Comment identifier un site WordPress piraté

Publié: 2017-04-14

Un site WordPress piraté présente la plupart du temps plusieurs symptômes. Dans cet article, nous décrirons quels sont ces symptômes et vous donnerons quelques outils pour déterminer si votre site Web est affecté par l'un ou l'ensemble d'entre eux.

Symptômes d'un site WordPress piraté

La plupart des symptômes impliquent que votre site Web se comporte de manière étrange, ainsi que des fichiers étranges et du code HTML commençant à apparaître à gauche et à droite. Voyons-les un par un !

1. Votre site Web commence à envoyer des spams

Bien qu'il soit beaucoup plus facile d'identifier le spam entrant que le spam sortant, vous pouvez faire plusieurs choses pour voir si quelqu'un utilise votre site pour envoyer du spam :

  • Vérifiez vos journaux de messagerie (ils se trouvent généralement sous /var/log). Voir un nombre inhabituel d'e-mails bloqués avec un message d'erreur 550 Expéditeur interdit par SPF est considéré comme suspect. Surtout si vous avez des enregistrements SPF configurés pour votre domaine. Alors c'est définitivement un drapeau rouge.
  • Il existe divers sites Web, tels que MXToolbox et UltraTools RBL Database LookUp, qui peuvent vous dire si votre site a été mis sur liste noire en tant que source de spam. Il y en a plusieurs disponibles, et vous devez rechercher autant que vous pouvez en trouver. Ne pas être sur liste noire ne signifie pas que vous êtes clair à 100 %.

2. Votre site Web vous redirige ailleurs.

C'est probablement le symptôme le plus facile à repérer. Lorsque vous visitez votre site Web, au lieu de consulter votre page Web, vous êtes redirigé vers un endroit étrange. Tout d'abord, vérifiez si vos enregistrements DNS ont changé et pointent maintenant vers une adresse IP différente.

 Si vos enregistrements DNS semblent corrects, il est fort probable qu'il y ait quelque chose dans votre page HTML qui provoque cette redirection. Essayez de désactiver le support Javascript de votre navigateur et vérifiez à nouveau si votre site Web vous redirige. Si la redirection persiste, c'est un signe que d'autres zones de votre site Web sont très probablement altérées (votre base de données, le fichier .htaccess de votre site Web ou la configuration de votre serveur Web).

3. Votre site Web contient des iframes suspectes.

Un iframe est un document HTML "intégré" dans un autre HTML, qui est utilisé pour afficher le contenu d'une autre source, généralement des publicités. Les iframes visibles sont faciles à repérer, cependant, la plupart d'entre elles sont si petites (ne prenant parfois que quelques pixels !) que vous pouvez facilement les manquer. Ouvrez votre fichier HTML dans un éditeur et recherchez les balises <iframe> qui tentent de se connecter à des URL inconnues ou suspectes. Commentez-les en les plaçant dans des balises de commentaire HTML <!–. Vous ne devriez pas vous arrêter là, car probablement si vous avez falsifié des fichiers HTML, cela signifie que votre site Web est définitivement compromis et qu'il pourrait y avoir d'autres endroits où votre site Web a été falsifié.

4. Votre site Web ouvre des fenêtres contextuelles au chargement.

C'est aussi un signe facile à repérer. Votre site Web charge des fenêtres contextuelles qui ne sont manifestement pas à leur place. Certains d'entre eux, appelés pop-under, sont plus insidieux. Ceux-ci ne sont pas visibles lorsque vous visitez votre site Web mais sont chargés en arrière-plan. Cependant, si vous minimisez votre navigateur, vous les voyez instantanément, occupant généralement une grande partie de votre écran.

Hébergez votre site web avec Pressidium

GARANTIE DE REMBOURSEMENT DE 60 JOURS

VOIR NOS FORFAITS

5. Fichiers PHP confus et étranges.

La découverte de fichiers PHP apparemment incompréhensibles, comme dans l'exemple suivant, est toujours un signe d'avertissement certain que quelqu'un a trafiqué votre site Web :

<?php eval(“\145\166\141\154\050\142\141\163'==QfgsDdphXZgsTKog2c1xmZgszJ+QHcpJ3Yz […]

Le terme technique pour ces types de fichiers est "obscurci". L'obscurcissement est une technique couramment utilisée par les pirates afin de masquer la source d'un morceau de code généralement malveillant ou de le rendre très difficile à lire et à comprendre quelle est sa fonction.

6. Portes dérobées, webshells, comptes administrateur

Les Webshells sont des programmes qui peuvent être utilisés par les pirates pour se connecter à distance et obtenir un accès administratif complet à votre site Web. Ces programmes permettent un accès Web à distance au shell de votre serveur (d'où le terme webshell) afin que toute personne se connectant à eux puisse exécuter des commandes. Il y a de fortes chances que si vous trouvez un fichier PHP obfusqué quelque part, il s'agit d'un webshell.

Les pirates peuvent également créer des comptes avec des droits d'administration pour les utiliser comme portes dérobées. Ceux-ci sont relativement faciles à trouver puisqu'ils sont visibles dans le backend de WordPress, ou dans votre base de données.

Des outils pour vous aider à identifier les activités suspectes

Il existe plusieurs outils qui peuvent vous aider à déterminer si votre site Web a été falsifié. Si vous pensez avoir été compromis ou infecté, c'est une bonne idée de vérifier votre site Web en les utilisant tous. De cette façon, vous obtiendrez une vue plus complète, car tous ces services ne vérifient pas les mêmes choses. Toutes les ressources ci-dessous sont gratuites et vous demandent uniquement de saisir l'URL de votre site Web.

En particulier, si vous pensez être infecté par des iframes malveillants, des popups, des redirections et d'autres bêtes javascript, les sites Web suivants vous le feront savoir immédiatement :

  1. SiteCheck et démasquer les parasites de Sucuri . Ceux-ci vérifieront les logiciels malveillants connus, si votre site Web est sur liste noire et bien plus encore.
  2. Rapport de transparence Google . Cela vous montrera si votre site Web est considéré comme "dangereux à visiter" selon Google.
  3. VirusTotal est un service gratuit qui peut analyser les URL et les fichiers pour voir s'ils contiennent du contenu malveillant.
  4. Scanner de logiciels malveillants de site Web en ligne gratuit par PC Risk. Recherche sur votre site "code malveillant, iframes cachés, exploits de vulnérabilité, fichiers infectés et autres activités suspectes".
  5. Scanner de logiciels malveillants de site Web gratuit de Quttera . Recherche sur votre site "des scripts suspects, des médias malveillants et d'autres menaces de sécurité Web cachés dans du contenu légitime et situés sur des sites Web". Il produit un rapport de sécurité, chaque résultat étant classé en fonction du niveau de menace.

Il existe également plusieurs plugins WordPress qui vous aident à sécuriser votre site WordPress. Assurez-vous également de consulter cet excellent guide des 7 meilleurs plugins de sécurité WordPress par InfoSec.

Il est de la plus haute importance de nettoyer votre site dès que vous trouvez un contenu malveillant et de corriger ses vulnérabilités. Un site Web compromis signifie des pannes ou un comportement anormal qui peuvent et finiront par affecter les moyens de subsistance de votre entreprise !