Lignes directrices pour tenir à distance les logiciels malveillants sur votre site pour nettoyer un site WordPress infecté et éviter les attaques futures.
Un jour, vous découvrez avec horreur que les résultats de vos recherches font référence à des produits pharmaceutiques sur votre site web. Vous vérifiez le contenu et trouvez des liens étranges vers des sites Web qui ne devraient pas être là… Pour ne rien arranger, votre site est catalogué comme dangereux par Google, avec la mauvaise image que cela implique pour le monde extérieur. Que dois-je faire maintenant, vous demandez-vous ?
GARDER SON CALME, ESSENTIEL
La première réaction sera de ressentir un grand stress, de se sentir dépassé et de se précipiter pour résoudre le problème. Dans une telle situation, il est facile de faire des erreurs et même de prendre des mesures irréfléchies qui peuvent s’avérer irréversibles par la suite.
L’essentiel est donc de rester calme, de respirer profondément et de suivre attentivement les instructions suivantes :
PROCÉDÉ DE DÉSINFECTION
1. ACTIVER LE « MODE MAINTENANCE ».
Vous éviterez ainsi de donner une mauvaise image et que les utilisateurs et les moteurs de recherche ne détectent une activité indésirable. Vous pouvez le faire de deux manières : en installant le plugin WP Maintenance Mode ou, si vous avez de l’expérience dans l’édition de code, vous pouvez le faire manuellement comme suit :
1.1 Créez un fichier à la racine que vous pouvez appeler par exemple « maintenance.php ».
1.2 Modifiez ce fichier que vous venez de créer et mettez-le en page à votre convenance. Pour simplifier les choses, un exemple de code simple serait le suivant :
<html>
<h1>Estamos realizando tareas de mantenimiento.</h1>
<h2>Por favor, vuelva a intentarlo más tarde. Disculpe las molestias.</h2>
</html>
1.3 Modifiez le fichier functions.php de votre thème WordPress et ajoutez le code suivant
function maintenance_mode() {
global $pagenow ;
if ( $pagenow !== 'wp-login.php' && ! current_user_can( 'manage_options' ) && ! is_admin() ) {
header( $_SERVER["SERVER_PROTOCOL"] . 503 Service Temporarily Unavailable', true, 503 ) ;
header( 'Content-Type : text/html ; charset=utf-8' ) ;
si ( file_exists(ABSPATH . 'maintenance.php') ) {
require_once(ABSPATH . 'maintenance.php') ;
}
mourir() ;
}
}
add_action( 'wp_loaded', 'maintenance_mode' ) ;
Cela évite à nos utilisateurs de voir des choses étranges sur notre site et maintient intacte la possibilité d’accéder à l’administration de WordPress.
2. IDENTIFIER LE PROBLÈME
L’étape suivante consiste à essayer d’identifier le problème. Pour ce faire, vous pouvez vous rendre sur le site de diagnostic de Google et voir si votre site est infecté par un logiciel malveillant. En outre, je recommande d’utiliser l’outil gratuit Sucuri.
Vous aurez probablement maintenant un peu plus d’informations. Compte tenu de ces éléments et des symptômes que vous rencontrez sur votre site Web, je vous recommande de contacter votre société d’hébergement pour l’informer du problème et de suivre ses instructions. C’est très important, surtout dans le cas d’un hébergement partagé, car l’attaque peut avoir touché plusieurs sites. Si le support technique laisse beaucoup à désirer et qu’ils ne sont pas disposés à vous aider, envisagez de changer de société d’hébergement à la fin de ce guide.
À lire également : 8 conseils de cybersécurité pour les voyageurs et les nomades digitaux
3. ANALYSER VOTRE ÉQUIPEMENT
Croyez-le ou non, il est très courant que l’ordinateur que nous utilisons régulièrement soit la principale source de tous les problèmes. Assurez-vous qu’un bon antivirus est installé et mis à jour, et effectuez une première analyse complète. Il existe de très bonnes solutions sur le marché, comme Kaspersky Antivirus, Panda Global Protection, etc. Il est également judicieux de le compléter par des outils spécialisés dans la détection des logiciels malveillants, tels que Malwarebytes Anti-Malware.
4. FAIRE UNE COPIE COMPLÈTE DU SITE ET DE LA BASE DE DONNÉES
Avant de procéder à des modifications, il est essentiel de faire une copie du site web et de la base de données. De cette façon, vous évitez le risque de perte de données en cas de problème. Cette copie est stockée séparément.
5. CHANGER TOUS LES MOTS DE PASSE
Il est impératif que vous changiez tous vos mots de passe afin d’empêcher les attaquants de pouvoir continuer à agir sur votre site web :
- Connexion WordPress : changer le mot de passe pour tous les utilisateurs. Vérifiez qu’aucun utilisateur admin n’a été ajouté qui ne devrait pas l’être. Supprimez tous les utilisateurs que vous considérez comme suspects.
- Panneau de contrôle de l’hébergement.
- FTP.
- Base de données.
Lorsque vous modifiez le mot de passe de la base de données, vous devez immédiatement modifier le fichier wp-config.php et y inscrire le nouveau mot de passe, sinon WordPress ne pourra pas établir de connexion avec la base de données et votre site sera inaccessible.
De plus, dans ce même fichier, vous devez changer les clés de sécurité. Pour ce faire, accédez au générateur officiel de clés de sécurité de WordPress, copiez le code généré et remplacez-le à l’endroit approprié dans le fichier wp-config.php.
Profitez du fait que vous l’éditez pour vous assurer qu’il n’y a rien d’étrange.
6. NETTOYER LES FICHIERS ET LES RÉPERTOIRES
Nous sommes maintenant prêts à commencer le nettoyage :
6.1 Si vous utilisez des plugins de cache, je vous recommande de les désactiver et de nettoyer le cache, car si des fichiers infectés restent dans le cache, ils peuvent à nouveau infecter votre site.
6.2 Installez le plugin WordFence ou Anti-Malware Security and Brute-Force Firewall pour contrôler votre site web. Cela vous permettra de voir quels fichiers semblent être infectés, quelles lignes de code ont été insérées et où. Ceci est essentiel si vous utilisez votre propre thème personnalisé.
6.3 Téléchargez votre thème, qui se trouve dans le dossier /wp-content/, et vérifiez et modifiez les fichiers conformément aux instructions du plugin de sécurité. Ainsi, vous aurez un thème propre sur votre ordinateur. Pour vous en assurer, vous pouvez analyser les fichiers de votre thème avec votre antivirus et votre outil anti-malware. Si vous utilisez un thème commercial, je vous recommande de télécharger une copie propre à partir de leur site officiel.
6.4. Allez dans la section des plugins de votre installation WordPress, notez les plugins actifs et téléchargez les versions les plus récentes de ces derniers sur votre ordinateur.
C’est bien. Vous avez maintenant un thème et des plugins propres.
Vérifiez le contenu de votre site Web et recherchez les iframes, le code bizarre, les liens internes et externes pointant vers des sites suspects et supprimez-les.
6.5. Connectez-vous maintenant via FTP et triez les fichiers par date de modification. Portez une attention particulière aux fichiers les plus récemment modifiés, car ce sont généralement ceux qui contiennent un code malveillant. Téléchargez la dernière version de WordPress depuis le site officiel. Dézippez le fichier téléchargé dans un dossier de votre ordinateur. Vérifiez la structure de ce dossier et de ce fichier et comparez-la à celle qui existe sur votre serveur. De cette façon, vous serez en mesure de détecter les fichiers étranges qui ne devraient pas être là.
6.6. Il arrive parfois qu’il ne soit pas possible de supprimer tous les codes malveillants. Dans ce cas, il est préférable de remplacer les fichiers de votre installation WordPress par les fichiers WordPress téléchargés sur le site officiel.
Supprimez tout ce qui se trouve à la racine, à l’exception du dossier /wp-content/, du fichier .htaccess et du fichier robots.txt, que vous devrez vérifier pour détecter toute anomalie.
Dans le dossier /wp-content/, vous verrez ce qui suit :
- plugins : vous devez supprimer tous les plugins et insérer les nouvelles versions que vous avez téléchargées sur votre ordinateur précédemment.
- thèmes : supprimez tous les thèmes et téléchargez uniquement le thème propre que vous avez sur votre ordinateur.
- uploads : vérifiez qu’il n’y a pas de fichiers .php exécutables. S’il y en a, supprimez-les.
- index.php : vérification de l’absence de code malveillant.
À ce stade, téléchargez la copie de WordPress que vous avez téléchargée, en laissant de côté le dossier /wp-content/ et les fichiers wp-config.php et .htaccess, que vous avez déjà sur votre serveur.
Vérifiez que tout fonctionne correctement et, enfin, supprimez ou laissez en commentaire la fonction que vous avez créée au début de l’article et désactivez ainsi le « mode maintenance ».
6.7 Enfin, rendez-vous dans les Outils pour webmasters de Google et demandez un examen de votre site Web. Si vous ne savez pas comment procéder, vous pouvez consulter l’aide de Google.
À lire également : Brève histoire des Firewalls
7. PRÉVENIR LES ATTAQUES FUTURES
Votre site est maintenant propre et parfaitement opérationnel à nouveau. Cependant, pour éviter, autant que possible, d’être à nouveau compromis, il est essentiel que vous preniez les mesures suivantes :
7.1. Changez le préfixe de votre base de données. Vous pouvez utiliser le plugin Change DB Prefix. Toutefois, comme toujours, avant toute modification importante, faites une copie de sauvegarde de votre base de données.
7.2. Modifiez les permissions des fichiers hébergés sur votre serveur à 755 et des répertoires à 644. Oubliez d’accorder les permissions 777 aux fichiers ou aux répertoires. Ne rendez pas les choses faciles.
7.3. générez des fichiers index.php vides pour empêcher les répertoires d’être accessibles par le navigateur.
7.4 Vérifiez que l’utilisateur « admin » n’existe pas, car c’est le premier utilisateur que les attaquants potentiels recherchent.
7.5. Créez un fichier .htaccess avec le code suivant
<Files *.php>
deny from all
</Files>
Et placez-le dans le dossier /wp-content/uploads. Cela empêchera les fichiers .php d’être exécutés dans le dossier « uploads », ce que de nombreux attaquants tentent de faire.
7.6. Faites des sauvegardes régulières du site web et de la base de données. Et gardez-le dans un endroit sûr, de préférence en dehors du serveur d’hébergement.
7.7 Maintenez votre WordPress, ainsi que le thème et les plugins que vous utilisez, à jour.
7.8. Supprimez les commentaires indésirables. Vous pouvez utiliser des plugins tels que Akismet ou Antispam Bee.
7.9. Activez un plugin de sécurité tel que Wordfence, All In One WP Security & Firewall ou iThemes Security.
7.10. Utilisez toujours des mots de passe forts et sensibilisez votre personnel à l’importance vitale de cette pratique. Pour vous faciliter la vie, vous pouvez utiliser ce générateur de mots de passe en ligne.
7.11. Utilisez, en complément de sécurité, un système d’authentification à deux facteurs tel que Google Authenticator.
Votre site a-t-il déjà été attaqué ? Avons-nous oublié une étape que vous considérez comme importante ? Connaissez-vous un plugin ou un outil efficace pour détecter/prévenir les attaques ? Partagez avec nous votre expérience et, si vous avez besoin d’aide, n’hésitez pas à nous contacter.
