Comment nettoyer un site WordPress piraté

Publié: 2022-06-15

Un site WordPress piraté n'est pas un sujet auquel la plupart des propriétaires de sites WordPress veulent réfléchir. Mais ils constituent un véritable problème, affectant plus de 30 000 sites Web chaque jour.

Si votre site Web WordPress est victime d'un piratage, quelles sont les étapes exactes à suivre pour le nettoyer en profondeur et le remettre en état de fonctionner normalement ? Votre site piraté est-il maintenant complètement inutile ou peut-il être récupéré ? Plongeons dedans.

Présentation de Kathy Zant, experte en sécurité WordPress

Récemment, l'experte en sécurité WordPress Kathy Zant a organisé un webinaire en direct pour iThemes, montrant exactement comment nettoyer un site WordPress piraté.

Kathy Zant travaille dans le monde de WordPress depuis plus d'une décennie. Et son expérience en matière de sécurité WordPress, en particulier en ce qui concerne le nettoyage des sites infectés, est sans pareille.

Au-delà de son expérience dans la sécurité WordPress, Kathy a également travaillé dans le marketing pour un certain nombre de marques différentes dans l'espace WordPress. De plus, elle a été organisatrice pour WordCamp Phoenix et WordCamp US.

Elle réside actuellement au Texas, où on la trouve régulièrement traîner avec ses chevaux et promener ses Golden Retrievers.

« Ce dont nous allons parler tout d'abord », dit Kathy, « est de savoir comment savez-vous que votre site Web a été piraté ? Quels sont certains des signes? Quelles sont les premières mesures à prendre dès que vous soupçonnez que vous avez été piraté ? »

Elle poursuit en disant: «Comment concevez-vous une stratégie, un moyen rapide et facile de nettoyer votre site? Et après qu'il soit nettoyé, je vais vous montrer comment sécuriser votre site. Et fournissez également quelques conseils clés sur la façon de récupérer la réputation de votre site, ce qui est également extrêmement important.

nettoyer-un-site-wordpress-piraté

Dans ce guide complet, nous débloquerons les points clés du webinaire en direct de Kathy Zant sur le nettoyage des sites Web WordPress piratés. À la fin, vous saurez exactement ce que vous devez faire si vous vous retrouvez victime d'un site WordPress piraté.

Comment savoir quand votre site WordPress a été piraté ?

Tout d'abord, il est important de comprendre que le simple fait que votre site soit cassé ne signifie pas nécessairement qu'il y a eu un piratage ou une intrusion par un acteur malveillant. Mais vous devez identifier si un piratage a eu lieu.

Quel est exactement le problème avec votre site ? Que se passe-t-il précisément ? Quelles sont les indications que vous avez un problème sur vos mains?

Voici quelques éléments à rechercher si vous pensez que votre site WordPress a été piraté :

  • Fichiers sur votre serveur ou dans votre installation WordPress qui ne devraient pas exister (celui-ci nécessite une bonne dose de connaissances pour le connaître avec certitude).
  • Les fichiers qui ont des dates de modification récentes. Si tous les fichiers de votre répertoire wp-includes ont une date de modification du 2022-01-12 et que l'un d'eux a une date de modification du 2022-06-02, alors vous devriez être très suspect de ce fichier récemment modifié.
  • Requêtes étranges dans vos journaux d'accès. Cela pourrait vous diriger vers le fichier utilisé pour modifier les fichiers de votre site.

Les détails du problème que vous voyez commenceront automatiquement à vous informer de ce que vous devez faire pour le résoudre.

Maintenant, si vous avez une sauvegarde actuelle de votre site, vous voudrez certainement restaurer immédiatement votre site à partir de la sauvegarde. Le plugin BackupBuddy est la solution parfaite pour toujours avoir des sauvegardes à jour.

Dans ce cas, votre solution sera assez simple.

Mais s'il n'y a pas de sauvegardes en cours, vous vous dirigez essentiellement vers le mode de récupération sans le voir, et ce sera votre travail de nettoyer le site.

Kathy explique : « Imaginez que quelqu'un vienne à vous. Ils ont un site piraté et leur développeur Web est porté disparu. La toute première chose que vous voulez faire est de sauvegarder le site piraté.

« La raison en est que nous voulons conserver les preuves du piratage exactement telles que nous les avons trouvées. Fondamentalement, nous voulons créer une sauvegarde si vous pouvez accéder à WP Admin. Chargez simplement le plugin BackupBuddy et assurez-vous de tout sauvegarder, y compris la base de données.

Et vous voudrez enregistrer la sauvegarde sur un emplacement hors du serveur actuel du site Web, car vous voudrez éloigner l'intégralité du site du serveur compromis.

Une fois que c'est terminé, il est temps d'élaborer une stratégie. Que fait exactement le site ?

Est-ce :

  • Rediriger le trafic du site vers un mauvais quartier ?
  • Infecter les appareils des visiteurs du site lorsqu'ils cliquent sur des liens intégrés dans le site ?
  • Voler les numéros de carte de crédit des clients avec un écumeur de cartes dans l'installation WooCommerce ?
  • Causer un préjudice général sur Internet ?

Si c'est le cas, vous voudrez mettre un terme immédiat à cela en supprimant complètement le site. Ensuite, mettez en place une page "à venir".

Après cela, faites suspendre le site par le compte d'hébergement. Certains comptes d'hébergement suspendront automatiquement les sites s'ils remarquent qu'il y a une indication de compromission et qu'un site pourrait être piraté.

Commencer à nettoyer un site WordPress piraté

Après cela, vous voudrez vous diriger vers le cPanel du site et prendre tout ce qui se trouve dans le dossier public_html, le compresser et le télécharger sur le disque dur de votre poste de travail local. La raison pour laquelle vous voulez nettoyer chaque fichier sous public_html est que vous devez supposer que tout est complètement infecté.

Ensuite, allez dans le fichier de version sous wp-includes et vous verrez la version de WordPress utilisée par le site. La version actuelle de WordPress est la 6.0. Mais il est possible que le site n'ait pas été mis à jour depuis un moment.

Nous voulons créer une version propre du site basée sur la version qu'il utilise actuellement. Donc, s'il utilise une version antérieure, téléchargez le fichier zip de cette version particulière, puis commencez à créer une version propre du site avec ce nouveau téléchargement.

Ensuite, vous devrez déterminer quels thèmes sont utilisés sur le site piraté. Supposons que le site exécute Kadence 2020, 2021 et 2022. Si le site est toujours opérationnel et fonctionnel, connectez-vous simplement à wp-admin et vérifiez quel thème est en cours d'exécution.

Vous voudrez également voir quelle version du thème est utilisée. Pour ce faire, descendez dans le « readme » et il vous indiquera la version utilisée.

Dans les fichiers de thème, recherchez la balise stable que vous souhaitez utiliser avec votre thème particulier. Ensuite, accédez au référentiel de versions de thème, où vous trouverez toutes les différentes versions du thème disponibles.

Si le site n'utilise pas la version la plus récente du thème, téléchargez la version exacte qu'il utilise.

La même règle s'applique aux plugins. Lorsque vous accédez à un plug-in dans la liste des plug-ins de votre site et accédez à la vue avancée, faites simplement défiler vers le bas pour trouver la version du plug-in.

Bien sûr, il est possible que votre site soit compromis en raison d'un plugin vulnérable. Mais même si c'est le cas, vous voudrez toujours créer le site exactement tel qu'il est, y compris le plugin vulnérable.

Cela nous aidera à nous montrer exactement où se trouve le logiciel malveillant sur le site piraté.

Le plus important est que vous souhaitiez démarrer votre site propre exactement là où il se trouve actuellement. Ensuite, utilisez un outil tel qu'UltraCompare qui vous montrera rapidement ce qui ne va pas avec le site. C'est un excellent outil et a une version gratuite que vous pouvez utiliser pendant 30 jours.

À partir de là, vous allez créer un site propre qui correspond à votre site piraté. L'outil UltraCompare vous montrera exactement ce qui ne correspond pas, afin que le site piraté puisse être correctement nettoyé.

Élaborez votre plan d'attaque

Ensuite, vous devrez deviner le vecteur d'intrusion. Il pourrait vous indiquer exactement où rechercher l'existence de logiciels malveillants :

  • Y a-t-il une campagne d'attaque en cours ?
  • Depuis combien de temps le site Web est-il infecté ?
  • Quels thèmes et plugins ont besoin d'une mise à jour ?

Vous pouvez maintenant concevoir votre plan d'attaque. Assurez-vous de retirer les pièces les plus dangereuses en premier, dans l'ordre suivant :

  1. Changer tous les mots de passe
  2. Supprimer tous les liens de spam
  3. Supprimer les portes dérobées
  4. Corrigez toutes les vulnérabilités
  5. Supprimer les redirections malveillantes

Une fois que vous êtes sûr que tous les dangers ont été supprimés du site, vous pouvez revenir au cPanel de votre site et télécharger les fichiers de site propres pour restaurer votre site Web.

Il est maintenant temps de sécuriser entièrement le site afin que tout piratage potentiel à l'avenir soit rapidement déjoué.

Pour sécuriser votre site :

  • Supprimez tous les utilisateurs administrateur non reconnaissables (ou définissez-les sur abonnés uniquement)
  • Modifier tous les mots de passe administrateur/éditeur
  • Changer le mot de passe FTP
  • Changer le mot de passe du compte d'hébergement
  • Modifiez le mot de passe de la base de données WordPress et mettez à jour votre fichier wp-config.php
  • Changer les sels wp-config.php
  • Vérifiez les paramètres pour vous assurer que "n'importe qui peut s'inscrire" est uniquement défini sur l'abonné
  • Installez le plugin iThemes Security et activez les paramètres suivants :
    • Activez l'authentification à deux facteurs pour tous les utilisateurs administrateurs.
    • Activez iThemes Site Scan pour rechercher les plugins, thèmes et versions principales de WordPress vulnérables.
    • Activez la gestion des versions avec correction automatique des vulnérabilités.
    • Activer la détection de changement de fichier
  • Assurez-vous que les sauvegardes s'exécutent selon un calendrier
  • Tester les sauvegardes

Comme l'explique Kathy, "Vous allez certainement vouloir installer iThemes Security et activer les paramètres qui vous informeront si le site reçoit un quelconque type d'intrusion, plus jamais. Et assurez-vous d'activer l'autorisation à deux facteurs pour tous vos utilisateurs administratifs.

Elle poursuit en disant : « Vous allez vouloir sécuriser le site de toutes les manières possibles. Exécutez une analyse de site sur iThemes Security pour rechercher les thèmes, plugins et versions principales de WordPress vulnérables. Assurez-vous simplement que tout va bien.

"Et activez la gestion des versions. Ce sera votre première ligne de défense si jamais une autre intrusion se reproduisait. Assurez-vous ensuite que le plugin BackupBuddy est installé et testez vos sauvegardes. Assurez-vous que vos sauvegardes sont envoyées hors du serveur et testez-les pour vous assurer que vous êtes en mesure de les restaurer.

"Assurez-vous que tous les fichiers SQL de la base de données sont également là et assurez-vous que vos sauvegardes se déroulent toutes selon un calendrier."

Récupérer la réputation de votre site après un piratage

Le simple fait de nettoyer et de restaurer votre site WordPress piraté ne restaurera pas automatiquement la réputation du site. En fait, il y a plusieurs choses que vous devrez faire pour vous assurer que Google et les autres moteurs de recherche ne continuent pas à pénaliser votre site après qu'il ait été piraté et nettoyé.

Souvent, le premier signe que vous aurez que votre site a été piraté est que Google vous informe de la situation. Pour voir comment Google visualise actuellement votre site, rendez-vous sur la Google Search Console.

Tout d'abord, si vous trouvez des sitemaps superflus dans la console de recherche qui ne devraient pas s'y trouver ou qui semblent publier des liens de spam, vous devrez les supprimer immédiatement.

Vous pouvez également trouver un fichier Google à la racine du répertoire WordPress qui a permis au pirate d'accéder à la console de recherche de votre site. Lorsque vous accédez à la Search Console et accédez aux paramètres, examinez attentivement les plans de site pour voir s'il y a eu des plans de site illégitimes configurés dans cette zone.

Après cela, vous voudrez jeter un œil à tous les problèmes de sécurité qui existent dans la Search Console. Si le grand écran rouge de malheur et de tristesse de Google est actuellement affiché, vous verrez de grands drapeaux dans la console de recherche sous Problèmes de sécurité.

Et c'est là que vous demanderez à Google d'examiner votre site Web maintenant qu'il a été nettoyé.

"Maintenant, en ce qui concerne Google AdWords", explique Kathy, "vous avez peut-être le site le plus propre au monde, mais Google AdWords peut toujours vous dire qu'il y a un problème. La clé ici est simplement de continuer à essayer avec eux. Parfois, ils regardent des choses différentes de vous, mais vous savez que la console de recherche ne vous aidera qu'avec les avertissements de site parfois trompeurs d'AdWords. »

De nombreux utilisateurs de votre site peuvent également exécuter un logiciel antivirus Norton ou McAfee sur leurs appareils. Pour cette raison, il est également important que vous travailliez avec ces entreprises pour effacer toutes les listes noires sur lesquelles votre site aurait pu atterrir après avoir été piraté.

De plus, si votre site a envoyé du spam, vous devrez effacer votre réputation auprès de Spamhaus. Pour ce faire, vous aurez besoin de l'adresse IP de votre site afin d'effacer la réputation de cette adresse auprès de Spamhaus.

Chacune de ces étapes est importante pour restaurer la réputation de votre site après un piratage.

Liste de contrôle de nettoyage de site Web WordPress piraté

Plongeons-nous dans la liste de contrôle complète de Kathy pour savoir comment nettoyer un site WordPress piraté. Vous pouvez également le télécharger ici.

Obtenez le contenu bonus : Liste de contrôle pour le nettoyage de sites Web piratés
Cliquez ici

Étape 1 : Planification du nettoyage

  • Le site est-il réellement infecté ? Oui Non peut-être
  • Créez une sauvegarde du site piraté. (Oui, même le malware. )
  • Téléchargez la sauvegarde des fichiers du site et de la base de données et vos fichiers journaux sur votre ordinateur.
  • Déterminez si le site doit être rendu indisponible.
    1. Redirige-t-il les visiteurs du site ou utilise-t-il les ressources du serveur ? Est-il attaqué activement ? Enlève ça.
    2. Juste des liens de spam et pas d'attaque active ? Vous pouvez probablement le laisser en place
  • Essayez de deviner le vecteur d'intrusion ; il peut vous indiquer où rechercher des logiciels malveillants.
    1. Y a-t-il une campagne d'attaque en cours ?
    2. Depuis combien de temps le site est-il infecté ?
    3. Quels plugins/thèmes ont besoin d'une mise à jour ?
  • Concevez votre plan d'attaque, dans cet ordre. Retirez d'abord les pièces les plus dangereuses.
    1. Supprimer les redirections malveillantes
    2. Supprimer les portes dérobées
    3. Corriger les vulnérabilités
    4. Changer les mots de passe
    5. Supprimer les liens indésirables
  • Noter:
    • Numéro de version du cœur de WordPress :
    • Thème actif :
    • Thèmes inactifs :
    • Plugins actifs :
    • Plugins inactifs :

Étape 2 : Liste de contrôle du processus de nettoyage des sites Web piratés

  • Télécharger la version principale de WP qui correspond au site infecté
  • Comparez les fichiers de sites propres téléchargés aux fichiers de sites piratés
    1. Comparez les annuaires
      • wp-admin
      • Wp-inclut
      • Fichiers racine (sauf wp-config.php et .htaccess)
    2. Construire une copie propre du contenu wp
      • Tous les plugins actifs
      • Thème actif (et thème enfant)
    3. Recherchez tous les fichiers php dans wp-content/uploads/ (autres que les fichiers index.php vides)
    4. Examinez entièrement votre fichier .htaccess manuellement
    5. Révisez entièrement votre fichier wp-config.php
  • Passez en revue votre base de données WordPress. Nous allons nettoyer cela après avoir nettoyé les fichiers à l'aide de PHPMyAdmin.
    1. tableau wp_posts
    2. table wp_options
    3. Recherchez les utilisateurs malveillants (wp_users)
    4. Si vous avez des logiciels malveillants dans vos wp_posts :
      • Utilisez le plugin WP Optimize pour optimiser votre base de données et supprimer tous les brouillons de publication, les publications supprimées. (Cela rend simplement la quantité de données à nettoyer beaucoup plus facile)

Replacez les fichiers de site nettoyés sur le serveur et échangez-les.

  1. À l'aide du plugin BackupBuddy, téléchargez le public_html_clean reconstruit au même niveau que votre répertoire public_html
  2. Renommez public_html en public_html_hacked
  3. Renommez public_html_clean en public_html

Étape 3 : Liste de contrôle du processus de nettoyage des sites Web piratés

Immédiatement après avoir échangé le site piraté, il est temps de sécuriser le site.

  1. Supprimez tous les utilisateurs administrateur non reconnaissables (ou définissez-les sur abonné uniquement)
  2. Modifier tous les mots de passe administrateur/éditeur
  3. Changer le mot de passe FTP
  4. Changer le mot de passe du compte d'hébergement
  5. Modifiez le mot de passe de la base de données WordPress et mettez à jour votre fichier wp-config.php
  6. Changer les sels wp-config.php
  7. Vérifiez les paramètres pour vous assurer que "n'importe qui peut s'inscrire" est uniquement défini sur l'abonné
  8. Activer l'authentification à deux facteurs pour tous les utilisateurs administrateurs
  9. Activez iThemes Site Scan pour rechercher les plugins, thèmes et versions principales de WordPress vulnérables
  10. Activer la gestion des versions avec correction automatique des vulnérabilités
  11. Activer la détection de changement de fichier
  12. Assurez-vous que les sauvegardes s'exécutent selon un calendrier
  13. Tester les sauvegardes

Étape 4 : Restaurer la réputation d'un site Web piraté

Une fois le site nettoyé et sécurisé, restaurez la réputation du site.

  1. Navigation sécurisée Google
  2. Depuis Google Search Console, demandez un examen. Attendez-vous à un délai de 24 heures. Visite:
    1. https://support.google.com/webmasters/answer/168328?hl=fr
    2. https://www.google.com/webmasters/tools/security-issues
  3. Allez sur Google et effectuez une recherche sur « site : example.com » pour voir ce que Google voit.
  4. McAfee
  5. Norton
  6. Spamhaus si votre site a envoyé du spam

Étapes supplémentaires de nettoyage du site Web

  • Consultez les fichiers journaux pour savoir comment ils sont entrés.
  • Assurez-vous que votre site est la seule installation WordPress dans le compte d'hébergement. Si vous avez d'autres sites, ils pourraient être un vecteur d'intrusion si vous ne les sécurisez pas également.
  • Pour toute personne disposant d'un accès administrateur, assurez-vous que le logiciel est mis à jour et que les mots de passe sont sécurisés
    • Ordinateurs sécurisés
    • Comptes de messagerie sécurisés
    • Comptes de réseaux sociaux sécurisés
    • Téléphones portables sécurisés

Comment empêcher votre site WordPress d'être piraté

Bien qu'il n'existe pas de site sécurisé garanti à 100 %, il existe certaines mesures que vous pouvez prendre pour renforcer un site autant que possible.

1. Soyez très prudent lorsque vous téléchargez des plugins et des thèmes.

Les plugins et les thèmes peuvent provenir de sites louches contenant du code qui a lancé le bal sur les hacks. Il existe même des virus de plugins et de thèmes qui infecteraient automatiquement tous les autres plugins et thèmes du site, donc même si vous nettoyiez l'un d'entre eux, il serait automatiquement réinfecté.

2. N'exécutez pas de versions obsolètes de WordPress, de thèmes ou de plugins.

Assurez-vous que WordPress et tous les thèmes et plugins de votre site sont à jour. Supprimez les plugins désactivés. Ne les laissez pas dans le dossier wp-content/plugins. Les plugins désactivés représentent un risque potentiel pour la sécurité car ils ne sont pas souvent mis à jour. iThemes Sync Pro est un outil qui vous permet de gérer plusieurs sites WordPress pour mettre à jour WordPress, les thèmes et les plugins en un seul clic.

3. Ne vous privez pas d'une stratégie de sauvegarde WordPress fiable.

Sauvegardez souvent votre site WordPress. Avoir une sauvegarde complète saine de votre site est la clé. Conservez une archive de plusieurs fichiers de sauvegarde. En cas de sinistre, vous aurez besoin d'une sauvegarde pour restaurer votre site (après le nettoyage du serveur). Conseil rapide sur les fichiers de sauvegarde : exécutez de temps en temps des restaurations de test de vos fichiers de sauvegarde.

Avoir une sauvegarde que vous ne pouvez pas restaurer est probablement la pire chose qui puisse arriver (après avoir été piraté). BackupBuddy vous permet de définir des sauvegardes planifiées qui s'exécuteront sans surveillance et où les fichiers de sauvegarde peuvent être enregistrés dans un emplacement distant. Cela devrait vous offrir la tranquillité d'esprit que vous aurez toujours un fichier de sauvegarde sain.

4. Utilisez un plugin de sécurité WordPress réputé.

Vous pouvez prendre des mesures pour rendre votre site WordPress plus sécurisé. iThemes Security, un plugin de sécurité WordPress vous permet de sécuriser votre site WordPress. Il existe plusieurs façons d'empêcher l'accès à votre tableau de bord WordPress, de surveiller les modifications de fichiers, de rechercher des logiciels malveillants, etc.

5. N'utilisez pas de mots de passe faibles.

Assurez-vous de pratiquer la sécurité des mots de passe WordPress en utilisant des mots de passe longs et compliqués. Activez l'authentification à deux facteurs WordPress pour une couche de sécurité supplémentaire.

6. N'oubliez pas de vérifier votre sécurité WordPress de temps en temps.

Prenez l'habitude d'évaluer régulièrement la situation de sécurité de votre site. Tout comme vous vérifiez périodiquement le niveau d'huile de votre véhicule. Le plugin iThemes Security vous permet d'exécuter une analyse de site pour vous assurer que vous utilisez les paramètres de sécurité recommandés. Assurez-vous de renforcer WordPress avec ces 10 conseils de sécurité WordPress.

7. Utilisez une société d'hébergement spécialisée dans WordPress.

Enfin, assurez-vous que vous hébergez votre site avec un fournisseur qui comprend les problèmes et les risques liés à l'hébergement de sites WordPress tels que l'hébergement WordPress géré de Liquid Web. Vous avez besoin d'un fournisseur d'hébergement qui fera de son mieux, de son côté (serveur), pour fournir un environnement d'hébergement sûr et bien sécurisé.

Nettoyer un site WordPress piraté comme un expert

Maintenant que vous comprenez comment reconnaître, nettoyer et restaurer la réputation d'un site WordPress piraté, votre prochain objectif devrait être de vous assurer que ce cauchemar ne se reproduise plus jamais.

Après tout, même si votre site est de nouveau opérationnel, tenez compte des revenus perdus pendant les temps d'arrêt imprévus.

Il n'y a pas de meilleure mesure que vous puissiez prendre pour sécuriser complètement votre site WordPress que de télécharger, installer et activer toutes les fonctionnalités clés du plugin iThemes Security Pro. Et pour toute attaque inattendue, assurez-vous d'exécuter vos sauvegardes selon un calendrier avec BackupBuddy.

Lorsque ces deux plugins sont utilisés ensemble, vous n'aurez plus jamais à vous soucier d'un piratage qui détruira votre site Web.

Regardez la rediffusion du webinaire : Comment nettoyer un site WordPress piraté

Télécharger la liste de contrôle
Transcription du webinaire
Transcription du chat