
Quelles sont les étapes pour réparer un site WordPress piraté ?
Et comment réagir ?
Votre site peut avoir été piraté soit de façon ciblée, soit par un robot qui scanne Internet à la recherche de sites vulnérables.
Malheureusement, étant donné que la réparation prend du temps, vous n’êtes plus à quelques minutes prêts. Je vous suggère donc de prendre un café tranquillement avant de commencer.
Trouver la bonne raison du piratage peut être très long (et donc très cher à réparer).
Souvenez-vous de ce moment et n’attendez pas la prochaine fois avant de vous appuyer sur un professionnel.
Nous allons essayer de réparer sans tout réinstaller (mais cette dernière solution est probablement inévitable).
WordPress piraté : Comment savoir si le site WordPress a subi un piratage ?
Rien n’interdit d’avoir un espoir pour une réparation rapide.
Ce que vous pouvez remarquer comme comportement suspect :
- Votre WordPress affiche une page en « chinois » (ou autre langue non latine).
- Votre WordPress redirige vers un autre site Internet (et redirige aussi tout votre traffic Internet et va produire un désastre sur votre référencement).
- Vous n’arrivez plus à vous connecter au panneau d’administration :
- vous avez peut-être été redirigé vers un autre site sur lequel vos identifiants et mots de passe ont été enregistrés par le pirate.
- il n’y a pas de redirection mais la connexion ne fonctionne plus de toute façon.
- Votre hébergeur a mis votre site hors ligne car il a détecté un virus ou du spam (e-mails) provenant de votre site internet WordPress.
- Des fichiers avec des noms étranges sont apparus sur l’hébergement « qldjdzaoi.php »
- De nouveaux utilisateurs sont apparus.
1. Un de vos mots de passe a été aspiré ou trouvé
Piratage de votre poste de travail pour accéder aux WordPress :
Je commence par parler d’une situation dont personne ne parle mais qui existe :
Si vous utilisez un système d’exploitation vulnérable par nature (Windows) autre système, un virus peut s’être introduit de votre côté et avoir aspiré au fil du temps *tous vos mots de passe* ou servir de relais pour pirater votre hébergement.
Je connais au moins deux clients à qui c’est arrivé donc n’imaginez pas que c’est rare.
Dans cette situation, stoppez immédiatement votre ordinateur et utilisez un autre pour changer TOUS VOS MOTS DE PASSE de TOUS LES SITES que vous utilisez.
N’utilisez JAMAIS un même mot de passe pour deux sites internet.
Ne soyez JAMAIS en retard sur votre base de données anti-virus.
Ne prêtez JAMAIS votre ordinateur et verrouillez automatiquement votre session au bout de 5 minutes d’inactivité.
Chiffrez/Encryptez la totalité de votre disque dur.
Utilisez un gestionnaire de mot de passe.
Une connexion indirecte (via un un bête lien reçu par e-mail)
Le pirate vous a envoyé un e-mail contenant un lien qui permet en fait de vous voler la session de connexion WordPress.
Une fausse page sur Internet a récupéré votre mot de passe
C’est une attaque par phishing.
Vous avez cru vous connecter à un site internet connu mais vous étiez en réalité sur le site internet du pirate.
Que faire ?
Je sais que vous ne savez pas comment est rentré le pirate mais si vous pensez que utilisez toujours le même mot de passe ou que votre système d’exploitation de votre ordinateur n’est peut-être pas saint, il faut commencer par là :
- Éteignez votre ordinateur si vous pensez qu’un virus peut être installé.
- Utilisez un ordinateur saint et changez ces mots de passe :
- mot de passe qui vous sert à vous connecter à l’interface d’administration de votre hébergeur (manager, espace client)
- mot de passe de votre panneau de contrôle technique (CPanel, Plesk, manager)
- mot de passe de la base de données et mettez le mot de passe correspondant dans le fichier wp-config.php
- mot de passe wordpress (interface administration wordpress)
2. Une extension a servi de porte d'entrée au pirate
Le plus probable est que le pirate se soit introduit par l’intermédiaire d’une extension obsolète ou vulnérable.
Quand le pirate s’introduit, il va écraser des fichiers existants ou en créer plein d’autres et en permanence.
Donc même si vous les enlevez, ils vont revenir sans cesse.
Il peut en avoir des milliers et les effacer sera impossible.
Vous n’avez pas fait de mise à jour : les extensions, le thème et wordpress sont obsolètes.
Oui c’est fatiguant de mettre à jour en permanence…
J’espère que vous réalisez qu’à l’avenir, il faudra étudier une solution pour ne plus avoir à revivre ce jour et ne plus avoir un WordPress piraté.
Sachez qu’il existe de nombreuses extensions WordPress abandonnées qui ne sont pas à jour. Il faut donc jamais garder une extension trop vieille même si en apparence, elle n’a pas de mises à jour disponibles.
3. Réparez votre WordPress piraté
2.1 Activez le mode maintenance
Nous allons activer la maintenance temporaire officielle (pas de plugin nécesaire) :
- Créer un fichier .maintenance à la base du site Internet (connectez-vous par SSH à votre hébergement)
- Ce fichier doit contenir :
<?php $upgrading = time();
Cette maintenance sert aussi de signal à Google pour éviter qu’il indexe de mauvaises surprises.
Si cette maintenance ne fonctionne pas (parce que WordPress ne fonctionne pas), il faut activer la maintenance chez votre hébergeur ou utiliser le fichier .htaccess si c’est supporté : renommez celui existant et mettez ceci à la place :
# MODE MAINTENANCE
RewriteEngine On
RewriteCond %{REQUEST_URI} !/maintenance\.html$ [NC]
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123$
RewriteRule ^.*$ /maintenance.html [R=503,L]
# Spécifie le code de maintenance temporaire
ErrorDocument 503 /maintenance.html
Créez un fichier maintenance.html avec ceci :
<!DOCTYPE html>
<html lang="fr">
<head>
<meta charset="UTF-8">
<title>Maintenance en cours</title>
</head>
<body>
<h1>Site en maintenance</h1>
<p>Nous effectuons une mise à jour. Merci de revenir bientôt.</p>
</body>
</html>
2.2 Enlevez les utilisateurs non connus
Des utilisateurs étranges ont peut-être été créés, il faut les supprimer (avant qu’ils vous suppriment).
2.3 Désactivez et supprimez les extensions inutiles
Regardez bien la liste des extensions et celles qui ne servent à rien.
Il faut les désactiver mais aussi les supprimer car même désactivé, elles sont toujours vulnérables.
Il se peut que des extensions importantes soient obsolètes et vulnérables. Je suis désolé de vous le dire mais il faut la supprimer et trouver une solution de remplacement.
2.4 : Mettre à jour les extensions, le thème et wordpress
Mettez à jour toutes les extensions, thèmes et WordPress.
Ne laissez rien au hasard.
2.5 Suprimez les fichiers qui ne font pas partie de WordPress
Je parle surtout des fichiers PHP (.php), regardez bien les noms de fichiers, ils ont des noms étranges (style « hey7hH.php »).
Il peut y en avoir beaucoup.
2.6 La méthode la plus sage
Honnêtement, ce qu’on a fait avant, c’est simplement espérer ne pas avoir à tout réinstaller.
En réalité et pour repartir sur de bonnes bases :
- Sauvegardez vos fichiers et la base de données
- Déplacer tous le répertoire du WordPress piraté dans un répertoire temporaire (hors d’attente par l’URL du site internet)
- Réinstallez les fichiers de WordPress (réinstallation) avec connexion à la base de données
- Réinstallez le thème et les extensions un à un (SANS reprendre les fichiers sauvegardés du WordPress piraté), il faut reprendre à la source.
- Remettez le répertoire uploads (en vérifiant qu’aucun fichier PHP ne traîne).
- Mettez une extension de protection de sécurité (comme SecuPress PRO que j’installer pour mes clients dans le cadre de mon hébergement infogéré)