LiveSensei

Guide complet pour nettoyer un site WordPress infecté

Directives pour garder les logiciels malveillants à distance sur votre site WordPress et conseils de prévention pour éviter de futures attaques.

Un beau jour, vous découvrez avec horreur que les résultats de recherche font apparaître sur votre site des références à des produits pharmaceutiques. Vous passez en revue le contenu et trouvez des liens étranges vers des sites qui ne devraient pas s’y trouver… Pour ne rien arranger, votre site est classé comme dangereux par Google, avec la mauvaise image que cela implique à l’étranger. Et maintenant, que dois-je faire ?, vous demandez-vous.

RESTEZ CALME !

La première réaction sera de ressentir un grand stress, d’être submergé et de se précipiter pour résoudre le problème. Dans une telle situation, il est facile de faire des erreurs et même de prendre des mesures irréfléchies qui peuvent s’avérer irréversibles par la suite.

L’essentiel est donc de rester calme, de respirer profondément et de suivre attentivement les instructions ci-dessous :

PROCESSUS DE DÉSINFECTION

1. ACTIVER LE « MODE MAINTENANCE »

De cette façon, vous éviterez de donner une mauvaise image et que les utilisateurs et les moteurs de recherche détectent une activité indésirable. Vous pouvez le faire de deux manières : en installant le plugin WP Maintenance Mode ou, si vous avez de l’expérience dans l’édition de code, vous pouvez le faire manuellement comme suit :

1.1. Créez un fichier à la racine que vous pourrez appeler par exemple « maintenance.php ».
1.2. Modifiez ce fichier que vous venez de créer et mettez-le en forme à votre guise. Pour garder les choses simples, un exemple de code simple serait le suivant :

<html>
<h1>Nous effectuons une maintenance.</h1>
<h2>Veuillez réessayer plus tard. Désolé pour le dérangement.</h2>
</html>

1.3. Editez le fichier functions.php de votre thème WordPress et ajoutez le code suivant :

function modo_mantenimiento() {  
    global $pagenow;  
    if ( $pagenow !== 'wp-login.php' && ! current_user_can( 'manage_options' ) && ! is_admin() ) {  
        header( $_SERVER["SERVER_PROTOCOL"] . ' 503 Service Temporarily Unavailable', true, 503 );  
        header( 'Content-Type: text/html; charset=utf-8' );  
         if ( file_exists(ABSPATH . 'mantenimiento.php') ) {  
          require_once(ABSPATH . 'mantenimiento.php');  
        }  
        die();  
    }  
}  
add_action( 'wp_loaded', 'modo_mantenimiento' );

Avec cela, nous parvenons à empêcher nos utilisateurs de voir des choses étranges sur notre site Web et, d’autre part, nous gardons intacte la possibilité d’accéder à l’administration WordPress.

2. IDENTIFIER LE PROBLÈME

L’étape suivante consiste à essayer d’identifier le problème. Pour ce faire, vous pouvez visiter le site Web de diagnostic de Google et voir si votre site est infecté par des logiciels malveillants. De plus, je vous recommande d’utiliser l’outil gratuit Sucuri.

Vous avez sûrement déjà plus d’informations. Avec cela, plus les symptômes que vous rencontrez sur votre site Web, je vous recommande de contacter votre hébergeur pour lui faire part du problème et suivre ses instructions. Ceci est très important, en particulier sur l’hébergement mutualisé, car l’attaque peut avoir touché plus d’un site. Si le support technique laisse beaucoup à désirer et qu’il n’est pas disposé à vous aider, envisagez de changer d’hébergeur à la fin de ce guide.

3. ANALYSEZ VOTRE ÉQUIPE

Croyez-le ou non, il est très courant que l’équipement que nous utilisons régulièrement soit la principale source de tous les problèmes. Assurez-vous d’avoir un bon antivirus installé et à jour, et lancez une première analyse complète. Il existe de très bonnes solutions sur le marché telles que Kaspersky Antivirus, Panda Global Protection, etc. Il est également bon de le compléter avec des outils de détection de malware spécialisés, tels que Malwarebytes Anti-Malware.

4. FAIRE UNE COPIE COMPLÈTE DU SITE ET DE LA BASE DE DONNÉES

Fondamentalement, avant d’apporter des modifications, faites une copie du site Web et de la base de données. De cette manière, vous éviterez les risques de perte d’informations en cas de problème. Cette copie est conservée séparément.

5. MODIFIER TOUS LES MOTS DE PASSE

Il est essentiel que vous changiez tous les mots de passe pour empêcher les attaquants de continuer à agir sur votre site Web :

Connexion WordPress : modifiez le mot de passe de tous les utilisateurs. Vérifiez qu’aucun utilisateur administrateur n’a été ajouté qui ne devrait pas être là. Supprimez tout utilisateur que vous considérez comme suspect.

  • Panneau de contrôle d’hébergement.
  • FTP.
  • Base de données.

Lorsque vous modifiez le mot de passe de la base de données, vous devez immédiatement modifier le fichier wp-config.php et entrer le nouveau mot de passe, sinon WordPress ne pourra pas établir de connexion à la base de données et votre site sera inaccessible.

De plus, dans ce même fichier, vous devez modifier les clés de sécurité. Pour ce faire, accédez au générateur de clé de sécurité WordPress officiel, copiez le code généré et remplacez-le là où il correspond dans le fichier wp-config.php.

Profitez du fait que vous l’éditez pour vous assurer qu’il n’y a rien d’étrange dedans.

6. NETTOYER LES FICHIERS ET RÉPERTOIRES

Nous sommes prêts à commencer le nettoyage :

6.1. Si vous utilisez un plugin de cache, je vous recommande de le désactiver et de nettoyer le cache, car si un fichier infecté reste dans le cache, il peut laisser votre site infecté à nouveau.

6.2. Installez le plug-in WordFence ou Anti-Malware Security et Brute-Force Firewall afin d’effectuer une vérification sur votre site Web. De cette façon, vous pourrez voir quels fichiers semblent être infectés, quelles lignes de code ont été insérées et où. Ceci est essentiel si vous utilisez votre propre thème personnalisé.

6.3. Téléchargez votre thème, qui se trouve dans le dossier /wp-content/ et passez en revue et modifiez les fichiers comme indiqué par le plugin de sécurité. En conséquence, vous aurez votre propre thème sur votre ordinateur. Pour être sûr, vous pouvez analyser vos fichiers de thème avec votre outil antivirus et antimalware. Si vous utilisez un thème commercial, je vous recommande de télécharger une copie propre depuis leur site officiel.

6.4. Entrez dans la section plugins de votre installation WordPress et notez les plugins que vous avez actifs et téléchargez les versions les plus récentes sur votre ordinateur.

Très bien. Pour l’instant, nous avons un thème et des plugins propres.

Examinez le contenu de votre site Web et recherchez les iframes, les codes étranges, les liens internes et externes qui pointent vers des sites suspects pour les supprimer.

6.5. Connectez-vous maintenant via FTP et commandez les fichiers par date de modification. Portez une attention particulière aux derniers modifiés, car ce sont généralement ceux qui contiennent du code malveillant. Téléchargez la dernière version de WordPress depuis le site officiel. Décompressez le fichier téléchargé dans un dossier sur votre ordinateur. Examinez cette structure de dossiers et de fichiers et comparez-la avec celle existante sur votre serveur. De cette façon, vous pourrez détecter des fichiers étranges qui ne devraient pas s’y trouver.

6.6. Parfois, vous pouvez constater qu’il n’est pas possible de supprimer tout le code malveillant. Dans ce cas, il est préférable de remplacer les fichiers de votre installation WordPress par les fichiers WordPress téléchargés depuis le site officiel.

Supprimez tout ce qui se trouve à la racine sauf le dossier /wp-content/, le fichier .htaccess et le fichier robots.txt dont vous devrez vérifier qu’ils ne contiennent rien d’étrange.

Dans le dossier /wp-content/ vous verrez ce qui suit :

plugins : vous devez supprimer tous les plugins et insérer les nouvelles versions que vous avez précédemment téléchargées sur votre ordinateur.

thèmes : supprimez tous les thèmes et téléchargez uniquement et exclusivement votre thème déjà propre que vous avez sur votre ordinateur.

uploads : vérifiez qu’il n’y a pas de fichiers exécutables .php. S’il y en a, supprimez-les.

index.php : Vérifiez qu’il ne contient pas de code malveillant.

À ce stade, téléchargez la copie de WordPress que vous avez téléchargée, en omettant le dossier /wp-content/ et les fichiers wp-config.php et .htaccess, que vous avez déjà prêts sur votre serveur.
Vérifiez que tout fonctionne correctement et, enfin, supprimez ou mettez en commentaire la fonction que vous avez créée au début de l’article et désactivez ainsi le « mode maintenance ».

6.7. Enfin, accédez aux outils Google pour les webmasters et demandez-leur d’examiner votre site Web. Si vous ne savez pas comment faire, vous pouvez consulter l’aide de Google.

7. EMPÊCHE LES ATTAQUES FUTURES

Vous avez déjà votre site propre et parfaitement opérationnel à nouveau. Cependant, pour éviter au maximum que vous vous retrouviez dans des situations compromettantes, il est indispensable que vous adoptiez les mesures suivantes :

7.1. Modifiez le préfixe de votre base de données. Vous pouvez utiliser le plugin Change DB Prefix. Bien sûr, comme toujours, avant toute modification majeure, faites une sauvegarde de votre base de données.

7.2. Modifiez les autorisations des fichiers hébergés sur votre serveur en 755 et les répertoires en 644. Oubliez l’octroi d’autorisations 777 aux fichiers ou répertoires. Ne donnez pas de facilités.

7.3. Génère des fichiers index.php vides pour empêcher l’accès aux répertoires via le navigateur.

7.4. Vérifiez que l’utilisateur « admin » n’existe pas, car c’est le premier que les éventuels attaquants recherchent.

7.5. Créez un fichier .htaccess avec le code suivant :

<Files *.php> 
deny from all 
</Files>

Et placez-le dans le dossier /wp-content/uploads. De cette façon, vous empêcherez l’exécution des fichiers .php à l’intérieur du dossier « uploads », ce que de nombreux attaquants ont tendance à essayer.

7.6. Faites des copies de sauvegarde régulières du site Web et de la base de données. Et stockez-le dans un endroit sûr, idéalement hors du serveur d’hébergement.

7.7. Gardez votre WordPress à jour, ainsi que le thème et les plugins que vous utilisez.

7.8. Supprimez les commentaires indésirables. Vous pouvez vous aider avec des plugins comme Akismet ou Antispam Bee.

7.9. Activez un plugin de sécurité comme Wordfence, All In One WP Security & Firewall ou iThemes Security.

7.10. Utilisez toujours des mots de passe sécurisés et éduquez vos collaborateurs sur l’importance vitale de cette pratique. Pour vous faciliter la vie, vous pouvez utiliser ce générateur de mot de passe en ligne.

7.11. Appliquez, comme complément de sécurité, un système d’authentification à deux facteurs tel que Latch, dont nous avons parlé plus tôt dans un article sur l’augmentation de la sécurité de WordPress avec Latch.

Votre site Web a-t-il déjà été attaqué ? Avons-nous raté une étape que vous jugez importante ? Connaissez-vous un plugin ou un outil efficace pour détecter/prévenir les attaques ? Partagez votre expérience avec nous et, si vous avez besoin d’aide, n’hésitez pas à nous contacter.

Publié

dans

par

LiveSensei

Étiquettes :

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *