Comment nettoyer un site WordPress piraté à l’aide de Wordfence

Si votre site a été piraté, ne paniquez pas.

Cet article décrira comment nettoyer votre site s’il a été piraté et infecté par du code malveillant, des portes dérobées, du spam, des logiciels malveillants ou d’autres méchancetés. Cet article a été mis à jour le 27 août 2019 avec des ressources supplémentaires pour aider à nettoyer des types d’infection spécifiques. Cet article est rédigé par Mark Maunder, le fondateur de Wordfence. Je suis également un chercheur en sécurité accrédité, un développeur WordPress et je possède et exploite plusieurs de mes propres sites Web alimentés par WordPress, y compris celui-ci. Même si vous n’utilisez pas WordPress, cet article comprend plusieurs outils que vous pouvez utiliser pour aider à nettoyer votre site d’une infection.

Si vous utilisez WordPress et que vous avez été piraté, vous pouvez utiliser Wordfence pour nettoyer une grande partie du code malveillant de votre site. Wordfence vous permet de comparer vos fichiers piratés aux fichiers de base originaux de WordPress, ainsi qu’aux copies originales des thèmes et plugins WordPress dans le référentiel. Wordfence vous permet de voir ce qui a changé et vous donne la possibilité de réparer les fichiers en un clic et de prendre d’autres mesures.

Si vous pensez avoir été piraté, assurez-vous d’abord que vous l’avez réellement été. Nous recevons parfois des administrateurs de sites paniqués qui nous contactent en pensant qu’ils ont été piratés alors que leur site se comporte simplement mal, qu’une mise à jour a mal tourné ou qu’un autre problème se produit. Parfois, les propriétaires de sites peuvent voir des commentaires spammy et ne peuvent pas faire la différence entre cela et un piratage.

Votre site a été piraté si :

• Vous voyez des spams apparaître dans l’en-tête ou le pied de page de votre site qui contiennent des publicités pour des choses comme la pornographie, les drogues, les services illégaux, etc. Souvent, il sera injecté dans le contenu de votre page sans aucune réflexion sur la présentation, il pourrait donc apparaître comme un texte sombre sur un fond sombre et ne pas être très visible pour les yeux humains (mais les moteurs de recherche peuvent le voir).
• Vous faites une recherche site:exemple.com (remplacez exemple.com par votre site) sur Google et vous voyez des pages ou du contenu que vous ne reconnaissez pas et qui semble malveillant.
• Vous recevez des rapports de vos utilisateurs selon lesquels ils sont redirigés vers un site web malveillant ou spammy. Faites-y particulièrement attention car de nombreux hacks détecteront que vous êtes l’administrateur du site et ne vous montreront rien de spammy, mais ne montreront que du spam à vos visiteurs ou aux crawlers des moteurs de recherche.
• Vous recevez un rapport de votre hébergeur indiquant que votre site Web fait quelque chose de malveillant ou de spammy. Par exemple, si votre hébergeur vous dit qu’il reçoit des rapports d’e-mails de spam contenant un lien vers votre site Web, cela peut signifier que vous avez été piraté. Dans ce cas, les pirates envoient du spam depuis quelque part et utilisent votre site Web comme lien pour rediriger les internautes vers un site Web qui leur appartient. Ils font cela parce que l’inclusion d’un lien vers votre site Web évitera les filtres anti-spam tandis que l’inclusion d’un lien vers leur propre site Web se fera prendre dans les filtres anti-spam.
• Wordfence détecte beaucoup de ces problèmes et d’autres que je n’ai pas mentionnés ici, alors faites attention à nos alertes et réagissez en conséquence.

Sauvegardez votre site dès maintenant. Voici pourquoi :

Une fois que vous vous êtes assuré que vous avez été piraté, sauvegardez votre site immédiatement. Utilisez le FTP, le système de sauvegarde de votre hébergeur ou un plugin de sauvegarde pour télécharger une copie de l’ensemble de votre site web. La raison pour laquelle vous devez faire cela est que de nombreux fournisseurs d’hébergement supprimeront immédiatement l’ensemble de votre site si vous signalez qu’il a été piraté ou s’ils détectent un contenu malveillant. Cela semble fou, mais c’est une procédure standard dans certains cas pour éviter que d’autres systèmes sur leur réseau ne soient infectés.

Veillez à sauvegarder également la base de données de votre site Web. La sauvegarde de vos fichiers et de votre base de données devrait être votre première priorité. Obtenez ceci fait, alors vous pouvez passer en toute sécurité à l’étape suivante de nettoyage de votre site confortable avec la connaissance qu’au moins vous avez une copie de votre site piraté et vous ne perdrez pas tout.

Ce que vous devez savoir avant de nettoyer un site WordPress qui a été piraté :

Voici les règles de base pour nettoyer votre site :

• Vous pouvez généralement supprimer tout ce qui se trouve dans le répertoire wp-content/plugins/ et vous ne perdrez pas de données ou ne casserez pas votre site. La raison en est que ce sont des fichiers de plugins que vous pouvez réinstaller et WordPress détectera automatiquement si vous avez supprimé un plugin et le désactivera. Assurez-vous simplement de supprimer des répertoires entiers dans wp-content/plugins et pas seulement des fichiers individuels. Par exemple, si vous voulez supprimer le plugin Wordfence, vous devez supprimer wp-content/plugins/wordfence et tout ce qui se trouve dans ce répertoire, y compris le répertoire lui-même. Si vous ne supprimez que quelques fichiers d’un plugin, vous pouvez laisser votre site inopérant.
• Vous n’avez généralement qu’un seul répertoire de thème qui est utilisé pour votre site dans le répertoire wp-content/themes. Si vous savez lequel c’est, vous pouvez supprimer tous les autres répertoires de thèmes. Attention si vous avez un « thème enfant » vous pouvez utiliser deux répertoires dans wp-content/themes.
• Les répertoires wp-admin et wp-includes ont très rarement de nouveaux fichiers ajoutés. Donc si vous trouvez quelque chose de nouveau dans ces répertoires, cela a une forte probabilité d’être malveillant.
• Surveillez les anciennes installations et sauvegardes de WordPress. Nous voyons souvent des sites infectés où quelqu’un dit : « Mais j’ai gardé mon site à jour et j’ai fait installer un plugin de sécurité, alors pourquoi ai-je été piraté ? » Ce qui se passe parfois, c’est que vous ou un développeur sauvegardez une copie de tous les fichiers de votre site dans un sous-répertoire comme /old/ qui est accessible depuis le Web. Cette sauvegarde n’est pas maintenue et même si votre site principal est sécurisé, un pirate peut s’y introduire, l’infecter et accéder à votre site principal par la porte dérobée qu’il a créée. Ne laissez donc jamais traîner d’anciennes installations WordPress et si vous vous faites pirater, vérifiez-les en premier car il est probable qu’elles soient remplies de logiciels malveillants.

Quelques outils utiles:

Si vous avez un accès SSH à votre serveur, connectez-vous et exécutez la commande suivante pour voir tous les fichiers qui ont été modifiés au cours des 2 derniers jours. Notez que le point indique le répertoire actuel. La commande ci-dessous recherchera dans le répertoire actuel et dans tous les sous-répertoires les fichiers récemment modifiés. (Pour savoir quel est votre répertoire actuel en SSH, tapez ‘pwd’ sans les guillemets).

find . -mtime -2 -ls

Ou vous pouvez spécifier un répertoire spécifique:

find /home/yourdirectory/yoursite/ -mtime -2 -ls

Ou vous pouvez modifier la recherche pour afficher les fichiers modifiés au cours des 10 derniers jours:

find /home/yourdirectory/yoursite/ -mtime -10 -ls

Nous vous suggérons de faire la recherche ci-dessus et d’augmenter progressivement le nombre de jours jusqu’à ce que vous commenciez à voir des fichiers modifiés. Si vous n’avez rien modifié vous-même depuis que vous avez été piraté, il est très probable que vous verrez les fichiers modifiés par le pirate. Vous pouvez alors les modifier vous-même pour nettoyer le piratage. C’est de loin le moyen le plus efficace et le plus simple de savoir quels fichiers ont été infectés et il est utilisé par tous les services professionnels de nettoyage de sites.

Un autre outil utile en SSH est ‘grep’. Par exemple, pour rechercher des fichiers qui contiennent base64 (couramment utilisé par les pirates), vous pouvez exécuter la commande suivante :

grep -ril base64 *

Ceci va juste lister les noms de fichiers. Vous pouvez omettre l’option ‘l’ pour voir le contenu réel du fichier où la chaîne base64 apparaît:

grep -ri base64 *

N’oubliez pas que « base64 » peut également apparaître dans du code légitime. Avant de supprimer quoi que ce soit, vous devez vous assurer que vous ne supprimez pas un fichier utilisé par un thème ou un plugin sur votre site. Une recherche plus affinée pourrait ressembler à ceci:

grep --include=*.php -rn . -e "base64_decode"

Cette commande recherche tous les fichiers récursivement qui se terminent par .php pour la chaîne « base64_decode » et imprime le numéro de ligne afin que vous puissiez plus facilement trouver le contexte dans lequel la chaîne apparaît.

Maintenant que vous savez comment utiliser ‘grep’, nous vous recommandons d’utiliser grep en combinaison avec ‘find’. Ce que vous devez faire, c’est trouver les fichiers qui ont été récemment modifiés, voir ce qui a été modifié dans le fichier et si vous trouvez une chaîne de texte commune comme « bad hacker was here », alors vous pouvez simplement grep tous vos fichiers pour ce texte comme suit:

grep -irl "bad hacker was here" *

et cela vous montrera tous les fichiers infectés contenant le texte « bad hacker was here ».

Si vous nettoyez beaucoup de sites infectés, vous commencerez à remarquer des modèles dans les endroits où le code malveillant est couramment trouvé. L’un de ces endroits est le répertoire uploads des installations WordPress. La commande ci-dessous montre comment trouver tous les fichiers du répertoire uploads qui ne sont PAS des fichiers images. La sortie est enregistrée dans un fichier journal appelé « uploads-non-binary.log » dans votre répertoire actuel.

find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >uploads-non-binary.log

En utilisant les deux outils de ligne de commande simples « grep » et « find », vous pouvez nettoyer un site Web infecté entier. Comme c’est facile ! Je parie que vous êtes prêt à démarrer votre propre entreprise de nettoyage de sites à ce stade.

Comment nettoyer votre site WordPress piraté avec Wordfence:

Maintenant que vous avez quelques outils puissants dans votre arsenal et que vous avez déjà effectué un nettoyage de base, lançons Wordfence et exécutons un scan complet pour nettoyer votre site. Cette étape est importante car Wordfence effectue une recherche très avancée des infections. Par exemple :

• Nous savons à quoi doivent ressembler tous les fichiers de base de WordPress, les thèmes open source et les plugins open source, donc Wordfence peut dire si l’un de vos fichiers source est infecté, même s’il s’agit d’une nouvelle infection que personne n’a jamais vue auparavant.
• Nous recherchons à l’aide d’expressions régulières complexes des signatures d’infection et notre base de données d’infections connues est continuellement mise à jour. Vous ne pouvez pas faire cela avec de simples outils de ligne de commande unix ou cPanel.
• Nous recherchons les URL de logiciels malveillants en utilisant la liste Google Safe Browsing.
• Nous utilisons de nombreuses autres sources de données comme SpamHaus pour trouver des logiciels malveillants et des infections sur votre système.

Comment nettoyer votre site piraté en utilisant Wordfence:

1. Mettez à niveau votre site vers la version la plus récente de WordPress. Si vous exécutez une version de WordPress antérieure à WordPress 5.x.x alors nous vous recommandons de lire cet article ici avant de mettre à niveau vers la dernière version de WordPress.
2. Mettez à niveau tous vos thèmes et plugins vers leurs versions les plus récentes.
3. Changez tous les mots de passe sur le site, en particulier les mots de passe administratifs.
4. Faites une autre sauvegarde et stockez-la séparément de la sauvegarde que nous vous avons recommandé de faire ci-dessus. Maintenant, vous avez un site infecté mais ce site exécute la version la plus récente de tout. Si vous cassez quelque chose en nettoyant votre site à l’aide de Wordfence, vous pouvez revenir à cette sauvegarde et vous n’avez pas à retracer toutes les étapes ci-dessus.
5. Allez à la page de scan de Wordfence. Cliquez sur le lien « Options d’analyse et planification ». Activez l’option d’analyse « haute sensibilité ». Si le scan prend trop de temps ou ne se termine pas alors développez la section « Options générales ». Désélectionnez les options « Analyser les fichiers en dehors de votre installation WordPress » et « Analyser les images, les fichiers binaires et autres comme s’ils étaient exécutables ». Enregistrez les modifications et essayez une nouvelle analyse.
6. Lorsque les résultats s’affichent, vous pouvez voir une très longue liste de fichiers infectés. Prenez votre temps et parcourez lentement la liste.
7. Examinez tous les fichiers suspects et modifiez ces fichiers à la main pour les nettoyer ou supprimez le fichier. Rappelez-vous que vous ne pouvez pas annuler les suppressions. Mais tant que vous avez pris la sauvegarde que nous avons recommandée ci-dessus, vous pouvez toujours restaurer le fichier si vous supprimez la mauvaise chose.
8. Regardez tout fichier de base, thème et plugin modifié. Utilisez l’option que Wordfence fournit pour voir ce qui a changé entre le fichier original et votre fichier. Si les changements semblent malveillants, utilisez l’option Wordfence pour réparer le fichier.
9. Travaillez lentement dans la liste jusqu’à ce qu’elle soit vide.
10. Lancez une autre analyse et confirmez que votre site est propre.
11. Si vous avez encore besoin d’aide, nous offrons un service commercial de nettoyage de site. Vous pouvez en savoir plus en envoyant un courriel à [email protected] avec pour objet « Service payant de nettoyage de site ».

J’ai un fichier qui semble suspect, mais je ne suis pas sûr qu’il le soit. Comment puis-je le savoir ?

Envoie-le nous à [email protected] et nous te le ferons savoir. Si votre fichier de configuration WordPress wp-config.php est infecté, alors ne nous envoyez pas une copie de ce fichier sans avoir préalablement supprimé vos identifiants d’accès à la base de données et les clés et sels uniques d’authentification.

Si vous ne recevez pas de réponse, il se peut que votre système de messagerie ou le nôtre ait écarté le message en pensant qu’il était malveillant à cause de votre pièce jointe. Donc, s’il vous plaît, envoyez-nous un message sans la pièce jointe nous laissant maintenant que vous essayez de nous envoyer quelque chose et nous allons essayer d’aider à le faire passer.

Où puis-je trouver de l’aide pour nettoyer un type spécifique d’infection ?

Le centre d’apprentissage Wordfence a une gamme d’articles qui vous aideront. Voici une liste d’articles qui vous aideront avec des types d’infection spécifiques :

• Suppression des redirections malveillantes de votre site
• Détection et suppression des portes dérobées
• Suppression des pages de spam des sites WordPress
• Détection et suppression des liens de spam
• Suppression des pages d’hameçonnage des sites WordPress
• Suppression du courrier malveillant. Code de votre site
• Repérage et suppression des téléchargeurs de fichiers malveillants
• Suppression des pages de défiguration de WordPress
• Comment supprimer le code suspect des sites WordPress

J’ai nettoyé mon site WordPress piraté mais Google Chrome me donne toujours l’avertissement de malware. Que dois-je faire ?

Vous devez faire retirer votre site de la liste Google Safe Browsing. Lisez ce document de Google sur la façon de nettoyer votre site. Voici les étapes à suivre :

1. Premièrement, connectez-vous aux Outils pour webmasters de Google.
2. Ajoutez votre site si ce n’est pas déjà fait.
3. Vérifiez votre site, en suivant les instructions de Google.
4. Sur la page d’accueil des Outils pour webmasters, sélectionnez votre site.
5. Cliquez sur État du site, puis sur Malware.
6. Cliquez sur Demander un examen.

Les visiteurs de mon site reçoivent des avertissements d’autres produits de sécurité et de systèmes antivirus. Que dois-je faire ?

Sortir de la liste Google Safe Browsing est un grand pas, mais vous pouvez avoir du travail devant vous. Vous devez tenir une liste de tous les produits antivirus qui disent que votre site est infecté. Il peut s’agir de produits comme l’antivirus ESET, le Site Advisor de McAfee et d’autres. Visitez le site Web de chaque fabricant d’antivirus et trouvez leurs instructions pour retirer votre site de leur liste de sites dangereux. Cette procédure est souvent appelée « liste blanche » par les fabricants d’antivirus. En recherchant sur Google des termes tels que « liste blanche », « suppression de site », « faux positif » et le nom du produit, vous trouverez généralement l’endroit où vous pourrez faire supprimer votre site.

Comment puis-je vérifier manuellement si mon site est listé sur la liste de navigation sécurisée de Google ?

Visitez l’URL suivante et remplacez exemple.com par l’adresse de votre propre site.

http://www.google.com/safebrowsing/diagnostic?site=http://example.com/

Vous pouvez inclure un sous-répertoire si votre site en possède un. La page qui apparaît est très simple, mais contient des informations détaillées sur l’état actuel de votre site, la raison pour laquelle il figure sur la liste des logiciels malveillants ou de phishing de Google (La liste de navigation sûre de google est en fait deux listes) et ce qu’il faut faire ensuite.

Ce qu’il faut faire une fois que votre site est propre :

Félicitations si vous avez réussi à nettoyer votre site. Maintenant, vous devez faire en sorte qu’il ne soit pas piraté à nouveau. Voici comment faire :

• Installer Wordfence et lancer des analyses régulières sur votre site WordPress.
• S’assurer que WordPress et tous les plugins et thèmes sont maintenus à jour. C’est la chose la plus importante que vous puissiez faire pour sécuriser votre site.
• Veuillez utiliser des mots de passe forts et difficiles à deviner.
• Débarrassez-vous de toutes les anciennes installations WordPress qui traînent sur votre serveur.
• S’inscrire à notre liste de diffusion d’alertes de sécurité pour être averti des mises à jour de sécurité importantes liées à WordPress.
• Authentifier votre site à Wordfence Central pour rendre la gestion de la sécurité de votre site beaucoup plus facile.

.