Redirection piratée WordPress - Nettoyez votre site en quelques clics

Si votre site Web WordPress ou votre tableau de bord d'administration est automatiquement redirigé vers un site Web de spam, votre site Web a probablement été piraté et infecté par un logiciel malveillant de redirection .

Alors, que pouvez-vous faire contre le malware de redirection piraté par WordPress sur votre site ?

Tout d'abord, confirmez si vous avez réellement un piratage en analysant votre site Web.

La chose importante à retenir est que le temps est votre meilleur ami ici. Ne perdez pas de temps à vous tourmenter dessus. Le hack est totalement réparable et votre site peut être nettoyé. Mais il faut aller vite.

Nous avons rencontré ce hack des milliers de fois. Et bien que ce soit quelque chose à prendre en compte, vous n'avez pas à vous inquiéter.

Nous vous indiquerons les étapes exactes pour vous aider à supprimer les redirections malveillantes de votre site, réparer votre site Web et vous assurer que cela ne se reproduise plus.

TL; DR : Supprimez instantanément le logiciel malveillant de redirection piraté de WordPress de votre site Web. Avec plusieurs variantes du piratage de redirection WordPress, il peut être frustrant d'en arriver à la racine. Cet article vous aidera à trouver et à nettoyer votre logiciel malveillant étape par étape en un rien de temps.

Que signifie la redirection piratée WordPress ?

La redirection piratée de WordPress se produit lorsqu'un code malveillant est injecté dans votre site Web, qui emmène ensuite automatiquement vos visiteurs vers un autre site Web. Habituellement, le site Web de destination contient du spam, avec des produits pharmaceutiques du marché gris ou des services illégaux.

Il existe de nombreux types de logiciels malveillants comme les logiciels malveillants favicon qui provoquent ce comportement, donc le piratage de redirection de logiciels malveillants WordPress est un terme générique faisant référence au symptôme prédominant : les redirections malveillantes.

Ce type de piratage affecte des millions de sites Web et cause quotidiennement de terribles pertes. Les sites Web perdent des revenus, une image de marque et un classement SEO, sans parler du stress de la récupération.

Cependant, le pire dans un piratage, c'est qu'il s'aggrave constamment. Le logiciel malveillant se propage à travers les fichiers et les dossiers, et même la base de données de votre site Web, se reproduisant et utilisant votre site Web pour infecter les autres.

Nous couvrirons les effets spécifiques du piratage plus loin dans l'article, mais il suffit de dire que votre priorité pour sauver votre site Web est d'agir maintenant.

Comment savoir si mon site WordPress redirige vers le spam ?

Avant de résoudre le problème de redirection du site WordPress piraté, nous devons d'abord établir que votre site Web est définitivement piraté. Tout comme avec une infection, les piratages ont des symptômes. Et puis, une fois que vous avez identifié les symptômes, vous pouvez confirmer le diagnostic avec quelques tests.

Comme indiqué précédemment, les redirections automatiques sont un symptôme fiable d'un hack de redirection WordPress. Les redirections de spam peuvent se produire à partir des résultats de recherche, sur certaines pages ou même lorsque vous essayez de vous connecter à votre site Web. Le problème avec les redirections est qu'elles ne se produisent pas toujours de manière cohérente ou fiable.

Par exemple, si vous êtes allé sur votre site et qu'il a été redirigé, il est possible que cela ne se reproduise pas une deuxième, troisième ou quatrième fois. Les pirates sont intelligents et installent un cookie pour s'assurer que le problème ne se produit qu'une seule fois.

Le résultat est qu'il est facile de se laisser bercer par un faux sentiment de sécurité, où vous pensez que cela peut être un coup de chance. Il y a une petite chance qu'il s'agisse également d'une erreur de code, mais quand nous disons "minuscule", nous voulons dire infinitésimal.

Vérifiez les symptômes de redirection piratés de WordPress

En règle générale, les hacks se manifestent de différentes manières. Individuellement, il peut s'agir d'erreurs de site Web, comme un ancien code de suivi, mais si vous voyez deux ou plusieurs de ces symptômes sur votre site Web, vous pouvez être sûr que votre site Web a été piraté.

• Site WordPress redirigeant vers un site de spam : Le symptôme classique d'un hack de redirection WordPress. Selon la variante du logiciel malveillant, la redirection peut se produire de différentes manières ou à différents endroits sur votre site Web.
  
  
  • Redirections automatiques : les redirections de logiciels malveillants dirigent automatiquement vos visiteurs vers des sites Web contenant du spam lorsque quelqu'un visite votre site Web. Cela se produit également si quelqu'un clique sur votre site Web à partir de Google. Vous serez généralement également redirigé si vous essayez de vous connecter à votre site Web.
    
    
  • Redirections de lien : quelqu'un clique sur un lien, puis il est redirigé vers un autre site Web. Ceci est particulièrement intelligent car les visiteurs cliquent sur des liens en s'attendant à être emmenés ailleurs de toute façon.
    
    
  • Redirections mobiles uniquement : uniquement si votre site Web est accessible via un appareil mobile, il est redirigé.
    
    
• Les résultats de Google affichent un message "Le site peut être piraté" : lors de l'inscription de votre site Web dans les résultats de recherche, un petit message : "Le site peut être piraté" ; apparaîtra juste en dessous du titre. C'est la façon dont Google avertit les visiteurs d'un site potentiellement piraté.
  
  
• Liste noire de Google : le plus grand de tous les drapeaux rouges - littéralement - la liste noire de Google est un signe infaillible que votre site Web a été piraté. Même si vos visiteurs utilisent un autre moteur de recherche, ils utilisent également la liste noire de Google pour signaler les sites piratés.
  
  
• Google Ads signale les scripts sur votre site Web : si vous essayez de diffuser des annonces sur votre site Web, Google Ads effectuera une analyse de votre site Web et vous alertera des scripts de redirection sur vos publications ou vos pages.
  
  
• L'hébergeur Web a suspendu votre compte : les hébergeurs Web suspendent les sites Web pour plusieurs raisons, et les logiciels malveillants sont l'une des plus importantes. Si vous voyez ce message lorsque vous essayez d'accéder à votre site Web, vérifiez votre courrier électronique pour une raison. Vous pouvez également contacter leur équipe d'assistance.
  
  
• Les gens se plaignent : la partie la plus terrible des hacks est que les administrateurs de sites Web sont généralement les derniers à être informés d'un piratage, à moins qu'ils n'aient un bon plugin de sécurité installé. Tant de gens le découvrent parce que les visiteurs et les utilisateurs du site Web se plaignent de voir le site Web être redirigé vers le spam, ou même de recevoir du courrier indésirable.
  
  

Si vous voyez l'un des symptômes ci-dessus, il est recommandé d'enregistrer des informations à ce sujet. Quel navigateur utilisiez-vous ? Quel appareil utilisiez-vous ? Ces informations peuvent aider à affiner le type de malware de redirection de piratage WordPress que vous rencontrez, et donc à le résoudre plus rapidement.

Confirmez si votre site Web est infecté par un hack de redirection

La prochaine étape pour repérer un symptôme est de s'assurer qu'il s'agit bien d'un piratage.

Le moyen le plus rapide de confirmer si votre site Web est affecté par des redirections malveillantes consiste à analyser votre site Web.

1. Analysez votre site Web avec le plugin de sécurité

Si vous n'êtes toujours pas sûr à 100 % que votre site Web a été piraté, utilisez le scanner en ligne gratuit de MalCare pour confirmer. MalCare trouvera des hacks, parfois très évidents, qui sont manqués par les autres scanners.

Nous recommandons MalCare, car nous avons vu de nombreuses variantes du site Web WordPress piraté des logiciels malveillants de redirection. Un cas très courant est lorsque votre site Web est consulté sur un appareil mobile, ce qui indique que le logiciel malveillant se trouve dans le fichier .htaccess. Ou celui que nous voyons couramment est le piratage des pages, qui redirige automatiquement. Cela se produit lorsque la base de données contient le logiciel malveillant.

Nous couvrirons plus de variantes du logiciel malveillant plus loin dans l'article. À l'heure actuelle, nous tenons à souligner que le malware direct piraté par WordPress peut se trouver presque n'importe où sur votre site Web.

Pour cette raison, chaque scanner le signalera différemment. Par exemple, Quttera signalera le logiciel malveillant comme ceci :

Nom de la menace : Heur.AlienFile.gen

Et WordFence affichera une alerte pour tout un tas de fichiers inconnus, comme ceci :

* Fichier inconnu dans le noyau de WordPress : wp-admin/css/colors/blue/php.ini
* Fichier inconnu dans le noyau de WordPress : wp-admin/css/colors/coffee/php.ini
* Fichier inconnu dans le noyau de WordPress : wp-admin/css/colors/ectoplasm/php.ini

Ce sont de bons signes que votre site Web a été piraté, car, comme nous le verrons plus tard, le dossier /wp-admin ne devrait rien contenir en dehors des fichiers principaux de l'installation de WordPress.

Cela dit, malheureusement, cela n'est pas utile pour le retrait. Il y a quelques problèmes majeurs avec la façon dont les autres plugins de sécurité signalent les logiciels malveillants, en raison de la façon dont leurs mécanismes de découverte.

Il y a beaucoup de faux positifs, de fichiers manqués et une foule d'autres problèmes. Votre site Web est important, alors choisissez judicieusement un plugin de sécurité.

2. Scannez à l'aide d'un scanner de sécurité en ligne

Vous pouvez également utiliser un scanner de sécurité en ligne, comme Sucuri SiteCheck, pour rechercher les logiciels malveillants de redirection piratés. Un scanner de sécurité en ligne, ou un scanner frontal, parcourra le code de vos pages et publications, à la recherche de scripts malveillants.

Le seul problème avec un scanner frontal est qu'il ne peut vérifier et ne vérifiera que le code auquel il a accès. Cela signifie, le code source des pages et des publications principalement. Bien que de nombreux logiciels malveillants de redirection piratés existent dans ces pages, certaines variantes existent dans les fichiers principaux. Un scanner frontal ne les affichera pas du tout.

Notre conseil est d'utiliser un scanner de sécurité en ligne comme un outil de diagnostic de première ligne. S'il s'avère positif, vous pouvez être sûr qu'il est positif et vous efforcer de résoudre le piratage. S'il s'avère négatif, vous pouvez vérifier manuellement les endroits qui ne sont pas scannés par le scanner frontal. Par conséquent, vous pouvez éliminer une partie du travail manuel impliqué.

3. Rechercher manuellement les logiciels malveillants

Si vous utilisez un plugin de sécurité pour rechercher le logiciel malveillant de redirection piraté, vous pouvez ignorer complètement cette section. Un bon plugin de sécurité comme MalCare fera exactement ce que nous suggérons ci-dessous, mais beaucoup plus rapidement et mieux.

Analyser votre site Web à la recherche de logiciels malveillants signifie essentiellement rechercher du code indésirable dans les fichiers et la base de données. Nous obtenons que le "code indésirable" n'est pas utile comme direction, mais à cause des variantes, il n'y a pas de chaîne que vous pouvez rapidement localiser et déclarer qu'il y a un hack.

Cependant, dans la section suivante, nous avons répertorié quelques exemples de logiciels malveillants que nous avons vus sur les sites Web de nos clients. Et dans la section suivante, nous parlerons des endroits typiques où les logiciels malveillants sont insérés, en fonction du comportement de redirection observé.

À quoi ressemble le malware de redirection WordPress

Nous épuisons cette ligne dans cet article, mais le malware de redirection piraté de WordPress a de nombreuses variantes, et il n'y a donc pas de morceau de code standard que nous pouvons pointer pour dire : "Recherchez ceci !"

Cependant, nous pouvons vous donner une idée de ce à quoi certains ressemblent :

• Le code peut être niché dans un en-tête de page quelque part, ou dans toutes les pages de la table wp_posts. Voici quelques exemples:

• Les tables wp_options peuvent avoir des URL inconnues dans site_url. Ce sont quelques exemples que nous avons vus plus récemment.

• Les scripts peuvent également être masqués, ce qui signifie que vous devez les exécuter via un désobfuscateur en ligne pour extraire le code réel.

Code obscurci

Et ce que cela signifie réellement

• Les faux plugins peuvent avoir des fichiers qui ressemblent à ceci lorsqu'ils sont ouverts

• Les redirections spécifiques aux mobiles indiquent des modifications dans le fichier .htaccess. Le code ci-dessous redirige vers

Emplacements pour rechercher des logiciels malveillants de redirection

WordPress est divisé en deux parties principales, ses fichiers et sa base de données. Le problème avec le malware de redirection piraté est qu'il peut être n'importe où.

Si vous êtes habitué à bricoler dans le code de votre site Web, vous pouvez rechercher dans les endroits suivants le code de redirection que nous avons mentionné. Téléchargez une sauvegarde de votre site Web ( fichiers et base de données ) pour rechercher les ajouts suspects.

Encore une fois, gardez à l'esprit qu'il existe des variantes, telles que la redirection classique, situationnelle, spécifique à l'appareil ou même chaînée . Le code sera différent pour chacun, tout comme l'emplacement.

A. Fichiers du site Web

1. Fichiers de base de WordPress : en commençant par le plus simple, /wp-admin et /wp-includes ne devraient pas varier du tout par rapport à une nouvelle installation de WordPress. Il en va de même pour les fichiers index.php, settings.php et load.php . Ce sont des fichiers WordPress de base et les personnalisations n'y écrivent aucune modification. Comparez avec une nouvelle installation de WordPress pour confirmer s'il y a des variations.
   
   Le fichier .htaccess est un cas particulier. Le hack de redirection mobile apparaîtra presque toujours dans ce fichier. Recherchez une règle d'agent utilisateur, qui détermine le comportement en fonction de l'appareil utilisé, et recherchez un script de redirection à cet endroit.
   
2. Fichiers de thème actifs : si vous avez installé plusieurs thèmes (ce qui n'est pas une bonne idée pour commencer), assurez-vous qu'un seul est actif. Ensuite, regardez les fichiers de thèmes actifs comme header.php, footer.php et functions.php pour le code impair.
   
   Un bon moyen de vérifier cela consiste à télécharger des installations vierges à partir de sites de développeurs et à faire correspondre le code avec ces fichiers. En règle générale, ces fichiers sont censés être dans un certain format, de sorte que le code indésirable ressort. Gardez à l'esprit que les personnalisations modifieront également le code.
   
   De plus, si vous utilisez des thèmes ou des plugins annulés, vous pouvez arrêter les diagnostics ici, car nous pouvons vous assurer que vous avez été piraté à cause de ceux-ci.
   
3. Faux plugins sur votre site Web : Oui, c'est une chose. Les pirates déguisent les logiciels malveillants en les faisant paraître aussi légitimes que possible. Allez dans le dossier wp-content/plugins et jetez un œil. Quelque chose que vous n'avez pas installé ? Des doublons bizarres ? Est-ce que l'un d'entre eux n'a qu'un ou deux fichiers dans ses dossiers ?
   
   Exemples que nous avons vus récemment :
   /wp-content/plugins/mplugin/mplugin.php
   /wp-content/plugins/wp-zzz/wp-zzz.php
   /wp-content/plugins/Plugin/plug.php
   
   Si vous avez installé de nombreux plugins, il peut être décourageant de les vérifier tous. Une règle empirique pour identifier les faux plugins est que, par convention, les noms de plugins légitimes commencent rarement par une majuscule, et leurs noms n'ont pas de caractères spéciaux à l'exception des traits d'union. Ce ne sont pas des règles, mais des conventions. Ne leur accordez donc pas trop d'importance pour identifier définitivement les contrefaçons.
   
   Si vous pensez qu'un plugin est faux, recherchez-le sur Google et recherchez la version originale dans le référentiel WordPress. Téléchargez-le à partir de là et vérifiez si les fichiers correspondent.

B. Base de données

1. Table wp_posts : des scripts malveillants se trouvent souvent sur chaque page. Mais comme nous l'avons déjà dit, les pirates sont très rusés. Vérifiez un bon échantillon de messages avant de déterminer que le hack n'existe pas.
   
   Une autre façon de vérifier le code de vos pages et publications consiste à vérifier la source de la page à l'aide de votre navigateur. Chaque page de votre site Web contient du code HTML, qui est lu par les navigateurs. Ouvrez la source de la page et vérifiez l'en-tête, le pied de page et tout ce qui se trouve entre les balises <script> pour les éléments qui semblent déplacés.
   
   La section d'en-tête contient des informations que le navigateur utilise pour charger cette page, mais qui ne sont pas présentées au visiteur. Les scripts de logiciels malveillants sont souvent cachés ici, de sorte qu'ils se chargent avant le reste de la page.
   
2. Table wp_options : vérifiez le siteurl . Cela devrait être l'URL de votre site Web, 99% du temps. Si ce n'est pas le cas, c'est votre hack juste là.

Ce n'est pas le moment d'essayer de supprimer quoi que ce soit. Vous devez être complètement sûr que les scripts Javascript ou PHP sont définitivement malveillants. Vous voulez vous débarrasser du logiciel malveillant très rapidement, mais la hâte vous mènera à un site défectueux.

Autres moyens de vérifier les logiciels malveillants de redirection

Vous ne verrez peut-être pas tous les symptômes énumérés ci-dessus en tant qu'administrateur de site Web. Les pirates empêchent intelligemment votre adresse IP et votre compte de voir les résultats d'un piratage, car ils veulent rester non détectés le plus longtemps possible.

Alternativement, vous pouvez voir le symptôme une fois, puis ne pas être en mesure de le recréer. Tout cela est très déroutant, et beaucoup de nos clients ont laissé des hacks sans surveillance pour cette raison.

Il existe plusieurs autres façons de vérifier les symptômes, si vous ne pouvez pas les voir directement sur votre site Web.

• Vérifiez Google Search Console : ils signaleront les infections de logiciels malveillants sous « Problèmes de sécurité »
• Utilisez un navigateur incognito pour accéder à votre site Web, pour voir ce qu'un visiteur normal voit
• Vérifier les journaux d'activité pour une activité inhabituelle de l'utilisateur, comme l'élévation des privilèges de l'utilisateur ou la création de messages

La section suivante traite exclusivement de la suppression. Respirez profondément et prenez un café. Nous vous guiderons tout au long du processus avec soin.

Comment supprimer l'infection de redirection piratée de WordPress ?

Maintenant que nous savons que votre site Web est redirigé vers un autre site, vous devez agir rapidement. Les piratages s'aggravent de manière exponentielle au fil du temps, car les logiciels malveillants se propagent dans davantage de fichiers et de dossiers de votre site Web. Cela cause non seulement des dégâts accrus, mais rend la récupération beaucoup plus difficile.

Nous supposons que vous avez déjà scanné votre site Web avant d'atteindre cette section. Cependant, si ce n'est pas le cas, la première chose à faire est d'analyser votre site Web gratuitement à l'aide de MalCare.

Il existe 2 méthodes principales pour supprimer les redirections malveillantes de votre site. Nous vous recommandons fortement d'utiliser un plugin de sécurité, car nous avons vu de première main combien de dommages les hacks peuvent causer sur un site Web.

1. [RECOMMANDÉ] Utilisez MalCare pour supprimer le virus de redirection

MalCare est le meilleur plugin de sécurité pour supprimer les logiciels malveillants difficiles à détecter. Tout ce que vous avez à faire est de l'installer sur votre site Web et d'attendre quelques minutes pour récupérer votre site Web.

Si vous avez utilisé le scanner pour confirmer que votre site Web a été piraté, il vous suffit de mettre à niveau et de récupérer votre site.

Nous recommandons MalCare pour plusieurs raisons :

• Supprime uniquement les logiciels malveillants et laisse votre site Web entièrement intact
• Trouve les portes dérobées que les pirates laissent derrière eux pour la réinfection (plus à ce sujet plus tard) et les supprime également
• Pare-feu intégré pour protéger votre site Web du trafic malveillant

Des milliers de personnes ont utilisé la fonction de nettoyage automatique de MalCare pour supprimer les logiciels malveillants de redirection piratés de WordPress en quelques minutes de leur site Web. La raison pour laquelle MalCare fonctionne tellement mieux que les autres plugins de sécurité est que les scanners de logiciels malveillants propriétaires trouvent même les logiciels malveillants les mieux cachés sur votre site Web.

Si vous ne pouvez pas accéder à wp-admin

Dans ce cas, obtenez l'aide de notre service de suppression d'urgence des logiciels malveillants. Un expert en sécurité dédié nettoiera votre site Web rapidement et s'assurera qu'il est à nouveau opérationnel dans les plus brefs délais.

2. Supprimer manuellement les logiciels malveillants de redirection WordPress

Il est possible de supprimer manuellement le logiciel malveillant de redirection de votre site Web, mais il y a des conditions préalables pour le faire.

Tout d'abord, vous devez savoir comment WordPress est configuré. Dès à quoi ressemblent les fichiers de base, quels sont les dossiers et les fichiers que chaque plugin et thème créent pour fonctionner.

La suppression d'un fichier nécessaire peut planter votre site Web, donc non seulement votre site Web est piraté, mais aussi en panne. Nous avons vu cela se produire bien trop de fois.

Deuxièmement, vous devez être capable de faire la différence entre un bon code et un mauvais code, c'est-à-dire un malware. Le code malveillant est soit déguisé pour ressembler à du code légitime, soit obscurci pour être illisible. Il est très difficile de faire la distinction entre le bon et le mauvais code, c'est pourquoi de nombreux scanners souffrent de faux positifs.

Remarque : Vous POUVEZ embaucher un expert WordPress pour supprimer le logiciel malveillant. Soyez averti cependant, les experts en sécurité coûtent cher et ils mettront du temps à supprimer le piratage.

De plus, ils ne garantissent pas que vous ne subirez pas de rechute. Et pourtant, nous recommandons toujours cette ligne de conduite plutôt que d'essayer de supprimer manuellement les logiciels malveillants.

D'accord, ce sont les mises en garde à l'écart. Voici les étapes pour supprimer les logiciels malveillants de redirection de votre site Web :

1. Effectuez une sauvegarde de votre site Web

Avant de faire quoi que ce soit, faites une sauvegarde. Même si le site Web est piraté, il est toujours fonctionnel.

Par conséquent, si quelque chose ne va pas dans le processus de suppression des logiciels malveillants, vous disposez d'une sauvegarde sur laquelle vous appuyer. Un site Web piraté est difficile à nettoyer. Un site Web en panne est encore plus difficile à nettoyer. et est parfois impossible à récupérer.

Deuxièmement, un hébergeur peut suspendre votre site Web ou même aller jusqu'à le supprimer. Ensuite, accéder à votre site Web, même pour le nettoyer, est un problème majeur.

Vous devrez contacter le support de l'hébergeur Web pour accéder à un site suspendu, mais avec un site supprimé, il n'y a aucun recours sans sauvegarde.

2. Obtenez des installations propres de tout

Téléchargez de nouvelles installations de WordPress, ainsi que tous les plugins et thèmes que vous utilisez. Les versions doivent correspondre à ce qui se trouve sur votre site Web.

Une fois que vous les avez téléchargés, vous pouvez utiliser les fichiers propres comme comparaison avec les fichiers de votre site Web. Vous pouvez utiliser un vérificateur de différences en ligne pour trouver les différences, car nous ne recommandons certainement pas de les parcourir manuellement.

Il s'agit essentiellement d'une correspondance de signature, ce que font de toute façon la plupart des scanners de sécurité. Cependant, vous savez au moins maintenant quels fichiers et dossiers sont nécessaires au bon fonctionnement de votre site Web.

À ce stade, ne supprimez rien. Vous configurez simplement une ligne de base pour comprendre quels fichiers sont nécessaires.

3. Recherchez et supprimez les logiciels malveillants de redirection

C'est sans doute l'étape la plus difficile du processus. Comme nous l'avons déjà dit, vous devez être en mesure d'identifier le bon code du mauvais, puis de le supprimer ou de le remplacer si nécessaire.

Nettoyer les fichiers principaux de WordPress

Il est essentiel d'obtenir la même version de WordPress que celle de votre site Web, sinon vous pourriez vous retrouver avec un site Web en panne.

Une fois téléchargé, utilisez cPanel ou FTP pour accéder aux fichiers de votre site Web et remplacez les dossiers suivants :

• /wp-admin
• /wp-inclut

Ces dossiers sont utilisés par WordPress pour exécuter et charger votre site Web, et ne sont pas du tout destinés à contenir du contenu utilisateur. C'était la partie facile. Maintenant, vérifiez si les fichiers suivants contiennent du code étrange :

• index.php
• wp-config.php
• wp-settings.php
• wp-load.php
• .htaccess

De plus, le dossier /wp-uploads ne doit pas contenir de scripts PHP.

Nous réalisons que le « code étrange » est très vague, mais comme nous l'avons déjà dit : le malware de redirection piraté de WordPress a de très nombreuses variantes.

Nous ne pouvons donc pas identifier le code que vous verrez dans l'un de ces fichiers. Si vous comprenez le fonctionnement du code, vous pouvez vous référer à une liste de fichiers WordPress pour comprendre ce que chacun fait et déterminer si l'un des codes fait quelque chose de différent. Une fois que vous êtes sûr d'avoir trouvé ce code, supprimez-le.

Si vous vous sentez dépassé à ce stade, veuillez arrêter et utiliser MalCare. Épargnez-vous tous ces tracas et ce stress.

Nettoyer les thèmes et les plugins des logiciels malveillants

Tous les fichiers et dossiers liés au thème et au plug-in sont stockés dans le dossier /wp-content. Vous pouvez vérifier chacun des fichiers de votre site Web pour voir où il y a une différence dans le code.

Un mot d'avertissement ici : tous les changements ne sont pas mauvais. Si vous avez personnalisé l'un de vos plugins ou thèmes, ce que vous avez probablement, il y aura des différences par rapport aux installations propres. Si cela ne vous dérange pas de perdre ces personnalisations, vous pouvez continuer et remplacer les fichiers en masse.

Plus probablement qu'autrement, vous souhaitez conserver le travail que vous avez effectué, alors commencez à examiner attentivement chacune des différences. Si vous êtes capable de suivre la logique du code, vous pouvez comprendre comment les fichiers interagissent entre eux et avec le reste de votre site Web. Cela devrait vous permettre de trouver des logiciels malveillants et de les supprimer.

Si vous avez un nombre important de thèmes et de plugins, cela peut être une tâche ardue. Voici quelques bons points de départ :

• Fichiers de thème actifs
  • header.php
  • footer.php
  • fonctions.php
• Plugins vulnérables
  • Certains ont-ils été piratés récemment
  • Y en a-t-il qui ne sont pas mis à jour
• Faux plugins  
  • Très peu de fichiers
  • Doublons évidents

Certains fichiers malveillants sont conçus pour avoir l'air bénins et imitent souvent les vrais noms de fichiers. C'est là que les installations propres seront utiles, mais contactez également les développeurs de plugins et de thèmes pour obtenir de l'aide si vous n'êtes pas entièrement sûr.

Nettoyer les logiciels malveillants de la base de données

Utilisez phpMyAdmin pour obtenir un téléchargement de votre base de données pour le nettoyage. Ensuite, vérifiez les tableaux pour tout contenu suspect, comme les URL de spam ou les mots-clés. Supprimez soigneusement ce contenu, en vous assurant qu'il s'agit d'un mauvais code et non d'un bon code modifié.

Vérifiez notamment les tableaux suivants :

• wp_options
• wp_posts

Selon la taille de votre site Web, cela peut prendre un temps considérable. En règle générale, si le logiciel malveillant se trouve dans votre table wp_posts, il se trouvera dans chaque publication. Si vous avez des centaines de publications, avec beaucoup de contenu, il s'agit d'une entreprise monumentale à nettoyer manuellement.

Cependant, une fois que vous avez identifié le script malveillant, vous pouvez utiliser SQL (ou demander à quelqu'un ayant une expertise SQL) de supprimer le script de chaque publication. La mise en garde ici est que vous ne pouvez pas être sûr qu'il s'agit du seul logiciel malveillant dans le tableau.

De plus, avec les sites de commerce électronique en particulier, vérifiez que vous ne supprimez pas d'informations importantes sur l'utilisateur ou la commande.

4. Supprimer les portes dérobées

Maintenant que vous avez purgé votre site Web des logiciels malveillants, recherchez les portes dérobées. Ce sont des points d'entrée dans votre site Web qu'un pirate informatique laisse afin qu'il puisse réinfecter votre site Web si son piratage initial était détecté.

Les portes dérobées peuvent se trouver à plusieurs endroits. Une partie du code à rechercher est :

• eval
• base64_decode
• gzgonfler
• preg_replace
• str_rot13

Un mot d'avertissement : ce ne sont pas nécessairement tous mauvais. Ce sont des scripts PHP légitimes qui peuvent être modifiés subtilement pour servir de portes dérobées. Méfiez-vous de supprimer tout sans une analyse appropriée.

5. Retéléchargez vos fichiers nettoyés

Maintenant que vous avez nettoyé le hack, vous devez reconstituer votre site Web. Utilisez le gestionnaire de fichiers pour recharger les fichiers et phpMyAdmin sur cPanel pour remplacer votre site Web.

Ceci est très similaire à la façon dont vous restaureriez une sauvegarde manuellement, et signifie que vous devez d'abord supprimer les fichiers et la base de données existants.

Si, par hasard, vous avez sauté l'étape de sauvegarde au début, veuillez le faire maintenant. La sauvegarde de votre site Web, même celui piraté, vous évitera une tonne de chagrin en cas de problème.

6. Videz le cache

Maintenant que votre site Web nettoyé a été téléchargé, videz votre cache. Le cache stocke les versions précédentes de vos pages et de votre contenu et les montrera aux visiteurs de votre site. Pour que votre site nouvellement nettoyé se comporte comme prévu, vous devez nettoyer le cache. Suivez les étapes de cet article pour le faire.

7. Vérifiez chacun des plugins et thèmes

La triste réalité des logiciels malveillants est qu'ils peuvent se cacher à peu près n'importe où. Parce que vous avez passé tout ce temps et cette énergie à nettoyer manuellement votre site Web, cela vaut la peine de passer quelques minutes supplémentaires pour vous assurer que vos efforts ont été couronnés de succès.

Nous vous recommandons d'utiliser FTP pour cela, car il vous faudra une tonne de travail pour modifier les fichiers du site Web.

1. Désactivez tous vos plugins et thèmes, en renommant le dossier wp_contents en autre chose
2. Ensuite, activez-les un par un, en vérifiant à chaque fois le comportement de redirection de votre site Web.
3. S'il n'y a pas de problèmes, vous savez que les plugins et les thèmes sont exempts de logiciels malveillants

8. Utilisez un scanner de sécurité pour confirmer

Excellent travail, vous êtes de l'autre côté de ce piratage pernicieux. Cela n'a pas été facile à accomplir, notamment parce qu'il est difficile de trouver des logiciels malveillants dans les fichiers de sites Web. Alors prenez une minute pour apprécier que vous avez réussi à traverser cela.

Ensuite, utilisez MalCare pour confirmer que votre site Web est exempt de logiciels malveillants. Cela prend 2 minutes et vous pouvez être assuré que votre travail a réussi.

Pourquoi nous déconseillons fortement la suppression manuelle du hack de redirection

Vous vous demandez peut-être pourquoi nous déconseillons de supprimer les hacks de cette façon. Pensez aux hacks comme vous le feriez pour une maladie, comme un cancer ou un os cassé.

Vous préférez laisser la prise en charge de ces maladies aux médecins, qui sont des professionnels formés avec une grande expertise dans leur prise en charge. Les personnes non formées font plus de mal que de bien. Demandez à n'importe quel médecin qui a dû faire face à une fracture mal fixée.

Il y a plusieurs choses qui peuvent mal tourner avec la suppression manuelle du piratage :

• Les logiciels malveillants peuvent se propager dans des endroits inattendus et sont difficiles à supprimer proprement
• Supprimer uniquement le logiciel malveillant n'est pas suffisant si la vulnérabilité et/ou la porte dérobée n'est pas aussi bien traitée
• Une suppression inexperte peut parfois casser d'autres parties du site Web
• Les sites plus grands (comme les magasins de commerce électronique) seront très difficiles et prendront beaucoup de temps à parcourir manuellement
• Le temps presse, car les hacks s'aggravent de manière exponentielle avec le temps
• Peut ne pas avoir accès à votre site Web si l'hôte a suspendu votre compte

Tout simplement, avec un site Web piraté, il y a une énorme marge d'erreur. Il existe un danger très réel de sortir de ce processus dans une situation pire que celle que vous avez commencée. Le mieux est d'utiliser un bon plugin de sécurité, comme MalCare pour supprimer les scripts de hack.

Redirection de site Web vers le spam : comment mon site Web a-t-il été affecté ?

Les sites Web sont des amalgames complexes de logiciels et, par nature, aucun logiciel n'est à 100% à l'épreuve du piratage. C'est la réalité de tous les logiciels : depuis les jeux 8 bits d'antan jusqu'aux énormes systèmes d'information de gestion utilisés par les banques.

Les sites Web WordPress ne sont pas différents. Alors que les fichiers WordPress de base sont les plus proches que vous puissiez obtenir à l'épreuve des balles, on ne peut pas en dire autant des plugins et des thèmes. Les plugins et les thèmes ajoutent des éléments dynamiques, des fonctionnalités et une conception aux sites Web, et un site sans eux serait sûr, oui, mais aussi statique et ennuyeux.

Voici une liste des raisons pour lesquelles les sites Web WordPress sont piratés :

• Vulnérabilités dans les plugins et les thèmes
• Mauvais mots de passe et comptes d'utilisateurs compromis
• Portes dérobées dans les thèmes et plugins annulés
• Attaques par script XSS
• Attaques par force brute avec des bots

Comme indiqué précédemment, la sécurité des sites Web ne peut être prise à la légère. Vous avez maintenant une expérience directe de la difficulté à nettoyer un piratage, vous souhaitez donc idéalement avoir une stratégie en place pour vous assurer que cela ne se reproduise plus.

Comment empêcher WordPress Redirect Hack à l'avenir ?

Maintenant que vous avez un site Web propre, les prochaines étapes consistent à empêcher la redirection de votre site Web WordPress vers le spam.

Les hacks se reproduisent tout le temps. C'est principalement parce que la raison pour laquelle votre site Web a été piraté n'a pas été abordée. Pour éviter que cela ne se reproduise, voici les étapes à suivre :

1. Installez un plugin de sécurité : Choisissez un bon plugin de sécurité comme MalCare, qui peut analyser, nettoyer et empêcher les piratages. MalCare dispose d'un pare-feu intégré qui empêche de manière proactive le mauvais trafic d'atteindre votre site Web.
   
2. Changez tous les mots de passe des utilisateurs et de la base de données : les comptes d'utilisateurs compromis et les mots de passe faciles à deviner sont la deuxième raison pour laquelle les sites sont piratés.

3. Réinitialisez et examinez les comptes d'utilisateurs : vérifiez les comptes d'utilisateurs avec un accès administrateur inutile et supprimez-les.
   
4. Modifier les sels + les clés de sécurité : les sels et les clés de sécurité sont de longues chaînes que WordPress attache aux données de connexion dans les cookies, pour aider les utilisateurs à rester connectés en toute sécurité. Vous pouvez les modifier dans votre fichier wp-config.php, après avoir utilisé le générateur WordPress pour en obtenir de nouveaux.
   
5. Assurez-vous d'utiliser uniquement des plugins et des thèmes de confiance : nous l'avons déjà dit, mais cela mérite d'être répété. Utilisez uniquement des plugins et des thèmes de développeurs de confiance. Ces développeurs fourniront une assistance et des mises à jour, qui sont extrêmement importantes pour la sécurité. N'utilisez en aucun cas des thèmes et des plugins annulés. Quoi que vous économisiez, vous perdrez plusieurs fois avec le piratage inévitable qui se produira.
   
6. Assurez-vous que SSL est en place : Idéalement, SSL devrait déjà être sur votre site Web, mais nous l'incluons par souci d'exhaustivité. SSL garantit que la communication vers et depuis le site Web est cryptée. Google a également fait pression pour ce changement de manière considérable, et vous commencerez bientôt à voir des pénalités avec le référencement si vous ne l'avez pas déjà fait, si SSL n'est pas activé sur votre site Web.
   
7. Renforcer WordPress : Il existe des mesures pour renforcer la sécurité, communément appelées WordPress durcissement. Nous vous conseillons de ne pas oublier de suivre les immenses conseils disponibles en ligne. Certains d'entre eux sont carrément mauvais et auront un impact sur votre site Web et l'expérience des visiteurs. Suivez ce guide pour renforcer votre site Web de manière responsable.
   
8. Ayez un plan de sécurité en place/des choses à faire régulièrement : il ne suffit pas de faire une seule chose une seule fois et de l'oublier. À tout le moins, assurez-vous de passer en revue les utilisateurs et d'exiger régulièrement des réinitialisations de mot de passe. L'installation d'un journal d'activité est également une bonne idée, car elle permet de suivre facilement et rapidement les actions des utilisateurs, ce qui peut souvent être un signal précoce d'un site piraté. Vous devez également tout garder à jour : WordPress, les plugins et les thèmes, et effectuer des sauvegardes régulières.

Quels sont les effets des redirections malveillantes ?

Tout piratage a un impact terrible sur un site Web, et le malware de redirection WordPress n'est pas différent. Here are just some of the ways that malware can impact your website and business adversely:

• Loss of revenue , if you have an ecommerce or business website
• Loss of brand value because of the redirects taking your visitors to illegal, scammy, or spam sites
• Impact on SEO because Google penalises hacked sites in their listings, and flags the hacked site so visitors are afraid of visiting at all
• Breach of data of your visitors and your website

There are many more ways that a hack can cause material damage. The critical factor is to act quickly and get rid of the malware as soon as possible.

Conclusion

The WordPress hacked redirect malware crops up every so often in a new avatar. Hackers, and therefore their malware, are getting smarter and smarter. WordPress websites are a treasure trove for them, and the only way to beat them is to stay ahead of their game.

The best way to protect your WordPress website is to install a good security plugin, like MalCare, which comes with an integrated firewall as well. We clean thousands of sites with the redirect hack, and our plugin is able to detect the cleverest of malware instantly. It is without a doubt the best investment you can make in your website security.

Avoir des questions? Write to us here. We're always happy to help!

FAQ

How to fix the WordPress malware redirect hack?

The quickest way to fix a WordPress malware redirect hack is to install a security plugin that removes the malware from your website. If you want to try removing malicious redirects from your site manually, it is a long process and has to be done carefully. The steps are:

1. Scan your website
2. Take a backup
3. Download fresh installations of WordPress and your themes and plugins
4. Clean the files and the database
5. Reupload the cleaned website
6. Clean the cache
7. Scan again to confirm the site is clean
8. Take preventive measures to avoid getting hacked again

Why is my website being redirected to another site?

Your WordPress site is redirecting to another site because it has been hacked with a WordPress redirect hack. The malware is automatically taking your visitors to spam websites when they visit your website, and causing your website to lose visitors as a result.

Are the websites selling grey market pharmaceutical products or illegal services? If so, this is a good sign that your website has been hacked. These websites don't get traffic ethically and legally, so they piggyback on legitimate websites to get visitors.

How do I stop my WordPress site from redirecting to spam?

To stop your WordPress website from redirecting to another spam site, you need to first figure out what is causing the redirect. Most often, it is malware. If that is the case, then you need to clean the WordPress hacked redirect malware from your website quickly to prevent further damage.

How to find WordPress Spam Redirect s ?

The quickest way to find WordPress spam redirects on your website is to use a scanner. The scanner looks through your website to find any redirect scripts that are present on pages. You can also download your website, and look through the files and the database to find suspicious-looking code that may be causing the redirects.