez pas comment vous y prendre. Il ne faut pas paniquer mais il faut agir rapidement.
Besoin d’aide pour faire le nettoyage et rétablir votre site?
